Sicherheit im Netzwerk - Routerkonfiguration

[Capu]

Wenn du das als Anleitung sehen willst... Dann muss ich das anders formulieren...
Aufgrund der Komplexität des Themas kann man nur wenige allgemeingültige Tips geben wie man einen Router "sicher" betreiben kann.

- Sicheres Router PW wählen
- WLAN WPA2 verschlüsseln mit 64-bit Schlüssel
- Konfiguration WAN seitig ausschalten
- Konfiguration via UPnP ausschalten

Alles weitere wird zu komplex und kann man nicht allgemeingültig erklären. Das hängt schon mit der unterschiedlichsten Routerhardware und
den damit resultierenden Konfigurationsmöglichkeiten zusammen. Du kannst auch niemanden, der keinen Dunst vom blassen Schimmer einer Ahnung von Linux hat "einfach" erklären wie man einen Webserver im Inet sicher betreibt, wie man ihn härtet und auf was man achten muss. Oder ein Beispiel aus einem anderen Bereich, wie ein absolut unkundiger beim Auto seine Bremse instand setzt... Kleine Fehler können eine große Wirkung haben, bzw. die Bremse dann eben keine mehr! ;-)

 

[petehild]

Zudem geht mit beiden Funktionen (SSID nicht senden und MAC Filter aktivieren) ein Komfortverlust daher der von der Scheinsicherheit nicht aufgewogen wird. Beide Funktionen sollten aus den Firmwares der Router gestrichen werden - denn sie bringen NICHTS.

Wobei der aktivierte MAC-Filter auch Komfort bedeuten kann, ein Bekannter von mir wohnt neben einer großen Frima. Ohne aktvierten MAC-Filter hätte er täglich ca. 20 neue Zugriffsversuche in der Liste. Dann böswillige von nicht böswilligen Zugriffsversuchen zu unterscheiden wird schwierig.

Gruß
Pete

 

[thedude]

Nunja, wenn man ein sicheres WPA2 Password gewählt hat kann einem das ja wurscht sein. Darum geht es ja, wenn man sein Netz (richtig) absichert braucht man sich um solche "Versuche" keine grossen Gedanken zu machen. Machen kann man dagegen ja eh nix (ausser den MAC Filter aktiviren und da schliesst sich der Kreis ).

 

[itari]

Oder ein Beispiel aus einem anderen Bereich, wie ein absolut unkundiger beim Auto seine Bremse instand setzt... Kleine Fehler können eine große Wirkung haben, bzw. die Bremse dann eben keine mehr! ;-)

Man kann solche Brems-Beispiele natürlich immer so verwenden ... ich sag mal so, hier repariert keiner was ... hier geht es eher darum, zu verstehen, wann man bremsen muss und dass man einmal im Leben verstanden hat, wie der Bremsweg ausgerechnet wird ... Klar mag das auch auf 'mathematische' Weise geschehen, aber man kann es auch anders ... du kennst sicher die Markierungen auf der östereichischen Autobahn (die von deutschen Formel-1-Fahrer so gerne missverstanden werden, du siehst, auch Fachmänner müssen sich ihrer intellektuelle Probleme schämen) und diese Markierungsgeschichte verstehen sogar Österreicher ... genauso müssen wir das auch hier bei den DiskStations handhaben (wir diskutieren ja nicht über den Blödsinn, den sich Ingenieure da als Netzwerk ausgedacht haben) ... wobei die meisten Dinge im Zusammenhang mit Netzwerken halt doch recht einfach sind ... kennst du die Diskussion über die aus der Kurve fallenden Bits? (http://forum.mods.de/bb/thread.php?TID=60663&page=1)

Itari

 

[petehild]

... kennst du die Diskussion über die aus der Kurve fallenden Bits? (http://forum.mods.de/bb/thread.php?TID=60663&page=1)

Wieso Bits? Das sind doch die Elektronen die in der Kurve rausfliegen... lol auf was für Ideen Leute kommen

Pete

 

[Capu]

...hier geht es eher darum, zu verstehen, wann man bremsen muss und dass man einmal im Leben verstanden hat, wie der Bremsweg ausgerechnet wird ...

Ok... Dann so... Deinen Router verwendest du um Netze zu verbinden bzw. um ins Internet zu kommen... Da trägst du deine Zugangsdaten vom Provider ein... Funktioniert!
Vom Rest lässt du die Finger!

 

[>dev/null]

Falls man sein NAS per DynDNS nach außen freigegeben hat um bsp. als private Cloud zu nutzen:
- Beim Portfowarding Ports benutzen die nicht well-known sind > 1024. Es gibt zich Hacker-Daemons im Netz, die alle well-known ports scannen.
- Falls Protokolle nach außen gegeben werden, immer mit Verschlüsselung bsp. FileStation => https.
- Automatische Blockierung der DS aktivieren

Da bei mir dauernd Connection-Versuche aus China und Mexico kamen, hab ich bei DS Firwall auf Whitelisting-Verfahren umgestellt.

