Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie sicher ist man hinter einem Modem+Router ?

Frage Sicherheit

Mitglied: Maik1991

Maik1991 (Level 1) - Jetzt verbinden

03.05.2014, aktualisiert 05.05.2014, 6560 Aufrufe, 12 Kommentare, 2 Danke

Hallo liebe Community,

Ich bin neu hier weil ganz ehrlich die Website mir bereits vom Aufbau gefällt und ich mich im Augenblick intensiv mit Linux und verschiedenen Diensten auseinander setze und die Website laut Endung in Deutschland gehostet wird.
Ich besitze einen Raspberry Pi der im Heimnetzwerk mit Apache2,Samba,Cups,SSH-Server läuft. Und ich mache mir Gedanken da der Rechner 24 Stunden am Netz hängt wie sicher ist dieser ?
Im Allgemeinen kenne ich diesen Spruch "Hintern Router passiert so schnell nichts" Aber .. vertrauen ist gut Kontrolle besser. :D Standartsachen wie SSH Root login + fail²bann sicheres PW
nicht Port 22 ist bereits alles gemacht. Cups ist auch nur für lokalen Zugang eingerichtet. Über Apache kann ich ein kleines Kontrollcenter aufrufen (Logs und diversen Kram alles selbstgebastelt und mächtig stolz drauf *lach* )

Also liebe Freunde rückt raus mit der Sprache wie sicher ist mein LAN von Außen ? Welche Möglichkeiten hat der Bösewicht und was kann ich tun um nicht Opfer zu werden ?
Es heißt ja auch so schön ein ungepatchtes Windows XP wäre innerhalb weniger Sekunden befallen obwohl dieser ja auch hinter Modem/Router hängen müsste .. daher was ist an dem Spruch dran ?
Ich weiß das dies eine sehr allgemeine Frage ist. Wenn ihr Fragen zu der Hardware(Modem/Router) und dessen Konfiguration habt meldet euch ;)
Mitglied: LordGurke
LÖSUNG 04.05.2014, aktualisiert 05.05.2014
Der Pi hat eine private IP? Ohne Portforwarding kommt zumindest von außen so schnell keiner da drauf
Allerdings - um deine Frage zu beantworten - gibt es natürlich trotzdem Möglichkeiten, wie jemand unbefugt in dein Netzwerk einbrechen könnte.

1. Ausnutzung von Firmware-Bugs im Router
Wenn der Router angreifbar ist, ist das Netzwerk natürlich nicht mehr wirklich geschützt. Dass gerade die billigen und weniger billigen Consumer-Router da nur eingeschränkt vertrauenswürdig sind, haben Hersteller wie Netgear, AVM, Linksys u.s.w. in den letzten Monaten mehrfach unter Beweis gestellt.
Wird der Router vom Provider gestellt (o2 Home Box, Vodafone Easybox, Telekom Speedport etc.) ist es garnicht so weit hergeholt, dass sich der Provider da Fernwartungszugänge eingerichtet hat und damit theoretisch die Möglichkeit hätte, diese zu nutzen um für dich unsichtbare Firewallregeln einzurichten.
Deshalb vertraue ich persönlich der Providerhardware nur so weit, wie ich einen 42HE-Schrank schmeißen kann.

1b: Das gilt natürlich auch für Bugs, die es ermöglichen den WLAN-Zugang aufzumachen (wie zuletzt in der WPS-PIN-Funktion einiger Router).


2. Schadsoftware auf dem Pi
Wenn der Raspberry selbst - wie auch immer - mit Schadsoftware infiziert ist, kann die Angreifern von außen Zugänge öffnen. Solche Backdoors würden beispielsweise persistente TCP-Verbindungen nach außen zu irgendwelchen C&C-Servern aufhalten und darüber Befehle entgegennehmen. Technisch funktioniert das ähnlich wie die Push-Notifications von Smartphones. Da hilft dir dein NAT am Router herzlich wenig, denn die Verbindung wird von innen nach außen geöffnet, was man nur schwer sinnvoll unterbinden kann.
Gleiches gilt auch für andere Geräte im selben Netzwerk, die infiziert sein können!


Ich würde sagen, dass du in der jetzigen Konstellation sicher genug bist. Falls es jemand wirklich mit aller Gewalt auf deinen Raspberry abgesehen hat, wirst du ihn mit NAT+Firewall+Sichere Kennwörter auch nicht aufhalten können - denn notfalls überzeugt er nicht die Technik sondern dich. Mit einer 45er Magnum.
Bitte warten ..
Mitglied: wiesi200
LÖSUNG 04.05.2014, aktualisiert 05.05.2014
Zitat von Maik1991:

Hallo liebe Community,

Ich bin neu hier weil ganz ehrlich die Website mir bereits vom Aufbau gefällt und ich mich im Augenblick intensiv mit Linux
und verschiedenen Diensten auseinander setze und die Website laut Endung in Deutschland gehostet wird.

