Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Moin @ all
"Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router" aus der Betreffszeile ist eigentlich gar nicht die vollständige Frage.... für die ich jetzt etwas ausholen muss. Seit längerem befasse ich mich mit eigenen Client-Iptables (und auch nftables), was mir (beides) nach meinem Verständnis bisher ziemlich gut gelungen ist. Bei mir gilt die Prämisse "Es ist alles verboten, was nicht ausdrücklich erlaubt ist". Natürlich ist eine Verbesserung der lokalen Sicherheit die dahinterstehende Absicht.
Jetzt habe ich in der Vergangenheit schon öfter einzelne Meinungen gelesen, wo den Kommerz-Routern misstraut wird und das deshalb selbst-eingerichtete Linux-Router deren Aufgabe ebenfalls mit dem Ziel verbesserter Sicherheit übernommen haben. Da es aber nicht ohne DSL-Router geht, stelle ich mir hierbei also den Router hinter dem Router (DSL/WAN) vor. Wie wird aber so ein "innerer" eigener Router abgesichert...?... ich vermute mal mit einem Paketfilter, von dem man weiss, dass er keine Hintertüren offen hat... sofern man ausreichend Kenntnisse hat, einen solchen Filter i.ü.S. durch ein Audit zu bestätigen. Hat man die Kenntnisse nicht, ist da mehr oder weniger das Wunschdenken der eigentliche Kern der Sicherheit.
Was mich jetzt beschäftigt ist die Frage, wie verändert ein 'bestätigt Sicher eingestellter' Linux-Router tatsächlich die Sicherheit, im Vergleich zur Situation mit einem Kommerz-Router plus sehr restriktiven Client-Paketfilter? Im Moment neige ich zu der Meinung, dass der Client-Filter die sicherere Alternative ist, weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird. Deshalb sind auf meinem PCs alle unprivilegierten Ports ausgehend perse verboten .... was auf einem Router imho schwerlich umzusetzen ist, weil damit pauschal das Netz kastriert wird. Darüber hinaus muss der Linux-Router alle Clients bedienen, wobei ich aber mit eigenem Filter auf den Clients deutlich mehr individuell unterschiedlich erlauben oder verbieten kann.
Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?
Wie sind Eure Meinung dazu?
"Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router" aus der Betreffszeile ist eigentlich gar nicht die vollständige Frage.... für die ich jetzt etwas ausholen muss. Seit längerem befasse ich mich mit eigenen Client-Iptables (und auch nftables), was mir (beides) nach meinem Verständnis bisher ziemlich gut gelungen ist. Bei mir gilt die Prämisse "Es ist alles verboten, was nicht ausdrücklich erlaubt ist". Natürlich ist eine Verbesserung der lokalen Sicherheit die dahinterstehende Absicht.
Jetzt habe ich in der Vergangenheit schon öfter einzelne Meinungen gelesen, wo den Kommerz-Routern misstraut wird und das deshalb selbst-eingerichtete Linux-Router deren Aufgabe ebenfalls mit dem Ziel verbesserter Sicherheit übernommen haben. Da es aber nicht ohne DSL-Router geht, stelle ich mir hierbei also den Router hinter dem Router (DSL/WAN) vor. Wie wird aber so ein "innerer" eigener Router abgesichert...?... ich vermute mal mit einem Paketfilter, von dem man weiss, dass er keine Hintertüren offen hat... sofern man ausreichend Kenntnisse hat, einen solchen Filter i.ü.S. durch ein Audit zu bestätigen. Hat man die Kenntnisse nicht, ist da mehr oder weniger das Wunschdenken der eigentliche Kern der Sicherheit.
Was mich jetzt beschäftigt ist die Frage, wie verändert ein 'bestätigt Sicher eingestellter' Linux-Router tatsächlich die Sicherheit, im Vergleich zur Situation mit einem Kommerz-Router plus sehr restriktiven Client-Paketfilter? Im Moment neige ich zu der Meinung, dass der Client-Filter die sicherere Alternative ist, weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird. Deshalb sind auf meinem PCs alle unprivilegierten Ports ausgehend perse verboten .... was auf einem Router imho schwerlich umzusetzen ist, weil damit pauschal das Netz kastriert wird. Darüber hinaus muss der Linux-Router alle Clients bedienen, wobei ich aber mit eigenem Filter auf den Clients deutlich mehr individuell unterschiedlich erlauben oder verbieten kann.
Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?
Wie sind Eure Meinung dazu?
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.TomL hat geschrieben:01.03.2018 16:51:43.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. ...
