Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 02.03.2018 10:40:20

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
.... Das passiert auf dem Client ...
Funktioniert das gut?
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 10:47:06

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:40:20
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran.
Interessanter Gedanke! Wegen Meltdown/Spectre wird sich in Firewall-Foren kaum ein Kopf gemacht. Es wird auf die Softwarehoheit auf dem Gerät verwiesen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 10:50:07

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 09:33:01
Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen.
::::
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Genau das wollte ich damit ausdrücken.... was ich auch oben schon beschrieben haben, ohne eine Firewall -an welcher Stelle auch immer sie wirkt- qualifzieren zu können, ist Wunschdenken der eigentliche Kern der Sicherheit.
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden.
:::
Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.
Ja, das ist ein Problem und ein mir jetzt bewusst gewordener Aspekt... und ob eine Fritzbox nicht auch solche Funktionen zur Verfügung stellt...???... *hmmm*... die FB kennt natürlich alle Clients.... :roll:
Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Vor diesem Hintergrund wäre also AVM der Angreifer... *hmmm*.... Das sind jetzt neue Aspekte, die ich nun auch verstanden habe, die ich aber nicht so recht auf meine eigene private Situation projizieren kann... also in dem Sinne, dass mein/unser digitales Leben solche Maßnahmen tatsächlich auch erfordert. Dabei gehts für mich auch immer um die persönliche Verhältnismäßigkeit der Mittel.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 10:54:44

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
Ich haette jetzt gedacht die benutzten einfach http oder https ports.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:37:17
Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
MSfree hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:40:20
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist. Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist. Das bedeutet, die Client-Firewall soll nicht gegen einen virusbefallenen Clienten wirken, sondern soll als zusätzliche Maßnahme das User-Verhalten beschränken... mit ähnlichem Ziel, wie ich das mit einem NoExec-Remount für /home, /tmp und /dev/shm getan habe. Oder mit der User-bezogenen Einstellung, dass kein einziger User Rechte hat, die über sein Homedir hinausgehen, oder sich root-Rechte aneignen kann. Oder das statt pauschale Mount-Points in der fstab nur userbezogene Mounts geöffnet werden, also in dem Sinne, das Mountpoints nicht pauschal geöffnet werden, sondern nur die dem User zugewiesenen.

Alles zusammen ist ein Konglomerat an Maßnahmen zur Beschränkung von Userverhalten... eben um es den User zu erschweren oder gar unmöglich machen, das System von innen heraus zu kompromittieren. Ich behaupte, dass das vor dem Kenntnisstand meiner User gelungen ist.

uname
Beiträge: 12043
Registriert: 03.06.2008 09:33:02

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von uname » 02.03.2018 11:22:35

LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:37:03

Die zentrale Firewall kann wenigstens Einiges erkennen (eingehend wie ausgehend nur erlauben, was erwünscht, alles Verbotene loggen). Dann kann man reagieren. Rein lokalen Verkehr behandelt sie nicht. Aber LAN-Verkehr zwischen lokalen Zonen/VLANs schon. Läuft ja dann über FW.
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:39:11, insgesamt 2-mal geändert.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Lord_Carlos » 02.03.2018 11:37:34

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:54:44
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
Dann verstehe ich nicht warum du die ausgehenden Ports filters.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 11:39:55

uname hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:22:35
LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte. Ich denke, wenn es "passiert" ist, ist eh alles zu spät, dann haben alle vorherigen Maßnahmen versagt. Und genau da ist mein Ansatz... die vorherigen Maßnahmen so zu gestalten, dass ein Versagen immer weniger wahrscheinlich wird und in immer größerem Maßstab echten Vorsatz für die Sabotage verlangt.
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:37:34
Dann verstehe ich nicht warum du die ausgehenden Ports filters.
Um zu verhindern, dass Anwendungen auf privilegierten ESTABLISHED Ports zusätzlich unprivilegierte Ports öffnen dürfen, wie das z.B. bei FTP der Fall wäre, wenn man nicht das ALG verwendet. Und um nur ausdrücklich freigebene privilegierte Ports für ganz bestimmte Dienste zu erlauben. Das funktioniert nur aus der Perspektive, dass es als Maßnahme zur Beschränkung von User-Verhalten wirkt und nur solange man sicher ist (oder davon ausgeht), dass die Systeme nicht kompromittiert sind.... soweit man das von Linux und Desktop-Environment erwarten kann.
Zuletzt geändert von TomL am 02.03.2018 11:45:20, insgesamt 1-mal geändert.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:43:21

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:39:55
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte.
Dann sage doch mal bitte, wie du dir in https-Zeiten (*) weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.

