Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von Trollkirsche » 02.08.2018 01:57:09

Hallo,

Die Frage beschäftigt mich zurzeit:
Wie sicher ist eigentlich ein Debian System, dass ohne Firewall direkt an ein Modemrouter des Providers hängt, zb. vor Geheimdiensten, Behörden, anderen Hackern, oder Mitarbeitern des Providers selbst?

Die Frage scheint manchen vielleicht allzu dumm jedoch stelle ich sie trotzdem : was bringt das Benutzen einer Firewall genau im Vergleich zu einem System, dass stattdessen direkt Router des Providers hängt?

Empfindet ihr die Firewall als unabdingbar zur Sicherheit?

DeletedUserReAsG

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von DeletedUserReAsG » 02.08.2018 07:23:54

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 01:57:09
Wie sicher ist eigentlich ein Debian System, dass ohne Firewall direkt an ein Modemrouter des Providers hängt […].
Kommt drauf an, was so drauf läuft, wie’s konfiguriert ist und wie der Betreiber damit umgeht. Zum Vergleich: viele Server hängen direkt am Internet, ohne vorgeschalteten Router mit NAT, oder gar Firewall und so. Auf der anderen Seite gibt’s tausende Maschinen, die von Schadsoftware befallen sind, obwohl sie hinter ’nem Router samt Zwangsfirewall im LAN hängen und zusätzlich nochmal ’ne Personal Firewall nebst sieben Virenscannern parallel laufen haben (sind dann meist keine Debian- oder sonstige Linuxkisten).

Eine so gestellte Frage ist also nicht allgemeingültig zu beantworten.

BenutzerGa4gooPh

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von BenutzerGa4gooPh » 02.08.2018 08:27:05

@niemand hat das Wesentliche gesagt. Etwas spezieller noch:
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 01:57:09
Wie sicher ist eigentlich ein Debian System, dass ohne Firewall direkt an ein Modemrouter des Providers hängt ...
Theoretisch sind derartige Modemrouter so konfiguriert, dass eine SPI-Firewall und NAT darauf läuft. Damit werden Zugriffe von außen unterbunden - bis auf den Managementzugriff des Providers. Alle von innen initiierten Verbindungen sind erlaubt. Damit existiert kein Schutz gegen Schadsoftware durch Browser, Mails, Downloads, Programme auf USB-Sticks etc.
Die Logs sind sehr begrenzt, also auch schlechte Erkennung bei Befall.

Praktisch gab es schon vom Provider verschuldete Sicherheitslücken: https://www.heise.de/security/meldung/N ... 07134.html (Übrigens lange vorher bekannt und kritisiert)
Kleine Smalltalk-Diskussion zu Providerroutern aus einem anderen Forum: https://forum.opnsense.org/index.php?topic=8848.0
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 01:57:09
... was bringt das Benutzen einer Firewall genau im Vergleich zu einem System, dass stattdessen direkt Router des Providers hängt?
Das kommt auf die Realisierung der "Firewall" an. Die meisten verstehen darunter Paketfilter, NAT, SPI (Stateful Packet Inspection). Moderne Firewall-Distributionen (Router-Firewall-Zusatzpakete) beherrschen viel mehr: Segmentierung des Netzes (Gastnetz, DMZ, VLANs) und Zusatzpakete wie DNS-Blocker, Debiansnort, Debiansurricata, Debiansquid etc und ausführliche Logs und Reporte.
Beispiel: https://www.pfsense.org/about-pfsense/features.html
Mit eigener Router-Firewall-Distribution kann man auch Smart-TVs beruhigen - ohne denen gleich den Gateway zu "entziehen".

Eine Firewall und Weiteres (Paketfilter, Rechtebeschränkung, DNS-/Script-Blocker, firejail, VMs etc.) direkt auf dem System (erweiterte "Personal Firewall") ist m. E. mindestens für 3 Szenarien sinnvoll:
- undisziplinierte, unwissende oder böswillige Nutzer einschränken, Eigenschutz (keiner kennt alle (neuen) Böswilligkeiten aller Websites)
- öffentliches, unverschlüsseltes WLAN (besser VPN nutzen)
- zusätzlicher Schutz vor Fehlkonfiguration bei Rechnern, die direkt am Internet angeschlossen sind (vorrangig sind nur benötigte Dienste zu installieren und nur gewünschte Ports lauschen bzw. sind offen auf gewünschten Interfaces). Schon bei Einrichtung von einfachen DNS-Servern/ -Forwardern wurde und wird da häufig Mist gebaut (Port 53 zum Internet für Anfragen von Clients offen, möglicher Missbrauch für DNS-Reflection-Angriffe)

Edit:
Sicherheitstechnisch sollte man noch feststellen: Wer Einsteiger in die Firewall-Thematik ist, sollte anfänglich besser eine "Reihenschaltung" aus Providerrouter (mit Modem) + eigene Firewall bauen, also anfänglich nicht nur eigenes Modem + eigene Firewall. Eine Rückfall- oder Parallelebene bietet sich auch an, wenn weitere Personen/Familienangehörige das Netz während Basteleien nutzen wollen. :wink: Außerdem kann man so ganz leicht die eigene Firewall "von außen" testen/scannen (geht allerdings mit Modem auch).

