Fritzbox und Portfreigaben

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
BenutzerGa4gooPh

Re: Fritzbox und Portfreigaben

Beitrag von BenutzerGa4gooPh » 23.03.2018 11:04:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 09:37:45
Das Problem ist, dass wenn der Kabel-Provider meistens nachts oder am frühen morgen Wartungsarbeiten durchführt ...
Hallo mat6937, danke für deine Erläuterungen!

OT (oder auch nicht):
Ich schätze dich als Netzwerkexperten sehr (ohne Ironie und besser als ich), deshalb persönliche Frage: Du selber betreibst nicht (nur) eine FB des Providers, eigener Router oder Firewall dahinter? Oder weißt du das alles von anderen, von Kunden, Freunden etc ?
Darf man/frau fragen, welcher Router, welche Firewall (-Distri)?
(Persönlich halte ich die Konstellation Providerrouter + eigener Router/FW für die beste Variante: Eindeutige Leistungsgrenzen und Testmöglichkeiten.)

Edit: Wort vergessen. Und danke an mat6937 für AW unten. :THX:
Zuletzt geändert von BenutzerGa4gooPh am 23.03.2018 11:38:45, insgesamt 1-mal geändert.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Fritzbox und Portfreigaben

Beitrag von mat6937 » 23.03.2018 11:36:00

Jana66 hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 11:04:07
Du selber betreibst nicht (nur) eine FB des Providers, eigener Router oder Firewall dahinter? Oder weißt du das alles von anderen, von Kunden, Freunden etc ?
Nein, das ist nur Hobby. Ich mache das nicht beruflich. Ja, Freunden helfe ich manchmal.

Ich hatte bis 2007 einen Internetanschluss bei der Telekom. Von 2007 bis 2012 bei KabelBW ein transparentes Kabelmoden und eine FreeBSD-Firewall. Seit 2013 bei Unitymedia eine (Zwangs-)FritzBox-cable 6360 (Business-Tarif) mit einer zusätzlichen statischen IPv4-Adresse (Bridge-Anschluss), an der direkt (d. h. ohne vorgeschaltete Firewall) im Internet ein Linux-Server (24/7) angeschlossen ist. An den LAN-Anschlüssen der FB6360 habe ich noch 2 PI's (24/7, mit raspbian) die auch aus dem Internet erreichbar sind. Diese Konstellation (mit Redundanz) nutze ich als "Skat"-, jabber-, irc-, OpenVPN-, ssh- und VoIP-Server. Laptops und Desktop mit diversen Linux-Distributionen (kein Windows z. Zt.). IPv6 nutze ich z. Zt. mit 6in4-Tunnel (... da es mit dem Business-Tarif bei UM z. Zt. noch kein Dual-Stack gibt).

TomL

Re: Fritzbox und Portfreigaben

Beitrag von TomL » 23.03.2018 15:05:40

mat6937 hat geschrieben: ↑ zum Beitrag ↑
22.03.2018 23:36:40
BTW: Wenn man mal einen lauschenden Port gefunden hat, ist es ganz einfach festzustellen, ob an diesem Port ein ssh-Server (sshd) lauscht. Z. B. mit dem tool scanssh:
Ja, stimmt... technisch betrachtet kann man dem nicht widersprechen. Nur wenn ich meine eigenen Beobachtungen hinzunehme, bekommt diese technische Tatsache eine etwas geringere Gewichtung.... es ist ein bisschen so, wie die Aussage "Wenn Du in der Wüste ein Taxi findest, fährst Du einfach zur nächsten Oase und entgehst damit dem Verdursten" :mrgreen: Was ich damit sagen will... es finden durchaus auch Scans auf die freien Ports ab 49152 statt, das steht aber in keinem Verhältnis mit der permanenten direkten Ballerei auf Port 22. Deswegen hatte ich ja auch gesagt, man reduziert damit lediglich das Rauschen auf der internen Leitung. Viel wichtiger sind imho die anderen Maßnahmen, kein User PI, kein root-Zugang, kein PWD-Zugang.... sonst wird das nämlich wirklich ein Honeypot, der nicht mal die ersten 24 Stunden als freier PI überlebt :twisted:

TomL

Re: Fritzbox und Portfreigaben

Beitrag von TomL » 23.03.2018 15:13:19

Jana66 hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 11:04:07
(Persönlich halte ich die Konstellation Providerrouter + eigener Router/FW für die beste Variante: Eindeutige Leistungsgrenzen und Testmöglichkeiten.
Wie hast Du die angeblichen Schwächen des Provider-Routers bestätigt und wie hast Du infolgedessen bestätigt, dass der 2. (innere) Router diese Schwächen nicht hat, und was viel wichtiger ist, das er nicht noch zusätzlich weitere (möglicherweise unbekannte/unentdeckte) Schwächen hat, die durch unsachgemäßes Customizing entstanden sind?