Edit (*) zuzüglich Zwangs-Javascript der meisten Webseiten, zuzüglich Meltdown/Spectre, zuzüglich "broken by design" wird verpflastert :wink:
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:53:58, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10684
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 02.03.2018 11:49:26

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:54:44
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist.
Stimmt, und genau gegen diesen (unwahrscheinlichen) Fall sollte man einen Plan-B in der Tasche haben.
Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist.
Es ist löblich, daß du versuchst, einen Befall von vorn herein zu verhindern. Und ich stimme dir zu, daß man so viel wie möglich tun sollte, um das Ziel zu erreichen.

Es bleibt aber immer ein Restrisiko. Wenn z.B. mal wieder eine richtige Horrorsicherheitslücke bekannt wird, die alle deine Vorkehrungen aushebelt, sind deine Systeme schneller befallen als du Gegenmaßnahmen einleiten kannst. Da ist man dann froh, wenn der Router filtert.

Ich gehe sogar soweit zu sagen, daß "personal Firewalls", also Filter auf den Clients, völlig überflüssig sind und das einzig Wahre die Filterung im Router ist.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 11:50:46

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:43:21
Dann sage doch mal bitte, wie du dir in https-Zeiten weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.
Nur dadurch begründet, weil ich den Überblick über alle von mir getroffenen Maßnahmen in Verbindung mit den Kenntnissen und erlaubten Möglichkeiten meiner User habe. Ich sehe das so, dass es theoretisch immer Angriffsvektoren gibt... das ist nicht zu vermeiden... aber gleichzeitig ist es auch so, dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:57:33

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:50:46
dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.
Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich?
Meltdown/Spectre designmäßig gefixt? Gibt's denn schon neue CPUs? :wink: :mrgreen:
Infektionswege künftiger Malware bereits analysiert? Sandboxing absolut perfekt?

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:16:47

Dein Vorhaben "Maßnahmen" einzusetzen ist prinzipiell richtig. Man darf nicht vergessen, dass all deine Versuche und Maßnahmen die Sache erschweren, nicht verhindern. Um auf deine Ausgangsfrage zurückzukommen --> nicht alles was kommerziell erwerblich ist, ist von Grund aus schlecht. Natürlich hat man beim selbst-gestrickten die freie Wahl und kann customizing betreiben und von Grund aus alles selbst aufbauen. Hier lauert aber schon mal die Gefahr dass etwas "vergessen wird" oder "falsch gemacht" wird. Das artet dann dazu aus dass die gesamte selbstgestrickte Router-/Firewalllösung nutzlos wird, schlimmer noch wird es wenn man selbst davon nichts mitbekommt und nicht mal ahnt. Bei den kommerziellen Sachen wurde das vorher durch mehrere Augen getestet, allerdings waren das nicht deine Augen und auch die machen viele Fehler wie man tag täglich anhand security leaks mitbekommt. Also vertraust du "Fremde" oder vertraust du dir und deinen Kenntnissen und Fähigkeiten, oder gar beides.

Versuch bei deinem Gedankengang stets zu beachten: einer deiner Clients ist mit Schadsoftware infiltriert, auf welchem Wege das passiert völlig egal erstmal. Du weißt nichts davon, der Computer-Nutzer ebenfalls nicht. Kann sein dass das auch 'n halbes Jahr unbemerkt bleibt. Dann wird die Schadsoftware aktiv und baut (von innen nach außen) einen Kanal auf oder nutzt bereits bestehende Kanäle. Das kann auch ein verschlüsselter Kanal sein und die Schadsoftware kann somit Daten hin- und herscheffeln zu seinem ControlCenter wie es Lust und Laune hat. Wie schützt du dich nun dagegen? Du müsstest feststellen was für Daten übertragen werdne, kannst du aber nicht da verschlüsselt. Gehen wir noch weiter anhand dieses Beispiels und legen fest, dass die Schadsoftware mittels https mit seinem "Herrchen" kommuniziert. Dann schaust du dir die aktiven Verbindungen an. Wenn du nun die aktiven Datenpakete betrachtest des infizierten Clients dann siehst du dass der PC mit dem Microsoft-Updateserver verbunden ist, mit dem Adobe-Update-Server, mit google, mit Facebook, mit Heise, mit blablubb...usw.

