qsnatch.... es trifft leider nicht nur die anderen...

[tproko]

Einfach mal beim Provider anrufen und zum Techniker durchstellen lassen

Das wäre sicher am einfachsten, der Provider "kann in diesem Fall leider leider nicht helfen, nur das BSI" (bzw. will, aber das lässt sich nicht so leicht rausfinden).

 

[Speicherriese]

Da hätte ich doch gleich wieder eine Geschäftsidee. Ein kleines Kästchen entwickeln ( könnte ja auch Rasphery laufen), dies wird zwischen Router und Anschluss nach Außen geschaltet und filtert alles, was unberechtigerweise nach draußen rufen will. ( Was man vorher schön in einer Gui einstellen kann) Natürlich das ganze mit diversen Alrasmfunktionen ausgestattet, sollte mal irgendwas ungewöhnliches passieren, wird sofort per Push/Mail informiert und diese eine "seltsame" Verbindung automatisch gekappt. Natürlich schaut sich das Gerät erst mal die ersten paar Tage den "normalen" Datenverkehr an, lernt dazu und fertigt daraufhin Tabellen an, weicht hier was ab, Alarm. Träumen darf man noch oder?

 

[ottosykora]

geht sicher irgendwie, ich kann mich nur erinnern so was wurde früher bei den 'personal firewall' propagiert, nur leisten konnte es dann doch keine.
Zudem wurde die Konfiguration immer mühsamer, alles muss heute nach hause telefonieren, nichts geht ohne. Wie soll da noch ein normaler User so was einstellen können, oder woher soll er wissen was nach draussen soll und was nicht? Das ging am Anfang, aber schnell nicht mehr. Bei jedem Klick auf was auch immer wurde man gefragt ob dieser Datei nach draussen kommunizieren darf. Das war wohl auch schnell Ende damit.

 

[Puppetmaster]

Hm, umso mehr Charme hätte das doch, wenn es Standard wäre, dass ich zunächst für jedes Gerät im Netz eine Freigabe für den Zugriff nach draußen erteilen müsste.
Mir sind Geräte und Dienste ein Graus, die nicht funktionieren, wenn sie es nicht der ganzen Welt erzählen dürfen. Könnte ich das im Vorfeld immer erkennen (bzw. würden Hersteller damit werben, dass ihre Geräte es eben genau NICHT tun), dann blieben viele Teile in den Regalen und wüden gar nicht erst gekauft (min. mal nicht von mir! )
Sollte es eine anwenderfreundliche Lösung geben, dann bin ich da auch Feuer und Flamme.

 

[tproko]

@Puppetmaster das hört sich ja fein an. Aber die Realität ist dann leider eher, dass die meisten noch mit 0815 Routern und Plug&Use überfordert sind. Wobei sicher alles sicherer wird, wenn einige keinen Zugriff mehr hin bekommen

@Speicherriese hört sich verdächtig nach PiHole an

 

[Puppetmaster]

Die Herausforderung liegt daher umso mehr in der Entwicklung einer guten Engine nebst GUI, die dem Nutzer die Entscheidungen abverlangt, die getroffen werden müssen. Am besten gestützt auf eine (ständig aktualisierte) Datenbank, ähnlich einem Virenscanner, die die Geräte und Dienste im besten Fall kennt, bevor ich sie in mein Netz hänge und daher dann auch eine gute Entscheidungsgrundlage bieten kann.
Möglich wäre es - mindestens einmal technisch. Aber ich fürchte auch, es wird in absehbarer Zeit nichts geben, was diese Wünsche erfüllen wird.

Aber träumen wird man doch noch dürfen.

 

[tproko]

Aber träumen wird man doch noch

Absolut richtig

 

[ottosykora]

Ich hatte früher auch so eine 'personal firewall' gehabt die suggeriert hat outbound zu filtrieren.
Pro Minute musste ich egal was ich tat, so um die 20 Anfragen bestätigen ob es erlaubt ist oder nicht....
Da vergeht einem schnell diese Art von Sicherheit.
Eine SW die nicht eine Verbindung nach aussen braucht wird heute selten. Auch unsere Syno brauchen es, je nach installierten Packeten mehr oder weniger.

Gerade jetzt bin ich nur mit LTE unterwegs, aus Kostengründen versucht den LTE Hotspot abzustellen. Was da dauernd reklamiert alleine auf dem w10 PC!. Office kaum baruchbar, dauern irgednwelche Popups. Ich könnte so was wegfiltern, aber was habe ich davon?

 

[Speicherriese]

Die Herausforderung liegt daher umso mehr in der Entwicklung einer guten Engine nebst GUI, die dem Nutzer die Entscheidungen abverlangt, die getroffen werden müssen. Am besten gestützt auf eine (ständig aktualisierte) Datenbank, ähnlich einem Virenscanner, die die Geräte und Dienste im besten Fall kennt, bevor ich sie in mein Netz hänge und daher dann auch eine gute Entscheidungsgrundlage bieten kann.
Möglich wäre es - mindestens einmal technisch. Aber ich fürchte auch, es wird in absehbarer Zeit nichts geben, was diese Wünsche erfüllen wird.

