Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
MSfree
Beiträge: 3423
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 13:09:41

pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.

Ich halte personal Firewalls aus einem anderen Grund für problematisch, als komplett sinnlos würde ich sie dennoch nicht verteufeln. Schadsoftware beinhaltet immer auch Techniken, um die Rechte auszuweiten. Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.

mat6937
Beiträge: 1053
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 13:39:33

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Naja, mit dem reinen bzw. alleinigen installieren/setzen der Firewallregeln ist es ja noch nicht getan.
Als Benutzer muss man mehr oder weniger ständig (d. h. mit verhältnismäßigem Aufwand) auch nachschauen/prüfen, ob diese Regeln noch da sind (wo sie sein sollen) und richtig funktionieren. Wenn sich Schadsoftware (Programm mit root-Rechte) auf dem Client eingenistet hat, dann kann oder könnte diese ja nicht nur sämtliche Firewallregeln löschen, sondern auch von innen ein Loch in den Router bohren, so dass von außen (trotz Router) sehr wohl jemand auf den Client kommen kann bzw. kommen könnte.

Und ja, ein Router mit NAT und Firewall/etc. ist OK, aber was macht man wenn man sein Gerät/Laptop/etc. nicht nur am heimischen Router/Firewall/etc. nutzt/verwendet/anschließt? Man kann ja im Vorfeld, den _fremden_ Router/Firewall/Gateway/etc. nicht (immer) "auditieren" und auch nicht entsprechend seiner eigener Bedürfnisse/Vorstellungen optimieren bzw. konfigurieren.

Benutzeravatar
pangu
Beiträge: 1386
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 14:41:18

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.
Seh ich nicht so, er hat absolut Recht. Es geht nicht um Windows oder Linux sondern um das Prinzip der Sicherheit.
pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
A firewall is a computer security concept, not a piece of software.
You can't improve security of an untrusted system by installing another untrustworthy piece of software.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 14:57:30

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant
Ich möchte da widersprechen... ich glaube, dass diese Aussage absolut nichts an ihrer Aktualität verloren hat. Für mich ist sie sinngemäß und inhaltlich bezogen auf mein Sicherheitskonzept seit jeher eine der maßgeblichen Grundlagen, die imho nur sehr wenig allein mit Win XP zu tun. Ich habe das mal schnell übersetzen lassen, damit man weiss, was er sagt:
Zitat:
"Warum verbessern sie nicht die Sicherheit?

Sie können die Sicherheit eines nicht vertrauenswürdigen Systems nicht verbessern, indem Sie eine andere nicht vertrauenswürdige Software installieren. Sie haben weder den Quellcode für das Betriebssystem noch für die neue Software, so dass es unmöglich ist, zu überprüfen, ob sie überhaupt etwas tut, geschweige denn die Sicherheit zu verbessern. Im Gegenteil, das Hinzufügen von Software erhöht die Komplexität des Systems und erhöht die Wahrscheinlichkeit für unentdeckte Fehler und mögliche neue Sicherheitsprobleme.

Eine Firewall ist ein Computersicherheitskonzept und keine Software. Anbieter, die Ihnen unter dem Label "Firewall" ein Stück Software (oder sogar ein Stück Hardware) verkaufen, betrügen Sie.

Wenn Sie ernsthaft die Sicherheit auf Ihrem Rechner verbessern wollen, müssen Sie die Codegröße reduzieren, nicht erhöhen! Und egal, wie viel Software Sie entfernen, solange Sie nicht über den Quellcode für den Rest verfügen, sind Sie immer noch nicht einmal aus der Ferne sicher. Ziehen Sie in Betracht, Windows fallenzulassen und zu einem sichereren Betriebssystem zu wechseln."


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Das eine hat mit dem anderen nur indirekt zu tun. Am Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden, wenn die Verwendung solcher Ports im LAN für andere Clients grundsätzlich erlaubt sein muss. Die Personal FW ist mit der Router-FW nur dann vergleichbar, wenn sie das gleiche Ziel haben, also wenn beide Devices in gewisser Weise Boarderdevices sind und gegen das Internet wirken. Aber wie ich schon an anderer Stelle sagte, ich halte von einer Personal Firewall heute nix mehr und ich würde mir die auch nicht mehr installieren.

