[gelöst] Absetzen eines ping = Sicherheitsgewinn?

Alles rund um sicherheitsrelevante Fragen und Probleme.
BenutzerGa4gooPh

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von BenutzerGa4gooPh » 18.07.2018 15:39:09

wanne hat geschrieben: ↑ zum Beitrag ↑
18.07.2018 15:16:28
Freigeben ...
Also so wie ich deinen Text verstehe, meinst du, ICMP aus LAN -> WAN komplett freigeben - ausser redirect (5)?
(Ich filtere auch egress/outbound, lasse bislang bezüglich ICMP outgoing aus LAN nur echo request (8) und traceroute (30) zu. Entsprechende Antworten / Rückweg werden per SPI automatisch zugelassen.)

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von wanne » 18.07.2018 17:18:50

MSfree hat geschrieben:Wow, dafür habe ich in meinem Heimnetz einen einzigen iptables-Befehl auf meiner Firewall abgesetzt. Clients, die meinen, als DNS irgendetwas anderes als meine per DHCP verteilten zu verwenden, bekommen gar keine Namensauflösung mehr hin.
Na dann propier mal aus und geh dich wundern, wie iodine schlicht und einfach den von dir per DHCP verteilten DNS Server nutzt. Du wirst iodine nicht auf iptables-ebene blocken können, ohne dich aus sämtlichen anderen Webseiten auch rauszuwerfen. Genau so wenig wie die anderen Lösungen.
MSfree hat geschrieben:ROFL, nichts einfacher als die Dinger in der Firewall zu blockieren.
Wenn du das so cool kannst: Statt hier im Forum rumzuschreiben melde dich mal bei Ali Chamene’i. Der gibt dir garantiert ein paar Milliönchen für so eine Lösung. Der sucht nämlich schon seit einer ganzen weile nach so einer Lösung und bekommt es nicht auf die Reihe. Abr klar MSfree hat da keine Probleme. Der schüttelt das mal kurz aus dem Handgelenk. Als Anmerkung: Alle tunneln über HTTPS zu ständig wechselnden geheimen IPs. (Außer das über Facebook. Das nimmt die Server von Facebook. Was auch äußerst ungerne geblockt wird.)
MSfree hat geschrieben:Nein, das läuft out-of-the Box mit einem standard Linuxkernel.
Habe ich ja schon geschrieben:
wanne hat geschrieben:Mit pcap gibt es mittlerweile eine stabiele API für sowas im Stock-Kernel. Damit läuft das unter Debian vergleichswiese Problemlos.
Jana66 hat geschrieben:Also so wie ich deinen Text verstehe, meinst du, ICMP aus LAN -> WAN komplett freigeben - ausser redirect (5)?
Ja. Bei externen Firewalls bin ich ein Fan von Blacklisten. Am Ende schießt du dir mit Withelisten vor allem neuere Protokolle ab. (Und die sind meist sicherer als ihre Vorgänger.)
Bei schmalbandigen Verbindungen (<=10G) würde ich aber ein Ratelimiting rein machen. Sinnvolle ICMP in größeren Mengen gibt es nicht. Wenn irgend ein Gerät ammok läuft braucht es dir nicht die Leitung voll spammen.
Defakto sind heute die einzig relevanten 0/8, 3 und 11 und vielleicht noch 30. Alles andere wird von Clienten aus dem Jahrtausend eh ignoriert.
3 willst du auf jeden Fall haben. Ist aber im einem RELATED in den meisten Fällen schon mit drin. 0/8 und 11 finde ich sinnvoll.
In sofern kannst du da gar nicht so viel bewirken, wie es sich Anhört.
Wenn du historische Kisten schützen willst, blockst du 5 und 15-39. Daneben sind 9 und 10 noch unerwünscht. Die blockt der Linux-Kernel aber auch ohne expliziten iptables-Eintrag.
Interessanter ist dann ICMPv6. Da wird deutlich mehr über ICMP abgewickelt.
rot: Moderator wanne spricht, default: User wanne spricht.

