Debian nur über Exploits angreifbar?

[Trollkirsche]

Hallo zusammen,

Würdet ihr meine Aussage bestätigen, dass ein Debian Host, der an einem Netz hängt, nur über Exploits angegriffen werden kann, da ja alle Ports geschlossen sind?

Welche Angriffsvektoren gibt es noch ausser zb. 0day Exploits?

[MSfree]

Würdet ihr meine Aussage bestätigen, dass ein Debian Host, der an einem Netz hängt, nur über Exploits angegriffen werden kann, da ja alle Ports geschlossen sind?

Öhm, ja. Wie sonst?

[TomL]

....da ja alle Ports geschlossen sind?

Wer hat die Ports wo und womit geschlossen? Auf einem Standard-Debian sind alle Ports in beide Richtung offen... es ist allenfalls die Frage interessant, welche Dienste auf welchen Ports eingehend lauschen oder welche Programme welche Ports ausgehend zur Datenübertragung verwenden... es ist halt erst mal alles erlaubt.

Welche Angriffsvektoren gibt es noch ausser zb. 0day Exploits?

Der mit Abstand größte Angriffsvektor ist der berechtige User an der Tastatur, der über mehr Berechtigungen verfügt, als für seine tatsächliche Arbeit notwendig ist.

[uname]

Der Server bzw. der Dienst könnte auch falsch konfiguriert sein. Ich denke das wäre dann auch kein Exploit.

[MSfree]

Der Server bzw. der Dienst könnte auch falsch konfiguriert sein. Ich denke das wäre dann auch kein Exploit.

Ein Exploit ist das Ausnutzen einer Lücke. Ob man ausnutzt, daß root als Paßwort 12345 eingetragen hat oder ob man eine Fehlkonfiguration ausnutzt oder eine Sicherheitslücke, ist egal. Das sind alles Exploits.

[uname]

Und wenn ich mein Passwort für eine Webanwendung auf einen Zettel schreibe und jemand nutzt das Passwort, dann ist es ein Exploit? Hört sich natürlich auch viel besser an als eigene Dummheit.

[Trollkirsche]

Der Server bzw. der Dienst könnte auch falsch konfiguriert sein. Ich denke das wäre dann auch kein Exploit.

Ein Exploit ist das Ausnutzen einer Lücke. Ob man ausnutzt, daß root als Paßwort 12345 eingetragen hat oder ob man eine Fehlkonfiguration ausnutzt oder eine Sicherheitslücke, ist egal. Das sind alles Exploits.

Laut meinem Verständnis handelt es sich bei Exploits um Sicherheitslücken im Programmcode und Ausnutzen von Schwachstellen in der Software. Die Dummheit des Users zähle ich nicht dazu.

[Trollkirsche]

....da ja alle Ports geschlossen sind?

Wer hat die Ports wo und womit geschlossen? Auf einem Standard-Debian sind alle Ports in beide Richtung offen... es ist allenfalls die Frage interessant, welche Dienste auf welchen Ports eingehend lauschen oder welche Programme welche Ports ausgehend zur Datenübertragung verwenden... es ist halt erst mal alles erlaubt.

Welche Angriffsvektoren gibt es noch ausser zb. 0day Exploits?

Der mit Abstand größte Angriffsvektor ist der berechtige User an der Tastatur, der über mehr Berechtigungen verfügt, als für seine tatsächliche Arbeit notwendig ist.

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Würde man dennoch zu einer Desktop Firewall raten? Laut meinem Verständnis wäre der ja unnötig solange man die Kontrolle über die Ports, auf denen gelauscht wird, behält und der einzige Nutzer ist?

[MSfree]

Laut meinem Verständnis handelt es sich bei Exploits um Sicherheitslücken im Programmcode und Ausnutzen von Schwachstellen. Die Dummheit des Users zähle ich nicht dazu.

Eine Sicherheitslücke ist kein Exploit. Das englishe Wort "to exploit" heißt, etwas auszunutzen. Erst, wenn man eine Lücke ausnutzt, ist das ein Exploit, auch das Ausnutzen anderer Leute Unwissenheit.

[Trollkirsche]

Laut meinem Verständnis handelt es sich bei Exploits um Sicherheitslücken im Programmcode und Ausnutzen von Schwachstellen. Die Dummheit des Users zähle ich nicht dazu.

Eine Sicherheitslücke ist kein Exploit. Das englishe Wort "to exploit" heißt, etwas auszunutzen. Erst, wenn man eine Lücke ausnutzt, ist das ein Exploit, auch das Ausnutzen anderer Leute Unwissenheit.