Mir kann keiner sagen, ohne das nicht auch sofort konkret zu belegen, dass ein lokaler sehr restriktiver Paketfilter hinter einem Kommerzrouter nicht zusätzlich maßgeblich die Sicherheit erhöht, weil eben gerade damit individuell die Userfreiräume bzw. der Missbrauch der Rechte des Users deutlich eingeschränkt werden.
Gleichermaßen ist mir ist auch klar, dass es niemals der Paketfilter alleine sein kann.... der ist nur ein Baustein innerhalb eines Bauwerks... aber er erhöht dennoch die gesamte Stabilität... oder anders ausgedrückt, die des Immunsystems des nicht-kompromittierten Systems.
vg, Thomas

MSfree
Beiträge: 3423
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:15:19

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:57:30
"Warum verbessern sie nicht die Sicherheit?
...


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
WAm Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner. Du kannst so viel DHCP verwenden, wie du willst, Ports öffnet das nämlich in keinem Fall, schon gar keine, über die man an der Firewall vorbei kommt.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:24:29

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:15:19
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
Das ist dann ein Fazit, was sich an dieser früheren Aussage von Dir anschließt:
1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".
Ja, aus der Perspektive betrachtet stimmt das und ich gebe Dir Recht.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner.
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC... was aber alles auf dem Router enormen Aufwand zur Identifizierung des Clients beinhaltet oder nachsichzieht... bei der Prüfung, ob dieser "Patient" überhaupt darf, was er da tut. Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich. Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs. Ich hatte das schon mehrfach erwähnt, das ließe sich nur durch Verwendung von Static-IPs lösen... was für mich aber ein Rückschritt ins Gestern ist und was ich wegen des Aufwandes ablehne. Außerdem hätte ich dann einen Mischbetrieb, weil gewisse Clients nur DHCP können. Insgesamt würde da der Aufwand m.M.n. deutlich mehr sein, als ich jetzt habe.
vg, Thomas

mat6937
Beiträge: 1053
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:37:10

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
... der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC...
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:48:45

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:37:10
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.
Ja, das stimmt... aber "kann" impliziert "können"... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.

Mir gehts mit dem Paketfilter wirklich nur um die verdeckte Einschränkung von Userverhalten, die gar nicht offenkundig bemerkbar sein soll. Wie der Tempobegrenzer, der sich sowieso nie bemerkbar macht, solange die Karre nicht ausgefahren wird. Und wenns dann aufgrund einer unbemerkten Fahrlässigkeit vielleicht wirklich zu einer nichtgewollten Aktion kommt, so hoffe ich, dass dann im richtigen Moment ein Reject solcher Pakete ausgeführt wird. Es ist alles "offen", was der User für die uns bekannten Jobs können muss... schleicht sich da vielleicht was anderes, neues ein, sollten dafür allerdings die Tore gleich an mehreren Stellen zu sein.

Aber mir fällt gerade auf... das ist alles total OffTopic.... das war gar nicht Bestandteil der Frage... und ein lokaler Paketfilter ist auch nicht als Konkurrenz zu einem gut-verschlossenen Router zu sehen. Die Frage war, verbessert ein Custom-Router die Sicherheit im Vergleich zu einem Kommerzrouter? Bezogen auf unsere Rahmenbedingungen glaube ich das jetzt nicht mehr.
vg, Thomas

MSfree
Beiträge: 3423
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:54:53

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.
Richtig. Ich halte das jedoch nicht für ein Problem. Ich bin auch nicht der Meinung, daß das Aufgabe eines Paketfilters ist.
Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich.
Richtig. Aus dem Grunde halte ich von diesen Plastikroutern auch nichts.
Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs.
Bei mir wechselt die IP-Adresse trotz DHCP nicht. Per Default vergibt mein DHCP-Server nämlich immer die selbe IP an die Clients.

OK, ein Fremdclient (z.B. Rechner eines Besuchers) bekommt natürlich eine neue IP, der bringt aber auch garantiert keinen von dir konfigurierten Paketfilter mit, hätte also Zugriff auf die große böse weite Welt. Hier ist also eine Lücke in deinem Sicherheitskonzept.

Die eigenen Clients im Netz hat man hoffentlich im Griff. Wenn man aber dem/der 10-jährigen das Surfen nach 21.00h verbieten will, sind lokale Filter ziemlich sinnlos, die sind schneller ausgehebelt als eingerichtet. Das kann man effektiv nur auf der Routerfirewall regeln.

Auch, wer auf 6-Seiten Zugriff haben darf, läßt sich praktisch nur im Router regeln. Ein Proxy ist das Mittel der Wahl, mit dem man eine Authentifizierung mit Benutzer und Paßwort durchführen kann und abhängig davon die Surfzeitgen und die erlaubten Seiten einschränken kann.

E-Mail sollte man ebenfalls auf einen Server zuhause holen. Dadurch entfällt die Notwendigkeit, daß jeder Client Zugriff auf den SMPT und IMAP Host des Mailproviders braucht. Mailports braucht man also im Router gar nicht nach aussen zu lassen.

Genauso kann man mit allen anderen Ports verfahren. Von innen kommt dann keiner mehr nach aussen, egal wie verseucht der Client sein mag. Die personal Firewall bringt dann eben auch keinen Zusatznutzen, aber nicht aus dem Grund, die fefe anführt, sondern weil die zentrale Firewall für Sicherheit sorgt.

Und da schließt sich eben der Kreis. Ein Plastikrouter ist ein offenes Scheunentor, das man notdürftig mit personal Firewalls flicken kann. Ein Linuxrouter kann diese Aufgaben alle zentral übernehmen, ohne die Clients ständig im Blick haben zu müssen.

mat6937
Beiträge: 1053
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:55:26

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:48:45
... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.
Für deine User nicht, ... aber ich meinte das so: wenn sich ein anderer (fremder) User als dein User, von der Firewall (Router) anhand (nur) der MAC-Adresse identifizieren (erkennen) lassen will. D. h., er (der Fremde) könnte die MAC-Adresse von einem deiner User "übernehmen".

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 16:05:04

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:54:53
OK, ein Fremdclient (z.B. Rechner eines Besuchers) bekommt natürlich eine neue IP, der bringt aber auch garantiert keinen von dir konfigurierten Paketfilter mit, hätte also Zugriff auf die große böse weite Welt. Hier ist also eine Lücke in deinem Sicherheitskonzept.
Äh... wieso sollte mich interessieren, ob der kompromittiert ist oder wird? Der kommt ja auch gar nicht an irgendwelche Netzressourcen unseres LANs dran. Der ist mir völlig egal.
Die eigenen Clients im Netz hat man hoffentlich im Griff.
Das waren jetzt alles theoretische Probleme, die sich hier nicht stellen.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:54:53
Die personal Firewall bringt dann eben auch keinen Zusatznutzen, aber nicht aus dem Grund, die fefe anführt, sondern weil die zentrale Firewall für Sicherheit sorgt.

Und da schließt sich eben der Kreis. Ein Plastikrouter ist ein offenes Scheunentor, das man notdürftig mit personal Firewalls flicken kann. Ein Linuxrouter kann diese Aufgaben alle zentral übernehmen, ohne die Clients ständig im Blick haben zu müssen.
Das werte ich als Meinung, schließe mich der aber nicht an. Ich halte sowohl die Aussage für falsch, dass ein Kommerzrouter ein offenes Scheunentor ist, als auch die Feststellung, dass mein lokaler Paketfilter die Mängel meiner Fritte flickt.... zumal von meiner Intention bei diesen zweit Aspekten völlig unterschiedliche Absichten bestehen. Nur mal eine Frage am Rande... damit wir auch wirklich über das gleiche reden: Wie pflegst Du an Deinem Router gleichzeitig die Belange für IPv4 und IPv6...?... z.B. die völlig unterschiedlichen Grundsätze für ICMP und Multicast... oder die Tatsache, dass IPv6 Global-Scope-Adressen und damit selber Clients im Internet sind?
vg, Thomas

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 16:13:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:55:26
Für deine User nicht, ... aber ich meinte das so: wenn sich ein anderer (fremder) User als dein User, von der Firewall (Router) anhand (nur) der MAC-Adresse identifizieren (erkennen) lassen will. D. h., er (der Fremde) könnte die MAC-Adresse von einem deiner User "übernehmen".
Damit stellst Du doch aber wieder das ganze WLAN in Frage, weil kabelmäßig ja keiner dran kommt. ... mit der sich anschließenden Frage: Wo ist denn da der Ausweg? WLAN abschalten? Da drehen wir uns doch im Kreis...

Ich weiss, was alles möglich ist... nur wer interessiert sich dafür? Imho genau der fehlt doch hier in der Betrachtung. Wir sind doch gar nicht wichtig genug, als dass da irgendwer die Zeit für einen zweiten Blick verschwendet. Ich vertraue hier auf meinen WPA-Key... mehr kann ich eh nicht tun. ... außer vielleicht noch nen Putzeimer von innen mit Watte ausstaffieren, von außen mit Alufolie beziehen, auf den Kopf setzen und mich dann im Kohlenkeller in den Kohlen eingraben... das wäre dann wohl die ultimative Sicherheit.... aber die macht leider schmutzig... :mrgreen: ... also auch nicht der wahre Jakob...
vg, Thomas

Jana66
Beiträge: 3799
Registriert: 03.02.2016 12:41:11

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Jana66 » 05.03.2018 08:32:49

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 18:02:52
Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun.
Wie bzw. gegen was hilft zusätzlich ein (IPv4-)Router hier, bei einem komplettem Desktop-Environment?
Hhmm, gute Entgegnung. Mir fällt nur ein, dass bei einer Kompromittierung des Desktop-PCs (Malware per Browser, Mail, Phishing, "Dokumenten"-Austausch etc) eine Hardware-Firewall mit NAT, SPI, Segmentierung/Zonen/VLANS, outbound filtering und "Inter-Zonen-Filterung" nicht kompromittiert wird. Somit besteht zumindest die Möglichkeit, andere Zonen (Server?) vor dem kompromittierten PC zu schützen, aufgrund Firewall-Logs ungewöhnliche (verbotene/geloggte) Verbindungsversuche zu erkennen, somit Kompromittierung des PCs erkennen und Folgen einzuschränken. Dabei ist ein Plastikrouter ohne o. g. "Features" und Einstellungen wenig hilfreich.
TomL: Damit stellst Du doch aber wieder das ganze WLAN in Frage, weil kabelmäßig ja keiner dran kommt. ... mit der sich anschließenden Frage: Wo ist denn da der Ausweg? WLAN abschalten? Da drehen wir uns doch im Kreis...
z. B. IPFire: WLAN = Zone "Blau", LAN = Zone "Grün" (Segmentierung, Separierung) :wink:
Sowie Möglichkeiten RADIUS/802.1X für eigene Hosts, Captive Portal (spoofbar) für andere. Je nach Aluhütigkeit und Bastellust. :mrgreen:

Des Weiteren könnte man bei "Kommerz-Routern" unterscheiden zwischen Consumer-Technik (AVM) und professioneller Technik.
z. B. https://tools.cisco.com/security/center ... nListing.x
AVM???
Bei Linux-Routern (und xBSD) wiederum zwischen fehlerhaften/unsicheren Eigenbauten aufgrund mangelndem Wissens und vorgefertigten Distributionen von Experten in/nach jahrelanger Arbeit.
Bei Linux-"Personal-Firewall" würde ich unterscheiden zwischen der für einen Desktop-PC mit allen Angriffsflächen und der für einen reinen Server mit völlig unterschiedlichen Angriffsmöglichkeiten und Angriffsflächen, zusätzlichen Tools (fail2ban etc).

