Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Gemeinsam ins Internet mit Firewall und Proxy.
TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 13:56:48

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 11:39:06
Was mir gerade so durch den Kopf geht: Kann es sein, dass deine Frage nicht so richtig passt? Eigentlich willst du doch dieses diskutieren: "Sicherheitsunterschiede? Linux-Custom-Router vs. individueller Client-Sicherung."
Nee, dieser Vergleich hätte eigentlich überhaupt nicht zu meinen Absichten gepasst. Und ja, ich gebe zu, dass meine Betrachtungsweise hier eher unorthodox ist. Der markante Unterschied in meiner Sichtweise ist, dass die Client-Firewall (mir passt der Begriff Firewall hier eigentlich gar nicht) gegen den User gerichtet ist, und die Router-Firewall ist gegen das Internet gerichtet.
Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen. Das heisst, auf dem Router gibt es mehr pauschale Einstellungen. Wenn ich das wirklich tun wollte, müsste ich wieder mit diesem Quatsch mit Static-IPs anfangen, was gsd hier seit langem beseitigt ist und was imho sowieso nicht funktioniert, wenn man Global-Scope-IPv6-Adressen verwendet. Damit würde der Verwaltungsaufwand explodieren, weil man dann entweder auf ULA-Adressen ausweichen muss oder permant auf ISP-Prefix-Aktualisierung prüfen muss... was ich beides hier rigoros ablehne.

Für mich war die Frage interessant, ist der Custom-Router hinter dem DSL-Router ein Globuli, Gesundbeten oder hat er tatsächlich eine sinnvolle Bedeutung. Und da ich mich nach diesem Thread dazu entschlossen habe, AVM nicht zu misstrauen, sehe ich für uns mit einem solchen Teil nur eine Verschlechterung... ein zusätzlicher unnützer Hop für IPv6, und ein zusätzliches unnützes NAT für IPv4, eine weitere Hardwareanschaffung, weitere Energiekosten, weiterer Verwaltungsaufwand... also nix dabei, was ich mir wünsche oder was ich als sinnvoll erachte. Vor einem anderen Hintergrund und unter anderen Rahmenbedingungen kann das natürlich alles gaaaanz anders sein... wie.zb. bei DS-Lite oder reinem IPv4-DSL.... das muss aber jeder für sich selber herausfinden.

guennid

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von guennid » 03.03.2018 14:41:08

TomL hat geschrieben:Ich kann die Router-Firewall nicht so individuell ausgestalten, dass sie gegen das Internet und gleichzeitig gegen den User die gleiche Wirkung hat, wie ein Paketfilter auf dem Client-PC selber... einfach deshalb nicht, weil auf dem Router die Belange von vielen Clients aus dem Netz berücksichtigt werden müssen.
Also ich lese das als Bestätigung meiner Vermutung. :wink:
TomL hat geschrieben:sehe ich für uns mit einem solchen Teil nur eine Verschlechterung...
Das mag dann wohl so sein, beurteilen kann ich das nicht. :wink:

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 03.03.2018 15:03:35

Mal ein Zwischenstand:
Was du beabsichtigst oder tust, fällt unter den Fachbegriff "Personal Firewall". Dazu wurde im Thread bereits geschrieben, nicht nur von mir.
Dazu findet sich im Internet viel. :wink:
Zu Consumer- oder Plastikroutern, insbesondere AVM war selbst ich blauäugig, hat @NAB hier schön zusammengefasst:
Da ja inzwischen herausgekommen ist, dass es sich bei dem mysteriösen "Kommerz-Router" um ne popelige Fritzbox handelt und nicht etwas um was Schickes von Cisco, noch ein paar Links dazu:
viewtopic.php?f=18&t=168878&start=30#p1166815

Haupteinfallstore für Malware sind (neben Exploits, DDoS, Bufferoverflows, heimlichen Backdoors/Management-Zugriff) hauptsaechlich Mail-Clients, Browser mit Javascript und nicht vollständig kontrollierbare "Bring Your Own Devices", private Smartphones, Laptops etc. Dagegen könnte Personal Firewall, Sandboxing/VM auf Clients und Gastnetz helfen. Inwieweit Nutzer damit verbundene Unbequemlichkeiten akzeptieren (müssen) steht auf einem anderen (privatem vs. professionellem) Blatt.

Eine Hardwarefirewall kann nicht so granular regeln wie eine Personal Firewall auf PC. Erstere ist nicht durch Nutzerhandlungen angreifbar, letztere kann zwar bis auf Applikationsebene regeln, tritzdem leichter kompromittierbar einschließlich Gesamtsystem!

Die Firmware von Consumer-Routern und professionellen Routern ist proprietär, Closed Source. Exploits treten bei beiden auf. Professionelle Firmen (Cisco) reagieren weit transparenter und proaktives als AVM, TP-Link. Code Reviews sind nur bei Open-Source-Firewalls (PFSense, OPNSense, IPFire & Co.) möglich. Letztere Systeme sind bereits von Profis "gehärtetet". Mehr als eine selbstgebaute Linux-Firewall, die schwer zu administrieren ist: Verstreuselte Konfigs, Logs, Parameter: viewtopic.php?f=37&t=168594#p1166796
(Schon realisiert oder gar nicht gewusst? :wink: Vorschlag meinerseits wäre spezielle, von Experten in langjähriger Arbeit gehärtete OS-Distribution für Firewall = Einsparung Lebenszeit, Fahrrad muss nicht mehrfach erfunden werden!)

Nun habe ich nicht mehr viel Lust, zu schreiben, selber Vor- und Nachteile einer Personal Firewall bezüglich Hardwarefirewall bzw.deren Ergänzung untereinander lesen: https://de.wikipedia.org/wiki/Personal_Firewall
Fefe macht's kurz: https://www.fefe.de/pffaq/ mit Links :wink:
Ach ja, Schlangenoel bezieht sich nur auf Windows, nicht auf Linux??? Irrtum: Es ist ein Unterschied, einen einzelnen Root-Server ohne DE unter Administrationshoheit einer Einzelperson mit iptables (in dem Falle auch "Personal Firewall") zu sichern als ein ganzes Netzwerk von Hosts mit (erfahrungsgemäß vorauszusetzenden unerfahrenen, undisziplinierten) Nutzern, die ein Desktop-Environment, Mail-Clients und Browser mit Javascript und demzufolge künftige, unbekannte Malware zu Verfuegung haben oder haben könnten.

Des Weiteren möchte ein professioneller Administrator ein Netzwerk effizient und demzufolge vorzugsweise zentral regeln, nicht ganztägig nur wenige PCs einzeln reglementieren und Umsetzung der Regeln prüfen (Log-Auswertung) und bei Bedarf an mehreren Stellen/Hosts ändern, dabei Teile vergessen (Konfig, Doku, Log-Durchsicht). Schon damit werden zentrale Lösungen bevorzugt, auf Hosts einfach Standard-Konfigs
eingesetzt. Eine Frage der professionellen Effizienz - oder der aufgewendeten Lebenszeit im Ruhestand dafür. :wink:

@TomL: Dein Vertrauen kann doch nur auf Personal Firewall, Sandboxing/VMs der Browser, Disziplin, (unnötiger, zu weit gehender?) Reglementierung deiner Nutzer bezüglich Nutzung dessen und vorausgesetzter Disziplin bei Mail-Bearbeitung und (zu) viel Gottvertrauen in AVM und keine Kompromittierung der Systeme mit Personal Firewall beruhen? M. E. zu viele Voraussetzungen, Annahmen, Fehlermoeglichkeiten für erwünschte Sicherheit.

So, fertsch, ohne Schlechtschreibkorrektur.

Edit, tl;dr: Man sollte auch privat gewichtige Gründe haben, mehr zu tun, als in Firmen mit Profi-Admins (und hier wohl nur Linux-Clients) bewährte Standards sind: M. E. professionelle Firewall (privat Open Source) und Segmentierung von Servern, DMZ, Filialen und möglichst einheitlichen Clients mit VLANs und Sicherheitszonen - möglichst KISS-Prinzip - sonst mehr Fehler, weniger Erkennungsmerkmale!!!
In privaten Netzen dürften Sicherheitszonen für WAN, LAN, WLAN, DMZ bzw. Teile davon genügen. Siehe "4 Farben" von IPFire. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 03.03.2018 17:02:42, insgesamt 25-mal geändert.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:10:56

guennid hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 14:41:08
Also ich lese das als Bestätigung meiner Vermutung.
Nein, es geht nicht um Vor- oder Nachteile des Paketfilters auf dem Client-PC... der ist gesetzt, alternativlos und zementiert und steht bei mir gar nicht zur Debatte. Es geht wirklich nur um die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht.... und es geht auch nicht um den Fall, wenn der Custom-Router selber Border-Device ist... das wäre wieder ein anderer Fall.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 15:24:20

TomL hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:10:56
... die Sinnhaftigkeit des Routers hinter dem Router, ob das die Situation unter meinen Rahmenbedingungen verbessern würde oder nicht....
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 15:36:53

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
So wie Du deinen Client-PC z. Zt. abgesichert hast, ist m. E. ein Router hinter dem Router (der border device ist), keine Verbesserung in puncto Sicherheit. Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
:THX:

Das ist doch genau die bestehende Situation, die mit Verwendung von IPv6 bei mir vorliegt... und zwar dann, nachdem eine Verbindung von innen nach außen etabliert wurde. Ab dann ist mein Interface mit seiner IPv6 direkt Client im Internet. Meine Hintergedanken dabei sind, dass ich das IPv6-Netz Zuhause auf dem Client mit gleicher Skepsis und mit gleichem Misstrauen betrachte, als würde ich auf Reisen meinen Laptop an einem offenen/unbekannten WLAN-AP verbinden. Das, und meine Absicht, es dem User zu erschweren oder zu verbieten, Anwendungen oder Protokolle oder Schnittstellen (Ports) zu verwenden, die nicht erlaubt sind.

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 03.03.2018 17:06:57

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 15:24:20
Du könntest deinen Client-PC mit dieser Absicherung, auch direkt (d. h. ohne Router) im Internet benutzen.
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).

Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch.

Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem proprietären Plastikrouter zumindest mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 03.03.2018 18:02:52

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun.
Wie bzw. gegen was hilft zusätzlich ein (IPv4-)Router hier, bei einem komplettem Desktop-Environment?