In dem Falle nutzt du doch eine Sicherheitslücke aus, also du exploitest sie...

[MSfree]

In dem Falle nutzt du doch eine Sicherheitslücke aus, also du exploitest sie...

Richtig, nichts anderes habe ich ja geschrieben.

Die (Sicherheits)lücke selbst ist kein Exploit. Das Stück Software zum Ausnutzen derselben, das ist der Exploit.

[jessie]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Code: Alles auswählen

netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          16895      722/cupsd           
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          17151      949/dhclient        
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          16992      834/dhclient        
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          16902      793/cups-browsed    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           113        16862      750/avahi-daemon: r 
udp        0      0 0.0.0.0:59277           0.0.0.0:*                           113        16864      750/avahi-daemon: r 

Avahi könnte man per systemd maskieren/deaktivieren, dhclient ebenso bei fixer IP-Konfig., cupsd per Paketfilter nur zum NW-Drucker einschränken. Ob es für diese UDP-Dienste überhaupt Exploits gibt, weiß ich nicht, nie was gelesen. Normalerweise haben (im Gegensatz zu Modem-Zeiten) nun alle einen Router mit NAT und SPI. Und hoffentlich deaktiviertes UPnP, keinen Remote-Zugang für Provider (TR069) und andere sowie einen sichereren WLAN-Zugang.
https://de.wikipedia.org/wiki/Universal_Plug_and_Play
https://de.wikipedia.org/wiki/TR-069#Sicherheit
Windows-Virenschleudern der Kinder, Playstations mit erforderlichem UPnP, IoT-Geräte und Smartphones mit veraltetem Andrid ohne Sicherheitsupdates sollten besser in ein vom wichtigen Teil des Netzes abgetrenntes Netzwerksegment (Gastnetz).

(Die Kommandoausgabe ist übrigens mit Standardinstallation so, nichts extra nachinstalliert.)

[Trollkirsche]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Code: Alles auswählen

netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          16895      722/cupsd           
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          17151      949/dhclient        
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          16992      834/dhclient        
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          16902      793/cups-browsed    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           113        16862      750/avahi-daemon: r 
udp        0      0 0.0.0.0:59277           0.0.0.0:*                           113        16864      750/avahi-daemon: r 

Avahi könnte man per systemd maskieren/deaktivieren, dhclient ebenso bei fixer IP-Konfig., cupsd per Paketfilter nur zum NW-Drucker einschränken. Ob es für diese Dienste Exploits gibt, weiß ich nicht, nie was gelesen. Normalerweise haben (im Gegensatz zu Modem-Zeiten) nun alle einen Router mit NAT und SPI. Und hoffentlich deaktiviertes UPnP, keinen Remote-Zugang für Provider (TR069) und andere.
https://de.wikipedia.org/wiki/Universal_Plug_and_Play
https://de.wikipedia.org/wiki/TR-069#Sicherheit

.

[Trollkirsche]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Code: Alles auswählen

netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          16895      722/cupsd           
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          17151      949/dhclient        
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          16992      834/dhclient        
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          16902      793/cups-browsed    
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           113        16862      750/avahi-daemon: r 
udp        0      0 0.0.0.0:59277           0.0.0.0:*                           113        16864      750/avahi-daemon: r 

Avahi könnte man per systemd maskieren/deaktivieren, dhclient ebenso bei fixer IP-Konfig., cupsd per Paketfilter nur zum NW-Drucker einschränken. Ob es für diese Dienste Exploits gibt, weiß ich nicht, nie was gelesen. Normalerweise haben (im Gegensatz zu Modem-Zeiten) nun alle einen Router mit NAT und SPI. Und hoffentlich deaktiviertes UPnP, keinen Remote-Zugang für Provider (TR069) und andere.
https://de.wikipedia.org/wiki/Universal_Plug_and_Play
https://de.wikipedia.org/wiki/TR-069#Sicherheit

Erinner mich nicht daran. Der Drecks Router den ich vom Provider bekommen habe erlaubt keine config und Tr069 Protokoll ist aktiv. Ich hab zwar eine Enigmabox dran hängen, aber das Teil regt mich auch auf, wenn auch die Lösung an und für sich gut konzipiert ist. Aber der Service dort lässt mehr als zu wünschen übrig.

Ab und zu zocke ich über mein Windows Dual boot, das wäre natürlich durchaus ein Angriffsvektor...

