Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 11:50:46

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:43:21
Dann sage doch mal bitte, wie du dir in https-Zeiten weiterer Nutzer sicher sein kannst??? Ich will wenigstens erkennen und reagieren können.
Nur dadurch begründet, weil ich den Überblick über alle von mir getroffenen Maßnahmen in Verbindung mit den Kenntnissen und erlaubten Möglichkeiten meiner User habe. Ich sehe das so, dass es theoretisch immer Angriffsvektoren gibt... das ist nicht zu vermeiden... aber gleichzeitig ist es auch so, dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 11:57:33

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:50:46
dass ich enorme Hürden aufgebaut habe, die es meinen Usern fast unmöglich machen, ein System fahrlässig oder leichtsinning zu infizieren.... das Nicht-Können in Kombination mit Nicht-Dürfen sind quasi unüberwindbare Hürden.
Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich?
Meltdown/Spectre designmäßig gefixt? Gibt's denn schon neue CPUs? :wink: :mrgreen:
Infektionswege künftiger Malware bereits analysiert? Sandboxing absolut perfekt?

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:16:47

Dein Vorhaben "Maßnahmen" einzusetzen ist prinzipiell richtig. Man darf nicht vergessen, dass all deine Versuche und Maßnahmen die Sache erschweren, nicht verhindern. Um auf deine Ausgangsfrage zurückzukommen --> nicht alles was kommerziell erwerblich ist, ist von Grund aus schlecht. Natürlich hat man beim selbst-gestrickten die freie Wahl und kann customizing betreiben und von Grund aus alles selbst aufbauen. Hier lauert aber schon mal die Gefahr dass etwas "vergessen wird" oder "falsch gemacht" wird. Das artet dann dazu aus dass die gesamte selbstgestrickte Router-/Firewalllösung nutzlos wird, schlimmer noch wird es wenn man selbst davon nichts mitbekommt und nicht mal ahnt. Bei den kommerziellen Sachen wurde das vorher durch mehrere Augen getestet, allerdings waren das nicht deine Augen und auch die machen viele Fehler wie man tag täglich anhand security leaks mitbekommt. Also vertraust du "Fremde" oder vertraust du dir und deinen Kenntnissen und Fähigkeiten, oder gar beides.

Versuch bei deinem Gedankengang stets zu beachten: einer deiner Clients ist mit Schadsoftware infiltriert, auf welchem Wege das passiert völlig egal erstmal. Du weißt nichts davon, der Computer-Nutzer ebenfalls nicht. Kann sein dass das auch 'n halbes Jahr unbemerkt bleibt. Dann wird die Schadsoftware aktiv und baut (von innen nach außen) einen Kanal auf oder nutzt bereits bestehende Kanäle. Das kann auch ein verschlüsselter Kanal sein und die Schadsoftware kann somit Daten hin- und herscheffeln zu seinem ControlCenter wie es Lust und Laune hat. Wie schützt du dich nun dagegen? Du müsstest feststellen was für Daten übertragen werdne, kannst du aber nicht da verschlüsselt. Gehen wir noch weiter anhand dieses Beispiels und legen fest, dass die Schadsoftware mittels https mit seinem "Herrchen" kommuniziert. Dann schaust du dir die aktiven Verbindungen an. Wenn du nun die aktiven Datenpakete betrachtest des infizierten Clients dann siehst du dass der PC mit dem Microsoft-Updateserver verbunden ist, mit dem Adobe-Update-Server, mit google, mit Facebook, mit Heise, mit blablubb...usw.

Wie kriegst du nun raus welche connections gut und welche böse sind? Weiter auf die Spitze getrieben als Beispiel --> der CommandServer arbeitet mit einem Domänennamen und IP-Bereich der dem von Microsoft sehr ähnelt. Deine ersten Analysen geben dir zu denken, ja gut dass ist Microsoft und du verlässt dich drauf. Dabei ist das evtl. der Wurm und du bekommst das nicht mit. Jetzt kannste hergehen und die traffic Menge mitloggen und weiter inspizieren, aber es gibt sooooooooooooo viele fiesen Tricks, die Malware verwendet.

Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.

viele Grüße und viel Spaß beim Gedankenexperiment ;)
Pangu
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 12:20:40

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 11:57:33
Also Whitelists für Websiten, kein JavaScript (welche Seiten funktionieren noch ohne?), keine Browseradministration durch User möglich? Meltdown/Spectre designmäßig gefixt?
Hier kommt wieder die Verhältnismäßigkeit ins Spiel... wir sind/ich bin nicht ein Hochsicherheitsunternehmen. Meine Maßnahmen orientieren sich nicht an den Maßnahmen, die das US DoD getroffenen hat, damit nicht ein Hacker auf den finalen roten Knopf drücken kann. Meine Maßnahmen vergleichen sich mit denen von geschätzt 60 Millionen normalen privaten deutschen Internet-Benutzern... und da denke ich, wenn die meisten bei Sturm und Schauer in 'nem offenen Buggy sitzen, sitzen wir in nem Panzer... :lol: ... ich glaube, vor dem Hintergrund der privaten Verhältnismäßigkeit und der Idee, nicht völlig paranoid sein zu wollen, ist das für uns ausreichend.

Mit dem Thread wollte ich nur ein besseres Verständnis dafür bekommen, welche echten Vorteile ein eigener Router mitbringt. Dazu habe ich mehrere Anregungen und Hinweise bekommen, die mir von alleine gar nicht so bewusst waren... und die ich alle als absolut plausibel einschätze. Aber letztendlich komme ich für unser eigenes Umfeld zu der Einschätzung, dass ich das so nicht brauche und das die Sicherheit nur da verbessert wird, wo sie meiner Einschätzung nach derzeit nicht gefährdet ist. Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja... :roll:

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:25:55

TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:20:40
[...]von AVM... tja... :roll:
und deinem ISP ? :wink:
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 12:29:11

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:16:47
Kurzum --> hol dir dieses Beispiel immer wieder vor Augen: ein Client wird mit Malware infiziert und baut von innen nach außen eine Verbindung auf. Und im schlimmsten Fall kriegst du das nie mit, weil kein Schaden sichtbar wird bei dir im Netz. Aber es wurden brisante Informationen rausgescheffelt in die weite Welt des Internets und du wirst das vllt. im Leben nie erfahren. Oder zu spät, da ist der Schaden aber schon passiert.
Ich habe das verstanden... aber an diesem Punkt begehst Du unwissend einen schwerwiegenden Fehler... die vergisst die Tatsache, dass ich ein Rentner mit autodidaktisch erworbenen Linux-Kenntnissen bin und Linux vor 5 Jahren für mich noch ein Fremdwort war... * :lol: *. Ich würde das, was Du da beschreibst, sowieso nicht analysieren können, selbst dann nicht, wenn ich wüsste, dass da was passiert. Ich versuche wirklich nur präventive Maßnahmen umzusetzen, und das immer im Vergleich mit dem, was die anderen Millionen privaten Anwender treiben. Da denke ich, dass wir viel besser gesichert sind, als 99,9% aller anderen privaten Haushalte. ... aber ich weiss auch, ganz ausschließen werde ich die Risiken nie können.

Das ist das, was ich wiederholt mit Verhältnismäßigkeit meinte... ich bin nicht für ein RZ verantwortlich.... sondern nur für 2 Hände vol Linux-Clients im familären Haushalt.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 12:31:41

deine Absicht und dein Einsatz ist auch korrekt. :THX:
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 12:36:08

Welches Interesse sollten ISP und AVM ungezwungen haben? Als Nichtterroristin habe ich eher Bedenken wegen böser Buben und unabsichtlichen Fehlern in Software eigener Geräte (einschließlich Router, Accesspoints) sowie eigenen Konfigurationsfehlern - als vor Geheimdiensten und deren Bediensteten. AVM ist mit Updates wohl recht gut, flott. Und das über längere, absehbare Zeit, keiner macht das ewig. (Ein Providergerät mit fremder Managementhoheit / Managementhoheit betrachte auch ich als Teil des poehsen, von mir unbeeinflussbaren Internets.) Open Source im eigenen Router ist mir sympathischer, weil (von anderen, von mir nicht) kontrollierbar, zumal wenn von Experten erstellt, vorkonfiguriert, gut bedienbar, übersichtlich, auch in Firmen einsetzbar: PFSense & Co.
TomL hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:20:40
Das einzige echte Unwohlsein hat Pangu ausgelöst... mit dem Hinweis der vielleicht gegebenen Möglichkeiten von AVM... tja...
?

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 13:51:20

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 12:36:08
Welches Interesse sollten ISP und AVM ungezwungen haben?
Naja, die Banken in der Schweiz hatten ja auch kein Interesse, dass "Steuersünder-CDs" (d. h. Informationen und Wissen) an z. B. die deutschen Finanzbehörden oder/und an WikiLeaks weiter gegeben (... oder manchmal auf nur verkauft?) werden. Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 02.03.2018 15:36:51

mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 13:51:20
Oder wenn z. B. das Steuergerät (der Zentralverriegelung) von neuen und teuren Luxusautos geknackt wird, ... von wo haben die Ganoven das Wissen wie man das macht?
Linux ist ein Krebsgeschwür, das in Bezug auf (*) Eigentum alles befällt, was es berührt. Microsoft-CEO Steve Ballmer 2001
*lachduckundwech*

(*) geistiges

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 02.03.2018 16:21:19

Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:

Die root-Lücke von 2014 (damals noch dick in der Presse):
https://www.heise.de/security/meldung/H ... 36784.html
Noch zwei Lücken in der Fernwartungsfunktion (auch 2014):
https://www.heise.de/security/meldung/A ... 96040.html
Die nächste root-Lücke 2015/16 (inzwischen wird's Routine):
https://www.heise.de/security/meldung/A ... 65588.html
Hiervon habe ich nie wieder was gehört:
https://www.heise.de/security/meldung/A ... 63752.html
Die root-Lücke von 2017 (wird langsam langweilig):
https://www.heise.de/security/meldung/F ... 87437.html

Gut, nun gibt es root-Lücken auch auf einem "Custom-Linux", aber da wüsste ich, wo und wie ich ansetzen muss, um zu prüfen ob mit der Kiste irgendwas faul ist. Bei einer gehackten AVM-Firmware hätte ich keine Ahnung, wie ich das feststellen soll. Zumal AVM die Eigentümer immer weiter aussperrt:
https://www.heise.de/security/meldung/A ... 91292.html
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
(klappt auch prima vom kompromittierten Client aus)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 02.03.2018 16:32:48

NAB hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 16:21:19
Während das Aufspielen einer "Custom-Firmware" auf den "Kommerz-Router" weiterhin recht leicht ist:
https://www.pcwelt.de/ratgeber/Fritzbox ... 57581.html
Aber ein Teil der Firmware der FritzBox, bleibt immer closed source. Man kann die Original-Firmware der FritzBox, nicht zu 100% mit einer "Custom-Firmware" ersetzen.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 16:35:42

Vier Argumente für den Linux-Eigenbau-Router, Thomas:

1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist

4. All das lässt sich für vergleichweise kleines Geld realisieren.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 18:26:47

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 16:35:42
Vier Argumente für den Linux-Eigenbau-Router, Thomas:
1. es ist einfacher, als jeden Client einzeln abzusichern
2. es ist übersichtlicher und insofern sicherer
3. du hast volle Kontrolle, weil du selbst der Chef bist
Das dritte Argument ist eigentlich das wichtige, welches mich natürlich am meisten interessiert.... und zwar mit der Frage: Wie übst Du diese Kontrolle aus? Oder genauer gefragt, mit welchen Werkzeugen ermittelst Du die Wirksamkeit Deiner FW, wie bestätigst Du die qualitative Effizienz Deiner Router-FW? Ich betone hier an dieser Stelle der Frage das "Du"... was auch die Frage beinhaltet, ob Du dafür tatsächlich das notwendige Fachwissen hast. Wenn Du das nicht kannst, behaupte ich mal, ist ein solcher Router eher ein höheres Risiko, als das er eine tatsächliche Verbesserung der lokalen Sicherheit ermöglicht. Letztendlich wäre die Sicherheit dann durch den Custom-Router nicht wirklich verbessert, sie ist aus Sicht des Kommerzrouters lediglich nicht gravierend verschlechtert.... was aber passieren würde, wenn man aus dem Irrglauben der Sicherheit seines Custom-Routers seinen Kommerz-Router vernachlässigt. Ich betone das "Du" deshalb, weil Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, viel eher vergleichbar ist, als die der ganzen Profis, die viel mehr über die IT-Pflanzenwelt wissen, als wir beide zusammen... :wink:

Kannst Du an Deiner Router-FW z.B. differenzieren, welche Clients FTP in beiden Richtungen dürfen, welche nur eingehend und welche nur ausgehend dürfen? Kannst Du kontrollieren, ob nicht durch eine Fehlbedienung der FW für FTP-Traffic die früher obligatorische komplette Öffnung aller unprivilegierten Port von 1024: in eine der 2 Richtungen erfolgt ist? Kannst Du kontrollieren, dass die Webcams sich via FTP zwar auf den LAN-internen FTP-Server verbinden können, aber keine Verbindung nach außerhalb liegende FTP-Server aufbauen dürfen? Kannst Du festlegen, das einige Clients IMAP-Verbindungen annehmen können, aber selber keinen der zwei IMAP-Ports nach außen öffnen dürfen? Und wieder andere dürfen IMAP, POP3 und SMTP nur ausgehend öffnen, können die betroffenen Ports aber nicht eingehend öffnen. Wie differenzierst Du, dass einige Maschinen Samba-Ports ausgehend geöffnet haben, andere aber nur CIFS. Und wieder andere Maschinen können Samba und CIFS ein- und ausgehend.

Ich weiss, dass man das alles einstellen kann... ich weiss auch, wie ich das kontrollieren kann... die Frage ist, ob Du als Custom-Router-Betreiber auch kannst. Außerdem bin ich davon überzeugt, dass ich mit meinen Client-FWs deutlich präziser und unaufwendiger meine einzlnen Clients individuell reglementieren kann, als das an zentraler Stelle möglich wäre, weil das immer mehr oder weniger pauschal eingestellt sein muss, zu Kosten der individuellen Effektivität. Ich will auch keinen Rückschritt mehr nach gestern, mit Static-IP und so, sondern ich will DHCP. Ich will mich auf IPv6 vorbereiten, was zwangsläufig kommen wird und bei dem jeder Client Border-Device ist und via PE/SLAAC mit dem ISP-Prefix seine eigene Internet-taugliche IP-Adresse bildet. Ich will auch dabei nicht das Gestern beibehalten und quasi ein Intranet mit Static ULA's aufbauen und schlimmstenfalls auch noch wieder ein V6NAT etablieren. Und ich will am allerwenigsten am Gestern festhalten, wenn ich IPv6 kriegen kann, es aber abwürge, um weiterhin IPv4 zu betreiben.

Und wenn Du -wie ich- einen Dual-Stack hast, musst Du Dich entscheiden... entweder IPv6 töten, was ich für eine dumme Entscheidung halte, oder IPV6 komplett nach ganz anderen eigenen Anforderungen customizen, als das mit IPv4 möglich/notwendig ist. Oder ein andere Situation, angenommen, Du hast nur DS Lite, also nur IPv6... wie gehst Du dabei mit ICMPv6 um? Einfach so drop'en wie bei V4 geht nicht, dann funktioniert IPv6 nicht mehr. Hier wiederhole ich meine Frage: Hast Du mit Deinem Router über all das die Kontrolle... und zwar basierend auf Sachkenntnis? Und da behaupte ich, wenn Du sie nicht hast bzw. nicht faktisch bestätigen kannst, hast Du sogar eine geringere Sicherheit, als mit einem kommerziellen Router.

Soweit es AVM angeht... tja... ich habe mich dazu entschlossen, dem Router zu vertrauen, so wie mich mich auch entschlossen habe, Windows jegliches Vertrauen zu verweigern und stattdessen Debian vollständig zu vertrauen. Ich hoffe darauf, dass es misstrauische Leute gibt, die bezgl. AVM ihr Vertrauen mit konkreter technischer Untersuchung bestätigt haben und darauf, dass es einen lauten Medien-Knall geben würde, wenn solche Dinge von AVM bekannt werden würden. An dem Tag habe ich dann auch meinen eigenen Custom-Router, aber noch ist es nicht soweit. Und ich glaube, ich kann den dann auch kontrollieren und seine Effizienz auch tatsächlich bestätigen.... aber selbst dann würde ich meine Client-FW beibehalten... weger der besseren Berücksichtigung von individuellen Anforderungen.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 19:19:22

TomL hat geschrieben:Deine und meine Situation als die Hobby-Gärtner, die wir zwei sind, (ist) viel eher vergleichbar als die der ganzen Profis
Ich halte deine und meine Situation für nicht vergleichbar.
Du weißt, glaube ich, sehr gut, und deine Ausführungen belegen es auch sehr differenziert, dass deine IT-Kenntnisse die meinen bei weitem übersteigen. Insofern ist die Frage:
hat geschrieben:ob Du dafür tatsächlich das notwendige Fachwissen hast.
eine rein rethorische und der dahinter stehende Vorwurf evident.

Dann solltest du allerdings auch deine Behauptung belegen, dass
ein solcher Router eher ein höheres Risiko
bewirkt, als der allein existierende vorgeschaltete Kauf-Router, von dessen Ausschaltung ja niemand ausgeht.

Die Frage ist für mich doch einzig, ob du das, was du da ziemlich gekonnt, wie ich annehme, da an den "zwei Handvoll Klienten" veranstaltest, nicht besser an einer Maschine veranstaltetest.
Zuletzt geändert von guennid am 02.03.2018 19:46:09, insgesamt 1-mal geändert.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 19:40:50

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:19:22
Ich habe noch von keinem Szenario gelesen, in dem
ein solcher Router eher ein höheres Risiko
bewirkt hätte, als der allein existierende vorgeschaltete Kauf-Router, von dessen Ausschaltung ja niemand ausgeht.
Nun ja, das geht ganz schnell... und zwar dann, wenn sich jemand einen Debian-Router hinstellt, ohne große Kenntnisse Shorewall mit Standard-Router-Setup installiert und dann glaubt, jetzt könne ihm nix mehr passieren und öffnet dann -um möglichen Problemen aus dem Wege zu gehen- am DSL-Modem/Router vorsorglich mal alle Ports - weil ja der Debian-Router der große Chef über alles ist und alles handled... tja, sag ich mal... pech gehabt.

Und wenn ich dann hier oder deutlich öfter im RaspberryPi-Forum lese, was da alles mit Cloud-Diensten und Webserver angefragt wird, völlig ohne Grundkenntnisse, da wundert mich nix mehr. Du wirst deshalb von solchen Szenarien nix erfahren, weil solche Leute überhaupt nicht feststellen können, dass es völlig aus dem Ruder läuft.... die wissen es schlichtweg nicht.
guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:19:22
Die Frage ist für mich doch einzig, ob du das, was du da ziemlich gekonnt, wie ich annehme, da an den "zwei Handvoll Klienten" veranstaltest, nicht besser an einer Maschine veranstaltetest.
Nein, überhaupt nicht... nur unter Aufgabe der Berücksichtigung individueller Anforderungen. Und Du überschätzt den Aufwand... den habe ich mittlerweile nicht mehr. Der eigentlich Aufwand war es, den Umgang mit iptables und nftables zu lernen, oder das ALG, oder RFC4890 für ICMPv6, insgesamt die Besonderheiten mit TCP-Paketen und IPv6 im Besonderen, usw.... shorewall oder ufw oder irgendein GUI sind für mich heute völlig überflüssig.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 19:50:01

TomL hat geschrieben:und dann glaubt, jetzt könne ihm nix mehr passieren und öffnet dann -um möglichen Problemen aus dem Wege zu gehen- am DSL-Modem/Router vorsorglich mal alle Ports
Wie kommst du eigentlich zu diesen Unterstellungen?