Ja, wir drehen uns mittlerweile im Kreis ... deshalb höre ich hier auf.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Benutzeravatar
pangu
Beiträge: 1386
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 05.03.2018 09:44:57

Der liebe Tom meint's gut und was er auch schreibt ist per se nicht verkehrt, so ganz nach dem Motto: "Eine Firewall ist besser als gar keine" aber das alleine ist ein Trugschluss. Deshalb auch die bisher genannten Informationen zu einem "Sicherheitskonzept".

Aus Erfahrung und aus profesionellen Umgebungen von 'großen Unternehmen' bin ich der Meinung dass "Aufklärung" (ein Konzern hat regelmäßige Awarenessprogramme am Start) eins der effektivsten Werkzeuge eines Sicherheitskonzepts ist.

Ich selbst habe Fälle gesehen dass ein superkomplexes Passwort von 16 Zeichen an einem gelben Post-It am Monitor angebracht wurde inkl. aufzurufende URL für die Loginmaske. Dasselbe auch mit Aufklebern unter der Tastatur. Was für einen Wert hat also hier an diesem Beispiel die Forcierung eines komplexen Loginpassworts innerhalb der Domäne vor allem wenn der Mitarbeiter alle 30 Tage gezwungen wird das Passwort zu ändern? Produktiv oder Kontraproduktiv? Für mich ist das ein klares No-Go was aber schlussfolgernd auf keinen Fall bedeutet dass komplexe Passwörter und Domain Policys überflüssig wären. Im Gegenteil, die richtige Mischung macht's aber auch hier gehört "Awareness" an erster Stelle!

Es macht absolut keinen Sinn ein Antivirusprogramm auf dem PC installiert zu haben (vor allem wenn's closed-source ist!) und die Nutzer (ja selbst die Admins) in falscher Sicherheit wiegen zu lassen. Man lehnt sich zurück und klickt wild und selbstsicher auf alle Links, mit der Hoffnung und dem gutgläubigen Ansatz dass die Sicherheitssoftware das Schlimmste schon vermeiden wird (klar, die ist doch dafür gemacht, oder?).

Dasselbe gilt auch für Firewall und FeFe hat es in seinem zeitlos gültigen Kommentar sehr klar deutlich gemacht, auch wenn es vielen ein Dorn im Auge weil sich das nicht gerne liest. Es ist aber Tatsache! du kannst einen unkontrollierbaren Bereich nicht als "sicher" deklarieren, höchstens als "hoffentlich sicher" und "ich glaube der ist sicher".

Um auf den Punkt zu kommen --> die Gefahr sich in falscher Sicherheit zu wiegen ist weitaus größer als man glaubt. Natürlich wird man nicht eine extra Ausbildung zum Schlosser absolvieren und ab sofort seine eigenen Türschlösser für das Haus errichten, nur weil der kommerziell beauftragte Schlüsseldienst jederzeit Zugriff zum Haus haben könnte. Aber auch hier hilft Aufklärung und dass man ständig im Hinterkopf behalten muss, dass der Zugang eigentlich "unsicher" ist. Zeitungs- und Newsmeldungen aus aller Welt demonstrieren das aus allen Lebensbereichen, ob IT, ob physikalisch, oder sonstwo Leaks entstehen. Die wenigsten machen sich ernsthafte Gedanken über Sicherheit und Privatsphäre (leider!), die anderen wollen gerne sind aber in den Ressourcen und der Zeit begrenzt (man hat ja noch ein Leben mit allem drum und dran) und die richtigen Profis machen's richtig (dauert und kostet, vor allem die Strukturierung und Planung!).
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 05.03.2018 15:05:42

