Sicherheit im Netzwerk - Routerkonfiguration

Status
Für weitere Antworten geschlossen.

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
Wenn du das als Anleitung sehen willst... Dann muss ich das anders formulieren...
Aufgrund der Komplexität des Themas kann man nur wenige allgemeingültige Tips geben wie man einen Router "sicher" betreiben kann.

- Sicheres Router PW wählen
- WLAN WPA2 verschlüsseln mit 64-bit Schlüssel
- Konfiguration WAN seitig ausschalten
- Konfiguration via UPnP ausschalten

Alles weitere wird zu komplex und kann man nicht allgemeingültig erklären. Das hängt schon mit der unterschiedlichsten Routerhardware und
den damit resultierenden Konfigurationsmöglichkeiten zusammen. Du kannst auch niemanden, der keinen Dunst vom blassen Schimmer einer Ahnung von Linux hat "einfach" erklären wie man einen Webserver im Inet sicher betreibt, wie man ihn härtet und auf was man achten muss. Oder ein Beispiel aus einem anderen Bereich, wie ein absolut unkundiger beim Auto seine Bremse instand setzt... Kleine Fehler können eine große Wirkung haben, bzw. die Bremse dann eben keine mehr! ;-)
 

petehild

Benutzer
Mitglied seit
17. Mrz 2011
Beiträge
443
Punkte für Reaktionen
0
Punkte
22
Zudem geht mit beiden Funktionen (SSID nicht senden und MAC Filter aktivieren) ein Komfortverlust daher der von der Scheinsicherheit nicht aufgewogen wird. Beide Funktionen sollten aus den Firmwares der Router gestrichen werden - denn sie bringen NICHTS.

Wobei der aktivierte MAC-Filter auch Komfort bedeuten kann, ein Bekannter von mir wohnt neben einer großen Frima. Ohne aktvierten MAC-Filter hätte er täglich ca. 20 neue Zugriffsversuche in der Liste. Dann böswillige von nicht böswilligen Zugriffsversuchen zu unterscheiden wird schwierig.

Gruß
Pete
 

thedude

Benutzer
Mitglied seit
30. Nov 2009
Beiträge
2.244
Punkte für Reaktionen
2
Punkte
84
Nunja, wenn man ein sicheres WPA2 Password gewählt hat kann einem das ja wurscht sein. Darum geht es ja, wenn man sein Netz (richtig) absichert braucht man sich um solche "Versuche" keine grossen Gedanken zu machen. Machen kann man dagegen ja eh nix (ausser den MAC Filter aktiviren und da schliesst sich der Kreis ;)).
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Oder ein Beispiel aus einem anderen Bereich, wie ein absolut unkundiger beim Auto seine Bremse instand setzt... Kleine Fehler können eine große Wirkung haben, bzw. die Bremse dann eben keine mehr! ;-)

Man kann solche Brems-Beispiele natürlich immer so verwenden ... ich sag mal so, hier repariert keiner was ... hier geht es eher darum, zu verstehen, wann man bremsen muss und dass man einmal im Leben verstanden hat, wie der Bremsweg ausgerechnet wird ... Klar mag das auch auf 'mathematische' Weise geschehen, aber man kann es auch anders ... du kennst sicher die Markierungen auf der östereichischen Autobahn (die von deutschen Formel-1-Fahrer so gerne missverstanden werden, du siehst, auch Fachmänner müssen sich ihrer intellektuelle Probleme schämen) und diese Markierungsgeschichte verstehen sogar Österreicher ... genauso müssen wir das auch hier bei den DiskStations handhaben (wir diskutieren ja nicht über den Blödsinn, den sich Ingenieure da als Netzwerk ausgedacht haben) ... wobei die meisten Dinge im Zusammenhang mit Netzwerken halt doch recht einfach sind ... kennst du die Diskussion über die aus der Kurve fallenden Bits? (http://forum.mods.de/bb/thread.php?TID=60663&page=1)

Itari
 

petehild

Benutzer
Mitglied seit
17. Mrz 2011
Beiträge
443
Punkte für Reaktionen
0
Punkte
22

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
...hier geht es eher darum, zu verstehen, wann man bremsen muss und dass man einmal im Leben verstanden hat, wie der Bremsweg ausgerechnet wird ...
Ok... Dann so... Deinen Router verwendest du um Netze zu verbinden bzw. um ins Internet zu kommen... Da trägst du deine Zugangsdaten vom Provider ein... Funktioniert! :D
Vom Rest lässt du die Finger!
 