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 03.03.2018 18:26:21

Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun. Die Zeiten von Desktop-PCs mit Modems und kurzfristigen, niederbitratigen Wählverbindungeng sind lange vorbei. Im Thread geht es um Personal Firewall auf mehreren Desktop-PCs hinter welchem ratsamen Router (proprietär vs. Open-Source-Eigenbau).
Jana, Du solltest vielleicht weniger frei interpretieren und Dich dafür mehr an den genannten Fakten orientieren. Natürlich gibt es für mich wiederholt kurzfristige Einwählverbindungen... an Routern, die ich NICHT kenne und wo ich mich mit IPv6 durchaus als Border-Device verstehen muss. Natürlich nicht an meinem PC zuhause, aber dafür mit meinem Laptop, den ich auf Reisen mitnehmen. Aber ich richte beide Maschinen zur Aufwandsminimierung natürlich identisch ein.... warum..?... wie ich schon sagte, ich stufe IPv6 auf die Risikosituation auf, die ich bei offenen WLAN-AP vermute.
Oder wo hat der TO geschrieben, dass es um einen reine Server geht?
Nein, habe ich zu keiner Zeit. Und um das weiter zu verkomplizieren, natürlich läuft auch auf meinem Server der Paketfilter... dergestalt, dass der überhaupt nur 2 oder 3 Ports von sich aus öffnen darf... dem ist jedweder von ihm ausgehender (CT-State NEW) Verkehr ins Internet verboten.
Nun IPv6 als neues Protokoll (ohne NAT) in's Spiel zu bringen, verschärft die Sache noch. Toms "Daumen" könnte für eine Filterblase (unreflektierte gern gesehene Bestätigung der eigenen Meinung) zeugen. Sorry.
Das ist so unsachlich, wie es falsch ist... in Wahrheit bedeutet der Daumen, dass ich meine erkannt zu haben, dass er sowohl problemverursachende Umstände als auch Lösung verstanden hat. Ich brauche keine Bestätigung für meinen Paketfilter, ich weiss, dass der "hart" ist, weil alle Policies "DROP" sind und am Ende jeder Chain gnadenlos rejected wird. Das heisst, es funktioniert rein und raus nur das wenige, was ich ausdrücklich erlaubt habe.
Es erscheint keineswegs plausibel, warum mehreren Hosts mit Personal Firewalls in Verbindung mit einem propietaerem Plastikrouter mit mangelhaften Segmentierungs- (VLAN, Zonen) und Logmoeglichkeiten vertraut wird!
Also empfiehlst Du allen Linux-Usern, die in der Mehrheit vermutlich und üblicherweise ohne FW unterwegs sind, wegen der mangelhaften Plastikrouter am Besten alle Kontakte zum Internet einzustellen...?... als Resümee, wenn Internet sogar auch MIT lokalem Paketfilter absolut unvertrauenswürdig ist? Mannomann... was hat das denn noch mit der normalbürgerlichen Realität zu tun... ?... oder mit der von mir mehrfach angesprochenen Verhältnismäßigkeit?

Manchmal wundere ich mich nur noch, warum für soviele Leute immer der größere Ehrgeiz darin besteht, etwas schlechtzureden, als einfach mal die Vorteile einer wirklich einfachen (und keinesfalls schadenden) Maßname und deren effektive Verbesserung zum vorherigen Zustand zu akzeptieren ... mit der bei mir und unter unseren Rahmenbedingungen gleich zwei Effekte erreicht werden: Zuhause erspart es mir einen weiteren Router, unterwegs sichere ich mich gegen unbekannte Router. Was ist daran verkehrt? Was muss man daran noch kritisieren? Wieso muss man an dieser Maßnahme den Maßstab des US DoD oder eines kommerziellen zertifizierten RZ anlegen und generell alle mangelhaften Plastikrouter als Gefahr definieren? Welchen konstruktiven Sinn hat es, auf Schwächen rumzureiten, die wahrscheinlich dem Standard für 99,9% aller privaten Internetbenutzer entsprechen?

Um das Gelaber zu beenden... ich habe mit diesem Thread nur eine Bestätigung meiner Meinung gegen den zweiten Router gesucht, oder andersrum (was ich aber nicht erwartet habe) konkrete Hinweise auf eine Notwendigkeit dafür. Aber beides geht aus Mat's Antwort, der ich den Daumen-Hoch gegeben habe, gar nicht draus hervor. Er hat lediglich festgestellt, welche zusätzliche Wirkung/Bedeutung mein Paketfilter hat... und das habe ich wieder auf meine Rahmenbedingungen projiziert... eben mit IPv6 und Reisen.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 12:34:24

Jana66 hat einige nützliche Links gepostet. Einer davon bringt es kurz und präzise auf den Punkt. Ich zitiere und wiederhole:

https://www.fefe.de/pffaq

Wer das nicht akzeptieren, wahrhaben oder glauben möchte, selber schuld. Alles andere ist Wunschdenken und Balsam für die eigene Meinung.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 13:09:41

pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.

Ich halte personal Firewalls aus einem anderen Grund für problematisch, als komplett sinnlos würde ich sie dennoch nicht verteufeln. Schadsoftware beinhaltet immer auch Techniken, um die Rechte auszuweiten. Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 13:39:33

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Hat so ein Programm erstmal root-Rechte, kann sie auch sämtliche Firewallregeln löschen. Der Benutzer wiegt sich dann aber in der falschen Sicherheit, daß er ja eine Firewall hat. Auf die Regeln im Router hat die Schadsoftware auf dem Client jedoch keinen Zugriff. Und ja, die wichtigste Aufgabe einer Routerfirewall ist, den ausgehenden Verkehr zu filtern, eingehend braucht man sich dank NAT kaum Sorgen machen, von aussen kommt keiner auf einen Client, wenn im Router keine "heimlichen" Löcher, Portforwards oder Backdoors existieren.

Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Naja, mit dem reinen bzw. alleinigen installieren/setzen der Firewallregeln ist es ja noch nicht getan.
Als Benutzer muss man mehr oder weniger ständig (d. h. mit verhältnismäßigem Aufwand) auch nachschauen/prüfen, ob diese Regeln noch da sind (wo sie sein sollen) und richtig funktionieren. Wenn sich Schadsoftware (Programm mit root-Rechte) auf dem Client eingenistet hat, dann kann oder könnte diese ja nicht nur sämtliche Firewallregeln löschen, sondern auch von innen ein Loch in den Router bohren, so dass von außen (trotz Router) sehr wohl jemand auf den Client kommen kann bzw. kommen könnte.

Und ja, ein Router mit NAT und Firewall/etc. ist OK, aber was macht man wenn man sein Gerät/Laptop/etc. nicht nur am heimischen Router/Firewall/etc. nutzt/verwendet/anschließt? Man kann ja im Vorfeld, den _fremden_ Router/Firewall/Gateway/etc. nicht (immer) "auditieren" und auch nicht entsprechend seiner eigener Bedürfnisse/Vorstellungen optimieren bzw. konfigurieren.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 04.03.2018 14:41:18

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant:

1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".