Aber träumen wird man doch noch dürfen.

Man bräuchte jemanden, der sich mit dieser ganzen Matherie zu 100% auskennt ( sich wirklich bis in die Tiefe auskennt) und dies in ein kleines Gerät, wie Rasphery mit ansprechender Gui verpackt. Dazwischenstecken, ein paar Tage warten, bis der Lernmodus ( nix mit irgendwelchem handischen Anfragen bestätigen, muss alles vollautomatisch geschehen und sollte ja heutzutage keinerlei Problem darstellen) des eigenen Haushalts abgeschlossen ist, ( ist natürlich einstellbar, wie lange dieser lernmodus dauern soll) und sich entspannt zurücklehnen. Nie wieder wird ein Provider einen anschreiben und sich beschweren, oder sogar seinen Vertrag aufkündigen da irgendwas seltsames von meiner Leitung aus abgeht.
Sagen wir mal 129,90 Euro wäre mir sowas schon wert.

 

[Puppetmaster]

Einen Großteil kann ich mit dem Pihole ja schon unterdrücken (Laut Statistik in meinem Netz ca. 50% der DNS Anfragen). Darunter auch ganz gezielt einige Dienste der DS, und natürlich Google und Co.
Das Kartenhaus bricht halt nur zusammen, wenn es nicht über eine Domain, sondern über IP vonstatten geht. Da versagt pihole.
Auch wäre mir ein zunächst genereller "Block" bei neuen Geräten (IP) im Netz lieb. Pihole ist ja vom Grundsatz eher ein reaktiver, statt ein proaktiver

 

[blurrrr]

"Einfach mal beim Provider anrufen und zum Techniker durchstellen lassen" - guter Witz! ???

 

[Synchrotron]

PiHole klappt gut, so lange der Traffic an Domains gerichtet ist. Man kann auch selbst schauen, was die "Gravity"-Listen nicht abblocken, und das mal selbst Blacklisten. Wenn dadurch nichts ausfällt, einfach stehen lassen.

Für Macs gibt es z.B. Lulu als Firewall. Wenn man sich das antun möchte, kann man zunächst auf "Alles blockieren" gehen, und dann nach und nach die Dienste freigeben, die man durchlassen will. Man hat dann eine Weile zu tun, bis die Dinge so +/- wieder laufen. Leider erkennt man auch nicht in jedem Fall, wozu ein bestimmter Dienst dann doch einmal benötigt wird.

 

[Puppetmaster]

Man kann auch selbst schauen, was die "Gravity"-Listen nicht abblocken, und das mal selbst Blacklisten.

Wüßte jetzt nicht, wie ich das der Büchse entlocken sollte. Wenn hardverdrahtet Kontakt über eine IP gesucht wird, schneidet Pihole das nicht mit (weil kein DNS angesprochen wird), aber selbst wenn: wo sollte ich diese IP "blacklisten"?

 

[Synchrotron]

IPs lassen sich nicht "blacklisten", weil sie nicht über die DNS-Auflösung laufen. PiHole basiert nun mal darauf, sich als DNS-Server zwischen Clients und Router zu schieben, und nur "weißen" Traffic zum eigentlichen DNS-Server durch zu lassen.

Lulu löst das Problem anders: Dort wird (nur für den Mac selbst, nicht für das Netzwerk) pro Anwendung Netzwerkverkehr zugelassen oder eben blockiert - auch der an IP-Adressen, nicht nur an Domains.

 

[blurrrr]

Schimpft sich dann i.d.R. "Firewall" (halt kein SoHo-Router)? Problem is halt nur, dass a) kaum einer weiss, was er da genau tut und einfach nur blind irgendwelche idomix-Howtos durchfummelt, b) kaum einer eine "vernünftige" Firewall sein eigen nennt (SoHo-Router sind halt sehr verbreitet) und c) sowieso kaum einer Ahnung von der Materie hat, damit man überhaupt ein vernünftiges Regelset etablieren könnte. DNS ist da halt noch eine "ganz" andere Baustelle und man sieht es auch beim Streaming, die Leute sind ja auch nicht blöde... Kaum wird eine Domain geblockt, werden halt 20 neue registriert, also was soll's.

Das einzig wirklich "sinnvolle" ("mehr oder minder"!) wäre da eher sowas in Richtung: NAS darf nur ins LAN und halt noch zu Synology (ggf. auch "manuell" entsperrbar) + VPN-Netz und dann ist Feierabend. Das nimmt einem dann aber auf der anderen Seite natürlich auch wieder den Spass, denn dann ist auch wieder nix mit "teilen mit Bekannten und Freunden". Gibt Firewalls, welche auch entsprechend DynDNS-Hosts in Regeln verarbeiten können (die werden dann alle paar Minuten neu aufgelöst), damit lässt sich das "teilen" schon leichter bewerkstelligen, wenn die Gegenseite auch einen entsprechenden Dienst laufen hat.