>dev/null

Benutzer
Mitglied seit
07. Nov 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Falls man sein NAS per DynDNS nach außen freigegeben hat um bsp. als private Cloud zu nutzen:
- Beim Portfowarding Ports benutzen die nicht well-known sind > 1024. Es gibt zich Hacker-Daemons im Netz, die alle well-known ports scannen.
- Falls Protokolle nach außen gegeben werden, immer mit Verschlüsselung bsp. FileStation => https.
- Automatische Blockierung der DS aktivieren

Da bei mir dauernd Connection-Versuche aus China und Mexico kamen, hab ich bei DS Firwall auf Whitelisting-Verfahren umgestellt.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@Capu
zum Glück ist es nicht so einfach, sonst wären ganze Supportabteilungen arbeitslos ;-)

Damit ich auch noch was zum Thread sage: Passworte regelmässig wechseln. Besser aufschreiben als ein zu einfaches verwenden. Und nicht vergessen, dass die Gefahr auch aus dem LAN kommen kann, also von berechtigten Clients (z.B. Malware oder Usern die einfach mal probieren oder sogar böswillig schaden wollen). Denn Frontalangriffe sind selten sehr erfolgreich, aber von der Seite oder von hinten schon eher ;-)
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Beim Portfowarding Ports benutzen die nicht well-known sind > 1024. Es gibt zich Hacker-Daemons im Netz, die alle well-known ports scannen.

Ich möchte darauf hinweisen, dass es hier einen Widerspruch gibt. Zum einen wird gerne gesagt, dass die well-known-ports bei 1023/1024 aufhören, zum anderen kusieren Listen, wo viel mehr Ports als well-known/registiert aufgeführt werden (http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports)

Ich persönlich halte nicht viel vom Port-Transponieren, denn ein Portscanner kann selbstverständlich auch größere Portnummern als 1024 scannen. Daher wäre das für mich auch nur eine Scheinsicherheit.

Itari
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
zum Glück ist es nicht so einfach, sonst wären ganze Supportabteilungen arbeitslos ;-)

Sowas ähnliches habe ich auch schon einmal von Assembler-Programmierern vor langer Zeit gehört - später saßen sie in meinen C-Seminaren. Dann hab ich es von C-Programmierer gehört ... irgendwann hab ich dann in Java-Kursen wiedergetroffen ... soll ich weiter machen *gg*

Itari
 

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
Ich persönlich halte nicht viel vom Port-Transponieren, denn ein Portscanner kann selbstverständlich auch größere Portnummern als 1024 scannen. Daher wäre das für mich auch nur eine Scheinsicherheit.
Natürlich kann ein Portscanner die komplette Portrange scannen, aber mit einer Umlegung des Ports (z.B. ssh eben nicht auf 22) geht man den Scriptkiddies schon mal aus dem Weg die für ihre "Hackversuche" vorgefertigte Tools benutzen... Da spart man sich viele viele Logeinträge...
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Vielleicht sollte man tatsächlich eine Zweiteilung der Tipps vornehmen, in

1) sicherheitsrelevante Tipps und
2) Tipps, die zwar keinen direkten Sicherheitmehrwert bringen, aber recht nützlich sind und in bestimmten Situationen nützlich sein können

Ich würde gerne mal das Thema 'DMZ' einwerfen. Wer hat es und wenn ja, wie sichert ihr die DMZ ab?

Itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Da spart man sich viele viele Logeinträge
Dies Logeinträge haben aber den Vorteil, dass man darauf reagieren kann z.B. bei zuvielen Versuchen die IP blocken wie es der Autoblock im DSM oder eine Software wie fail2ban macht. Ich lass mir lieber jeden Furz loggen und nehme damit sehr grosse Logs in Kauf, als dass ich im Notfall nicht sicher sein kann ob ich denn in den Logs was finden kann :)
Das "Verlegen" von default Ports nennt sich "Security by Obscurity" und die meisten admins werden anfügen "is no security at all" :)
 

thedude

Benutzer
Mitglied seit
30. Nov 2009
Beiträge
2.244
Punkte für Reaktionen
2
Punkte
84
Aber bitte eine richtige DMZ und nicht das "exposed host" feature was viele Router anbieten und als DMZ deklarieren. ;)

Ich hätte auch ganz ehrlich sehr gerne eine aber der hardware verhau is schon nicht schlecht (mehrere gute Router) wenn mans schnell haben will...
 

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
@jahlives
Es ist halt die Frage ob und wieviel Zeit man täglich in die Sichtung seiner Logs aufwenden will...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich guck doch nicht jeden Tag meine Logs an ;-) Aber ich weiss wenn ich mal einen Verdacht habe, dass ich grosse Chancen habe in den Logs was zu finden. Fürs Blocken ist bei mir fail2ban am Werke und macht das sehr zuverlässig, da muss ich manuell nix machen.
 

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
Nicht nur bei dir! ;-)
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat