Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL

Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 16:51:43

Moin @ all

"Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router" aus der Betreffszeile ist eigentlich gar nicht die vollständige Frage.... für die ich jetzt etwas ausholen muss. Seit längerem befasse ich mich mit eigenen Client-Iptables (und auch nftables), was mir (beides) nach meinem Verständnis bisher ziemlich gut gelungen ist. Bei mir gilt die Prämisse "Es ist alles verboten, was nicht ausdrücklich erlaubt ist". Natürlich ist eine Verbesserung der lokalen Sicherheit die dahinterstehende Absicht.

Jetzt habe ich in der Vergangenheit schon öfter einzelne Meinungen gelesen, wo den Kommerz-Routern misstraut wird und das deshalb selbst-eingerichtete Linux-Router deren Aufgabe ebenfalls mit dem Ziel verbesserter Sicherheit übernommen haben. Da es aber nicht ohne DSL-Router geht, stelle ich mir hierbei also den Router hinter dem Router (DSL/WAN) vor. Wie wird aber so ein "innerer" eigener Router abgesichert...?... ich vermute mal mit einem Paketfilter, von dem man weiss, dass er keine Hintertüren offen hat... sofern man ausreichend Kenntnisse hat, einen solchen Filter i.ü.S. durch ein Audit zu bestätigen. Hat man die Kenntnisse nicht, ist da mehr oder weniger das Wunschdenken der eigentliche Kern der Sicherheit.

Was mich jetzt beschäftigt ist die Frage, wie verändert ein 'bestätigt Sicher eingestellter' Linux-Router tatsächlich die Sicherheit, im Vergleich zur Situation mit einem Kommerz-Router plus sehr restriktiven Client-Paketfilter? Im Moment neige ich zu der Meinung, dass der Client-Filter die sicherere Alternative ist, weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird. Deshalb sind auf meinem PCs alle unprivilegierten Ports ausgehend perse verboten .... was auf einem Router imho schwerlich umzusetzen ist, weil damit pauschal das Netz kastriert wird. Darüber hinaus muss der Linux-Router alle Clients bedienen, wobei ich aber mit eigenem Filter auf den Clients deutlich mehr individuell unterschiedlich erlauben oder verbieten kann.

Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?

Wie sind Eure Meinung dazu?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 17:38:33

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. ...

Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?
Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 18:21:21

mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 17:38:33
Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.
Ja, klar, daran hatte ich keinen Zweifel... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.


PS
Ein Nachtrag bezogen auf meinen anderen Thread... ich hatte mich getäuscht. Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, Port 5353 aber nicht. Ich habe das mehrfach getestet... und es hat mich auch überrascht.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 01.03.2018 18:40:58

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Das sehe ich genau so. Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 18:52:39

NAB hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:40:58
Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?
Wie unterscheiden sich die Diagnose-Möglichkeiten bei einem Custom-Router? Wie kann der unterscheiden, ob der ausgehende Traffic legaler Traffic ist oder Traffic eines kompromittierten Systems ist? Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe? Wie verbessert der Custom-Router hier die Sicherheit?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 23:25:09

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:21:21
... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.
Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst. Es soll ja kein zusätzlicher Router (oder gleichwertig) verwendet werden, sondern nur einer bei dem die Firmware (oder das OS) zu 100% open source ist (d. h. eine modifizierte/benutzerdefinierte Firmware geflasht werden kann).

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 01.03.2018 23:32:20

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:21:21
Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, ...
Du meinst "Packettype Multicast", bezogen auf iptables? Jede Anwendung kann man anderes darunter verstehen. Mit z. B.:

Code: Alles auswählen

tcpdump -vvven multicast
sieht man, was tcpdump unter "multicast" versteht.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 01.03.2018 23:36:29

mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:32:20
Du meinst "Packettype Multicast", bezogen auf iptables?
Ich meine, das MDNS für Iptables kein Packettype Multicast ist. Damit das durchkommt, musste ich Port 5353 extra freigeben.... oder anders ausgedrückt "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:25:09
Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst.
Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen... :roll:

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 00:01:20

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:36:29
... "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
D. h., wenn die default policy der chain auf ACCEPT wäre, könnte man mit "-m pkttype --pky-type multicast" und dem target DROP, diese Pakete auch nicht blocken. Für iptables müssen die Datenpakete einen IP-header (mind. 3. Schicht) haben.

EDIT:

Mit dem Pakettyp "host/multicast/broadcast" ist ja auch nur festgelegt, an wen bzw. an wie viele die Daten gesendet werden und nicht die genaue Art der Daten:
host
-> an uns

broadcast
-> an alle

multicast
-> an eine Gruppe
Quelle: http://www.netfilter.org/documentation/ ... html#ss3.8
Zuletzt geändert von mat6937 am 02.03.2018 10:06:08, insgesamt 2-mal geändert.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 02.03.2018 00:17:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 23:36:29
Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen... :roll:
Vielleicht kommst du dabei ja auch noch auf eine Idee, wie du mit nem Router herausfinden kannst, ob das Tablett sekündlich ne Mail verschickt ...