Wie kriegst du nun raus welche connections gut und welche böse sind? Weiter auf die Spitze getrieben als Beispiel --> der CommandServer arbeitet mit einem Domänennamen und IP-Bereich der dem von Microsoft sehr ähnelt. Deine ersten Analysen geben dir zu denken, ja gut dass ist Microsoft und du verlässt dich drauf. Dabei ist das evtl. der Wurm und du bekommst das nicht mit. Jetzt kannste hergehen und die traffic Menge mitloggen und weiter inspizieren, aber es gibt sooooooooooooo viele fiesen Tricks, die Malware verwendet.

Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.

viele Grüße und viel Spaß beim Gedankenexperiment ;)
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 12:20:40

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:57:33
Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich? Meltdown/Spectre designmäßig gefixt?
Hier kommt wieder die Verhältnismäßigkeit ins Spiel... wir sind/ich bin nicht ein Hochsicherheitsunternehmen. Meine Maßnahmen orientieren sich nicht an den Maßnahmen, die das US DoD getroffenen hat, damit nicht ein Hacker auf den finalen roten Knopf drücken kann. Meine Maßnahmen vergleichen sich mit denen von geschätzt 60 Millionen normalen privaten deutschen Internet-Benutzern... und da denke ich, wenn die meisten bei Sturm und Schauer in 'nem offenen Buggy sitzen, sitzen wir in nem Panzer... :lol: ... ich glaube, vor dem Hintergrund der privaten Verhältnismäßigkeit und der Idee, nicht völlig paranoid sein zu wollen, ist das für uns ausreichend.

Mit dem Thread wollte ich nur ein besseres Verständnis dafür bekommen, welche echten Vorteile ein eigener Router mitbringt. Dazu habe ich mehrere Anregungen und Hinweise bekommen, die mir von alleine gar nicht so bewusst waren... und die ich alle als absolut plausibel einschätze. Aber letztendlich komme ich für unser eigenes Umfeld zu der Einschätzung, dass ich das so nicht brauche und das die Sicherheit nur da verbessert wird, wo sie meiner Einschätzung nach derzeit nicht gefährdet ist. Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja... :roll:

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:25:55

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:20:40
[...]von AVM... tja... :roll:
und deinem ISP ? :wink:
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 12:29:11

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:16:47
Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.
Ich habe das verstanden... aber an diesem Punkt begehst Du unwissend einen schwerwiegenden Fehler... die vergisst die Tatsache, dass ich ein Rentner mit autodidaktisch erworbenen Linux-Kenntnissen bin und Linux vor 5 Jahren für mich noch ein Fremdwort war... * :lol: *. Ich würde das, was Du da beschreibst, sowieso nicht analysieren können, selbst dann nicht, wenn ich wüsste, dass da was passiert. Ich versuche wirklich nur präventive Maßnahmen umzusetzen, und das immer im Vergleich mit dem, was die anderen Millionen privaten Anwender treiben. Da denke ich, dass wir viel besser gesichert sind, als 99,9% aller anderen privaten Haushalte. ... aber ich weiss auch, ganz ausschließen werde ich die Risiken nie können.

Das ist das, was ich wiederholt mit Verhältnismäßigkeit meinte... ich bin nicht für ein RZ verantwortlich.... sondern nur für 2 Hände vol Linux-Clients im familären Haushalt.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:31:41

deine Absicht und dein Einsatz ist auch korrekt. :THX:
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 12:36:08

Welches Interesse sollten ISP und AVM ungezwungen haben? Als Nichtterroristin habe ich eher Bedenken wegen böser Buben und unabsichtlichen Fehlern in Software eigener Geräte (einschließlich Router, Accesspoints) sowie eigenen Konfigurationsfehlern - als vor Geheimdiensten und deren Bediensteten. AVM ist mit Updates wohl recht gut, flott. Und das über längere, absehbare Zeit, keiner macht das ewig. (Ein Providergerät mit fremder Managementhoheit / Managementhoheit betrachte auch ich als Teil des poehsen, von mir unbeeinflussbaren Internets.) Open Source im eigenen Router ist mir sympathischer, weil (von anderen, von mir nicht) kontrollierbar, zumal wenn von Experten erstellt, vorkonfiguriert, gut bedienbar, übersichtlich, auch in Firmen einsetzbar: PFSense & Co.
TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:20:40
Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja...
?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 13:51:20