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von NAB » 02.03.2018 19:56:40

Mir gefällt diese "entweder auf dem Client oder auf dem Router"-Geschichte irgendwie nicht. Wenn man davon ausgeht, dass irgendein Gerät im LAN kompromittiert sein könnte, dann ist es egal ob's nun der Plastikrouter, der Custom-Router, das Schlaufon, die Glühbirne oder der selbstgestartete Trojaner ist. Eine möglichst sichere Konfiguration jedes einzelnen Gerätes halte ich so oder so für sinnvoll.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:15:31

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:50:01
Wie kommst du eigentlich zu diesen Unterstellungen?
Das war doch nur ein hypothetisches Beispiel... wie kann man denn da eine Unterstellung ableiten? Außerdem fehlt hier das darauf bezogene Subjekt... insofern kann man dabei sowieso nicht von einer Unterstellung sprechen bzw. wäre das unsachlich.

Allerdings fehlt mir noch die Antwort auf die Frage, mit welchen Mitteln Du die Wirksamkeit Deiner Router-FW konkret bestätigt hast... also nicht in dem Sinne, dass alles gewollte funktioniert, sondern in dem Sinne, dass das ungewollte auch wirklich nicht funktioniert.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 02.03.2018 20:17:08

Thomas, kennst du den Spruch "Wenn du dich auf jemanden verlässt, dann bist du verlassen?" Könnte man hier bei der Thematik mit "Vertrauen" vergleichen. Es ist toll, dass du dir darüber Gedanken machst. Auf jeden Fall besser als mit der Schiene zu fahren "ach ich hab nix zu verbergen, was soll das ganze Thema mit Security und so..."

Du vernarrst dich aber viel zu sehr in Firewalls und Router. Security ist ein rieeeeeeeeeeeeeeeeeeeßiges Wort von satten 8 Buchstaben, da steckt noch weitaus wichtigeres Zeug drin. Die Firewall/Router Geschichte ist nur ein kleiner Pipiteil davon. Statistisch gesehen nehmen Unternehmen die größten Schäden durch "interne Angriffe". Stell dir jetzt nicht 'nen Mitarbeiter vor, der versucht durch typische Angriffsszenarien das Netz lahmzulegen sondern vielmehr wirtschaftlichen Schaden. Da werden interne Dokumente geklaut, Patente, geheime Abschriften, wichtige unternehmenslebenswichtige Informationen und die werden rausgescheffelt und verkauft. Wissen ist Macht, mächtiger als man sich vorstellen vermag. Deine gesamte Sorge bezüglich Firewall/Router müsstest du nun auf das Objekt "Mensch" übertragen. Wie kontrollierst du hier? Es gibt für alles Möglichkeiten, es gibt Kontrollmechanismen, es gibt Werkzeuge. Bevor die zum Einsatz kommen wird auch erstmal asset evaluation betrieben, es wird also bestimmt welches die wertvollen Güter (nicht nur materiell, sondern auch imaterielle Güter wie geistiges Eigentum usw.) sind, welche Risikoklassen zum Tragen kommen und dann welchen Aufwand man bereit ist zu treiben um diese wertvollen Güter zu schützen. Da wären wir wieder bei der Verhältnismäßigkeit. Sicherlich denkst du dir jetzt beim Durchlesen des Textes "ja jetzt übertreib mal, ich bin doch nicht Samsung oder SAP ... sondern nur ein kleiner Betrieb oder Familienunternehmen". Ich sag das aus dem Grund --> du bist grad mit Scheuklappen so sehr auf die FW/Routergeschichte fixiert dass du alles andere dadurch ausgeblendet hast oder gar nicht erst in Frage stellst. Mein Tip --> spul zurück und stell dir die Frage was du eigentlich erreichen möchtest und davor frag dich nach dem WARUM ? Was ist dein Ziel, was ist es wert an Zeit, Geld und Nerven dafür zu investieren und wie sieht deine Mission aus.

Du kannst 1 Jahr opfern und deine selbstgestrickte FW/Routerkombination aufzustellen und zu betreiben. Am Schluss wirst du mit großer Wahrscheinlichkeit sagen "es hat sich gelohnt" weil ja alles so läuft wie du dir vorstellst und du fühlst dich als Sieger. Was aber hast du in Wirklichkeit erreicht? Hast du tatsächlich etwas bewegt und positiv verändert durch Schutz, oder hast du lediglich dein Gewissen beruhigt und wiegst dich in Sicherheit? War es das "Wert" ?