Ja, Frank hat in letzter Zeit hier Optisch ganz schön was gemacht. Der Inhalt hier ist aber auch recht gut.
Das mit der Endung deutet aber in keinster weise darauf hin wo gehostet wird.

Ich besitze einen Raspberry Pi der im Heimnetzwerk mit Apache2,Samba,Cups,SSH-Server läuft. Und ich mache mir Gedanken da der
Rechner 24 Stunden am Netz hängt wie sicher ist dieser ?

Kommt darauf an mit einem Passwort ala 123 überhaupt nicht sicher.

Im Allgemeinen kenne ich diesen Spruch "Hintern Router passiert so schnell nichts" Aber .. vertrauen ist gut Kontrolle
besser. :D Standartsachen wie SSH Root login + fail²bann sicheres PW
nicht Port 22 ist bereits alles gemacht. Cups ist auch nur für lokalen Zugang eingerichtet. Über Apache kann ich ein
kleines Kontrollcenter aufrufen (Logs und diversen Kram alles selbstgebastelt und mächtig stolz drauf *lach* )

Hört sich auf den ersten blick schon mal vernünftig an. SAMBA ist aber auch nur lokal? Muss SSH von außen erreichbar sein oder reicht dir intern?
Ist alles auf einem aktuellen Patch level?

Also liebe Freunde rückt raus mit der Sprache wie sicher ist mein LAN von Außen ? Welche Möglichkeiten hat der
Bösewicht und was kann ich tun um nicht Opfer zu werden ?
Es heißt ja auch so schön ein ungepatchtes Windows XP wäre innerhalb weniger Sekunden befallen obwohl dieser ja
auch hinter Modem/Router hängen müsste .. daher was ist an dem Spruch dran ?

Bei dem Spruch musst du auch bedenken das man in der Regel mit dem XP Rechner aktvi im Internet surft und sich da sehr leicht Malware holen kann durch Downloads, was bei deinem Pi ja nicht der fall ist.

Ich weiß das dies eine sehr allgemeine Frage ist. Wenn ihr Fragen zu der Hardware(Modem/Router) und dessen Konfiguration
habt meldet euch ;)

Da kommt es dann auch noch auf den Router an. Meldungen über Backdoor's häufen sich ja in letzter Zeit gerade zu.
Bitte warten ..
Mitglied: orcape
04.05.2014 um 11:37 Uhr
Hi Maik1991,
den beiden Kollegen ist eigentlich wenig hinzu zu fügen.
Über Deinen Router und dessen Konfiguration hast Du ja leider nichts geäußert, hier sollte auf jeden Fall eine aktuelle Firmware installiert sein.
Wobei das auch immer etwas Produkt abhängig ist, ob die Firmware überhaupt regelmäßig aktualisiert wird, um die von @wiesi200 angesprochenen Probleme zu fixen.
Dann stellt sich auch die Frage nach der Firewall Konfiguration, so dies bei einem SoHo-Produkt überhaupt möglich ist.
Alle Sicherheitsmaßnahmen nach draußen sind aber "für die Katz", wenn Du blind irgendwelche Mails öffnest, die im Anhang eine .exe haben und nur darauf abzielen Dein XP zu kompromitieren.
Der Stick vom Kumpel und die gebrannt CD aus nicht bekannten Quellen, sind das nächste Problem und wenn Du so auf Sicherheit bedacht bist, dann solltest Du in Sachen Windows schon mal den Gedanke an eine neuere Version verschwenden.
Gruß orcape
Bitte warten ..
Mitglied: Maik1991
04.05.2014, aktualisiert um 17:36 Uhr
Danke fürs Feedback orcape!

Ich nutze eigentlich Windows 7 wir haben im Heimnetzwerk noch ein Windows Vista einfach weil wir noch kein Windows 7 übrig hatten für diesen Rechner. Windows XP nutze ich nicht und wenn nur in einer VM für ältere Spiele. War nur als Beispiel ;) Natürlich sind auch alle Rechner mit einer gültigen Windows Lizenz am laufen. Das die Setup CDs aus Torrent Quellen nicht vertrauenswürdig sind sollte jedem klar sein.
Bitte warten ..
Mitglied: Maik1991
04.05.2014 um 17:35 Uhr
Danke für's Feedback wiesi200

Das mit der Endung deutet aber in keinster weise darauf hin wo gehostet wird.

Ok ich meinte eher das die Seite dem Deutschen Recht unterliegt wenn ich mich nicht täusche Schönheitsfehler meiner Seits.

Kommt darauf an mit einem Passwort ala 123 überhaupt nicht sicher.