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:36:08
Welches Interesse sollten ISP und AVM ungezwungen haben?
Naja, die Banken in der Schweiz hatten ja auch kein Interesse, dass "Steuersünder-CDs" (d. h. Informationen und Wissen) an z. B. die deutschen Finanzbehörden oder/und an WikiLeaks weiter gegeben (... oder manchmal auf nur verkauft?) werden. Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 15:36:51

mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 13:51:20
Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?
Linux ist ein Krebsgeschwür, das in Bezug auf (*) Eigentum alles befällt, was es berührt. Microsoft-CEO Steve Ballmer 2001
*lachduckundwech*

(*) geistiges

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 02.03.2018 16:21:19

Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:

Die root-Lücke von 2014 (damals noch dick in der Presse):
https://www.heise.de/security/meldung/H ... 36784.html
Noch zwei Lücken in der Fernwartungsfunktion (auch 2014):
https://www.heise.de/security/meldung/A ... 96040.html
Die nächste root-Lücke 2015/16 (inzwischen wird's Routine):
https://www.heise.de/security/meldung/A ... 65588.html
Hiervon habe ich nie wieder was gehört:
https://www.heise.de/security/meldung/A ... 63752.html
Die root-Lücke von 2017 (wird langsam langweilig):
https://www.heise.de/security/meldung/F ... 87437.html

Gut, nun gibt es root-Lücken auch auf einem "Custom-Linux", aber da wüsste ich, wo und wie ich ansetzen muss, um zu prüfen ob mit der Kiste irgendwas faul ist. Bei einer gehackten AVM-Firmware hätte ich keine Ahnung, wie ich das feststellen soll. Zumal AVM die Eigentümer immer weiter aussperrt:
https://www.heise.de/security/meldung/A ... 91292.html
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
(klappt auch prima vom kompromittierten Client aus)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 16:32:48

NAB hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 16:21:19
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
Aber ein Teil der Firmware der FritzBox, bleibt immer closed source. Man kann die Original-Firmware der FritzBox, nicht zu 100% mit einer "Custom-Firmware" ersetzen.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 16:35:42

Vier Argumente für den Linux-Eigenbau-Router, Thomas:

1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist

4. All das lässt sich für vergleichweise kleines Geld realisieren.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 18:26:47

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 16:35:42
Vier Argumente für den Linux-Eigenbau-Router, Thomas:
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
Das dritte Argument ist eigentlich das wichtige, welches mich natürlich am meisten interessiert.... und zwar mit der Frage: Wie übst Du diese Kontrolle aus? Oder genauer gefragt, mit welchen Werkzeugen ermittelst Du die Wirksamkeit Deiner FW, wie bestätigst Du die qualitative Effizienz Deiner Router-FW? Ich betone hier an dieser Stelle der Frage das "Du"... was auch die Frage beinhaltet, ob Du dafür tatsächlich das notwendige Fachwissen hast. Wenn Du das nicht kannst, behaupte ich mal, ist ein solcher Router eher ein höheres Risiko, als das er eine tatsächliche Verbesserung der lokalen Sicherheit ermöglicht. Letztendlich wäre die Sicherheit dann durch den Custom-Router nicht wirklich verbessert, sie ist aus Sicht des Kommerzrouters lediglich nicht gravierend verschlechtert.... was aber passieren würde, wenn man aus dem Irrglauben der Sicherheit seines Custom-Routers seinen Kommerz-Router vernachlässigt. Ich betone das "Du" deshalb, weil Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, viel eher vergleichbar ist, als die der ganzen Profis, die viel mehr über die IT-Pflanzenwelt wissen, als wir beide zusammen... :wink:

Kannst Du an Deiner Router-FW z.B. differenzieren, welche Clients FTP in beiden Richtungen dürfen, welche nur eingehend und welche nur ausgehend dürfen? Kannst Du kontrollieren, ob nicht durch eine Fehlbedienung der FW für FTP-Traffic die früher obligatorische komplette Öffnung aller unprivilegierten Port von 1024: in eine der 2 Richtungen erfolgt ist? Kannst Du kontrollieren, dass die Webcams sich via FTP zwar auf den LAN-internen FTP-Server verbinden können, aber keine Verbindung nach außerhalb liegende FTP-Server aufbauen dürfen? Kannst Du festlegen, das einige Clients IMAP-Verbindungen annehmen können, aber selber keinen der zwei IMAP-Ports nach außen öffnen dürfen? Und wieder andere dürfen IMAP, POP3 und SMTP nur ausgehend öffnen, können die betroffenen Ports aber nicht eingehend öffnen. Wie differenzierst Du, dass einige Maschinen Samba-Ports ausgehend geöffnet haben, andere aber nur CIFS. Und wieder andere Maschinen können Samba und CIFS ein- und ausgehend.