 

[jahlives]

@Capu
zum Glück ist es nicht so einfach, sonst wären ganze Supportabteilungen arbeitslos ;-)

Damit ich auch noch was zum Thread sage: Passworte regelmässig wechseln. Besser aufschreiben als ein zu einfaches verwenden. Und nicht vergessen, dass die Gefahr auch aus dem LAN kommen kann, also von berechtigten Clients (z.B. Malware oder Usern die einfach mal probieren oder sogar böswillig schaden wollen). Denn Frontalangriffe sind selten sehr erfolgreich, aber von der Seite oder von hinten schon eher ;-)

 

[itari]

Beim Portfowarding Ports benutzen die nicht well-known sind > 1024. Es gibt zich Hacker-Daemons im Netz, die alle well-known ports scannen.

Ich möchte darauf hinweisen, dass es hier einen Widerspruch gibt. Zum einen wird gerne gesagt, dass die well-known-ports bei 1023/1024 aufhören, zum anderen kusieren Listen, wo viel mehr Ports als well-known/registiert aufgeführt werden (http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports)

Ich persönlich halte nicht viel vom Port-Transponieren, denn ein Portscanner kann selbstverständlich auch größere Portnummern als 1024 scannen. Daher wäre das für mich auch nur eine Scheinsicherheit.

Itari

 

[itari]

zum Glück ist es nicht so einfach, sonst wären ganze Supportabteilungen arbeitslos ;-)

Sowas ähnliches habe ich auch schon einmal von Assembler-Programmierern vor langer Zeit gehört - später saßen sie in meinen C-Seminaren. Dann hab ich es von C-Programmierer gehört ... irgendwann hab ich dann in Java-Kursen wiedergetroffen ... soll ich weiter machen *gg*

Itari

 

[Capu]

Ich persönlich halte nicht viel vom Port-Transponieren, denn ein Portscanner kann selbstverständlich auch größere Portnummern als 1024 scannen. Daher wäre das für mich auch nur eine Scheinsicherheit.

Natürlich kann ein Portscanner die komplette Portrange scannen, aber mit einer Umlegung des Ports (z.B. ssh eben nicht auf 22) geht man den Scriptkiddies schon mal aus dem Weg die für ihre "Hackversuche" vorgefertigte Tools benutzen... Da spart man sich viele viele Logeinträge...

 

[itari]

Vielleicht sollte man tatsächlich eine Zweiteilung der Tipps vornehmen, in

1) sicherheitsrelevante Tipps und
2) Tipps, die zwar keinen direkten Sicherheitmehrwert bringen, aber recht nützlich sind und in bestimmten Situationen nützlich sein können

Ich würde gerne mal das Thema 'DMZ' einwerfen. Wer hat es und wenn ja, wie sichert ihr die DMZ ab?

Itari

 

[jahlives]

Da spart man sich viele viele Logeinträge

Dies Logeinträge haben aber den Vorteil, dass man darauf reagieren kann z.B. bei zuvielen Versuchen die IP blocken wie es der Autoblock im DSM oder eine Software wie fail2ban macht. Ich lass mir lieber jeden Furz loggen und nehme damit sehr grosse Logs in Kauf, als dass ich im Notfall nicht sicher sein kann ob ich denn in den Logs was finden kann
Das "Verlegen" von default Ports nennt sich "Security by Obscurity" und die meisten admins werden anfügen "is no security at all"

 

[thedude]

Aber bitte eine richtige DMZ und nicht das "exposed host" feature was viele Router anbieten und als DMZ deklarieren.

Ich hätte auch ganz ehrlich sehr gerne eine aber der hardware verhau is schon nicht schlecht (mehrere gute Router) wenn mans schnell haben will...

 

[Capu]

@jahlives
Es ist halt die Frage ob und wieviel Zeit man täglich in die Sichtung seiner Logs aufwenden will...

 

[jahlives]

Ich guck doch nicht jeden Tag meine Logs an ;-) Aber ich weiss wenn ich mal einen Verdacht habe, dass ich grosse Chancen habe in den Logs was zu finden. Fürs Blocken ist bei mir fail2ban am Werke und macht das sehr zuverlässig, da muss ich manuell nix machen.

 

[Capu]

Nicht nur bei dir! ;-)

 

[itari]

Fürs Blocken ist bei mir fail2ban am Werke und macht das sehr zuverlässig, da muss ich manuell nix machen.

Wie geht das? Erkläre mal genauer ...

Itari

 

[Capu]

http://www.fail2ban.org/wiki/index.php/FAQ_german

 

[itari]

http://www.fail2ban.org/wiki/index.php/FAQ_german

Schön schön, jetzt hab ich das gelesen. Was mich noch interessiert, wie läuft das auf der DS und welche Logfiles wertet man am besten damit aus und wie konfigurierst damit iptable um bzw. den Synology-IP-Blockierer ???

Itari