Wer kein Interesse an FW hat oder nur wenige Linux-Rechner betreibt, ist mit Providerrouter und genannten Sicherheitsmaßnahmen auf den Linux-Rechnern nicht schlecht aufgehoben. Wenigstens nach dem, was man zur Zeit liest.
Zuletzt geändert von BenutzerGa4gooPh am 02.08.2018 09:05:04, insgesamt 2-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von MSfree » 02.08.2018 08:29:02

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 01:57:09
Wie sicher ist eigentlich ein Debian System, dass ohne Firewall direkt an ein Modemrouter des Providers hängt
Modem oder Router?

Das ist schon ein eklatanter Unterschied. Ein Router (der natürlich ein eingebautes Modem haben kann) arbeitet mit NAT und der dehinter liegende Linuxrechner ist nicht direkt erreichbar. Das heißt, man muß erst dem Router knacken, um Portforwards einzurichten, damit man den Linuxrechner überhaupt erreicht. Das Knacken von Providerrouter ist allerdings keine große Kunst.

Ein Rechner, der direkt per Modem am Internet hängt, ist direkt über die öffentliche IP-Adresse erreichbar, einen Router muß man also nicht erst knacken. Allerdings gibt es kaum (oder gar keine) Providfer mehr, die einem ein Modem stellen.
zb. vor Geheimdiensten
Meiner Einschätzungnach hast du gegen Geheimdienste gar keine Chance, die knacken dir jeden beliebigen Rechner in wenigen Minuten.
Behörden
Geheimdienste sind Behörden!
anderen Hackern
Hier gilt das gleiche wie bei Geheimdiensten. Was glaubst du, wo die Geheimdienste ihre Fähigkeiten her haben?
oder Mitarbeitern des Providers selbst?
Die sind zu blöd. :mrgreen:
Empfindet ihr die Firewall als unabdingbar zur Sicherheit?
Ja.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von Trollkirsche » 02.08.2018 21:47:51

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 08:27:05
@niemand hat das Wesentliche gesagt. Etwas spezieller noch:
Theoretisch sind derartige Modemrouter so konfiguriert, dass eine SPI-Firewall und NAT darauf läuft. Damit werden Zugriffe von außen unterbunden - bis auf den Managementzugriff des Providers. Alle von innen initiierten Verbindungen sind erlaubt. Damit existiert kein Schutz gegen Schadsoftware durch Browser, Mails, Downloads, Programme auf USB-Sticks etc.
Die Logs sind sehr begrenzt, also auch schlechte Erkennung bei Befall.

Praktisch gab es schon vom Provider verschuldete Sicherheitslücken: https://www.heise.de/security/meldung/N ... 07134.html (Übrigens lange vorher bekannt und kritisiert)
Kleine Smalltalk-Diskussion zu Providerroutern aus einem anderen Forum: https://forum.opnsense.org/index.php?topic=8848.0
Mir ist klar das das Verhalten des Benutzers bei einem Arbeitsplatz PC massgeblich die Sicherheit beeinflusst. Wie sieht es aber mit der Debian Distribution aus? Wie knackbar ist ein System, wenn, nehmen wir mal an, der Provider mit irgendwelchen dubiosen Gestalten zusammenarbeiten würde und die Providersicherheit (Firewall, NAT) keine Rolle mehr spielen würde? Man kann ja generell nicht von der Sicherheit von externen Anbietern ausgehen, da dieser Faktor nicht kontrollierbar ist. Welche Möglichkeiten hätten denn zb. gut ausgebildete, bösartige Providerangestellte, auf meine Maschine zuzugreifen, wenn keine von mir geöffneten Sicherheitslücken auf dem Debiansystem vorhanden wären? Ist ein Debian System unter diesen Umständen sicher, zb. wenn es sich um einen Server handeln würde, der nur das allernötigste installiert hat?
Jana66 hat geschrieben: Das kommt auf die Realisierung der "Firewall" an. Die meisten verstehen darunter Paketfilter, NAT, SPI (Stateful Packet Inspection). Moderne Firewall-Distributionen (Router-Firewall-Zusatzpakete) beherrschen viel mehr: Segmentierung des Netzes (Gastnetz, DMZ, VLANs) und Zusatzpakete wie DNS-Blocker, Debiansnort, Debiansurricata, Debiansquid etc und ausführliche Logs und Reporte.
Beispiel: https://www.pfsense.org/about-pfsense/features.html
Mit eigener Router-Firewall-Distribution kann man auch Smart-TVs beruhigen - ohne denen gleich den Gateway zu "entziehen".