(Ob dein Kommerz-Router das dann kann, weiß ich aber immer noch nicht)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 08:04:29

Vielleicht sind auch irgendwelche kommerziellen, unsicheren, lange nicht upgedateten Netzkomponenten (Accesspoints, Switches, Android-TV, Smartphones) oder Gastgeräte zu schützen, einzuschränken, auf ungewöhnlichen Traffic zu überwachen (zentrale Logs)? Des Weiteren halte ich aufwändige Sicherheitsmaßnahmen (iptables, Logs) mit Doppelungen an mehreren Geräten für fehleranfälliger (Doku, Netzänderung). Logdurchsichten mehrerer Geräte? Kannst ja noch rsyslog-Server basteln. Zuzüglich für aggregierte Vebindungsdaten.
Eine Desktop-Firewall ist natürlich granulierbarer, kann auch Programme OSI-Layer-7 berücksichtigen, währen eine Firewall meist nur auf OSI-Layer-4 arbeitet. Aber die Arbeit ...

Abwägung, was zentral (Firewall mit Zonen und VLANs) sinnvoll, was dezentral (Hosts). Damit fällt ein Plasterouter ohne xWRT/LEDE zumindest aus. Des Weiteren ist wohl sinnvoll, ein dummes xDSL-Modem (*) zu betreiben. Angriffe auf unsichere Plasterouter in Bitcoin-Mining-Zeiten und Botnetzen werden wohl nicht weniger. Zumindest weniger Performance und Übertragungsrate mit laufender Malware. Für deine unwesentlichen Daten werden sich die bösen Buben kaum interessieren.

(*) Telefonie per Ethernetport und VoIP-Adapter oder VoIP- (DECT-) Telefon möglich. Gerätezoo ... :facepalm:

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 09:33:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:52:39
Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe?
Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen. Was hat der Verschlüsselungsvorgang mit deinem Router zu tun? Gar nichts. Der Router (L3) kommt nur dann ins Spiel wenn Daten die Grenze verlassen oder eingehen. Der Router ist weder Intrusion Detection Sytem noch überwacht er deine Clients in dem Fall.
TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 18:52:39
Wie verbessert der Custom-Router hier die Sicherheit?
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden. Insofern du darin eingekapselt Verschlüsselung anwendest kannst du deine Nutzdaten etwas sicherer gestalten. Es ist nicht nur die Autoprovisionierung TR-09, aber auch sonstige Zero-Touch-Parametrisierungen. Du kannst auch nicht einfach deine MAC-Adresse des Routers ändern oder einen anderen Router statt dem vom Provider ausgelieferten verwenden, wenn du bei manchen bestimmten Kabelprovidern Kunde bist. Da wird nämlich exakt das Gerät von denen verlangt, dass die dir ausgeliefert haben. Sonst läuft dein Anschluss nicht, du kriegst keine passende Konfiguration und hast kein Internet. Noch krasser (selbst miterlebt, sowohl in DE als auch im Ausland, die für uns untypische Routermodelle verwenden) --> hardgecodete Serviceaccounts mit vollumfänglichen Administrationsrechten. Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.

Wenn du vor deinem externen Router einen "eigenen" internen Router verwendest, dann kannst du damit überwachen welcher Verkehr rein und rausgeht. Mit welcher Tiefe du das machst, hängt von der Firewall und deinen Kenntnissen ab. Trotzdem möchte ich nochmals betonen --> Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 10:14:10

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 09:33:01
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss ...
Das hat der TE so nicht geschrieben. Es geht um einen (eigenen/gekauften) nicht modifizierten Router mit der standard Firmware des Router-Herstellers (den man z. B. auch hinter einem Modem (DSL oder Kabel) verwenden/betreiben kann, vs. einen eigenen Router (als Router gekauft oder aus einem anderen Gerät gebastelt) mit 100% open source Firmware/OS, die man selber geflasht/installiert hat.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Lord_Carlos » 02.03.2018 10:28:01

TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Funktioniert das gut?
Ich haette jetzt gedacht die benutzten einfach http oder https ports.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 10:37:17

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 02.03.2018 10:40:20

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
TomL hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 16:51:43
.... Das passiert auf dem Client ...
Funktioniert das gut?
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 10:47:06

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:40:20
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran.
Interessanter Gedanke! Wegen Meltdown/Spectre wird sich in Firewall-Foren kaum ein Kopf gemacht. Es wird auf die Softwarehoheit auf dem Gerät verwiesen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 10:50:07