Meine Hoffnungen in Sachen Freiheit und Datenschutz gehen mittlerweile Richtung GNUNet in Kombination mit Hardwarefirewall pfsense zb.

ps : Was haltet ihr von Gnunet so? Führt zwar etwas weg vom Thema, kann sonst auch mal im Smalltalk eine Diskussion eröffnen..

[TomL]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Nein, "lauschen" impliziert, dass ein Programm auf Zugriffe von außerhalb des Rechners (ggf.auch Internet) wartet. Aber das ist sowieso kein so großes Problem hinter einem Consumer-Router, weil der die Ports für 'eingehend' als Default-Einstellung geschlossen haben sollte. Das bedeutet, der "lauscher" kriegt vermutlich nie was von Angreifern aus dem Internet zu hören, allenfalls von einem anderen Client aus dem LAN. Anders siehts aus, wenn man im DSL-Router Ports öffnet und die Pakete auf ein bestimmtes System weiterleitet.

Ein normales Programm aus dem Userspace, sowas wie der Browser, LibreOffice, Musik- oder Videoplayer und so weiter, die lauschen aber nicht, die verbinden sich -wenn man sie manuell übers Menü o.ä. startet- einfach mit irgendeinem Server irgendwo... was ja zum Teil sogar bestimmungsgemäßer Verwendung entspricht. Wenns keine Repository-Pakete sind, kanns sogar sein, dass Du Hinweise bekommst "Hey, für mich gibts nen Update".... das weiss das Programm jedoch nur, weils sich unbemerkt und möglicherweise sogar unerlaubt im Hintergrund mit einem Web-Server verbunden hat... es hat quasi nachhause telefoniert.

Also, solche Programme lauschen nicht (quasi zur Reaktion bereit), solche lokalen Programme sind selber Initiator einer Aktion. Die musst Du noch nicht mal selber gestartet haben, das kann ganz einfach automatisch über die Bash passieren, durch Plugins, Addons, was auch immer. Und die könnten dann natürlich auch ganz einfach eine Reverse-Remote-Verbindung unter Verwendung anderer installierter Software etablieren... und schon krachts bei Dir im Gebälk. In solchen Fällen sitzt der Exploit immer an der Tastatur. Deshalb würde ich niemals Software aus anoymen Quellen installieren.

Würde man dennoch zu einer Desktop Firewall raten? Laut meinem Verständnis wäre der ja unnötig solange man die Kontrolle über die Ports, auf denen gelauscht wird, behält und der einzige Nutzer ist?

Mit Disziplin und Wissen ist das imho nicht zu kontrollieren... das geht nur über eine Firewall.... entweder vor dem WAN oder auch als lokale Firewall. Lokal ist sehr effektiv, weils ne Maßschneiderung sein kann, aber eben auch aufwendig, weils kein allgemeingültiges Muster gibt.

[OrangeJuice]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?
Müsste aber geändert werden, weil Debian 10 jetzt nftables statt iptables verwendet.

[TomL]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?

Nein, tuts nicht... m.E. wird damit sogar IPv6 komplett abgeschossen. Und ausgehender Traffic ist eh pauschal erlaubt.

Aber mal im Ernst... ich würde mich doch jetzt hier nicht bekloppt machen und in Paranoia ersaufen. Man sollte schon auf dem Teppich bleiben. Verzichte einfach auf Software aus anonymen Quellen,installiere einen Script-Blocker im Browser, installiere nur Software (aus dem Repo), die auch wirklich verwendet wird, deinstalliere alle Pakete/Dienste, die nicht verwendet werden. Dann noch auf "sudo" verzichten... also am Besten das Paket deinstallieren. Und zum Schluss dem Anwender alle Rechte nehmen, das System an sich zu verändern. Damit bist Du schon auf ziemlich sicherer Seite.

Wie gesagt, der Router sperrt eigentlich schon von Hause aus alles ab. Und solange man den nicht öffnet, bleiben als Attacken nur noch die von innerhalb des Netzwerks übrig... also durch die Anwender selber. Und es gibt keine Firewall, die verhindert, dass Du eine per Mail angekommen Ransomware auf Deine Daten loslässt. Soll heissen, bist Du nicht leichtsinning, passiert da meiner Meinung nach mit Debian als OS auch nicht viel.

[bluestar]

Würdet ihr meine Aussage bestätigen, dass ein Debian Host, der an einem Netz hängt, nur über Exploits angegriffen werden kann, da ja alle Ports geschlossen sind?

Nein!

Welche Angriffsvektoren gibt es noch ausser zb. 0day Exploits?