Eine Firewall und Weiteres (Paketfilter, Rechtebeschränkung, DNS-/Script-Blocker, firejail, VMs etc.) direkt auf dem System (erweiterte "Personal Firewall") ist m. E. mindestens für 3 Szenarien sinnvoll:
- undisziplinierte, unwissende oder böswillige Nutzer einschränken, Eigenschutz (keiner kennt alle (neuen) Böswilligkeiten aller Websites)
- öffentliches, unverschlüsseltes WLAN (besser VPN nutzen)
- zusätzlicher Schutz vor Fehlkonfiguration bei Rechnern, die direkt am Internet angeschlossen sind (vorrangig sind nur benötigte Dienste zu installieren und nur gewünschte Ports lauschen bzw. sind offen auf gewünschten Interfaces). Schon bei Einrichtung von einfachen DNS-Servern/ -Forwardern wurde und wird da häufig Mist gebaut (Port 53 zum Internet für Anfragen von Clients offen, möglicher Missbrauch für DNS-Reflection-Angriffe)

Edit:
Sicherheitstechnisch sollte man noch feststellen: Wer Einsteiger in die Firewall-Thematik ist, sollte anfänglich besser eine "Reihenschaltung" aus Providerrouter (mit Modem) + eigene Firewall bauen, also anfänglich nicht nur eigenes Modem + eigene Firewall. Eine Rückfall- oder Parallelebene bietet sich auch an, wenn weitere Personen/Familienangehörige das Netz während Basteleien nutzen wollen. :wink: Außerdem kann man so ganz leicht die eigene Firewall "von außen" testen/scannen (geht allerdings mit Modem auch).

Wer kein Interesse an FW hat oder nur wenige Linux-Rechner betreibt, ist mit Providerrouter und genannten Sicherheitsmaßnahmen auf den Linux-Rechnern nicht schlecht aufgehoben. Wenigstens nach dem, was man zur Zeit liest.
Vielen Dank für deine wertvollen Tipps. Ich bin im Besitze einer Hardware Firewall, bin aber noch relativ neu und unerfahren in dem Gebiet. Es ist extrem kompliziert da wirklich durchzublicken und man bekommt wirklich das Gefühl, dass der Kampf um die Freiheit eigentlich schon verloren ist. Ich frage mich einfach wie sicher mittlerweile mein Netzwerk ist, wenn man keine Hardware Firewall im Einsatz hätte. WLAN benutze ich nicht. Ich tendiere ebenfalls dazu Qube OS als Hauptsystem einzusetzen, um die Sicherheit nochmals zu erhöhen und um Gefahren von innen auszuschliessen.

Wie verhält es sich, wenn eine Windows Maschine im gleichen Netz betrieben wird, zb. ein PC der eigens für das Gamen verwendet wird? Können von dort Attacken auf die übrigen Linux Systeme gefahren werden? Wie hoch schätzt du die Gefahr ein, die von Druckern, SmartTV usw. ausgehen? Können diese auf andere Debian Systeme zugreifen?

Vielen Dank,

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von Trollkirsche » 02.08.2018 21:51:39

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 08:29:02
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 01:57:09
Wie sicher ist eigentlich ein Debian System, dass ohne Firewall direkt an ein Modemrouter des Providers hängt
Modem oder Router?

Das ist schon ein eklatanter Unterschied. Ein Router (der natürlich ein eingebautes Modem haben kann) arbeitet mit NAT und der dehinter liegende Linuxrechner ist nicht direkt erreichbar. Das heißt, man muß erst dem Router knacken, um Portforwards einzurichten, damit man den Linuxrechner überhaupt erreicht. Das Knacken von Providerrouter ist allerdings keine große Kunst.

Ein Rechner, der direkt per Modem am Internet hängt, ist direkt über die öffentliche IP-Adresse erreichbar, einen Router muß man also nicht erst knacken. Allerdings gibt es kaum (oder gar keine) Providfer mehr, die einem ein Modem stellen.
zb. vor Geheimdiensten
Meiner Einschätzungnach hast du gegen Geheimdienste gar keine Chance, die knacken dir jeden beliebigen Rechner in wenigen Minuten.
Behörden
Geheimdienste sind Behörden!
anderen Hackern
Hier gilt das gleiche wie bei Geheimdiensten. Was glaubst du, wo die Geheimdienste ihre Fähigkeiten her haben?
oder Mitarbeitern des Providers selbst?
Die sind zu blöd. :mrgreen:
Empfindet ihr die Firewall als unabdingbar zur Sicherheit?
Ja.
Hallo,

Kannst du mir etwas genauer sagen, wieso Behörden jede Maschine innert Minuten zu knacken imstande sind? Wie würden solche Angriffe aussehen, was könnte man am besten dagegen tun, um sein Netz zu schützen? Wieso ist das Knacken eines Providerrouters kein grosses Problem? Wenn der Router geknackt wäre, welche Sicherheitsimplikationen würde das nach sich ziehen?

Haben wir den Kampf um die Freiheit bereits verloren, und all die Tools wie Tails, QubeOS usw. sind nur nette Spielereien? Das wäre ja die logische Konsequenz deines Gesagten...

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von reox » 02.08.2018 22:02:01

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:51:39
Kannst du mir etwas genauer sagen, wieso Behörden jede Maschine innert Minuten zu knacken imstande sind? Wie würden solche Angriffe aussehen, was könnte man am besten dagegen tun, um sein Netz zu schützen? Wieso ist das Knacken eines Providerrouters kein grosses Problem? Wenn der Router geknackt wäre, welche Sicherheitsimplikationen würde das nach sich ziehen?
Am besten kannst du dich dagegen wohl nur schützen, wenn der Rechner nie mit irgendeinem Netz in Berührung kommt und auch nie irendwelche Datenträger sieht. Also komplett Airgapped ist. Und selbst da gibt es ja theoretisch einige Angriffsszenarien über Seitenkanäle etc.
Es gibt Vermutungen, dass Geheimdienste bestimmte Zero-Days nicht an die Hersteller melden sonden lieber mal selber nutzen. Dazu ist auch in den letzten Jahren immer mal wieder was bekannt geworden.
Eine weitere Vermutung ist, dass Geheimdienste Backdoors in Produkte einbauen (lassen). Dazu müssen sie das Gerät gar nicht knacken sondern haben den root access frei Haus.
Gegen ein Magic Packet das auf deiner Netzwerkkarte ankommt und dort irgendwas tut kannst du mit einer SW Firewall gar nichts machen. Eine Überlegung dazu wäre sich auf einer vertrauenswürdigen Hardware eine Firewall zu bauen, welche nur noch gewhitelisteten Traffic durchlässt. Allerdings könnten Geheimdienste ihre Magic Packets auch so gestallten, dass sie ganz harmlos aussehen und der Exploit zB nur über das Timing ausgelöst wird.

Wenn dein Router geowned ist, heißt das im Endeffekt, dass der komplette Traffic darauf sichtbar ist. Außerdem können so die angeschlossenen NAT Geräte identifiziert werden.
Weiteres könnte man Traffic nach belieben umleiten oder verändern.

DeletedUserReAsG

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von DeletedUserReAsG » 02.08.2018 22:07:42

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Wie sieht es aber mit der Debian Distribution aus? Wie knackbar ist ein System, wenn, nehmen wir mal an, der Provider mit irgendwelchen dubiosen Gestalten zusammenarbeiten würde und die Providersicherheit (Firewall, NAT) keine Rolle mehr spielen würde? […] Ist ein Debian System unter diesen Umständen sicher, zb. wenn es sich um einen Server handeln würde, der nur das allernötigste installiert hat?
Hängt von der konkreten Konfiguration ab. Gibt keine allgemeingültige Antwort à la „Mit Debian bist du ziemlich sicher“ oder „Debian ist offen, wie’n Scheunentor“. Man kann jeden der beiden Zustände einstellen. Absolute Sicherheit gibt’s eh nicht – egal, welche Distri oder welches System man fährt.

Und ich sage mal so: wenn jemand so fragt, und dann darauf verweist, dass es um einen Server geht, dann würde ich die Frage „Ist Debian sicher?“, oder auch „Bin ich sicher, wenn ich dieses oder jenes System verwende?“, schlicht mit „Nein.“ beantworten. Demjenigen fehlt offenbar ein Grundverständnis von der Materie, so dass man nicht davon ausgehen kann, dass er weiß, was er tut. Und das führt in der Regel nicht zum sicheren Betrieb eines Systems/Netzes/wasauchimmer.
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Wie verhält es sich, wenn eine Windows Maschine im gleichen Netz betrieben wird, zb. ein PC der eigens für das Gamen verwendet wird? Können von dort Attacken auf die übrigen Linux Systeme gefahren werden? Wie hoch schätzt du die Gefahr ein, die von Druckern, SmartTV usw. ausgehen? Können diese auf andere Debian Systeme zugreifen?
Jedes gekaperte Gerät im Netz kann für Angriffe auf andere Geräte im gleichen Netz verwendet werden (tatsächlich ist das wohl der meistgenutzte Weg auf eigentlich gesicherte Maschinen). Ob sie allerdings auf eine Debianmaschine im Netz zugreifen können, liegt an deren Konfiguration. Wenn dort keine Angriffsfläche zur Verfügung gestellt wird, werden sich gekaperte Geräte ziemlich schwer tun, sie anzugreifen. Ausnutzbare Bugs können trotzdem jederzeit zutage treten (oder gefunden und geheimgehalten werden), so dass man auch von ’nem Debian in Minimalinstallation, ohne offene Ports, ohne avahi, etc. nicht annehmen kann, dass es absolut sicher wäre.