BenutzerGa4gooPh

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von BenutzerGa4gooPh » 18.07.2018 18:13:04

Danke @wanne für die Erläuterungen! Muss mal die FW-Regeln überarbeiten.
wanne hat geschrieben: ↑ zum Beitrag ↑
18.07.2018 17:18:50
Interessanter ist dann ICMPv6. Da wird deutlich mehr über ICMP abgewickelt.
Gibt es in meinem Dorf noch nicht. xDSL auch nicht. Von Glasfaser träume ich nicht mal nachts. Das Leben geht auch ohne. :wink:

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von buhtz » 19.07.2018 10:10:19

Mal wieder ne banale Frage: Wie findet man den heraus ob eine Internetverbindung besteht? Ich habe hier ein Tablet-artiges Gerät, dass beim Einwählen (bzw. Konfiguren) ins WLAN, sofort per ping genau das prüft. Und dann eben (wie Eingangs beschrieben) meint, es wäre nicht online - weil ping nicht geht. ;)

Bin mit dem Produzenten per du, aber fachlich steht er da aufm Schlauch. Was ist die Alternative ein Bestehen der Internetverbindung zu prüfen?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von wanne » 19.07.2018 12:35:27

Wie findet man den heraus ob eine Internetverbindung besteht?
Genau dazu ist ping eigentlich gedacht. Wenn das Gefiltert wird ist die Verbindung ins Internet ja sozusagen kaputt. Genau das ist ja die Idee von ping filtern, dass man nicht mehr feststellen kann ob man eine Verbindung bekommt. Ich würde das nicht umstellen. Wenn im Netzwerk der Test für Verbindung gefiltert wird, dann sollte das erwartete Ergebnis sein, dass man dann fehlerhafte Ergebnisse bekommt. Genau das ist doch die Intension von sowas.
Die Androiden rufe typischerweise eine Webseite von Google auf um zu testen ob man online ist. Das funktioniert halt genau so lange wie Google nicht gefiltert wird.Ich finde den Weg eher schlechter.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von spiralnebelverdreher » 19.07.2018 13:22:22

buhtz hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 10:10:19
Mal wieder ne banale Frage: Wie findet man den heraus ob eine Internetverbindung besteht? Ich habe hier ein Tablet-artiges Gerät, dass beim Einwählen (bzw. Konfiguren) ins WLAN, sofort per ping genau das prüft. Und dann eben (wie Eingangs beschrieben) meint, es wäre nicht online - weil ping nicht geht. ;)

Bin mit dem Produzenten per du, aber fachlich steht er da aufm Schlauch. Was ist die Alternative ein Bestehen der Internetverbindung zu prüfen?
Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von MSfree » 19.07.2018 13:47:17

spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 13:22:22
Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?
Dein Client bekommt üblicherweise die IP-Adresse des DNS-Servers per DHCP mitgeteilt. Eine DNS-Abfrage führt also normalerweise zu einer Abfrage beim lokalen DNS, der im übrigen auch Anfragen für Adressen ausserhalb des LANs beantwortet. Wenn ein nslookup www.google.com erfolgreich beantwortet wurde, weiß du also nicht, ob du eine Verbindung nach draussen hast.

Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.

Das Feststellen, ob eine Internetverbindung existiert, ist also einierseits nicht einfach. Andererseits stellt sich schon die Frage, was das "Internet" überhaupt ist. Bin ich in China hinter der "big Firewall" auch schon im Internet oder doch eher in einem riesiegen LAN?

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von spiralnebelverdreher » 19.07.2018 14:12:31

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 13:47:17
spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 13:22:22
Irgendeinen Dienst missbrauchen, der üblicherweise nicht geblockt wird.
Vielleicht NTP (mit hart kodierten Adressen)? Oder DNS?
Dein Client bekommt üblicherweise die IP-Adresse des DNS-Servers per DHCP mitgeteilt. Eine DNS-Abfrage führt also normalerweise zu einer Abfrage beim lokalen DNS, der im übrigen auch Anfragen für Adressen ausserhalb des LANs beantwortet. Wenn ein nslookup www.google.com erfolgreich beantwortet wurde, weiß du also nicht, ob du eine Verbindung nach draussen hast.

Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.

Das Feststellen, ob eine Internetverbindung existiert, ist also einierseits nicht einfach. Andererseits stellt sich schon die Frage, was das "Internet" überhaupt ist. Bin ich in China hinter der "big Firewall" auch schon im Internet oder doch eher in einem riesiegen LAN?
Du hast natürlich recht: Wenn die Netzwerkabteilung (oder der staatlich gesteuerte ISP) nicht hart blockt, sondern alles geschickt umleitet und plausibel beantworten lässt, ist es schwer zu unterscheiden ob die Pakete ins Internet gelangen oder das Internet nur simuliert wird. Da können aber Protokolle helfen, die signierte Antworten erwarten und Man-in-the-Middle Konstruktionen sicher erkennen (zumindest so lange wie das Endgerät unter eigener Kontrolle ist). Browser haben nicht umsonst die Certificate Authorities hart einprogrammiert. DNSSEC, OCSP, SCVP könnten Ansatzpunkte für den Bin-ich-im-großen-Internet-Test sein.

BenutzerGa4gooPh

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von BenutzerGa4gooPh » 19.07.2018 14:36:40

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 13:47:17
Auch NTP kann man recht einfach umbiegen. Mir ist es z.B. auf den Geist gegangen, daß Androiden und andere Handschmeichler NTP auf einem fest verdrahteten Google/Apple-NTP-Server abfragen. Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe.
Hier dito (NTP). DNS habe ich nicht lokal redirected, nur per DHCP den lokalen DNS mitgegeben und DNS nach draußen gesperrt. Das Android-Tablet versucht immer wieder mal zu 8.8.8.8, funktioniert trotzdem. DNS habe ich nicht umgeleitet, da das m. E. noch ein "Honeypot" (Logs) ist, wenn in meinem WLAN mal jemand unerwünschtes sin sollte. Auf RADIUS/WPA2 Enterprise habe ich wegen nur einem Tablet und einem Eierfon im separiertem Gastnetz noch keinen Bock. Glaube jedoch nicht (mehr), dass ich immer richtig denke. :wink:
spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 14:12:31
Browser haben nicht umsonst die Certificate Authorities hart einprogrammiert.
CAs gibt doch der "Brausehersteller" vor - und ändert diese per Update. Malware wohl auch. Und nicht alle CAs sind vertrauenswürdig, Symatec z. B. ist nach Abmahnungen und laaanger Zeit bei einigen Browsern (zunḿindest Chrome) rausgeflogen.
https://www.heise.de/security/meldung/Z ... 28578.html

Edit: Wieder mal alle Aluhüte versammelt ... :mrgreen: :THX:

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von spiralnebelverdreher » 19.07.2018 14:47:03

Jana66 hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 14:36:40
Und nicht alle CAs sind vertrauenswürdig, Symatec z. B. ist nach Abmahnungen und laaanger Zeit bei einigen Browsern (zunḿindest Chrome) rausgeflogen.
https://www.heise.de/security/meldung/Z ... 28578.html
Das ist richtig. Wenn es aber allein um einen Test gibt, ob man tatsächlich ins große weite Internet kommt ist die Frage zweitrangig wie sorgfältig die CA ihre Zertifikate ausstellt. Es geht ja nur darum, eine oder mehrere CAs so anzufragen, dass ein Man-in-the-Middle erkannt wird.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von MSfree » 19.07.2018 14:57:11

spiralnebelverdreher hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 14:12:31
Da können aber Protokolle helfen, die signierte Antworten erwarten und Man-in-the-Middle Konstruktionen sicher erkennen (zumindest so lange wie das Endgerät unter eigener Kontrolle ist). DNSSEC, OCSP, SCVP könnten Ansatzpunkte für den Bin-ich-im-großen-Internet-Test sein.
Zumindest DNS ist schon vom Design her eine Man-in-the-Middle-Konstruktionen. DNSSEC liefert halt einen DNS-Record mit Schlüsel zurück, den die Anwendung auf "Korrektheit" prüfen muß. Zumindest kann damit geprüft werden, ob die vielen DNS, die bei der Namensauflösung beteiligt sind, diesen Record nicht verändert haben. Ob das Konzept irgendwelche Denkfehler aufweiset, kann ich dir nicht sagen.

Denkbar wäre, daß ein großer DNS-Server (z.B. 8.8.8.8 ) alle ausgelieferten DNS-Records einfach selbst signiert. Zumindest könnte ich mir vorstellen, daß auch DNSSEC (im Interesse von restriktiven Staaten) irgendwie umgehbar sein wird.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von MSfree » 19.07.2018 15:10:20

Jana66 hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 14:36:40
DNS habe ich nicht lokal redirected, nur per DHCP den lokalen DNS mitgegeben und DNS nach draußen gesperrt. Das Android-Tablet versucht immer wieder mal zu 8.8.8.8, funktioniert trotzdem.
Komisch, wenn du DNS nach draussen gesperrt hättest, sollte ein Client nicht in der Lage sein, 8.8.8.8 als DNS zu benutzen. Da wird wohl noch ein Löchlein in deinen iptables-Regeln stecken.
Auf RADIUS/WPA2 Enterprise habe ich wegen nur einem Tablet und einem Eierfon im separiertem Gastnetz noch keinen Bock.
Mit WPA-Enterprise habe ich auch mal vor einiger Zeit rumgespielt, so richtig zuverlässig habe ich das aber nicht hinbekommen. Einige Clients haben nach ein paar Stunden eine neue Authentifizierung gewollt, was irgendwie lästig war, also bin ich wieder auf PSK zurück.

Für Gäste habe ich einen Raspi als AP, der einmal am Tag einen neuen Zufalls-PSK erzeugt und diesen auf seinem kleinen Display anzeigt. Das ist ein Idee, die ich aus der c't habe, Stichwort "WLAN Buttler". Gäste brauchen also nur auf das Display schauen und den Schlüssel eintippen.

BenutzerGa4gooPh

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von BenutzerGa4gooPh » 19.07.2018 15:14:51

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 15:10:20
Komisch, wenn du DNS nach draussen gesperrt hättest, sollte ein Client nicht in der Lage sein, 8.8.8.8 als DNS zu benutzen. Da wird wohl noch ein Löchlein in deinen iptables-Regeln stecken.
Hatte mich wohl unklar ausgedrückt: Der Androide versucht es aber kommt nicht auf 8.8.8.8 (Log-Eintrag der Reject-Regel für alles unbekannte/unerwünschte), nimmt dann Zähne knirschend den per DHCP mitgegebenen lokalen DNS der FW (unbound). Fast alles gut. :wink:
[Raspi als AP:] Gäste brauchen also nur auf das Display schauen und den Schlüssel eintippen.
Klingt schick/elegant. Meine Kurzzeit-Gäste nutzen ihr eigenes LTE/GSM, das Gastnetz brauche ich nur für uns selber (Tablette und iPhone).

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von wanne » 19.07.2018 20:11:06

Zur Sache mit DNSSEC: Die Idee ist dass man DNS cachen kann DNSSEC ist absichtlich so desighned, dass das geht. An der Abfrage kannst du nur erkennen ob irgend wann in den letzten 48h irgend wann mal Internet da war.
MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 13:47:17
Ich habe dem kurzum den Garaus gemacht, indem ich alle NTP-Abfragen auf einen internen NTP geforwarded habe. Folglich bekommt der Client eine gültige Zeitauskunft, weiß aber dennoch nicht, ob er (uneingeschränkten) Zugriff auf das Netz da drausen hat.
Wird Zeit das NTP auch Signaturen bekommt. Zumal diverse Sicherheitsprotokolle von genauen Uhrzeiten abhängen. (Kerberos, Lustre-Dateirechte OpenID...) Dass da jemand falsche gültige Antworten produzieren kann ist ein echtes Problem. Solange das nur Apples/Googles gängelungsmßnahmen sind, stört mich das wenig. Aber da könnte man ja sonstwas kaputt machen.
Mit WPA-Enterprise habe ich auch mal vor einiger Zeit rumgespielt, so richtig zuverlässig habe ich das aber nicht hinbekommen. Einige Clients haben nach ein paar Stunden eine neue Authentifizierung gewollt, was irgendwie lästig war, also bin ich wieder auf PSK zurück.
Ja. WPA-Enterprise ist ein Graus. Ich mache halt WPA-PSK mit Passwörtern pro MAC-Adresse. Funktioniert sehr gut, solange man Gäste hat, denen man zumindest sagen kann, wie sie ihre MAC-Adresse nachgucken.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von MSfree » 19.07.2018 20:41:51

wanne hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 20:11:06
Wird Zeit das NTP auch Signaturen bekommt. Zumal diverse Sicherheitsprotokolle von genauen Uhrzeiten abhängen. (Kerberos, Lustre-Dateirechte OpenID...)
Mein interner NTP gleicht sich natürlich mit externen NTPs ab, insofern ist die exakte Uhrzeit in meinem LAN schon garantiert.

Aber diese Hurra-Einstellung für alles, was verschlüsselt und signiert ist, kann ich ehrlich gesagt überhaupt nicht teilen. Natürlich ist es wichtig beim Einkauf im Internet die Geschäftsdaten abhörsicher zu übertragen. Aber wenn ich mir die meisten Internetseiten anschaue, auf denen Verschlüsselung dazu mißbraucht wird, noch mehr Werbung und Malware auf die Client zu schubsen, ohne daß man sich mit Filtern dagegen wehren könnte, dann schlägt bei mir die Hurra-Einstellung schnell ins Gegenteil um.
Dass da jemand falsche gültige Antworten produzieren kann ist ein echtes Problem.
In meine eigenen LAN bin ich nicht "jemand". Und wenn ein Gast damit Probleme hat, dann soll er halt GSM/UMTS/LTE nehmen.
Ich mache halt WPA-PSK mit Passwörtern pro MAC-Adresse.
Interessant, mit welchen APs geht sowas? Wie richtet man das ein?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von wanne » 20.07.2018 04:13:12

MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 20:41:51
Mein interner NTP gleicht sich natürlich mit externen NTPs ab, insofern ist die exakte Uhrzeit in meinem LAN schon garantiert.
Ja. Bei dir. Bei uns im Cluster läuft das sogar etwas anders. Da gibt es eine eigene Uhr. Die sagt die Uhrzeit. Wie genau die dann ist, ist Wurst. Nur halt überall gleich. Man stelle sich vor irgend jemand böswilliges fängt an da an, wie du deren NTP antworten zu fälschen. Ich will gefälligst sicherstellen, dass meine Server nur mit meinen NTPs reden und mit niemand sonst.
MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 20:41:51
Aber wenn ich mir die meisten Internetseiten anschaue, auf denen Verschlüsselung dazu mißbraucht wird, noch mehr Werbung und Malware auf die Client zu schubsen, ohne daß man sich mit Filtern dagegen wehren könnte
Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen. Das ist so sinnvoll, wie eine angezogene Hanbremse mit mehr Gas zu kompensieren: Am Ende wundert man sich wundern, als Nebeneffekt die Handbremse kaputt ist.
Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust. Und das funktioniert genau so lange, bis irgend jemand vermeintlich gutwilliges antworten fälscht und ich nicht mehr unterscheiden kann ob da jetzt jemand aus bösen oder guten Absichten gute, gut gemeinte oder böse, falsche Antworten liefert.
MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 20:41:51
Und wenn ein Gast damit Probleme hat, dann soll er halt GSM/UMTS/LTE nehmen.
Zum Glück funktioniert das nach und nach ziemlich problemlos. Ich habe nur die Befürchtung, dass ohne passende Gegenmaßnahmen LTE bald genau so kaputt und versäucht mit unerwünschten Meldungen ist, wie die schlimmsten Wlans und UMTS zu seinen schlimmsten Zeiten in Indien.
MSfree hat geschrieben: ↑ zum Beitrag ↑
19.07.2018 20:41:51
In meine eigenen LAN bin ich nicht "jemand".
Keiner kann mir sagen ob das du oder sonstwer ist. Deswegen muss man bei solchen Ansätzen immer dafür sorgen, dass alle Teilnehmer voll vertrauenswürdig sind. Darauf habe ich wenig Lust. Ich will durchaus auch mal freundlich mein WLAN anbieten können ohne angst davor zu haben, dass jetzt gleich meine ganze Infrastruktur übernommen wird. Kumpel von mit hat sein WLAN sogar ganz offen. Super angenehm als Gast. Eines der WLANs die ich wirklich nutze. (Zum psks eingeben bin ich zu faul, solange ich LTE habe.) Deswegen willst du sicher sein, dass dein Client nicht kaputt geht, nur weil irgend ein passant einen bösen Scherz erlaubt. Und am Ende ist das um Größenordnungen weniger Arbeit als irgend welche Filter zu warten die dann doch nicht alles erwischen.
Interessant, mit welchen APs geht sowas? Wie richtet man das ein?
Den, den jeder verwendet: hostapd
/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk
/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Absetzen eines ping = Sicherheitsgewinn?