Ein schwieriges aber nicht unmögliches Unterfangen. Security ist sehr komplex und Layer3 ist nur ein klitzekleines Puzzleteilchen aus einem sehr großen Konstrukt.
Zuletzt geändert von pangu am 02.03.2018 20:19:19, insgesamt 1-mal geändert.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:18:04

NAB hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 19:56:40
Mir gefällt diese "entweder auf dem Client oder auf dem Router"-Geschichte irgendwie nicht. Wenn man davon ausgeht, dass irgendein Gerät im LAN kompromittiert sein könnte, dann ist es egal ob's nun der Plastikrouter, der Custom-Router, das Schlaufon, die Glühbirne oder der selbstgestartete Trojaner ist. Eine möglichst sichere Konfiguration jedes einzelnen Gerätes halte ich so oder so für sinnvoll.
Genau das ist auch meine Meinung... wenns passiert ist, isses eh egal, dann liegt das Kind im Brunnen. Insofern baue ich Hürden, die meine Anwender vor sich selber beschützen und nach besten Wissen und Gewissen eine fahrlässige Kompromittierung erschwert und vielleicht sogar verhindert.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 02.03.2018 20:38:34

TomL hat geschrieben:Das war doch nur ein hypothetisches Beispiel... wie kann man denn da eine Unterstellung ableiten?
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist. Nach meiner Wahrnehmung bin ich hier so ziemlich der einzige, der shorewall nutzt. Und das, was im Zitat steht, trifft mich eben nicht mehr, ist folglich Unterstellung.
ThomL hat geschrieben:Allerdings fehlt mir noch die Antwort auf die Frage, mit welchen Mitteln Du die Wirksamkeit Deiner Router-FW konkret bestätigt hast...
Die Antwort kann ich dir mangels Fachwissen nicht geben. Ich hab's vor Jahren, als ich begann, meinen Debian Router mit shorewall einzurichten, hier mal versucht, konkrete kritische Rückmeldungen zu erhalten, habe aber das, was dann zurückkam, nur als oberflächliches allgemeines Geschwafel empfunden, das mir nicht weiterhalf und es schnell wieder sein lassen. Eine Erfahrung, die dir nicht fremd ist, wie ich meine.

In diesem Sinne gebe ich ja gerne zu, dass meine firewall überflüssig sein mag und drehe nochmals den Spieß um: was soll daran schädlich sein - mal abgesehen von den eben nicht zutreffenden Unterstellungen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:45:10