Ich weiss, dass man das alles einstellen kann... ich weiss auch, wie ich das kontrollieren kann... die Frage ist, ob Du als Custom-Router-Betreiber auch kannst. Außerdem bin ich davon überzeugt, dass ich mit meinen Client-FWs deutlich präziser und unaufwendiger meine einzlnen Clients individuell reglementieren kann, als das an zentraler Stelle möglich wäre, weil das immer mehr oder weniger pauschal eingestellt sein muss, zu Kosten der individuellen Effektivität. Ich will auch keinen Rückschritt mehr nach gestern, mit Static-IP und so, sondern ich will DHCP. Ich will mich auf IPv6 vorbereiten, was zwangsläufig kommen wird und bei dem jeder Client Border-Device ist und via PE/SLAAC mit dem ISP-Prefix seine eigene Internet-taugliche IP-Adresse bildet. Ich will auch dabei nicht das Gestern beibehalten und quasi ein Intranet mit Static ULA's aufbauen und schlimmstenfalls auch noch wieder ein V6NAT etablieren. Und ich will am allerwenigsten am Gestern festhalten, wenn ich IPv6 kriegen kann, es aber abwürge, um weiterhin IPv4 zu betreiben.

Und wenn Du -wie ich- einen Dual-Stack hast, musst Du Dich entscheiden... entweder IPv6 töten, was ich für eine dumme Entscheidung halte, oder IPV6 komplett nach ganz anderen eigenen Anforderungen customizen, als das mit IPv4 möglich/notwendig ist. Oder ein andere Situation, angenommen, Du hast nur DS Lite, also nur IPv6... wie gehst Du dabei mit ICMPv6 um? Einfach so drop'en wie bei V4 geht nicht, dann funktioniert IPv6 nicht mehr. Hier wiederhole ich meine Frage: Hast Du mit Deinem Router über all das die Kontrolle... und zwar basierend auf Sachkenntnis? Und da behaupte ich, wenn Du sie nicht hast bzw. nicht faktisch bestätigen kannst, hast Du sogar eine geringere Sicherheit, als mit einem kommerziellen Router.

Soweit es AVM angeht... tja... ich habe mich dazu entschlossen, dem Router zu vertrauen, so wie mich mich auch entschlossen habe, Windows jegliches Vertrauen zu verweigern und stattdessen Debian vollständig zu vertrauen. Ich hoffe darauf, dass es misstrauische Leute gibt, die bezgl. AVM ihr Vertrauen mit konkreter technischer Untersuchung bestätigt haben und darauf, dass es einen lauten Medien-Knall geben würde, wenn solche Dinge von AVM bekannt werden würden. An dem Tag habe ich dann auch meinen eigenen Custom-Router, aber noch ist es nicht soweit. Und ich glaube, ich kann den dann auch kontrollieren und seine Effizienz auch tatsächlich bestätigen.... aber selbst dann würde ich meine Client-FW beibehalten... weger der besseren Berücksichtigung von individuellen Anforderungen.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 19:19:22

TomL hat geschrieben:Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, (ist) viel eher vergleichbar als die der ganzen Profis
Ich halte deine und meine Situation für nicht vergleichbar.
Du weißt, glaube ich, sehr gut, und deine Ausführungen belegen es auch sehr differenziert, dass deine IT-Kenntnisse die meinen bei weitem übersteigen. Insofern ist die Frage:
hat geschrieben:ob Du dafür tatsächlich das notwendige Fachwissen hast.
eine rein rethorische und der dahinter stehende Vorwurf evident.

Dann solltest du allerdings auch deine Behauptung belegen, dass
ein solcher Router eher ein höheres Risiko
bewirkt, als der allein existierende vorgeschaltete Kauf-Router, von dessen Ausschaltung ja niemand ausgeht.

Die Frage ist für mich doch einzig, ob du das, was du da ziemlich gekonnt, wie ich annehme, da an den "zwei Handvoll Klienten" veranstaltest, nicht besser an einer Maschine veranstaltetest.
Zuletzt geändert von guennid am 02.03.2018 19:46:09, insgesamt 1-mal geändert.

Antworten