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 09:33:01
Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen.
::::
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Genau das wollte ich damit ausdrücken.... was ich auch oben schon beschrieben haben, ohne eine Firewall -an welcher Stelle auch immer sie wirkt- qualifzieren zu können, ist Wunschdenken der eigentliche Kern der Sicherheit.
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden.
:::
Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.
Ja, das ist ein Problem und ein mir jetzt bewusst gewordener Aspekt... und ob eine Fritzbox nicht auch solche Funktionen zur Verfügung stellt...???... *hmmm*... die FB kennt natürlich alle Clients.... :roll:
Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Vor diesem Hintergrund wäre also AVM der Angreifer... *hmmm*.... Das sind jetzt neue Aspekte, die ich nun auch verstanden habe, die ich aber nicht so recht auf meine eigene private Situation projizieren kann... also in dem Sinne, dass mein/unser digitales Leben solche Maßnahmen tatsächlich auch erfordert. Dabei gehts für mich auch immer um die persönliche Verhältnismäßigkeit der Mittel.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 10:54:44

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:28:01
Ich haette jetzt gedacht die benutzten einfach http oder https ports.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:37:17
Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
MSfree hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:40:20
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist. Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist. Das bedeutet, die Client-Firewall soll nicht gegen einen virusbefallenen Clienten wirken, sondern soll als zusätzliche Maßnahme das User-Verhalten beschränken... mit ähnlichem Ziel, wie ich das mit einem NoExec-Remount für /home, /tmp und /dev/shm getan habe. Oder mit der User-bezogenen Einstellung, dass kein einziger User Rechte hat, die über sein Homedir hinausgehen, oder sich root-Rechte aneignen kann. Oder das statt pauschale Mount-Points in der fstab nur userbezogene Mounts geöffnet werden, also in dem Sinne, das Mountpoints nicht pauschal geöffnet werden, sondern nur die dem User zugewiesenen.

Alles zusammen ist ein Konglomerat an Maßnahmen zur Beschränkung von Userverhalten... eben um es den User zu erschweren oder gar unmöglich machen, das System von innen heraus zu kompromittieren. Ich behaupte, dass das vor dem Kenntnisstand meiner User gelungen ist.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von uname » 02.03.2018 11:22:35

LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:37:03

Die zentrale Firewall kann wenigstens Einiges erkennen (eingehend wie ausgehend nur erlauben, was erwünscht, alles Verbotene loggen). Dann kann man reagieren. Rein lokalen Verkehr behandelt sie nicht. Aber LAN-Verkehr zwischen lokalen Zonen/VLANs schon. Läuft ja dann über FW.
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:39:11, insgesamt 2-mal geändert.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von Lord_Carlos » 02.03.2018 11:37:34

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:54:44
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
Dann verstehe ich nicht warum du die ausgehenden Ports filters.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 11:39:55

uname hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:22:35
LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte. Ich denke, wenn es "passiert" ist, ist eh alles zu spät, dann haben alle vorherigen Maßnahmen versagt. Und genau da ist mein Ansatz... die vorherigen Maßnahmen so zu gestalten, dass ein Versagen immer weniger wahrscheinlich wird und in immer größerem Maßstab echten Vorsatz für die Sabotage verlangt.
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:37:34
Dann verstehe ich nicht warum du die ausgehenden Ports filters.
Um zu verhindern, dass Anwendungen auf privilegierten ESTABLISHED Ports zusätzlich unprivilegierte Ports öffnen dürfen, wie das z.B. bei FTP der Fall wäre, wenn man nicht das ALG verwendet. Und um nur ausdrücklich freigebene privilegierte Ports für ganz bestimmte Dienste zu erlauben. Das funktioniert nur aus der Perspektive, dass es als Maßnahme zur Beschränkung von User-Verhalten wirkt und nur solange man sicher ist (oder davon ausgeht), dass die Systeme nicht kompromittiert sind.... soweit man das von Linux und Desktop-Environment erwarten kann.
Zuletzt geändert von TomL am 02.03.2018 11:45:20, insgesamt 1-mal geändert.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:43:21

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:39:55
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte.
Dann sage doch mal bitte, wie du dir in https-Zeiten (*) weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.

Edit (*) zuzüglich Zwangs-Javascript der meisten Webseiten, zuzüglich Meltdown/Spectre, zuzüglich "broken by design" wird verpflastert :wink:
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:53:58, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 02.03.2018 11:49:26

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 10:54:44
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist.
Stimmt, und genau gegen diesen (unwahrscheinlichen) Fall sollte man einen Plan-B in der Tasche haben.
Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist.
Es ist löblich, daß du versuchst, einen Befall von vorn herein zu verhindern. Und ich stimme dir zu, daß man so viel wie möglich tun sollte, um das Ziel zu erreichen.

Es bleibt aber immer ein Restrisiko. Wenn z.B. mal wieder eine richtige Horrorsicherheitslücke bekannt wird, die alle deine Vorkehrungen aushebelt, sind deine Systeme schneller befallen als du Gegenmaßnahmen einleiten kannst. Da ist man dann froh, wenn der Router filtert.

Ich gehe sogar soweit zu sagen, daß "personal Firewalls", also Filter auf den Clients, völlig überflüssig sind und das einzig Wahre die Filterung im Router ist.

Antworten