pangu hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:17:08
Du vernarrst dich aber viel zu sehr in Firewalls und Router. Security ist ein rieeeeeeeeeeeeeeeeeeeßiges Wort von satten 8 Buchstaben, da steckt noch weitaus wichtigeres Zeug drin. Die Firewall/Router Geschichte ist nur ein kleiner Pipiteil davon. Statistisch gesehen nehmen Unternehmen die größten Schäden durch "interne Angriffe".
Nein, überhaupt nicht... ganz im Gegenteil... der Paketfilter ist nur eine Komponente meiner Maßnahmen... und Du bestätigst genau das, was ich immer sage, die eigentliche Gefahr geht von innen aus, nicht von außen... deswegen reglementiert meine FW die Möglichkeiten der User, nicht die vom Internet kommenden Attacken... das übernimmt -so hoffe ich- mein VDSL-Router. Aber was das Vertrauen angeht, ganz ohne -meinetwegen auch Gutgläubigkeit bzgl. der Hardware- gehts eben nicht. Irgendwelche Kompromisse muss man eingehen... oder wie wir früher gesagt haben "einen tod muss man sterben"... das ist unausweichlich.... also vertraue ich darauf, dass die Fritte für von-außen-kommend dicht macht.
Wie kontrollierst du hier? Es gibt für alles Möglichkeiten, es gibt Kontrollmechanismen, es gibt Werkzeuge.
Aufklärung? Gespräche? Das einstimmige und willentliche Vertreten von gemeinsamen familiären Interessen zur Einhaltung der digitalen Privatsphäre? Ich bin da sehr hartnäckig und wir sprechen darüber, was wir wollen, was wir nicht wollen.
Du bist grad mit Scheuklappen so sehr auf die FW/Routergeschichte fixiert dass du alles andere dadurch ausgeblendet hast oder gar nicht erst in Frage stellst.
Wie gesagt, das stimmt überhaupt nicht. Ich befasse mich hier im Moment nur gerade mit der Argumentation und dem Für und Wider eines Custom-Routers, mehr nicht. Und die Scheuklappen sind natürlich dummes Zeug... den Spruch, dass eine Firewall kein Sicherheitskonzept ist, kenn ich schon seit Zonealarm, eine Desktop-FW, die ich schon vor annähernd 20 Jahren umfassend customized habe... die Firewall ist nur ein Faktor im größeren Sicherheitskonzept, keinesfalls mehr. Aber wie gesagt, die anderen Komponenenten meines Konzeptes sind hier nicht diskutiert, insofern ist die Fokussierung auf die FW-Elemente natürlich zwangsläufig, eben weils das Thema ist... was aber nicht bedeutet, dass es bei mir kein grundsätzliches umfassendes Sicherheits-Konzept gibt.
Mein Tip --> spul zurück und stell dir die Frage was du eigentlich erreichen möchtest und davor frag dich nach dem WARUM ? Was ist dein Ziel, was ist es wert an Zeit, Geld und Nerven dafür zu investieren und wie sieht deine Mission aus.
Äh... sorry, ich habe keine Unsicherheiten darüber, was ich erreichen möchte im Verhältnis zu dem, was theoretisch erreicht werden kann. Ich habe mich nur gefragt, welche Sicherheiten sich Leute von einer Custom-Router-FW versprechen bzw. welche Sicherheit dann real ist. Meine Erkenntnis ist bisher, dass er keinen Schaden anrichtet, weil der VDSL-Router im IPv4-Netz sowieso NAT macht und firmware-mäßig alle ankommenden NEW-Pakete blockt, sofern die Ports nicht geöffnet sind und weitergeleitet werden.... aber er hat auch imho ohne deutliche Sachkenntnis nur einen sehr begrenzten Nutzen für die Sicherheit... was noch mal gravierend beeinflusst wird, wenns um Global-Scope-IPv6-Adressen geht.
Du kannst 1 Jahr opfern und deine selbstgestrickte FW/Routerkombination aufzustellen und zu betreiben.
Eigentlich ist es genau das, was ich nicht will... ich habe eigentlich nur Argumente gesucht, die mich genau davon abbringen. Was mich erstmal erschüttert hat, war die Sichtweise, dass ein Kommerz-Router perse als kompromittiert zu bezeichnen ist... darauf war ich nicht vorbereitet. Aber nachdem ich drüber nachgedacht habe, habe ich mich entschlossen, dieses Risiko einzugehen.
Zuletzt geändert von TomL am 02.03.2018 21:17:42, insgesamt 6-mal geändert.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 02.03.2018 20:50:20

guennid hat geschrieben: ↑ zum Beitrag ↑
02.03.2018 20:38:34
Nein Thomas, das war es nicht. Durch das, was da im Zitat fehlt, was ich bewusst weggelassen habe, weil das eben keine Unterstellung, sondern Sache ist, wird ziemlich deutlich dass das auf mich gemünzt ist.
Mönsch Günni... komm runner... Du glaubst doch nicht allen Ernstes, ich hätte dabei an Dich gedacht... welches Interresse sollte ich haben, Dir ans Bein zu pissen...?... vergisses, das ist Mist und stimmt so nicht. Das mir in dem Moment Shorewall in den Sinn gekommen ist, ist reiner Zufall, das hätte genauso gut ufw sein können... ich kenne nur keine anderen... aber bei der Nennung von Shorewall habe ich an eines nicht gedacht, und zwar an Dich.... zumal ich das ja selber auch einschätzen kann, wenn ich mich an den WLAN-Thread erinnere. Also hak das ab... Du bist nicht das Thema... :-)

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 11:39:06

Akzeptiert Thomas.

Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung." :wink:

Antworten