Kann so ein eigener Linux-Router wirklich noch weitergehend die Sicherheit verbessern, oder ist das nur ein pauschaler Weg, individuelle Arbeit auf den Clients zu vermeiden?
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ja, klar, daran hatte ich keinen Zweifel... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.mat6937 hat geschrieben:01.03.2018 17:38:33Ja, das was Du auf den Clients machst, kann man auch mit der FORWARD chain auf dem Linux-Router machen. D. h., den Zugang ins Internet, für einzelne IP-Adressen und dst-Ports bzw. Protokolle, regeln.
PS
Ein Nachtrag bezogen auf meinen anderen Thread... ich hatte mich getäuscht. Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, Port 5353 aber nicht. Ich habe das mehrfach getestet... und es hat mich auch überrascht.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Das sehe ich genau so. Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?TomL hat geschrieben:01.03.2018 16:51:43Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Wie unterscheiden sich die Diagnose-Möglichkeiten bei einem Custom-Router? Wie kann der unterscheiden, ob der ausgehende Traffic legaler Traffic ist oder Traffic eines kompromittierten Systems ist? Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe? Wie verbessert der Custom-Router hier die Sicherheit?NAB hat geschrieben:01.03.2018 18:40:58Und welche Diagnosemöglichkeiten hast du nun auf deinem Kommerz-Router, wenn ein Client kompromittiert ist? Oder du den Verdacht hast, dass es so ein könnte (die schreien ja nicht laut HIER!)? Oder um überhaupt auf so einen Verdacht zu kommen?
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst. Es soll ja kein zusätzlicher Router (oder gleichwertig) verwendet werden, sondern nur einer bei dem die Firmware (oder das OS) zu 100% open source ist (d. h. eine modifizierte/benutzerdefinierte Firmware geflasht werden kann).TomL hat geschrieben:01.03.2018 18:21:21... die Frage bleibt: wie verbessert das die Sicherheit im Vergleich zu einem individuell optimierten Paketfilter auf dem Client? Im Moment sehe ich bei einem weiteren Router nur weiteren Verwaltungsaufwand und zusätzliche Betriebskosten... ohne dass ich den Sicherheitsgewinn direkt erkennen kann.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Du meinst "Packettype Multicast", bezogen auf iptables? Jede Anwendung kann man anderes darunter verstehen. Mit z. B.:TomL hat geschrieben:01.03.2018 18:21:21Auf wenn MDNS auf Port 5353 den Multicast-Adressraum verwendet (224.*) verwendet, so ist MDNS dennoch kein Packettype Multicast. Mit anderen Worten, MDNS fliegt raus, wenn Multicast ACCEPT ist, ...
Code: Alles auswählen
tcpdump -vvven multicast
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ich meine, das MDNS für Iptables kein Packettype Multicast ist. Damit das durchkommt, musste ich Port 5353 extra freigeben.... oder anders ausgedrückt "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen...mat6937 hat geschrieben:01.03.2018 23:25:09Ein Sicherheitsgewinn ist der Paketfilter auf dem Router nur dann, wenn es im (W)LAN des Routers user gibt, die ihr Gerät (PC/Tablet/Smartphone/etc.) nicht so konfigurieren können, wie Du es auf deinem Gerät schon machst.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
D. h., wenn die default policy der chain auf ACCEPT wäre, könnte man mit "-m pkttype --pky-type multicast" und dem target DROP, diese Pakete auch nicht blocken. Für iptables müssen die Datenpakete einen IP-header (mind. 3. Schicht) haben.TomL hat geschrieben:01.03.2018 23:36:29... "Packettype Multicast = ACCEPT" lässt kein MDNS durch, wenn die Policy DROP ist.
EDIT:
Mit dem Pakettyp "host/multicast/broadcast" ist ja auch nur festgelegt, an wen bzw. an wie viele die Daten gesendet werden und nicht die genaue Art der Daten:
Quelle: http://www.netfilter.org/documentation/ ... html#ss3.8host
-> an uns
broadcast
-> an alle
multicast
-> an eine Gruppe
Zuletzt geändert von mat6937 am 02.03.2018 10:06:08, insgesamt 2-mal geändert.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Vielleicht kommst du dabei ja auch noch auf eine Idee, wie du mit nem Router herausfinden kannst, ob das Tablett sekündlich ne Mail verschickt ...TomL hat geschrieben:01.03.2018 23:36:29Jo... das ist nicht zu widerlegen... das muss ich jetzt erst mal sacken lassen...