Jede Form physischer Gewalt zur Zerstörung von Hardware und gespeicherter Daten.

[Trollkirsche]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Nein, "lauschen" impliziert, dass ein Programm auf Zugriffe von außerhalb des Rechners (ggf.auch Internet) wartet. Aber das ist sowieso kein so großes Problem hinter einem Consumer-Router, weil der die Ports für 'eingehend' als Default-Einstellung geschlossen haben sollte. Das bedeutet, der "lauscher" kriegt vermutlich nie was von Angreifern aus dem Internet zu hören, allenfalls von einem anderen Client aus dem LAN. Anders siehts aus, wenn man im DSL-Router Ports öffnet und die Pakete auf ein bestimmtes System weiterleitet.

Ein normales Programm aus dem Userspace, sowas wie der Browser, LibreOffice, Musik- oder Videoplayer und so weiter, die lauschen aber nicht, die verbinden sich -wenn man sie manuell übers Menü o.ä. startet- einfach mit irgendeinem Server irgendwo... was ja zum Teil sogar bestimmungsgemäßer Verwendung entspricht. Wenns keine Repository-Pakete sind, kanns sogar sein, dass Du Hinweise bekommst "Hey, für mich gibts nen Update".... das weiss das Programm jedoch nur, weils sich unbemerkt und möglicherweise sogar unerlaubt im Hintergrund mit einem Web-Server verbunden hat... es hat quasi nachhause telefoniert.

Also, solche Programme lauschen nicht (quasi zur Reaktion bereit), solche lokalen Programme sind selber Initiator einer Aktion. Die musst Du noch nicht mal selber gestartet haben, das kann ganz einfach automatisch über die Bash passieren, durch Plugins, Addons, was auch immer. Und die könnten dann natürlich auch ganz einfach eine Reverse-Remote-Verbindung unter Verwendung anderer installierter Software etablieren... und schon krachts bei Dir im Gebälk. In solchen Fällen sitzt der Exploit immer an der Tastatur. Deshalb würde ich niemals Software aus anoymen Quellen installieren.

Würde man dennoch zu einer Desktop Firewall raten? Laut meinem Verständnis wäre der ja unnötig solange man die Kontrolle über die Ports, auf denen gelauscht wird, behält und der einzige Nutzer ist?

Mit Disziplin und Wissen ist das imho nicht zu kontrollieren... das geht nur über eine Firewall.... entweder vor dem WAN oder auch als lokale Firewall. Lokal ist sehr effektiv, weils ne Maßschneiderung sein kann, aber eben auch aufwendig, weils kein allgemeingültiges Muster gibt.

Vielen Dank für deine ausführliche Erklärung.

In dem Falle lauschen immer nur dienste, die ich auch so konfiguriere. Damit diese dienste jedoch von aussen erreichbar sind, müsste ich den jeweiligen Port am Router forwarden. Von aussen kann nichts auf mein lokales Netzwerk zugreifen, es sei denn ich öffne den Port am router. Geöffnete Ports am router, an denen kein Dienst lauscht, verlaufen ins leere. Lauscht jedoch ein Dienst im lokalen Netzwerk auf einem Host auf dem betreffenden Port und dieser ist am router geöffnet, dann kann auf diesen zugegriffen werden und allenfalls Sicherheitslücken ausgenutzt werden.

Wenn ein normales Programm jedoch nach aussen hin eine Verbindung öffnet.. so hat er, da ja die Kommunikation bidirektional stattfindet, ebenfalls Zugriff auf das Gerät?
Nehmen wir an den Browser. Ich öffne eine Seite. Mein PC verbindet sich über Port 8080 zu dem betreffenden Host mit dem Port 80. In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

welche firerwall lösung hast du selbst?

Würdest du zb. ein usb stick mit einem bitcoin wallet, der auf einem debian system läuft zusätzlich noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

[Trollkirsche]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?

Nein, tuts nicht... m.E. wird damit sogar IPv6 komplett abgeschossen. Und ausgehender Traffic ist eh pauschal erlaubt.

Aber mal im Ernst... ich würde mich doch jetzt hier nicht bekloppt machen und in Paranoia ersaufen. Man sollte schon auf dem Teppich bleiben. Verzichte einfach auf Software aus anonymen Quellen,installiere einen Script-Blocker im Browser, installiere nur Software (aus dem Repo), die auch wirklich verwendet wird, deinstalliere alle Pakete/Dienste, die nicht verwendet werden. Dann noch auf "sudo" verzichten... also am Besten das Paket deinstallieren. Und zum Schluss dem Anwender alle Rechte nehmen, das System an sich zu verändern. Damit bist Du schon auf ziemlich sicherer Seite.