BenutzerGa4gooPh

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von BenutzerGa4gooPh » 03.08.2018 12:51:37

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Wie sieht es aber mit der Debian Distribution aus? Wie knackbar ist ein System, wenn, nehmen wir mal an, der Provider mit irgendwelchen dubiosen Gestalten zusammenarbeiten würde und die Providersicherheit (Firewall, NAT) keine Rolle mehr spielen würde?
Wenn dein Debian keine offenen Ports hat, wäre das schwierig. Also bleibt Nutzung von Exploits, Daten abschnorcheln (Legal Interception) und Quellen-TKÜ/Staatstrojaner. Welche Tricks Geheimdienste, Kriminal-/"Cyberaemter" und Hacker haben, kann dir hier sicher keiner genau beantworten. Jedenfalls werden Provider keine Eigeninitiative haben (dürfen). :wink:
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Ich bin im Besitze einer Hardware Firewall, bin aber noch relativ neu und unerfahren in dem Gebiet. Es ist extrem kompliziert da wirklich durchzublicken und man bekommt wirklich das Gefühl, dass der Kampf um die Freiheit eigentlich schon verloren ist.
Ist kein Allheilmittel. Man kann sich absolut heiss machen oder allgemeine Grundsätze der Konfiguration einhalten. Ist nicht sooo schwierig und Spaß macht es auch. Allerdings stellt die Firewall einen Server dar, der direkt am Internet hängt. Deshalb obige Tipps für Anfänger, insbesondere eigene Firewall hinter NAT-Router des Providers basteln, testen, lernen.

Meine Regeln für eigene FW im Heimnetz:
Alles ist verboten! Nur gewünschten Traffic outgoing erlauben! Rückweg macht SPI implizit.
Wenn WAN-IF=DHCP-Client spezielle Regeln erforderlich.
DNS-Server antwortet nur nach innen. DHCP-Server selbstverständlich auch.
besondere Achtung auf Managementzugriff (nur spezieller Port der FW oder 1 "Management-PC" mit Ethernetkarte im LAN erlaubt)
Segmentierung für LAN, WLAN und Gastnetz + besondere Regeln, Einschränkungen für letztere
möglichst kein Traffic von und zu lokal genutzten, privaten und bogon Netzen incoming und outgoing auf WAN-IF (IP-Spoofing)
http://www.team-cymru.com/bogon-reference.html oder https://ipinfo.io/bogon
(Einschränkungen bei Carrier Grad NAT oder Doppel-NAT beachten)
besondere Achtung auf ICMP (nicht alles erlauben) https://de.wikipedia.org/wiki/Firewall- ... CMP-Regeln
IMAP/S und SMTTP/S (also Transportverschlüsselung) nur zu meinen Provider-Servern
DNS- oder/und IP-Blocker outgoing gegen Malwareseiten, Tracker, Werbung (Nutzung von Listen anderer + eigene Erweiterungen)
sinnvolle Konfiguration der Logs, einige Unregelmäßigkeiten im Netz hoffentlich erkennbar
(IPv6, DMZ und öffentlich erreichbare Server habe ich nicht.)

Klingt kurz, ist wochenlange Arbeit und noch paranoider geht's auch. :mrgreen:
Fast alles kann man mit Debian-Rechnern machen - aber wer kann härten, Kernel-Parameter etc? Bin da eher für eine von Experten angepasste FW-Distributionen, spart Zeit und Nerven und die Konfiguration ist übersichtlicher bzw. erinnert an sinnvolle Parameter und Werte.
Hyperthreading ist wohl auch nicht die sicherste Idee auf einer FW. https://en.wikipedia.org/wiki/Hyper-threading#Security
Neben Intel ME und Intels Meltdown mit KPTI. An Spectre ist auch AMD "erkrankt".
Kannst du mir etwas genauer sagen, wieso Behörden jede Maschine innert Minuten zu knacken imstande sind? Wie würden solche Angriffe aussehen, was könnte man am besten dagegen tun, um sein Netz zu schützen?
Die "Ermittlungsarbeit" sieht doch verallgemeinert so aus: Einer fällt im Netz auf (Denunziation oder allgemeiner Datenstaubsauger, Selectoren, Analysen) Social Engineering einschließlich aller Kontaktpersonen, Hausdurchsuchung eventuell auch bei Kontaktpersonen/Providern und Beschlagnahmen von Unterlagen, IT, Smartphones, u. a.
Ein Spendenaufruf auf der Vereinswebseite reicht, um die bayerische Polizei bei Tagesanbruch durch die Wohnungstür marschieren zu lassen. Anlass für die Aktion war eine eher fadenscheinige Verbindung zu einem strittigen Demo-Aufruf. Wir sprachen nach dem Einsatz mit den Betroffenen vom Verein „Zwiebelfreunde“, die sich zu Unrecht kriminalisiert sehen ...
https://netzpolitik.org/2018/zwiebelfre ... lt-werden/
Gab m. E. kürzlich noch einen zweiten, ähnlich gelagerten Fall. Schütze dich da mal gegen. Eventuell Verschlüsselung und zentraler Not-Ausschalter (FI-Schutzschalter, Funksteckdose). Rechtsstaat im Sinne von Gerechtigkeit und Verhältnismäßigkeit wäre die universelle, systematische Lösung.
Hinweis: Firewalls werden kaum verschlüsselt und loggen Verbindungen. Art und Dauer einstellbar. :wink:

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von Trollkirsche » 21.08.2018 21:41:56

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.08.2018 12:51:37
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Wie sieht es aber mit der Debian Distribution aus? Wie knackbar ist ein System, wenn, nehmen wir mal an, der Provider mit irgendwelchen dubiosen Gestalten zusammenarbeiten würde und die Providersicherheit (Firewall, NAT) keine Rolle mehr spielen würde?
Wenn dein Debian keine offenen Ports hat, wäre das schwierig. Also bleibt Nutzung von Exploits, Daten abschnorcheln (Legal Interception) und Quellen-TKÜ/Staatstrojaner. Welche Tricks Geheimdienste, Kriminal-/"Cyberaemter" und Hacker haben, kann dir hier sicher keiner genau beantworten. Jedenfalls werden Provider keine Eigeninitiative haben (dürfen). :wink:
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 21:47:51
Ich bin im Besitze einer Hardware Firewall, bin aber noch relativ neu und unerfahren in dem Gebiet. Es ist extrem kompliziert da wirklich durchzublicken und man bekommt wirklich das Gefühl, dass der Kampf um die Freiheit eigentlich schon verloren ist.
Ist kein Allheilmittel. Man kann sich absolut heiss machen oder allgemeine Grundsätze der Konfiguration einhalten. Ist nicht sooo schwierig und Spaß macht es auch. Allerdings stellt die Firewall einen Server dar, der direkt am Internet hängt. Deshalb obige Tipps für Anfänger, insbesondere eigene Firewall hinter NAT-Router des Providers basteln, testen, lernen.

Meine Regeln für eigene FW im Heimnetz:
Alles ist verboten! Nur gewünschten Traffic outgoing erlauben! Rückweg macht SPI implizit.
Wenn WAN-IF=DHCP-Client spezielle Regeln erforderlich.
DNS-Server antwortet nur nach innen. DHCP-Server selbstverständlich auch.
besondere Achtung auf Managementzugriff (nur spezieller Port der FW oder 1 "Management-PC" mit Ethernetkarte im LAN erlaubt)
Segmentierung für LAN, WLAN und Gastnetz + besondere Regeln, Einschränkungen für letztere
möglichst kein Traffic von und zu lokal genutzten, privaten und bogon Netzen incoming und outgoing auf WAN-IF (IP-Spoofing)
http://www.team-cymru.com/bogon-reference.html oder https://ipinfo.io/bogon
(Einschränkungen bei Carrier Grad NAT oder Doppel-NAT beachten)
besondere Achtung auf ICMP (nicht alles erlauben) https://de.wikipedia.org/wiki/Firewall- ... CMP-Regeln
IMAP/S und SMTTP/S (also Transportverschlüsselung) nur zu meinen Provider-Servern
DNS- oder/und IP-Blocker outgoing gegen Malwareseiten, Tracker, Werbung (Nutzung von Listen anderer + eigene Erweiterungen)
sinnvolle Konfiguration der Logs, einige Unregelmäßigkeiten im Netz hoffentlich erkennbar
(IPv6, DMZ und öffentlich erreichbare Server habe ich nicht.)