2. Der Vertrauensfaktor von Closed Source Firewalls ist nunmal ein anderer als der von Opensource, und iptables und der Linuxkernel sind nunmal open Source.

3. Die Aussage, das selbst closed source Firewalls die Sicherheit nicht erhöhen, ist in den letzten 17 Jahren ganz locker widerlegt worden. In Zeiten, als Windows XP mit zwei Mausklicks kompromitiert werden konnte, waren personal Firewalls tatsächlich ein ganz erheblicher Sicherheitsgewinn und die Infektionsraten gingen in der Folge, als immer mehr Leute die Dinger installiert haben, ganz drastisch zurück.

Mit anderen Worten, fefe ist hier schlicht veraltet und eigentlich lag er damals schon falsch.
Seh ich nicht so, er hat absolut Recht. Es geht nicht um Windows oder Linux sondern um das Prinzip der Sicherheit.
pangu hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:24
https://www.fefe.de/pffaq
A firewall is a computer security concept, not a piece of software.
You can't improve security of an untrusted system by installing another untrustworthy piece of software.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 14:57:30

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Nunja, ein 17 Jahre altes Dokument, das sich auf Windows XP bezieht, ist in dieser Diskussion schlicht irrelevant
Ich möchte da widersprechen... ich glaube, dass diese Aussage absolut nichts an ihrer Aktualität verloren hat. Für mich ist sie sinngemäß und inhaltlich bezogen auf mein Sicherheitskonzept seit jeher eine der maßgeblichen Grundlagen, die imho nur sehr wenig allein mit Win XP zu tun. Ich habe das mal schnell übersetzen lassen, damit man weiss, was er sagt:
Zitat:
"Warum verbessern sie nicht die Sicherheit?

Sie können die Sicherheit eines nicht vertrauenswürdigen Systems nicht verbessern, indem Sie eine andere nicht vertrauenswürdige Software installieren. Sie haben weder den Quellcode für das Betriebssystem noch für die neue Software, so dass es unmöglich ist, zu überprüfen, ob sie überhaupt etwas tut, geschweige denn die Sicherheit zu verbessern. Im Gegenteil, das Hinzufügen von Software erhöht die Komplexität des Systems und erhöht die Wahrscheinlichkeit für unentdeckte Fehler und mögliche neue Sicherheitsprobleme.

Eine Firewall ist ein Computersicherheitskonzept und keine Software. Anbieter, die Ihnen unter dem Label "Firewall" ein Stück Software (oder sogar ein Stück Hardware) verkaufen, betrügen Sie.

Wenn Sie ernsthaft die Sicherheit auf Ihrem Rechner verbessern wollen, müssen Sie die Codegröße reduzieren, nicht erhöhen! Und egal, wie viel Software Sie entfernen, solange Sie nicht über den Quellcode für den Rest verfügen, sind Sie immer noch nicht einmal aus der Ferne sicher. Ziehen Sie in Betracht, Windows fallenzulassen und zu einem sichereren Betriebssystem zu wechseln."


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Wenn man seinen Router allerdings richtig absichert, bringt die personal Firewalls keinen zusätzlichen Schutz. Man hat dann nur mehr Administrationsaufwand, weil man die ganzen Clients individuell nachziehen muß, wenn man an der Konfiguration etwas ändern muß.
Das eine hat mit dem anderen nur indirekt zu tun. Am Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden, wenn die Verwendung solcher Ports im LAN für andere Clients grundsätzlich erlaubt sein muss. Die Personal FW ist mit der Router-FW nur dann vergleichbar, wenn sie das gleiche Ziel haben, also wenn beide Devices in gewisser Weise Boarderdevices sind und gegen das Internet wirken. Aber wie ich schon an anderer Stelle sagte, ich halte von einer Personal Firewall heute nix mehr und ich würde mir die auch nicht mehr installieren.

Mir kann keiner sagen, ohne das nicht auch sofort konkret zu belegen, dass ein lokaler sehr restriktiver Paketfilter hinter einem Kommerzrouter nicht zusätzlich maßgeblich die Sicherheit erhöht, weil eben gerade damit individuell die Userfreiräume bzw. der Missbrauch der Rechte des Users deutlich eingeschränkt werden.
Gleichermaßen ist mir ist auch klar, dass es niemals der Paketfilter alleine sein kann.... der ist nur ein Baustein innerhalb eines Bauwerks... aber er erhöht dennoch die gesamte Stabilität... oder anders ausgedrückt, die des Immunsystems des nicht-kompromittierten Systems.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:15:19

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:57:30
"Warum verbessern sie nicht die Sicherheit?
...


Ich sehe hier nur einen Punkt, der abweicht... ich habe für meine Personal Firewall (mir gefällt der Begriff hier immer noch nicht, weil ich das nicht habe) keine "andere nicht vertrauenswürdige Software" installiert, ich verwende einfach den Paketfilter nativ, so wie er direkt im System resp. vom Kernel unterstüzt wird.
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
WAm Router kann ich beispielsweise bei Verwendung von DHCP nicht verhindern, dass am Client unprivilegierte Ports geöffnet werden
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner. Du kannst so viel DHCP verwenden, wie du willst, Ports öffnet das nämlich in keinem Fall, schon gar keine, über die man an der Firewall vorbei kommt.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:24:29