(Ob dein Kommerz-Router das dann kann, weiß ich aber immer noch nicht)
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Vielleicht sind auch irgendwelche kommerziellen, unsicheren, lange nicht upgedateten Netzkomponenten (Accesspoints, Switches, Android-TV, Smartphones) oder Gastgeräte zu schützen, einzuschränken, auf ungewöhnlichen Traffic zu überwachen (zentrale Logs)? Des Weiteren halte ich aufwändige Sicherheitsmaßnahmen (iptables, Logs) mit Doppelungen an mehreren Geräten für fehleranfälliger (Doku, Netzänderung). Logdurchsichten mehrerer Geräte? Kannst ja noch rsyslog-Server basteln. Zuzüglich für aggregierte Vebindungsdaten.
Eine Desktop-Firewall ist natürlich granulierbarer, kann auch Programme OSI-Layer-7 berücksichtigen, währen eine Firewall meist nur auf OSI-Layer-4 arbeitet. Aber die Arbeit ...
Abwägung, was zentral (Firewall mit Zonen und VLANs) sinnvoll, was dezentral (Hosts). Damit fällt ein Plasterouter ohne xWRT/LEDE zumindest aus. Des Weiteren ist wohl sinnvoll, ein dummes xDSL-Modem (*) zu betreiben. Angriffe auf unsichere Plasterouter in Bitcoin-Mining-Zeiten und Botnetzen werden wohl nicht weniger. Zumindest weniger Performance und Übertragungsrate mit laufender Malware. Für deine unwesentlichen Daten werden sich die bösen Buben kaum interessieren.
(*) Telefonie per Ethernetport und VoIP-Adapter oder VoIP- (DECT-) Telefon möglich. Gerätezoo ...
Eine Desktop-Firewall ist natürlich granulierbarer, kann auch Programme OSI-Layer-7 berücksichtigen, währen eine Firewall meist nur auf OSI-Layer-4 arbeitet. Aber die Arbeit ...
Abwägung, was zentral (Firewall mit Zonen und VLANs) sinnvoll, was dezentral (Hosts). Damit fällt ein Plasterouter ohne xWRT/LEDE zumindest aus. Des Weiteren ist wohl sinnvoll, ein dummes xDSL-Modem (*) zu betreiben. Angriffe auf unsichere Plasterouter in Bitcoin-Mining-Zeiten und Botnetzen werden wohl nicht weniger. Zumindest weniger Performance und Übertragungsrate mit laufender Malware. Für deine unwesentlichen Daten werden sich die bösen Buben kaum interessieren.
(*) Telefonie per Ethernetport und VoIP-Adapter oder VoIP- (DECT-) Telefon möglich. Gerätezoo ...
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen. Was hat der Verschlüsselungsvorgang mit deinem Router zu tun? Gar nichts. Der Router (L3) kommt nur dann ins Spiel wenn Daten die Grenze verlassen oder eingehen. Der Router ist weder Intrusion Detection Sytem noch überwacht er deine Clients in dem Fall.TomL hat geschrieben:01.03.2018 18:52:39Wie kann der Custom-Router unterscheiden, dass die Verschlüsselung auf einer Netzplatte durch die Ransomware etwas anderes ist, als die, die ich selber vor dem Upload meines Backups durchgeführt habe?
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden. Insofern du darin eingekapselt Verschlüsselung anwendest kannst du deine Nutzdaten etwas sicherer gestalten. Es ist nicht nur die Autoprovisionierung TR-09, aber auch sonstige Zero-Touch-Parametrisierungen. Du kannst auch nicht einfach deine MAC-Adresse des Routers ändern oder einen anderen Router statt dem vom Provider ausgelieferten verwenden, wenn du bei manchen bestimmten Kabelprovidern Kunde bist. Da wird nämlich exakt das Gerät von denen verlangt, dass die dir ausgeliefert haben. Sonst läuft dein Anschluss nicht, du kriegst keine passende Konfiguration und hast kein Internet. Noch krasser (selbst miterlebt, sowohl in DE als auch im Ausland, die für uns untypische Routermodelle verwenden) --> hardgecodete Serviceaccounts mit vollumfänglichen Administrationsrechten. Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.
Wenn du vor deinem externen Router einen "eigenen" internen Router verwendest, dann kannst du damit überwachen welcher Verkehr rein und rausgeht. Mit welcher Tiefe du das machst, hängt von der Firewall und deinen Kenntnissen ab. Trotzdem möchte ich nochmals betonen --> Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Das hat der TE so nicht geschrieben. Es geht um einen (eigenen/gekauften) nicht modifizierten Router mit der standard Firmware des Router-Herstellers (den man z. B. auch hinter einem Modem (DSL oder Kabel) verwenden/betreiben kann, vs. einen eigenen Router (als Router gekauft oder aus einem anderen Gerät gebastelt) mit 100% open source Firmware/OS, die man selber geflasht/installiert hat.pangu hat geschrieben:02.03.2018 09:33:01Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss ...
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Funktioniert das gut?TomL hat geschrieben:01.03.2018 16:51:43weil der zum Beispiel (wie bei mir) ganz klar auch regeln kann, welche Dienste/Ports ausgehend erlaubt sind.... also eine Filterung, die ich mir auf dem Router nur schwer vorstellen kann. Das passiert auf dem Client vor dem Hintergrund meiner Überzeugung, dass eine Kompromittierung immer von innen heraus erfolgt oder ermöglicht wird.
Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.Lord_Carlos hat geschrieben:02.03.2018 10:28:01Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Interessanter Gedanke! Wegen Meltdown/Spectre wird sich in Firewall-Foren kaum ein Kopf gemacht. Es wird auf die Softwarehoheit auf dem Gerät verwiesen.MSfree hat geschrieben:02.03.2018 10:40:20Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Genau das wollte ich damit ausdrücken.... was ich auch oben schon beschrieben haben, ohne eine Firewall -an welcher Stelle auch immer sie wirkt- qualifzieren zu können, ist Wunschdenken der eigentliche Kern der Sicherheit.pangu hat geschrieben:02.03.2018 09:33:01Gar nicht, wieso soll er das auch können. Sind doch Äpfel und Birnen.
::::
Kommt drauf an wie du "Verbesserung" verstehst, mit welchen Instrumenten du das messen kannst und in welcher Form du das quantifizieren und qualitativ bewerten kannst. Alles andere ist Hokuspokus und Glaskugelfetischismus.
Ja, das ist ein Problem und ein mir jetzt bewusst gewordener Aspekt... und ob eine Fritzbox nicht auch solche Funktionen zur Verfügung stellt...???... *hmmm*... die FB kennt natürlich alle Clients....Das Hautpproblem an deiner geschilderten Sache ist doch der: der vom Provider gestellte DSL/Model/Kabel Router muss klar als "kontaminiert" und "unsicher" angesehen werden ohne weiter zu überlegen. Sämtlicher Verkehr von und zu deinem Internetanschluss kann vom Provider mitgeschnitten und mitverfolgt werden.
:::
Davon weiß der Benutzer gar nichts. Also alles was du an diesem Router einstellst und einsiehst, kann dein ISP genauso kontrollieren und einsehen.
Vor diesem Hintergrund wäre also AVM der Angreifer... *hmmm*.... Das sind jetzt neue Aspekte, die ich nun auch verstanden habe, die ich aber nicht so recht auf meine eigene private Situation projizieren kann... also in dem Sinne, dass mein/unser digitales Leben solche Maßnahmen tatsächlich auch erfordert. Dabei gehts für mich auch immer um die persönliche Verhältnismäßigkeit der Mittel.Der Hauptknotenpunkt ist dein externer Router, und der ist kompromittiert zu betrachten.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Lord_Carlos hat geschrieben:02.03.2018 10:28:01Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.mat6937 hat geschrieben:02.03.2018 10:37:17Ja, ... und Löcher wird man in diese Firewalls (... egal ob sich diese auf dem Client-PC oder auf dem Router befindet) immer bohren können.
Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist. Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist. Das bedeutet, die Client-Firewall soll nicht gegen einen virusbefallenen Clienten wirken, sondern soll als zusätzliche Maßnahme das User-Verhalten beschränken... mit ähnlichem Ziel, wie ich das mit einem NoExec-Remount für /home, /tmp und /dev/shm getan habe. Oder mit der User-bezogenen Einstellung, dass kein einziger User Rechte hat, die über sein Homedir hinausgehen, oder sich root-Rechte aneignen kann. Oder das statt pauschale Mount-Points in der fstab nur userbezogene Mounts geöffnet werden, also in dem Sinne, das Mountpoints nicht pauschal geöffnet werden, sondern nur die dem User zugewiesenen.MSfree hat geschrieben:02.03.2018 10:40:20Filterung auf dem Client ist insofern problematisch, weil eine eingefangene Schadsoftware potentiell auch die Filter ausser Kraft setzen kann. Wenn man auf dem Router filtert, kommt die Schadsoftware des Clients nicht unmittelbar an gesetzten Filter ran. Zumindest müßte die Schadsoftware den Router ebenfalls befallen, um dortige Filter ausser Kraft zu setzen.