Klingt kurz, ist wochenlange Arbeit und noch paranoider geht's auch. :mrgreen:
Fast alles kann man mit Debian-Rechnern machen - aber wer kann härten, Kernel-Parameter etc? Bin da eher für eine von Experten angepasste FW-Distributionen, spart Zeit und Nerven und die Konfiguration ist übersichtlicher bzw. erinnert an sinnvolle Parameter und Werte.
Hyperthreading ist wohl auch nicht die sicherste Idee auf einer FW. https://en.wikipedia.org/wiki/Hyper-threading#Security
Neben Intel ME und Intels Meltdown mit KPTI. An Spectre ist auch AMD "erkrankt".
Kannst du mir etwas genauer sagen, wieso Behörden jede Maschine innert Minuten zu knacken imstande sind? Wie würden solche Angriffe aussehen, was könnte man am besten dagegen tun, um sein Netz zu schützen?
Die "Ermittlungsarbeit" sieht doch verallgemeinert so aus: Einer fällt im Netz auf (Denunziation oder allgemeiner Datenstaubsauger, Selectoren, Analysen) Social Engineering einschließlich aller Kontaktpersonen, Hausdurchsuchung eventuell auch bei Kontaktpersonen/Providern und Beschlagnahmen von Unterlagen, IT, Smartphones, u. a.
Ein Spendenaufruf auf der Vereinswebseite reicht, um die bayerische Polizei bei Tagesanbruch durch die Wohnungstür marschieren zu lassen. Anlass für die Aktion war eine eher fadenscheinige Verbindung zu einem strittigen Demo-Aufruf. Wir sprachen nach dem Einsatz mit den Betroffenen vom Verein „Zwiebelfreunde“, die sich zu Unrecht kriminalisiert sehen ...
https://netzpolitik.org/2018/zwiebelfre ... lt-werden/
Gab m. E. kürzlich noch einen zweiten, ähnlich gelagerten Fall. Schütze dich da mal gegen. Eventuell Verschlüsselung und zentraler Not-Ausschalter (FI-Schutzschalter, Funksteckdose). Rechtsstaat im Sinne von Gerechtigkeit und Verhältnismäßigkeit wäre die universelle, systematische Lösung.
Hinweis: Firewalls werden kaum verschlüsselt und loggen Verbindungen. Art und Dauer einstellbar. :wink:
Hallo,

Euch erstmal allen vielen Dank für das sehr interessante Feedback. Ich muss mich da erst in der Tat noch etwas schlauer machen, aber als Inputs sicherlich sehr interessant.

Meine Festplatten sind bereits komplett verschlüsselt. Abhärtungstechniken bin ich grad am Erlernen. Es gibt jedoch sicherlich noch viel, dass ich für meine Sicherheit, auch anderen Hackern gegenüber, tun kann.

Dennoch kann im Grunde niemand wirklich sagen ob nicht bereits die ganze weltweite IT Infrastruktur an der richtigen Stelle offen liegt wie ein Buch.. und das beunruhigt mich doch, denn ich möchte nicht eine Totalüberwachte Menschheit. Leider sieht es bereits danach aus.

atarixle
Beiträge: 341
Registriert: 20.02.2006 19:30:37

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von atarixle » 22.08.2018 13:22:51

Eine verschlüsselte Festplatte nutzt nichts, die wird im Normalbetrieb transparent entschlüsselt, d.h. Programme und Dienste lesen die Platte nach der Anmeldung ganz normal und merken nichts von der Verschlüsselung, genau wie der Hacker, der einen Dienst angreift, der ohnehin Zugriff auf deine Festplatte bekommt.

geier22

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von geier22 » 22.08.2018 14:23:36

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 21:41:56
Meine Festplatten sind bereits komplett verschlüsselt. Abhärtungstechniken bin ich grad am Erlernen. Es gibt jedoch sicherlich noch viel, dass ich für meine Sicherheit, auch anderen Hackern gegenüber, tun kann.

Dennoch kann im Grunde niemand wirklich sagen ob nicht bereits die ganze weltweite IT Infrastruktur an der richtigen Stelle offen liegt wie ein Buch.. und das beunruhigt mich doch, denn ich möchte nicht eine Totalüberwachte Menschheit. Leider sieht es bereits danach aus.
Du solltest dich nicht so wichtig nehmen, es sei denn du bist der Buchhalter von einem Vorstand eines DAX-Konzerns :wink:
Morgendliche Lektüre zum abhärten:
https://www.cert-bund.de/overview/AdvisoryShort

Deshalb, wie schon gesagt: Verschlüsseln hilft nur gegen Diebstahl aber nicht gegen Datenklau.

Wenn du wirklich wichtige Dokumente hast, was nicht einsehbar sein soll, verschlüssle es in einem Container oder auf einem Externen Laufwerk.
Und öffne (mounte) das nur kurzfristig, wenn du eine dieser Dateien wirklich brauchst.
Hackerangriffe oder gezieltes Infiltrieren von Seiten irgendwelcher Behörden sollten bei dir - wenn überhaupt - aus Zufall geschehen. Aber, -wie gesagt - wenn du nicht der oben beschriebene Buchhalter bist . mehr als unwahrscheinlich.

Das einzige für mich absolute NoGo im Internet ist für mich das Banking über mein Produktivsystem und einem Browser.

Aber da gibt es genug Threads hier im Forum.

Ansonsten halte ein paar "Basics" ein, die leicht zu vollziehen sind und nicht zum Hindernislauf werden:

Zumindest Browser und Mailclient mit Debianfirejail laufen lassen (Suche im Forum nach firejail)
Mit deinem Produktivsystem keine dubiosen Webseiten besuchen
Sichere deine wirklich privaten Daten (genau überlegen was) auf irgend eine Art und Weise.
Mach regelmäßig Updates.
Überlege dir mal, was du mit "infiltrieren" meinst, und ob du dich im Ernstfall überhaupt dagegen schützen kannst (NEIN !!)