Wie gesagt, der Router sperrt eigentlich schon von Hause aus alles ab. Und solange man den nicht öffnet, bleiben als Attacken nur noch die von innerhalb des Netzwerks übrig... also durch die Anwender selber. Und es gibt keine Firewall, die verhindert, dass Du eine per Mail angekommen Ransomware auf Deine Daten loslässt. Soll heissen, bist Du nicht leichtsinning, passiert da meiner Meinung nach mit Debian als OS auch nicht viel.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht. Also am besten immer die Wartungsarbeiten über su erledigen und von visudo die finger lassen, zumindest zuhause wo man die Kontrolle über seine Installation hat

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

[TomL]

In dem Falle lauschen ....

Richtig!

Wenn ein normales Programm jedoch nach aussen... In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Jain... wenn überhaupt, hat ein Browser-Plugin allenfalls Rechte auf Dein Homedir.... es schreibt ja ggf. auch seine Konfigurationsdaten auf die Platte und liest sie von dort wieder ein. Allerdings könnte so ein Plugin natürlich auch Veränderungen an Daten innerhalb Deines Homedirs vornehmen, die nicht in Deinem Sinne sind, oder auch Daten lesen, die eigentlich vertraulich sind. Und wenns das kann, könnte es auch eine Verbindung nach außen öffen und diese Daten übertragen. Wobei ich allerdings nicht glaube, dass Open-Source-Tools wie ublock oder noscript so etwas unbemerkt tun. Ich selber verwende aus diesem Grund nur ein einziges Addon und verzichte auf den möglichen Komfort anderer Addons, und zwar Ublock Origin. Allerdings bei Addons/Plugins aus eigentlich anonymen Quellen siehts wohl anders ... man weiss eben nicht, ob es wirklich nur das tut, was es vorgibt zu tun... vielleicht wurde das Plugin ja genau dafür geschaffen, etwas unerwünschtes zu tun, z.B. den Staatstrojaner zu installieren . Und es könnte sich sogar, sofern sudo ein gern verwendeter Befehl (abseits der eigentl. Bestimmung), darüber root-Rechte erschleichen. Deswegen behaupte ich, dass "sudo" ein Sicherheitsrisiko ist.

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

Ich bin da anderer Meinung.... ich halte eine solche FW für optimal, wenn die Clients im LAN effektiv vom Internet getrennt werden und beispielsweise nur über einen Proxy gesteuert ins Web dürfen. Das tun sie aber schon mal nicht, wenn sie privat z.B. eine IPv6-GUA-Adresse hätten, weil ganz regulär das RA den ISP-Prefix verteilt oder weils sich um einen DS-Lite-Account handelt. Und dann als Maßnahme IPv6 abzuschalten ist ja wohl total Banane und völlig bekloppt. Also... wollen wir das für *privat* wirklich? Wofür? Ich bin zu unwichtig, ich brauch sowas jedenfalls nicht. Und wenns um was wichtiges geht, wirds verschlüsselt. Punkt. Fakt ist, Clients in unseren privaten Netzwerken haben unterschiedliche Aufgaben, entweder man bohrt dann eine solche dedizierte FW so weit auf, dass auf allen Geräten alles erlaubt, auch das, was vielleicht an einer Stelle gar nicht benötigt wird, dafür aber an einem einzigen anderen PC. Oder man customized es individuell. Aber das bedeutet einen hohen Verlust von Flexibilität und äußerst restriktives IP-Design... in Folge extrem hoher Verwaltungsaufwand. Das heisst, jeder Rechner kriegt eine feste IP, alle anderen sind verboten, die Switches haben ne selbstabschaltende Port-Security, bei der die MAC an die IP gebunden ist, undefinierte IPs im gültigen Adressbereich werden konsequent gedropt, usw. usw.

Meine Meinung: Vergiss den Quatsch. Das ist was für Leute mit Profi-Erfahrung. Wir Laien basteln uns nur was damit, was wir gar nicht im Griff haben und vertrauen auf einen Sicherheit, die möglicherweise gar keine ist.