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:15:19
Und genau deshalb ist der blaue Text in deinem Fall schlicht irrelevant.
Das ist dann ein Fazit, was sich an dieser früheren Aussage von Dir anschließt:
1. eine selbskonfigurierte "Firewall" auf eine Linuxrechner hat ein ganz anderes Sicherheitsniveau als die damaligen Windows "Firewalls".
Ja, aus der Perspektive betrachtet stimmt das und ich gebe Dir Recht.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 13:09:41
Das mußt du aber mal genau erklären. DHCP isdt nämlich kein magische Voodo-unpriviligierte-ports-Öffner.
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC... was aber alles auf dem Router enormen Aufwand zur Identifizierung des Clients beinhaltet oder nachsichzieht... bei der Prüfung, ob dieser "Patient" überhaupt darf, was er da tut. Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich. Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs. Ich hatte das schon mehrfach erwähnt, das ließe sich nur durch Verwendung von Static-IPs lösen... was für mich aber ein Rückschritt ins Gestern ist und was ich wegen des Aufwandes ablehne. Außerdem hätte ich dann einen Mischbetrieb, weil gewisse Clients nur DHCP können. Insgesamt würde da der Aufwand m.M.n. deutlich mehr sein, als ich jetzt habe.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:37:10

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
... der Client auf dem Router nicht eindeutig identifizierbar.... allenfalls über die MAC...
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 15:48:45

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:37:10
Ja, ... und die MAC-Adresse auf dem Client kann man ganz einfach spoofen.
Ja, das stimmt... aber "kann" impliziert "können"... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.

Mir gehts mit dem Paketfilter wirklich nur um die verdeckte Einschränkung von Userverhalten, die gar nicht offenkundig bemerkbar sein soll. Wie der Tempobegrenzer, der sich sowieso nie bemerkbar macht, solange die Karre nicht ausgefahren wird. Und wenns dann aufgrund einer unbemerkten Fahrlässigkeit vielleicht wirklich zu einer nichtgewollten Aktion kommt, so hoffe ich, dass dann im richtigen Moment ein Reject solcher Pakete ausgeführt wird. Es ist alles "offen", was der User für die uns bekannten Jobs können muss... schleicht sich da vielleicht was anderes, neues ein, sollten dafür allerdings die Tore gleich an mehreren Stellen zu sein.

Aber mir fällt gerade auf... das ist alles total OffTopic.... das war gar nicht Bestandteil der Frage... und ein lokaler Paketfilter ist auch nicht als Konkurrenz zu einem gut-verschlossenen Router zu sehen. Die Frage war, verbessert ein Custom-Router die Sicherheit im Vergleich zu einem Kommerzrouter? Bezogen auf unsere Rahmenbedingungen glaube ich das jetzt nicht mehr.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von MSfree » 04.03.2018 15:54:53

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:24:29
Mit DHCP ist aber der Client auf dem Router nicht eindeutig identifizierbar.
Richtig. Ich halte das jedoch nicht für ein Problem. Ich bin auch nicht der Meinung, daß das Aufgabe eines Paketfilters ist.
Und eine solche exklusive "Behandlung" ist auf dem Kommerzrouter (meiner Fritte) sowieso nicht möglich.
Richtig. Aus dem Grunde halte ich von diesen Plastikroutern auch nichts.
Dieses Problem habe ich beim lokalen Client-Paketfilter nicht... da gibts keine Verwechselungsgefahr durch wechselnde IPs.
Bei mir wechselt die IP-Adresse trotz DHCP nicht. Per Default vergibt mein DHCP-Server nämlich immer die selbe IP an die Clients.

OK, ein Fremdclient (z.B. Rechner eines Besuchers) bekommt natürlich eine neue IP, der bringt aber auch garantiert keinen von dir konfigurierten Paketfilter mit, hätte also Zugriff auf die große böse weite Welt. Hier ist also eine Lücke in deinem Sicherheitskonzept.

Die eigenen Clients im Netz hat man hoffentlich im Griff. Wenn man aber dem/der 10-jährigen das Surfen nach 21.00h verbieten will, sind lokale Filter ziemlich sinnlos, die sind schneller ausgehebelt als eingerichtet. Das kann man effektiv nur auf der Routerfirewall regeln.

Auch, wer auf 6-Seiten Zugriff haben darf, läßt sich praktisch nur im Router regeln. Ein Proxy ist das Mittel der Wahl, mit dem man eine Authentifizierung mit Benutzer und Paßwort durchführen kann und abhängig davon die Surfzeitgen und die erlaubten Seiten einschränken kann.

E-Mail sollte man ebenfalls auf einen Server zuhause holen. Dadurch entfällt die Notwendigkeit, daß jeder Client Zugriff auf den SMPT und IMAP Host des Mailproviders braucht. Mailports braucht man also im Router gar nicht nach aussen zu lassen.

Genauso kann man mit allen anderen Ports verfahren. Von innen kommt dann keiner mehr nach aussen, egal wie verseucht der Client sein mag. Die personal Firewall bringt dann eben auch keinen Zusatznutzen, aber nicht aus dem Grund, die fefe anführt, sondern weil die zentrale Firewall für Sicherheit sorgt.

Und da schließt sich eben der Kreis. Ein Plastikrouter ist ein offenes Scheunentor, das man notdürftig mit personal Firewalls flicken kann. Ein Linuxrouter kann diese Aufgaben alle zentral übernehmen, ohne die Clients ständig im Blick haben zu müssen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von mat6937 » 04.03.2018 15:55:26

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:48:45
... und genaus das gibts hier bezogen auf meine User nicht. Und selbst wenns sie es könnten, dann fehlt die Absicht... weil weder Absicht noch Erfolg irgendeinen Benefit hätte.
Für deine User nicht, ... aber ich meinte das so: wenn sich ein anderer (fremder) User als dein User, von der Firewall (Router) anhand (nur) der MAC-Adresse identifizieren (erkennen) lassen will. D. h., er (der Fremde) könnte die MAC-Adresse von einem deiner User "übernehmen".