Countryblocking ein- und ausgehend macht natürlich schon was her, ist aber auch kein Allheilmittel und überhaupt ist diese ganze Diskussion völlig überflüssig, weil es sich hier genau wie bei den Viren, beim Kopierschutz, oder sonstwo verhält: Eine Lücke wird ausgenutzt, die Gegenseite schreit und reagiert mit Schutzmaßnahmen, dann schauen die anderen wo wieder was geht, die Lücke wird ausgenutzt, das Geschrei ist wieder groß, usw. Werden doch jährlich Milliarden für Bullshitbingo ausgegeben... Musik-Kopierschutz... haha... Audio-Kopierschutz... mhm... Selbst aus der KFZ-Ecke kommt nur eine Peinlichkeit nach der nächsten (Laptop -> Brücke -> Bremsen von fahrenden Autos blockieren... HALLO?!)... Aber hey, wir sind alle sicher... mit Sicherheit ?

EDIT: Das Hauptproblem liegt sowieso im "Verzicht" welcher mit einher geht und den niemand niemals nie nich in Kauf nehmen will ?

 

[Puppetmaster]

Das geht an der Diskussion vorbei.
Ich habe nichts gegen ausgehenden Verkehr, vom Prinzip ist das schon gut so und genau richtig. Was aber nicht geht ist das seit einigen Jahren aufkommende IoT mit Geräten, die nichts, aber auch gar nichts im Netz zu suchen haben sollten. Bequemlichkeit hin oder her. Ein Kühlschrank oder Waschmaschine gehört nicht ins Netz, nicht in meiner Welt.
Was es braucht ist also vielmehr eine Art kleiner Revolution. Angefangen mit einer technischen Möglichkeit, solches Verhalten aufzudecken. Stand heute muss ich mich dazu mit der "Programmierung" einer Firewall auseinandersetzen. Das ist leider für den Anwender nicht machbar. Hier sehe ich Potential etwas zu ändern bzw. zu verbessern.

 

[tproko]

Es gibt auch ein paar Router wo der WAN Traffic basierend auf Mac Adressen einfach zb. per Maus Click abgedreht werden kann.
Das ist natürlich nicht annähernd was das Ziel sein sollte, aber besser als nichts und einfacher als Firewall und co im eigenen Haus.
Heizung PV und Co. mit uralt Firmware / Embedded Linux von 2000 gehören einfach nicht ins Internet.

Ich hab da leider zu wenig Zeit, Geld oder Muse um hier auf die super sicheren Hardware Lösung zu setzen.

 

[the other]

Moinsen,
das Thema war für mich auch lange eher Nebensache.
Über Umwege bin ich dann bei der Suche nach nem Router mit vpn Funktionen auf die pfSense gestoßen. Und dann ordentlich mit dem Thema auseinander gesetzt. Ich nutze das nur für den hobbykeller aka Heimnetz.
Aber.... Das Teil ermöglicht vlan, was die Organisation von Geräten im heimnetz erleichtert. Darauf aufbauend ist das einrichten von Regeln auch machbar. Auch die Suche nach der nadel im Heuhaufen wird erleichtert. Wie gesagt, ist hier eher als Hobby am Start, wird aber auch im profibereich gerne verwendet und läuft für daheim auf einfacher Hardware... Zb apu2d4. Kostet etwas mehr als doppelt so viel wie ein neues raspi Set. Benötigt aber in der Tat Motivation und Zeit. Dann ist es aber ne super duper Sache.

 

[Speicherriese]

Das ist warscheinlich eines der Hautpprobleme die die moderen Technik so mit sich bringt. Kaufen und installieren kann es mittlerweile jeder, auch wenn er zwei linke Hände hat. Aber die wenigsten wissen überhaupt, was im ganzen Netz so alles abgeht. ( Schließe ich mich mit ein). Viele behaupten von sich ( habe auch solche Bekannte) sie wären die Checker, können aber auch nur plug and play und evtl. noch ein bisschen Hintergrundwissen, mehr ist da nicht Heutzutage. Wie um Himmels willen, soll, dann jemand, der sein Haus smart haben will und alle möglichen spielerein einbaut, weil er es sich leisten kann, wissen, wie das alles eigentlich im Detail so funktioniert. Im Ernstfall steht man dann Achselzuckend da, wenn einem der Provider den Saft abdreht. Warum muss Heute alles so dermaßen kompliziert sein, das man erstmal 6 Semester Informatik studiert haben muss um einigermaßen durchzusteigen. Intelligente Geräte, die sich selbst checken und alles von einem fernhalten wäre hier die Lösung.

 

[Samhain]

... das man erstmal 6 Semester Informatik studiert haben muss um einigermaßen durchzusteigen.

... das reicht auch nicht. Die Typen die vom Studium kommen, haben nicht wirklich Ahnung von der Materie. Da gehören schon einige LG zu Firewalling uvm dazu.

Ich hatte privat einige Jahre ne PIX ... später ASA im Einsatz. Auf Dauer ist das Ganze mit Transfernetz nach draußen ziemlich aufwändig und alles andere als "Plug and Play" nutzbar. Deshalb halte ich viel von dem Satz "Weniger ist mehr"


... btw.: Was gibts Neues vom Threadersteller?