BTW, ich hab da so eine Erinnerung... ich hatte Dir per PM mal nen Link geschickt.... das sind Basics... wenn Dir das nicht geläufig ist, gibts keine Security. Security bedeutet in allererster Linie zu verhindern, dass sich ein User über die getroffenen Sicherheitsmaßnahmen hinwegsetzen kann ... eben auch durch fremden und unberechtigten Missbrauch dieser vergebenen Rechte. Du kannst soviel Security-Hardware und Software installieren, wie Du willst... wenn der User über Rechte verfügt, dass zu umgehen, gibts keine Sicherheit - egal ob der das aus Dummheit oder Fahrlässigkeit oder mit Vorsatz tut, oder ob die Rechte von fremden missbraucht werden ... sowas ist faktisch eine von innen initiierte Sabotage. Dagegen sind solche Installationen jedenfalls kein wirksames Gegenmittel.

welche firerwall lösung hast du selbst?

Keine. Ich verwende nach Aufgabe des PC bzw. VM maßgeschneiderte Paketfilter.... siehe Link

....noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

Die UFW ist iptables, bzw. jetzt nftables.... und ich halte die UFW für Schlangenöl. Ich würde die nur mit einer einzigen Einstellung empfehlen: Totale Totschlagkeule bei Anmeldungen an öffentlichen unbekannten Accesspoints. Die dabei gesetzten Regeln sind wirklich sehr restriktiv. Alles andere ist ein schier unkontrollierbar Spagettiknoten, wo Du ohne sehr fundierte Sachkenntnis kaum eine Kontrolle darüber hast, ob die Regeln wirklich das tun, was Du Dir vorgestellt hast.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht.

Auch darüber findest Du Infos, im erwähnten PM-Link.

[MSfree]

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

Ein Browser hat lesenden und schreibenden Zugriff auf die lokale Festplatte. Prinzipiell könnte also ein bösartiger Server dir Dateien schicken, die über den Browser ihren Weg auf die Festplatte finden, z.B. einfach über den Browsercache. Das sollte allerdings noch keine Panik auslösen, denn eine böswillige Datei richtet auf der Platte zunächst keine Schaden an, denn solange sie dort nur passiv rumliegt passiert auch nichts.

Erst durch eine Sicherheitslücke im Browser kann ein Exploit auch eine auf der Platte lagernde böswillige Datei zur Ausführung bringen. Solange diese Datei aber nur im Namen des Benutzers ausgeführt wird, kann so ein Programm zwar die Dateien der Benutzers zerstören, aber um das System anzugreifen, hätte so ein Programm keine Berechtigung. Es Bedarf also eine weiteren Sicherheitslücke, mit der sich so ein Programm root-Rechte erschleichen kann.

Ob man dazu Lücken im Browser selbst oder Lücken in Addons nutzt, ist hier egal. Addons liefern halt zusätzlich Angriffsflächen zu denen, die der Browser hat. Auch Javascript ist nicht ungefährlich, weil hier eigenständige Programm, die vom Server übertragen werden, vom Browser ausgeführt werden. Zwar wird bei der Entwicklung der Javascriptmaschinen darauf geachtet, daß kein gefährlicher Code ausgeführt werden kann, aber fehlerfrei sind diese Maschinen natürlich nicht.

[OrangeJuice]

Oder über so etwas wie Stegosploit?

[Trollkirsche]

In dem Falle lauschen ....

Richtig!

Wenn ein normales Programm jedoch nach aussen... In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Jain... wenn überhaupt, hat ein Browser-Plugin allenfalls Rechte auf Dein Homedir.... es schreibt ja ggf. auch seine Konfigurationsdaten auf die Platte und liest sie von dort wieder ein. Allerdings könnte so ein Plugin natürlich auch Veränderungen an Daten innerhalb Deines Homedirs vornehmen, die nicht in Deinem Sinne sind, oder auch Daten lesen, die eigentlich vertraulich sind. Und wenns das kann, könnte es auch eine Verbindung nach außen öffen und diese Daten übertragen. Wobei ich allerdings nicht glaube, dass Open-Source-Tools wie ublock oder noscript so etwas unbemerkt tun. Ich selber verwende aus diesem Grund nur ein einziges Addon und verzichte auf den möglichen Komfort anderer Addons, und zwar Ublock Origin. Allerdings bei Addons/Plugins aus eigentlich anonymen Quellen siehts wohl anders ... man weiss eben nicht, ob es wirklich nur das tut, was es vorgibt zu tun... vielleicht wurde das Plugin ja genau dafür geschaffen, etwas unerwünschtes zu tun, z.B. den Staatstrojaner zu installieren . Und es könnte sich sogar, sofern sudo ein gern verwendeter Befehl (abseits der eigentl. Bestimmung), darüber root-Rechte erschleichen. Deswegen behaupte ich, dass "sudo" ein Sicherheitsrisiko ist.