BenutzerGa4gooPh

Re: Fritzbox und Portfreigaben

Beitrag von BenutzerGa4gooPh » 23.03.2018 16:54:22

TomL hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 15:13:19
Wie hast Du die angeblichen Schwächen des Provider-Routers bestätigt[?]
Fremde Managementhoheit (Provider). Daraus folgt: Teil des "bösen" WAN/Internet.
TomL hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 15:13:19
... und wie hast Du infolgedessen bestätigt, dass der 2. (innere) Router diese Schwächen nicht hat[?]
https://tools.cisco.com/security/center ... nListing.x Ähnliches von AVM? :wink:
Des Weiteren kein Managementzugang aus WAN, ausschliesslich meine Managementhoheit (SSH nur von bestimmten Rechnern im LAN), ausführliche Logs, individuelle Konfiguration meinem Netz und meinem Traffic angepasst: Interzonen-Traffic reguliert (und Drops geloggt) mittels LAN-Segmentierung durch VLANs und Sicherheitszonen (WAN, untrusted, trusted, WLAN, Router-Self-Zone) sowie nur bestimmte Geräte (IPs + MACs) zugelassenen. Einsatz professioneller Firewall-Software mit regelmäßigen Updates und proaktiver Fehlersuche/Beseitigung/Bugtracker/Dokumentation des Herstellers. Noch individuelle Feinheiten wie indivduell getestete Thresholds und Logging bei Überschreitung, Maximum neue Sessions/s, halboffene Sessions etc.

Open-Source-Firewalls können Dritte auf Backdoors und Fehler prüfen, ich kann und will es nicht. Meinem Autohersteller vertraue ich auch - und da hängt sogar mein Leben dran. Da mein Zeug nicht hochwichtig ist, Router/FWs/Netzwerke Hobby sind, probiere ich Verschiedenes, derzeit läuft Cisco IOS, PFSense oder OPNSense auf professionellem Thin Client in Vorbereitung. PFSense hatte ich früher schon mal auf einer China-Büchse.
TomL hat geschrieben: ↑ zum Beitrag ↑
23.03.2018 15:13:19
und was viel wichtiger ist, dass er nicht noch zusätzlich weitere (möglicherweise unbekannte/unentdeckte) Schwächen hat, die durch unsachgemäßes Customizing entstanden sind?
Intensives Literaturstudium bezüglich Firewalling, Übersichtlichkeit der Regeln durch Firmware-Hersteller: Nutzung durch Experten vorgefertigter, gehärteter, spezieller "Distributionen" (z. B. PFSense, OPNSense, Cisco). Unterstützung durch GUI bzw. Konfigs in 1 Datei, nicht "verstreuselt". Eigene Abschlusstests / "Qualitätskontrolle" mit Werkzeugen wie nmap. Am meisten gelernt habe ich bei Cisco mit hervorragender Dokumentation, z. B.:
https://www.cisco.com/c/en/us/support/d ... guide.html
https://www.cisco.com/c/en/us/td/docs/i ... ol-fw.html
(Zone self / Router unbedingt beachten, regeln!)

@TO: Sorry für OT. :hail:

TomL

Re: Fritzbox und Portfreigaben

Beitrag von TomL » 23.03.2018 19:42:11

Entschuldige Jana... ich habe jetzt erst registriert, dass ich Dir diese Frage gestellt habe...ein Versehen. Als ich das geschrieben habe, hatte ich gedacht, ich frage das den TO. Ist wohl heute nicht mein Tag... bin vom ungewohnten körperlichen Arbeiten etwas müde... sorry... und das Du das hinkriegst, glaub ich einfach mal.

Antworten