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 16:05:04

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:54:53
OK, ein Fremdclient (z.B. Rechner eines Besuchers) bekommt natürlich eine neue IP, der bringt aber auch garantiert keinen von dir konfigurierten Paketfilter mit, hätte also Zugriff auf die große böse weite Welt. Hier ist also eine Lücke in deinem Sicherheitskonzept.
Äh... wieso sollte mich interessieren, ob der kompromittiert ist oder wird? Der kommt ja auch gar nicht an irgendwelche Netzressourcen unseres LANs dran. Der ist mir völlig egal.
Die eigenen Clients im Netz hat man hoffentlich im Griff.
Das waren jetzt alles theoretische Probleme, die sich hier nicht stellen.
MSfree hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:54:53
Die personal Firewall bringt dann eben auch keinen Zusatznutzen, aber nicht aus dem Grund, die fefe anführt, sondern weil die zentrale Firewall für Sicherheit sorgt.

Und da schließt sich eben der Kreis. Ein Plastikrouter ist ein offenes Scheunentor, das man notdürftig mit personal Firewalls flicken kann. Ein Linuxrouter kann diese Aufgaben alle zentral übernehmen, ohne die Clients ständig im Blick haben zu müssen.
Das werte ich als Meinung, schließe mich der aber nicht an. Ich halte sowohl die Aussage für falsch, dass ein Kommerzrouter ein offenes Scheunentor ist, als auch die Feststellung, dass mein lokaler Paketfilter die Mängel meiner Fritte flickt.... zumal von meiner Intention bei diesen zweit Aspekten völlig unterschiedliche Absichten bestehen. Nur mal eine Frage am Rande... damit wir auch wirklich über das gleiche reden: Wie pflegst Du an Deinem Router gleichzeitig die Belange für IPv4 und IPv6...?... z.B. die völlig unterschiedlichen Grundsätze für ICMP und Multicast... oder die Tatsache, dass IPv6 Global-Scope-Adressen und damit selber Clients im Internet sind?

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 04.03.2018 16:13:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:55:26
Für deine User nicht, ... aber ich meinte das so: wenn sich ein anderer (fremder) User als dein User, von der Firewall (Router) anhand (nur) der MAC-Adresse identifizieren (erkennen) lassen will. D. h., er (der Fremde) könnte die MAC-Adresse von einem deiner User "übernehmen".
Damit stellst Du doch aber wieder das ganze WLAN in Frage, weil kabelmäßig ja keiner dran kommt. ... mit der sich anschließenden Frage: Wo ist denn da der Ausweg? WLAN abschalten? Da drehen wir uns doch im Kreis...

Ich weiss, was alles möglich ist... nur wer interessiert sich dafür? Imho genau der fehlt doch hier in der Betrachtung. Wir sind doch gar nicht wichtig genug, als dass da irgendwer die Zeit für einen zweiten Blick verschwendet. Ich vertraue hier auf meinen WPA-Key... mehr kann ich eh nicht tun. ... außer vielleicht noch nen Putzeimer von innen mit Watte ausstaffieren, von außen mit Alufolie beziehen, auf den Kopf setzen und mich dann im Kohlenkeller in den Kohlen eingraben... das wäre dann wohl die ultimative Sicherheit.... aber die macht leider schmutzig... :mrgreen: ... also auch nicht der wahre Jakob...

BenutzerGa4gooPh

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von BenutzerGa4gooPh » 05.03.2018 08:32:49

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 18:02:52
Jana66 hat geschrieben: ↑ zum Beitrag ↑
03.03.2018 17:06:57
Mit komplettem Desktop-Environment, mehreren Nutzern, Browser/Javascript, Mail-Client würde ich das nur mit Personal Firewall nicht mehr tun.
Wie bzw. gegen was hilft zusätzlich ein (IPv4-)Router hier, bei einem komplettem Desktop-Environment?
Hhmm, gute Entgegnung. Mir fällt nur ein, dass bei einer Kompromittierung des Desktop-PCs (Malware per Browser, Mail, Phishing, "Dokumenten"-Austausch etc) eine Hardware-Firewall mit NAT, SPI, Segmentierung/Zonen/VLANS, outbound filtering und "Inter-Zonen-Filterung" nicht kompromittiert wird. Somit besteht zumindest die Möglichkeit, andere Zonen (Server?) vor dem kompromittierten PC zu schützen, aufgrund Firewall-Logs ungewöhnliche (verbotene/geloggte) Verbindungsversuche zu erkennen, somit Kompromittierung des PCs erkennen und Folgen einzuschränken. Dabei ist ein Plastikrouter ohne o. g. "Features" und Einstellungen wenig hilfreich.
TomL: Damit stellst Du doch aber wieder das ganze WLAN in Frage, weil kabelmäßig ja keiner dran kommt. ... mit der sich anschließenden Frage: Wo ist denn da der Ausweg? WLAN abschalten? Da drehen wir uns doch im Kreis...
z. B. IPFire: WLAN = Zone "Blau", LAN = Zone "Grün" (Segmentierung, Separierung) :wink:
Sowie Möglichkeiten RADIUS/802.1X für eigene Hosts, Captive Portal (spoofbar) für andere. Je nach Aluhütigkeit und Bastellust. :mrgreen:

Des Weiteren könnte man bei "Kommerz-Routern" unterscheiden zwischen Consumer-Technik (AVM) und professioneller Technik.
z. B. https://tools.cisco.com/security/center ... nListing.x
AVM???
Bei Linux-Routern (und xBSD) wiederum zwischen fehlerhaften/unsicheren Eigenbauten aufgrund mangelndem Wissens und vorgefertigten Distributionen von Experten in/nach jahrelanger Arbeit.
Bei Linux-"Personal-Firewall" würde ich unterscheiden zwischen der für einen Desktop-PC mit allen Angriffsflächen und der für einen reinen Server mit völlig unterschiedlichen Angriffsmöglichkeiten und Angriffsflächen, zusätzlichen Tools (fail2ban etc).