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

Ich bin da anderer Meinung.... ich halte eine solche FW für optimal, wenn die Clients im LAN effektiv vom Internet getrennt werden und beispielsweise nur über einen Proxy gesteuert ins Web dürfen. Das tun sie aber schon mal nicht, wenn sie privat z.B. eine IPv6-GUA-Adresse hätten, weil ganz regulär das RA den ISP-Prefix verteilt oder weils sich um einen DS-Lite-Account handelt. Und dann als Maßnahme IPv6 abzuschalten ist ja wohl total Banane und völlig bekloppt. Also... wollen wir das für *privat* wirklich? Wofür? Ich bin zu unwichtig, ich brauch sowas jedenfalls nicht. Und wenns um was wichtiges geht, wirds verschlüsselt. Punkt. Fakt ist, Clients in unseren privaten Netzwerken haben unterschiedliche Aufgaben, entweder man bohrt dann eine solche dedizierte FW so weit auf, dass auf allen Geräten alles erlaubt, auch das, was vielleicht an einer Stelle gar nicht benötigt wird, dafür aber an einem einzigen anderen PC. Oder man customized es individuell. Aber das bedeutet einen hohen Verlust von Flexibilität und äußerst restriktives IP-Design... in Folge extrem hoher Verwaltungsaufwand. Das heisst, jeder Rechner kriegt eine feste IP, alle anderen sind verboten, die Switches haben ne selbstabschaltende Port-Security, bei der die MAC an die IP gebunden ist, undefinierte IPs im gültigen Adressbereich werden konsequent gedropt, usw. usw.

Meine Meinung: Vergiss den Quatsch. Das ist was für Leute mit Profi-Erfahrung. Wir Laien basteln uns nur was damit, was wir gar nicht im Griff haben und vertrauen auf einen Sicherheit, die möglicherweise gar keine ist.

BTW, ich hab da so eine Erinnerung... ich hatte Dir per PM mal nen Link geschickt.... das sind Basics... wenn Dir das nicht geläufig ist, gibts keine Security. Security bedeutet in allererster Linie zu verhindern, dass sich ein User über die getroffenen Sicherheitsmaßnahmen hinwegsetzen kann ... eben auch durch fremden und unberechtigten Missbrauch dieser vergebenen Rechte. Du kannst soviel Security-Hardware und Software installieren, wie Du willst... wenn der User über Rechte verfügt, dass zu umgehen, gibts keine Sicherheit - egal ob der das aus Dummheit oder Fahrlässigkeit oder mit Vorsatz tut, oder ob die Rechte von fremden missbraucht werden ... sowas ist faktisch eine von innen initiierte Sabotage. Dagegen sind solche Installationen jedenfalls kein wirksames Gegenmittel.

welche firerwall lösung hast du selbst?

Keine. Ich verwende nach Aufgabe des PC bzw. VM maßgeschneiderte Paketfilter.... siehe Link

....noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

Die UFW ist iptables, bzw. jetzt nftables.... und ich halte die UFW für Schlangenöl. Ich würde die nur mit einer einzigen Einstellung empfehlen: Totale Totschlagkeule bei Anmeldungen an öffentlichen unbekannten Accesspoints. Die dabei gesetzten Regeln sind wirklich sehr restriktiv. Alles andere ist ein schier unkontrollierbar Spagettiknoten, wo Du ohne sehr fundierte Sachkenntnis kaum eine Kontrolle darüber hast, ob die Regeln wirklich das tun, was Du Dir vorgestellt hast.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht.

Auch darüber findest Du Infos, im erwähnten PM-Link.

In dem Falle wäre der Einsatz von Firejail für den Browser ein wahrer Gewinn. Dann würde er ja nicht mehr im richtigen Verzeichnis lesen, sondern ein eigenes Fake-Homedir vorgaukeln. Ich hab Firejail hier auf dem Testlaptop im Einsatz, aber da ich es nicht geschafft habe Firejail mitzuteilen, wie er die Torrentshares einbinden soll, hab ichs zuhause deinstalliert. Ich muss mich da wohl nochmal reinarbeiten und hier nochmal nachfragen.

Ich nutze als Addons nur https everywhere und noscript. Leider bleibt das Anwenden von NoScript immer auch ein bisschen ein Glücksspiel, weil man auf gut raten Dinge freischalten muss, falls mal eine Seite nicht wie erwartet funktioniert. Es kann also schon eine Weile dauern, bis man wirklich nur die Scripte laufen lässt, die wirklich von Bedeutung sind.