pangu hat geschrieben: ↑ zum Beitrag ↑
05.03.2018 09:44:57
"Eine Firewall ist besser als gar keine" aber das alleine ist ein Trugschluss. Deshalb auch die bisher genannten Informationen zu einem "Sicherheitskonzept".
Ich empfinde dieses hartnäckige Festhalten an einem völlig themenfremden Einzelparameter mittlerweile einigermaßen absurd... das Thema in diesem Thread ist nicht mein lokaler Paketfilter... wie oft muss man eigentlich darauf hinweisen? Ich frage i.ü.S. ganz allgemein, ist wohl ein Haus auf dem Land sicherer als eines in der Stadt...?... und erwähne nebenbei, dass ich so einen TV-Simulator für 15 € gut finde und muss mir dann ständig sagen lassen, dass das Teil überhaupt nix bringt, wenn das Haus "kompromittiert" ist, also der Einbrecher bereits drinnen ist. Also mal ehrlich.. geht noch? Wieso wird hier eigentlich ständig unterstellt, dass so ein Teil irgendwas mit einem Einbrecher tun soll, vielleicht den verkloppen, oder einsperren, laut um Hife schreien oder sonst was tun soll...? Der soll gefälligst nur blinkern und blitzen und so tun als ob ich vor der Flimmerkiste sitze... ob der Einbrecher drin ist oder nicht, hat den Blinker nicht zu interessieren. Genausowenig ist es meiner Absicht nach die Aufgabe meines Paketfilters, mit schon vorhandener und aktiver Malware umzugehen.

Wie eindimensional fachlich ausgerichet und damit imho auch einigermaßen abseits der Realtität muss man eigentlich denken, um die Wirkungsweise eines solchen Blinkers überhaupt anzuweifeln, nur weil der nicht in Fort Knox eingerichtet ist oder überhaupt zu erwarten, dass der nur in Gebäuden mit einem Sicherheitskonzept einem Fort-Knox-Standard entsprechend eingerichtet wird? Dem Teil isses völlig egal, in welchem Haus er blinkt... und wenn ein Einbrecher nicht erkennen kann, dass das nur ein TV-Sim ist, wird er vermutlich kein unnötiges Risiko eingehen... Fazit: Ziel erreicht! Was soll dieses permanente Anzweifeln des fehlenden Sicherheitskonzeptes, wenn ich doch zu keiner Źeit geschrieben habe, das es das wirklich nicht gibt. Um bei dem TV-Sim zu bleiben, habe ich irgendwo gesagt, dass ich keine automatischen Metall-Rolladen habe, keine Außen-Cams, die mich anrufen, keine automatisch verriegelnde Außentür, keine zufälliges Lichtsystem, keine Pilz-Zapfen an allen Fenstern und Türen? Wo steht das? Warum ist es überhaupt notwendig das zu sagen, wenn es doch gar nicht darum geht? Wie kann man wiederholt auf völlig unbekannten Bedingungen rumreiten, die erstens so gar nicht existieren und zweites nicht das Thema dieses Threads sind?

Dieses ganze Gerede über die Wirkung eines lokalen Paketfilters auf einem kompromittierten PC ist absolut grotesk, wenn gleichzeitig immer davon ausgegangen wird, dass der PC bereits befallen ist. Wenn der PC befallen ist, isses auf einem Linux-System völlig egal, ob es einen Paketfilter gibt oder nicht... genauso wie es völlig egal ist, ob der TV-Sim blinkt oder nicht, wenn der Einbrecher bereits im Haus ist. Mein Paketfilter ist nur eine kleine Komponene für genau 14,99 € (siehe Link oberhalb) in meinem Sicherheitskonzept.... mehr nicht. Dieses Rumreiten auf Fake-Fakten und theoretischen Problemen ist wirklichkeitsfremd... allein auch schon vor dem Hintergrund, dass es sowieso kaum Schadsoftware gegen Linux gibt. Was soll das also? Die Frage war (i.ü.S.) Stadt oder Land, und nicht Blinker.

Das hier folgende ist seit heute morgen auf meinem Server passiert... einer Debian-Minimal-Installation, ohne Desktop, nur mit wirklich benötigten Diensten, auf dem sich seit seiner Installation seit Monaten keiner angemeldet hat, auf dem keine Anwender-Software drauf läuft, und dem jeglicher von ihm ausgehender Kontakt ins Internet verboten ist. Der Server ist definitiv Malware-Frei, es sei denn, das Installer-Image war schon nicht sauber. Ich weiss nicht, was das hier für Pakete sind, die seit heute morgen 9 Uhr nach der Zwangstrennung aufgelaufen sind und "wohin" die telefonieren, aber sie sind da:

IPv4 und IPv6, reset und unreachable ist INPUT, admin-prohibited ist OUTPUT.

Code: Alles auswählen

# setipt list | grep reject
26       1    40 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
27      11  3389 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
14     289 19838 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-admin-prohibited

22       0     0 REJECT     tcp      *      *       ::/0                 ::/0                 reject-with tcp-reset
23       0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable
14     126 11088 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited
Als zweites nach nur einer halben Stunde Laufzeit meines PC ohne heftige Aktivitäten... von dem ich mir ebenfalls ohne jeden Zweifel sicher bin, dass er malware-frei ist, weil es keinen berechtigten User gibt, der etwas verändern könnte.... auch keine Java-Scripte o.ä. Und ich weiss auch hier nicht, wer da wohin telefoniert und ich wills auch nicht wissen, ist mir echt völlig egal. Bis zum Abend und mit mehr User-Aktivitäten verzwanzigfacht sich das. Ob gleichzeitig auch noch Anwendungen davon abgehalten werden, unprivilegierte Ports ins Web zu öffnen...?... wahrscheinlich... ist mir aber auch egal... der Filter tut was er soll, und zwar filtern.
Genau das ist die Aufgabe meines Paketfilters.... und die erfüllt er perfekt... nicht mehr, nicht weniger. Punkt! Das hat absolut nix mit schon vorhandener Malware zu tun und diese Aufgabe hat der Filter auch gar nicht. Wenn zufällig -ich betone zufällig- der Filter auch noch präventiv wirkt... dann freu ich mich... besser gehts nicht... wie oben beim Blinker schon einmal festgestellt "Ziel erreicht!".

Code: Alles auswählen

# setipt list | grep "reject"
14       1    40 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
15      20  4730 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
26      30  1440 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-admin-prohibited

14       0     0 REJECT     tcp      *      *       ::/0                 ::/0                 reject-with tcp-reset
15       0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable
26      38  3344 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited
Auf meinem PC ist ebenfalls nur ein Basic-Debian installiert, es laufen keine unbenötigten Dienste, das Desktop-Environment ist eine hocheffiziente Minimalst-DE-Installation, also kein Standard-Desktop und deshalb ohne jeglichen Ballast. Der Paketfilter läuft seit meiner Umstellung auf VDSL, also ein Jahr oder so... es gibt keine Beeinträchtigungen durch den Filter. Aber nochmal, der Paketfilter ist hier nicht das Thema, und noch weniger ist das Thema dessen Wirksamkeit, wenn der PC kompromittiert ist... weil das für mich hier ein rein theoretisches Szenario ist, was hier nicht zutrifft und was mich auch nicht wirklich interessiert.

@Jana
Weil Du den Begriff "Personal Firewall" eingebracht, was durchaus auch korrekt ist, möchte ich das -soweit es mich betrifft- abschließend noch mal herausstellen: Ich habe keine Personal Firewall installiert, noch beabsichtigte ich das in der Zukunft zu tun, noch betrachte ich meinen Paketfilter als Firewall. Ich habe mich während dieses Threads dazu entschlossen, der Firewall meines Consumer-Routers zu vertrauen, weiteren Handlungsbedarf sehe ich für uns nicht. Was meinen Paketfilter auf Server und Clients angeht, so ist die alleinige Absicht, Einflußnahme auf PC-Verhalten und infolgedessen auch auf User-Verhalten auszuüben. Wenn sich dadurch präventive Randeffekte ergeben, so ist das unbeabsichtigt, zufällig, aber ich begrüße das.
vg, Thomas

Antworten