Wenn du mit deiner Windows-Maschine Spiele oder sonst was machst: Schotte das System gegen dein Linux ab
(kein Datenzugriff von Windows aus) Datenübertragung auch via USB-Stick sollte nicht notwendig sein, wenn du auf
deinem Debian alles hast, was du zur Produktivität brauchst.

Vertraue Debian und lass es gut sein :mrgreen:

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Wie sicher ist ein Debian System, dass direkt am Router ohne Firewall hängt?

Beitrag von Trollkirsche » 22.08.2018 23:32:30

geier22 hat geschrieben: ↑ zum Beitrag ↑
22.08.2018 14:23:36
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 21:41:56
Meine Festplatten sind bereits komplett verschlüsselt. Abhärtungstechniken bin ich grad am Erlernen. Es gibt jedoch sicherlich noch viel, dass ich für meine Sicherheit, auch anderen Hackern gegenüber, tun kann.

Dennoch kann im Grunde niemand wirklich sagen ob nicht bereits die ganze weltweite IT Infrastruktur an der richtigen Stelle offen liegt wie ein Buch.. und das beunruhigt mich doch, denn ich möchte nicht eine Totalüberwachte Menschheit. Leider sieht es bereits danach aus.
Du solltest dich nicht so wichtig nehmen, es sei denn du bist der Buchhalter von einem Vorstand eines DAX-Konzerns :wink:
Morgendliche Lektüre zum abhärten:
https://www.cert-bund.de/overview/AdvisoryShort

Deshalb, wie schon gesagt: Verschlüsseln hilft nur gegen Diebstahl aber nicht gegen Datenklau.

Wenn du wirklich wichtige Dokumente hast, was nicht einsehbar sein soll, verschlüssle es in einem Container oder auf einem Externen Laufwerk.
Und öffne (mounte) das nur kurzfristig, wenn du eine dieser Dateien wirklich brauchst.
Hackerangriffe oder gezieltes Infiltrieren von Seiten irgendwelcher Behörden sollten bei dir - wenn überhaupt - aus Zufall geschehen. Aber, -wie gesagt - wenn du nicht der oben beschriebene Buchhalter bist . mehr als unwahrscheinlich.

Das einzige für mich absolute NoGo im Internet ist für mich das Banking über mein Produktivsystem und einem Browser.

Aber da gibt es genug Threads hier im Forum.

Ansonsten halte ein paar "Basics" ein, die leicht zu vollziehen sind und nicht zum Hindernislauf werden:

Zumindest Browser und Mailclient mit Debianfirejail laufen lassen (Suche im Forum nach firejail)
Mit deinem Produktivsystem keine dubiosen Webseiten besuchen
Sichere deine wirklich privaten Daten (genau überlegen was) auf irgend eine Art und Weise.
Mach regelmäßig Updates.
Überlege dir mal, was du mit "infiltrieren" meinst, und ob du dich im Ernstfall überhaupt dagegen schützen kannst (NEIN !!)

Wenn du mit deiner Windows-Maschine Spiele oder sonst was machst: Schotte das System gegen dein Linux ab
(kein Datenzugriff von Windows aus) Datenübertragung auch via USB-Stick sollte nicht notwendig sein, wenn du auf
deinem Debian alles hast, was du zur Produktivität brauchst.

Vertraue Debian und lass es gut sein :mrgreen:
Buchhalter ist gut... Wie soll ich denn so mein Kartell führen, wenn ich mich nichtmal auf meine IT Infrastruktur verlassen kann... Nein, da ist für den DON einfach nicht tragbar ;)

Ja mir ist schon klar, Verschlüsselung hilft nur wenn das System nicht läuft und der Boot der betreffenden Distri vorher nicht manipuliert wurde.
firejail habe ich hier beim Produktivsystem nicht am Laufen. Der Don hält sich auch nicht auf irgendwelchen dubiosen, russischen Seiten auf, die Gefahr fällt schonmal weg.
Aber ich gebe zu, ich muss den Browser besser abhärten, da ich genau das NoGo mach. Ich bezahl meine Gang per Bank über den Browser, das muss sicherer werden ;)

Windows Partition befindet sich nicht auf derselben Platte wie Linux, sondern auf 2 Platten getrennt. Das habe ich absichtlich so eingerichtet, da mir das Szenario des Zugriffs von Windows aus und die Manipulation
der Bootpartition geläufig war. So weit so gut. Ich hab jedoch Samba eingerichtet, um von der Windows Partition auf meinen Server zugreifen zu können. Das gefällt mir irgendwie auch nicht so recht.. Worauf müsste ich achten,
um dort etwaige Gefahren auszuschliessen? Samba deaktivieren?

Datenübertragung über USB Stick lässt sich leider nie ganz ausschliessen.. siehe meinen letzten Beitrag über USB Stick, dort habe ich 2 Szenarien beschrieben.

Bis dann!

Antworten