Beitrag von MSfree » 20.07.2018 09:07:40

wanne hat geschrieben: ↑ zum Beitrag ↑
20.07.2018 04:13:12
Es ist eben eine verdammt dämliche Idee, zuerst einen Client zu kaufen, der Werbung anzeigt und Malware ausführt und das danach per Filtert irgend wie beheben zu wollen.
Man muß davon ausgehen, daß alle Clients irgendwo angreifbar sind. Folglich wäre es sinnvoll, Webinhalte zu filtern, bevor sie an den Client ausgeliefert werden. Das jedoch geht nicht, wenn die Netzwerkverbindung verschlüsselt ist. Ich könnte jetzt böswillig sagen, daß Verschlüsselung hier genau ihren Zweck komplett verfehlt.

Auch die Aufregung vor einigen Jahren, was für Daten Samsung-TVs nach Hause telefonieren, wäre nie wirklich aufgedeckt worden, wenn die von vornherein verschlüsselt übertragen hätten. Jetzt ist es verschlüsselt, die Daten fliessen nach wie vor, aber keiner kann sich mehr aufregen, weil alles ja ganz sicher verschlüsselt ist und der Inhalt nicht mehr untersucht werden kann. Tolle Wurst.

Verstehe das nicht falsch, Verschlüsselung ist durchaus wichtig, aber nur in bestimmten Bereichen. Eine allumfassende Verschlüsselung schadet den Endverbraucher mehr als sie nutzt.
Meine Programme zeigen keine Werbung an und verifizieren mit Signaturen, dass da niemand sonst irgend welchen Müll einschläust.
Und wie verhinderst du, daß aus einem Werbenetzwerk jemand korrekt signierten Müll verschlüsselt bei dir einschleust. Unverschlüsselt könnte man squid einfach dazu bringen, ein Access Denied an den Browser zu schicken und das Werbfenster bleibt einfach leer.

Und ja, ich kenne SSL-bumping, mit dem ich squid als MiM entschlüseln lassen, filtern und dann an der Browser übertragen lassen kann. Diese Art des MiM geht mir dann aber doch zu weit.
/etc/hostapd/5psk.conf:

Code: Alles auswählen

wpa_psk_file=/etc/hostapd/pws.wpa_psk
/etc/hostapd/pws.wpa_psk:

Code: Alles auswählen

52:4a:06:aa:2e:26 782ea9648c52f235508c7a1a77888f2245975afda5cff32db0a28f6f6aeef720
06:02:42:18:6a:62 45ca1b72e70eeecc98c9a34184a144b70e8345b99ec99edf4203a1091d1463d5
...
Und das funktioniert Dual-Band mit 2.4GHz und 5GHz und 802.11ac?

Antworten