Bezüglich sudo.. damit ein Browser Addon sich root rechte erschleichen kann, müsste ja dennoch das Passwort des Benutzers bekannt sein. Dies würde wohl eher eine zielgerichtete Attacke darstellen anstelle einer automatisierten. Den Ratschlag mit dem Entfernen von sudo erachte ich aber als extrem gut. Man kann sich ja auch mit seinem root account einloggen wenn man Admin Tätigkeiten durchführen muss.

Bezüglich eigener Firewall : Mein vom Provider zugeteilter Router nutzt TR-069 und gerade dank dir hab ich erfahren, dass so der Zugriff auf mein lokales Netz besteht. Ich möchte das unterbinden. Mit einer Hardware Firewall hätte man einen Kontrollpunkt und ich könnte dadurch sicherlich noch sehr vieles lernen. So schwer kann OpenWRT oder Pfsense ja nicht sein, ich müsste mich da lediglich mal einarbeiten.

Zurzeit hat der Provider keinen Zugriff auf mein Netzwerk aufgrund der Enigmabox. Ich möchte in Zukunft jedoch auf die Box verzichten und das irgendwann erscheinende GNUNet unterstützen. Da bleibt mir wohl nichts anderes übrig auf eine Hardware Firewall zu setzen wenn ich nicht möchte, dass der Provider Zugriff auf mein Netzwerk bekommt und ich das Gnunet unterstützen kann. Dies ist mit der Enigmabox leider nicht möglich, da beim Exit-Node alle Ports nach innen geschlossen sind und die Exit-Nodes nicht unter meiner Kontrolle sind. Gnunet erfordert jedoch das öffnen von Ports. Zudem wäre es gut, wenn der gnunet Router dann gleich 24/7 laufen würde und ich per Glasfaser Bandbreite zur Verfügung stellen kann.

Ach und wegen dem Link:
den habe ich sogar in meinen Favoriten gespeichert und vieles davon schon gelesen. Da jedoch Feierabend war habe ich dann aufgehört, werde aber den Rest noch nachholen. Ich fand den Artikel richtig gut. Danke nochmal hierfür.

Bezüglich IPTables, respekive nftables.. hab ich mich schon mal kurzzeitig damit befasst, aber auch dort muss ich noch weitermachen... mal so ein firewallscript schreiben und implementieren zb.

Bis dann!

[Trollkirsche]

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

Ein Browser hat lesenden und schreibenden Zugriff auf die lokale Festplatte. Prinzipiell könnte also ein bösartiger Server dir Dateien schicken, die über den Browser ihren Weg auf die Festplatte finden, z.B. einfach über den Browsercache. Das sollte allerdings noch keine Panik auslösen, denn eine böswillige Datei richtet auf der Platte zunächst keine Schaden an, denn solange sie dort nur passiv rumliegt passiert auch nichts.

Erst durch eine Sicherheitslücke im Browser kann ein Exploit auch eine auf der Platte lagernde böswillige Datei zur Ausführung bringen. Solange diese Datei aber nur im Namen des Benutzers ausgeführt wird, kann so ein Programm zwar die Dateien der Benutzers zerstören, aber um das System anzugreifen, hätte so ein Programm keine Berechtigung. Es Bedarf also eine weiteren Sicherheitslücke, mit der sich so ein Programm root-Rechte erschleichen kann.

Ob man dazu Lücken im Browser selbst oder Lücken in Addons nutzt, ist hier egal. Addons liefern halt zusätzlich Angriffsflächen zu denen, die der Browser hat. Auch Javascript ist nicht ungefährlich, weil hier eigenständige Programm, die vom Server übertragen werden, vom Browser ausgeführt werden. Zwar wird bei der Entwicklung der Javascriptmaschinen darauf geachtet, daß kein gefährlicher Code ausgeführt werden kann, aber fehlerfrei sind diese Maschinen natürlich nicht.

Eine sehr gute Beschreibung, vielen Dank! Javascript ist für mich eine Seuche. Es bräuchte mal irgend einen Webstandard, der nicht das Aussschnüffeln und das starten von Scripten per Browser aus ermöglicht.

Warum setzen die Menschen eigentlich nicht vermehrt allein auf den html5 Standard? Damit sollten sich doch auch sehr gute Webseiten kreieren lassen und gleichzeit den Anwender schützen vor IP Schnüffelei, Browser fingerprinting und dergleichen?

für mich ist jedenfalls mit javascript nie ein wirklicher Datenschutz praktizierbar.