Ja, wir drehen uns mittlerweile im Kreis ... deshalb höre ich hier auf.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von pangu » 05.03.2018 09:44:57

Der liebe Tom meint's gut und was er auch schreibt ist per se nicht verkehrt, so ganz nach dem Motto: "Eine Firewall ist besser als gar keine" aber das alleine ist ein Trugschluss. Deshalb auch die bisher genannten Informationen zu einem "Sicherheitskonzept".

Aus Erfahrung und aus profesionellen Umgebungen von 'großen Unternehmen' bin ich der Meinung dass "Aufklärung" (ein Konzern hat regelmäßige Awarenessprogramme am Start) eins der effektivsten Werkzeuge eines Sicherheitskonzepts ist.

Ich selbst habe Fälle gesehen dass ein superkomplexes Passwort von 16 Zeichen an einem gelben Post-It am Monitor angebracht wurde inkl. aufzurufende URL für die Loginmaske. Dasselbe auch mit Aufklebern unter der Tastatur. Was für einen Wert hat also hier an diesem Beispiel die Forcierung eines komplexen Loginpassworts innerhalb der Domäne vor allem wenn der Mitarbeiter alle 30 Tage gezwungen wird das Passwort zu ändern? Produktiv oder Kontraproduktiv? Für mich ist das ein klares No-Go was aber schlussfolgernd auf keinen Fall bedeutet dass komplexe Passwörter und Domain Policys überflüssig wären. Im Gegenteil, die richtige Mischung macht's aber auch hier gehört "Awareness" an erster Stelle!

Es macht absolut keinen Sinn ein Antivirusprogramm auf dem PC installiert zu haben (vor allem wenn's closed-source ist!) und die Nutzer (ja selbst die Admins) in falscher Sicherheit wiegen zu lassen. Man lehnt sich zurück und klickt wild und selbstsicher auf alle Links, mit der Hoffnung und dem gutgläubigen Ansatz dass die Sicherheitssoftware das Schlimmste schon vermeiden wird (klar, die ist doch dafür gemacht, oder?).

Dasselbe gilt auch für Firewall und FeFe hat es in seinem zeitlos gültigen Kommentar sehr klar deutlich gemacht, auch wenn es vielen ein Dorn im Auge weil sich das nicht gerne liest. Es ist aber Tatsache! du kannst einen unkontrollierbaren Bereich nicht als "sicher" deklarieren, höchstens als "hoffentlich sicher" und "ich glaube der ist sicher".

Um auf den Punkt zu kommen --> die Gefahr sich in falscher Sicherheit zu wiegen ist weitaus größer als man glaubt. Natürlich wird man nicht eine extra Ausbildung zum Schlosser absolvieren und ab sofort seine eigenen Türschlösser für das Haus errichten, nur weil der kommerziell beauftragte Schlüsseldienst jederzeit Zugriff zum Haus haben könnte. Aber auch hier hilft Aufklärung und dass man ständig im Hinterkopf behalten muss, dass der Zugang eigentlich "unsicher" ist. Zeitungs- und Newsmeldungen aus aller Welt demonstrieren das aus allen Lebensbereichen, ob IT, ob physikalisch, oder sonstwo Leaks entstehen. Die wenigsten machen sich ernsthafte Gedanken über Sicherheit und Privatsphäre (leider!), die anderen wollen gerne sind aber in den Ressourcen und der Zeit begrenzt (man hat ja noch ein Leben mit allem drum und dran) und die richtigen Profis machen's richtig (dauert und kostet, vor allem die Strukturierung und Planung!).
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

TomL

Re: Sicherheitsunterschiede? Linux-Custom-Router vs. Kommerz-Router

Beitrag von TomL » 05.03.2018 15:05:42

pangu hat geschrieben: ↑ zum Beitrag ↑
05.03.2018 09:44:57
"Eine Firewall ist besser als gar keine" aber das alleine ist ein Trugschluss. Deshalb auch die bisher genannten Informationen zu einem "Sicherheitskonzept".
Ich empfinde dieses hartnäckige Festhalten an einem völlig themenfremden Einzelparameter mittlerweile einigermaßen absurd... das Thema in diesem Thread ist nicht mein lokaler Paketfilter... wie oft muss man eigentlich darauf hinweisen? Ich frage i.ü.S. ganz allgemein, ist wohl ein Haus auf dem Land sicherer als eines in der Stadt...?... und erwähne nebenbei, dass ich so einen TV-Simulator für 15 € gut finde und muss mir dann ständig sagen lassen, dass das Teil überhaupt nix bringt, wenn das Haus "kompromittiert" ist, also der Einbrecher bereits drinnen ist. Also mal ehrlich.. geht noch? Wieso wird hier eigentlich ständig unterstellt, dass so ein Teil irgendwas mit einem Einbrecher tun soll, vielleicht den verkloppen, oder einsperren, laut um Hife schreien oder sonst was tun soll...? Der soll gefälligst nur blinkern und blitzen und so tun als ob ich vor der Flimmerkiste sitze... ob der Einbrecher drin ist oder nicht, hat den Blinker nicht zu interessieren. Genausowenig ist es meiner Absicht nach die Aufgabe meines Paketfilters, mit schon vorhandener und aktiver Malware umzugehen.

Wie eindimensional fachlich ausgerichet und damit imho auch einigermaßen abseits der Realtität muss man eigentlich denken, um die Wirkungsweise eines solchen Blinkers überhaupt anzuweifeln, nur weil der nicht in Fort Knox eingerichtet ist oder überhaupt zu erwarten, dass der nur in Gebäuden mit einem Sicherheitskonzept einem Fort-Knox-Standard entsprechend eingerichtet wird? Dem Teil isses völlig egal, in welchem Haus er blinkt... und wenn ein Einbrecher nicht erkennen kann, dass das nur ein TV-Sim ist, wird er vermutlich kein unnötiges Risiko eingehen... Fazit: Ziel erreicht! Was soll dieses permanente Anzweifeln des fehlenden Sicherheitskonzeptes, wenn ich doch zu keiner Źeit geschrieben habe, das es das wirklich nicht gibt. Um bei dem TV-Sim zu bleiben, habe ich irgendwo gesagt, dass ich keine automatischen Metall-Rolladen habe, keine Außen-Cams, die mich anrufen, keine automatisch verriegelnde Außentür, keine zufälliges Lichtsystem, keine Pilz-Zapfen an allen Fenstern und Türen? Wo steht das? Warum ist es überhaupt notwendig das zu sagen, wenn es doch gar nicht darum geht? Wie kann man wiederholt auf völlig unbekannten Bedingungen rumreiten, die erstens so gar nicht existieren und zweites nicht das Thema dieses Threads sind?