Alles zusammen ist ein Konglomerat an Maßnahmen zur Beschränkung von Userverhalten... eben um es den User zu erschweren oder gar unmöglich machen, das System von innen heraus zu kompromittieren. Ich behaupte, dass das vor dem Kenntnisstand meiner User gelungen ist.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Die zentrale Firewall kann wenigstens Einiges erkennen (eingehend wie ausgehend nur erlauben, was erwünscht, alles Verbotene loggen). Dann kann man reagieren. Rein lokalen Verkehr behandelt sie nicht. Aber LAN-Verkehr zwischen lokalen Zonen/VLANs schon. Läuft ja dann über FW.
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:39:11, insgesamt 2-mal geändert.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Dann verstehe ich nicht warum du die ausgehenden Ports filters.TomL hat geschrieben:02.03.2018 10:54:44Ja, genau, aber wie ich sagte, das passiert immer von innen heraus, in dem ein User vorher das System mit Schadsoftware unwissentlich oder fahrlässig kompromittiert hat. Das Aufbohren von egal welchen Ports ist als Initiative von außen nicht möglich... es muss vorher von innen vorbereitet sein.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte. Ich denke, wenn es "passiert" ist, ist eh alles zu spät, dann haben alle vorherigen Maßnahmen versagt. Und genau da ist mein Ansatz... die vorherigen Maßnahmen so zu gestalten, dass ein Versagen immer weniger wahrscheinlich wird und in immer größerem Maßstab echten Vorsatz für die Sabotage verlangt.uname hat geschrieben:02.03.2018 11:22:35Sehe ich genauso. Warum sollte eine Malware durch eine Personal Firewall einschranken lassen?LordCarlos hat geschrieben:Ich haette jetzt gedacht die benutzten einfach http oder https ports.
Um zu verhindern, dass Anwendungen auf privilegierten ESTABLISHED Ports zusätzlich unprivilegierte Ports öffnen dürfen, wie das z.B. bei FTP der Fall wäre, wenn man nicht das ALG verwendet. Und um nur ausdrücklich freigebene privilegierte Ports für ganz bestimmte Dienste zu erlauben. Das funktioniert nur aus der Perspektive, dass es als Maßnahme zur Beschränkung von User-Verhalten wirkt und nur solange man sicher ist (oder davon ausgeht), dass die Systeme nicht kompromittiert sind.... soweit man das von Linux und Desktop-Environment erwarten kann.Lord_Carlos hat geschrieben:02.03.2018 11:37:34Dann verstehe ich nicht warum du die ausgehenden Ports filters.
Zuletzt geändert von TomL am 02.03.2018 11:45:20, insgesamt 1-mal geändert.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Dann sage doch mal bitte, wie du dir in https-Zeiten (*) weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.TomL hat geschrieben:02.03.2018 11:39:55Und wieder wird vorausgesetzt, dass das System bereits befallen ist... was ich derzeit bei uns aber nicht für gegeben halte.
Edit (*) zuzüglich Zwangs-Javascript der meisten Webseiten, zuzüglich Meltdown/Spectre, zuzüglich "broken by design" wird verpflastert
Zuletzt geändert von BenutzerGa4gooPh am 02.03.2018 11:53:58, insgesamt 1-mal geändert.
Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router
Stimmt, und genau gegen diesen (unwahrscheinlichen) Fall sollte man einen Plan-B in der Tasche haben.TomL hat geschrieben:02.03.2018 10:54:44Die gesamte kontroverse Argumentation basiert darauf, dass der PC bereits befallen ist.
Es ist löblich, daß du versuchst, einen Befall von vorn herein zu verhindern. Und ich stimme dir zu, daß man so viel wie möglich tun sollte, um das Ziel zu erreichen.Meine Perspektive ist aber, dass aufgrund meiner vorher an anderen Stellen getroffenen Maßnahmen keines unserer Systeme kompromittiert ist.
Es bleibt aber immer ein Restrisiko. Wenn z.B. mal wieder eine richtige Horrorsicherheitslücke bekannt wird, die alle deine Vorkehrungen aushebelt, sind deine Systeme schneller befallen als du Gegenmaßnahmen einleiten kannst. Da ist man dann froh, wenn der Router filtert.
Ich gehe sogar soweit zu sagen, daß "personal Firewalls", also Filter auf den Clients, völlig überflüssig sind und das einzig Wahre die Filterung im Router ist.