Dieses ganze Gerede über die Wirkung eines lokalen Paketfilters auf einem kompromittierten PC ist absolut grotesk, wenn gleichzeitig immer davon ausgegangen wird, dass der PC bereits befallen ist. Wenn der PC befallen ist, isses auf einem Linux-System völlig egal, ob es einen Paketfilter gibt oder nicht... genauso wie es völlig egal ist, ob der TV-Sim blinkt oder nicht, wenn der Einbrecher bereits im Haus ist. Mein Paketfilter ist nur eine kleine Komponene für genau 14,99 € (siehe Link oberhalb) in meinem Sicherheitskonzept.... mehr nicht. Dieses Rumreiten auf Fake-Fakten und theoretischen Problemen ist wirklichkeitsfremd... allein auch schon vor dem Hintergrund, dass es sowieso kaum Schadsoftware gegen Linux gibt. Was soll das also? Die Frage war (i.ü.S.) Stadt oder Land, und nicht Blinker.

Das hier folgende ist seit heute morgen auf meinem Server passiert... einer Debian-Minimal-Installation, ohne Desktop, nur mit wirklich benötigten Diensten, auf dem sich seit seiner Installation seit Monaten keiner angemeldet hat, auf dem keine Anwender-Software drauf läuft, und dem jeglicher von ihm ausgehender Kontakt ins Internet verboten ist. Der Server ist definitiv Malware-Frei, es sei denn, das Installer-Image war schon nicht sauber. Ich weiss nicht, was das hier für Pakete sind, die seit heute morgen 9 Uhr nach der Zwangstrennung aufgelaufen sind und "wohin" die telefonieren, aber sie sind da:

IPv4 und IPv6, reset und unreachable ist INPUT, admin-prohibited ist OUTPUT.

Code: Alles auswählen

# setipt list | grep reject
26       1    40 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
27      11  3389 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
14     289 19838 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-admin-prohibited

22       0     0 REJECT     tcp      *      *       ::/0                 ::/0                 reject-with tcp-reset
23       0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable
14     126 11088 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited
Als zweites nach nur einer halben Stunde Laufzeit meines PC ohne heftige Aktivitäten... von dem ich mir ebenfalls ohne jeden Zweifel sicher bin, dass er malware-frei ist, weil es keinen berechtigten User gibt, der etwas verändern könnte.... auch keine Java-Scripte o.ä. Und ich weiss auch hier nicht, wer da wohin telefoniert und ich wills auch nicht wissen, ist mir echt völlig egal. Bis zum Abend und mit mehr User-Aktivitäten verzwanzigfacht sich das. Ob gleichzeitig auch noch Anwendungen davon abgehalten werden, unprivilegierte Ports ins Web zu öffnen...?... wahrscheinlich... ist mir aber auch egal... der Filter tut was er soll, und zwar filtern.
Genau das ist die Aufgabe meines Paketfilters.... und die erfüllt er perfekt... nicht mehr, nicht weniger. Punkt! Das hat absolut nix mit schon vorhandener Malware zu tun und diese Aufgabe hat der Filter auch gar nicht. Wenn zufällig -ich betone zufällig- der Filter auch noch präventiv wirkt... dann freu ich mich... besser gehts nicht... wie oben beim Blinker schon einmal festgestellt "Ziel erreicht!".

Code: Alles auswählen

# setipt list | grep "reject"
14       1    40 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
15      20  4730 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
26      30  1440 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-admin-prohibited

14       0     0 REJECT     tcp      *      *       ::/0                 ::/0                 reject-with tcp-reset
15       0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable
26      38  3344 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-adm-prohibited
Auf meinem PC ist ebenfalls nur ein Basic-Debian installiert, es laufen keine unbenötigten Dienste, das Desktop-Environment ist eine hocheffiziente Minimalst-DE-Installation, also kein Standard-Desktop und deshalb ohne jeglichen Ballast. Der Paketfilter läuft seit meiner Umstellung auf VDSL, also ein Jahr oder so... es gibt keine Beeinträchtigungen durch den Filter. Aber nochmal, der Paketfilter ist hier nicht das Thema, und noch weniger ist das Thema dessen Wirksamkeit, wenn der PC kompromittiert ist... weil das für mich hier ein rein theoretisches Szenario ist, was hier nicht zutrifft und was mich auch nicht wirklich interessiert.

@Jana
Weil Du den Begriff "Personal Firewall" eingebracht, was durchaus auch korrekt ist, möchte ich das -soweit es mich betrifft- abschließend noch mal herausstellen: Ich habe keine Personal Firewall installiert, noch beabsichtigte ich das in der Zukunft zu tun, noch betrachte ich meinen Paketfilter als Firewall. Ich habe mich während dieses Threads dazu entschlossen, der Firewall meines Consumer-Routers zu vertrauen, weiteren Handlungsbedarf sehe ich für uns nicht. Was meinen Paketfilter auf Server und Clients angeht, so ist die alleinige Absicht, Einflußnahme auf PC-Verhalten und infolgedessen auch auf User-Verhalten auszuüben. Wenn sich dadurch präventive Randeffekte ergeben, so ist das unbeabsichtigt, zufällig, aber ich begrüße das.

Antworten