Auch der Punkt ist bedacht Sonderzeichen Zahlen und Buchstaben sind verbaut.

Hört sich auf den ersten blick schon mal vernünftig an. SAMBA ist aber auch nur lokal? Muss SSH von außen erreichbar sein oder reicht dir intern?
Ist alles auf einem aktuellen Patch level?

Zur Samba Konfiguration muss ich gestehen bin ich noch nicht weit gekommen und ich bin froh das es überhaupt funktioniert werde aber noch dran arbeiten.
Alle Dienste laufen nur im LAN. Am Router sind die Ports nicht freigegeben.
Zu den Patchlevel .. ich nehme an du meinst das ich auch fleißig update und das in jeglicher Hinsicht (Firmware,OS,Treiber) Ja das wird so gut es geht gemacht.

Bei dem Spruch musst du auch bedenken das man in der Regel mit dem XP Rechner aktvi im Internet surft und sich da sehr leicht Malware holen kann durch Downloads, was bei deinem Pi ja nicht der fall ist.

Soweit wie ich davon immer Wind bekommen habe hieß es ohne jegliche Action eines Benutzers könnte ein ungepatchtes WinXP geknackt werden. Wobei ich mir da die Frage schon stelle wie dies möglich ist.

Da kommt es dann auch noch auf den Router an. Meldungen über Backdoor's häufen sich ja in letzter Zeit gerade zu.

Als Router verwende ich einen TEW-731BR von TrendNet der recht günstig war.. Gibt es im Netz eine Website die Backdoor Meldung über Router/Modem sammelt ?
Bitte warten ..
Mitglied: Maik1991
04.05.2014 um 17:55 Uhr
Danke für dein Feedback LordGurke!

1b: Das gilt natürlich auch für Bugs, die es ermöglichen den WLAN-Zugang aufzumachen (wie zuletzt in der WPS-PIN-Funktion einiger Router).

Eine solche Push Taste zur Erkennung bietet der Router TEW-731BR von TrendNet an aber man kann diese deaktivieren in der Weboberfläche.. werde ich gleich mal machen.. nutzt eh niemand bei uns..
WPA2 Verschlüsselung ist natürlich da auch wenn diese vielleicht gar nicht hilft.. Soll ja bereits geknackt sein besser wäre es nur bekannte MAC Adressen zuzulassen aber dies wäre immer wieder Arbeit bei Neugeräten. ._.

2. Schadsoftware auf dem Pi
Wenn der Raspberry selbst - wie auch immer - mit Schadsoftware infiziert ist, kann die Angreifern von außen Zugänge öffnen. Solche Backdoors würden beispielsweise persistente TCP-Verbindungen nach außen zu
irgendwelchen C&C-Servern aufhalten und darüber Befehle entgegennehmen. Technisch funktioniert das ähnlich wie die Push-Notifications von Smartphones. Da hilft dir dein NAT am Router herzlich wenig, denn die
Verbindung wird von innen nach außen geöffnet, was man nur schwer sinnvoll unterbinden kann.
Gleiches gilt auch für andere Geräte im selben Netzwerk, die infiziert sein können!

Ich habe bereits rkhunter installiert um Schadsoftware zu finden tu mich aber etwas schwer dieses tool auch nachvollziehen zu können.
Ein weiterer Gedanke ist auch einen Virenscanner für Linux zu finden um die Sambafreigaben Virenfrei zu halten. Man weiß ja nie was der ein oder andere grade im LAN herunterlädt (Game Trainer,etc)
Software Vorschläge sind gern gesehen besonders die Ressourcen schonenden da der Pi keine HighEnd Lösung ist ClaimAV kenne ich bereits habe aber erst jetzt beim schreiben dran gedacht.
Könnte man mit cron vielleicht sogar automatisiert scannen lassen..

Ich würde sagen, dass du in der jetzigen Konstellation sicher genug bist. Falls es jemand wirklich mit aller Gewalt auf deinen Raspberry abgesehen hat, wirst du ihn mit NAT+Firewall+Sichere Kennwörter auch nicht
aufhalten können - denn notfalls überzeugt er nicht die Technik sondern dich. Mit einer 45er Magnum.

Ich denke so wichtig ist mein Netzwerk nun auch nicht das jemand dafür eine Kugel verschwenden würde. :D
Bitte warten ..
Mitglied: Alchimedes
04.05.2014 um 22:02 Uhr
Hallo ,

reden wir hier von einer static IP oder von einer dynamischen ohne z.B dyndns ?

Wenn Du nen Webserver am start hast soll der ja auch von aussen zu erreichen sein ? Dann ist alles hinter Deinem Router angreifbar...
fail2ban hat ebenfalls bugs die ausgenutzt werden koennen um eine remoteshell zu bekommen. Ausserdem ist es wurscht on Du den ssh dienst
auf einen anderen Port legst da "nicht scriptkiddies " nach Dienstmerkmalen scannen und nicht nach ports. Gegen standard Webscans jedoch hilfreich.

Gruss
Bitte warten ..
Mitglied: Maik1991
04.05.2014, aktualisiert um 22:41 Uhr
Hi und danke auch für dein Feedback Alchimedes,

reden wir hier von einer static IP oder von einer dynamischen ohne z.B dyndns ?

Alle Rechner beziehen ihre IP dynamisch über den Router bisauf der Pi der hat eine feste IP bekommen da er nicht unter dem Hostname auffindbar war bis vor der Samba Installation. Schätze mal das es mit einem Protokoll für Windows Netzwerke zusammenhängt.. und Samba eben dieses mit eingerichtet hat.. genauen Grund kenne ich jetzt nicht war später eher ein nice²have feature aber ich denke mal das dies eigentlich egal sein kann da,
wie bereits geschrieben laufen alle Dienste nur im lokalen Netzwerk. Der Webserver dient nur für Spielereien und Lernzwecke.

Ausserdem ist es wurscht on Du den ssh dienst
auf einen anderen Port legst da "nicht scriptkiddies " nach Dienstmerkmalen scannen und nicht nach ports. Gegen standard Webscans jedoch hilfreich.

Kannst du mir diesbezüglich hilfreiche Links geben das interessiert mich jetzt genauer ^^ Ich meine ich wüsste jetzt keine andere Möglichkeit als diverse Tools auszuprobieren auf einem Port und zu schauen was passiert.
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 04.05.2014, aktualisiert 05.05.2014
Zitat von Maik1991:
Eine solche Push Taste zur Erkennung bietet der Router TEW-731BR von TrendNet an aber man kann diese deaktivieren in der Weboberfläche..
werde ich gleich mal machen.. nutzt eh niemand bei uns..

WPS Button != WPS PIN
Die Button-Methode ist halbwegs brauchbar um bei Telefonen nicht erst den Key eintippen oder aus QR-Codes rausziehen zu müssen. Vorausgesetzt es ist kein Apple-Gerät...
Bei der PIN-Methode ist WPS halt dauerhaft aktiviert und sooo lang ist der PIN nun auch nicht dass es vollkommen unmöglich ist, ihn durch reines ausprobieren zu knacken.

WPA2 Verschlüsselung ist natürlich da auch wenn diese vielleicht gar nicht hilft.. Soll ja bereits geknackt sein besser
wäre es nur bekannte MAC Adressen zuzulassen aber dies wäre immer wieder Arbeit bei Neugeräten. ._.

Dass reines WPA2 geknackt ist, ist mir neu... WPA in Mixed-Mode und natürlich WEP sind bekannt, aber WPA2-AES gilt zumindest nach meinen Informationen noch als Sicher.
Und ganz ehrlich: Wer WPA2 mit einer sinnvollen Schlüssellänge knackt, lässt sich von diesem MAC-Filter auch nicht aufhalten. Wenn ich dein Netzwerk aufgemacht habe und den Schlüssel kenne, kann ich genausogut auch den Traffic mitlesen und einfach eine MAC-Adresse aus umherfliegenden Paketen spoofen. MAC-Filter sind m.M.n. kein echtes Sicherheits-Feature sondern lassen sich höchstens nutzen um technisch unbegabte Menschen aus einem unverschlüsselten Netz auszuschließen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.05.2014, aktualisiert um 23:45 Uhr
Wenn du den RasPi hinter deinem NAT Router betreibst ist die Schwachstelle doch logischerweise dann der Router und nicht der RasPi !
Es gelten also alle Dinge die den Router wasserdicht absichern als da sind:
  • KEIN UPnP auf dem Router aktivieren.
  • Kein Port Forwarding am Router aktivieren
  • Wenn möglich einen Router mit einer SPI Firewall verwenden und sich nicht allein nur auf NAT verlassen.
  • Keinesfalls eine Provider Auto Konfig über TR-069 erlauben !
  • Niemals die Administrations Schnittstelle (GUI, SSH etc.) auf dem WAN Interface ins Internet freigeben.
  • WPS (WLAN) gehört natürlich zwingend deaktiviert.
  • Im WLAN nur einzig WPA-2 machen mit AES-CCMP und kein TKIP oder Mischbetrieb mit TKIP
  • WLAN immer einzigartige SSID wie z.B. "Bitschleuder" verwenden und niemals die Router default SSID vom Hersteller.
Wenn du diese Schritte akribisch beherzigst wird deine Knackbarkeit des internen LANs wohl gegen Null gehen.
Gegen Angriffe von innen schützt das freilich nicht wenn du also unbedarft Mail Attachments ansiehst oder wild genutzt USB Sticks in deine Rechner steckst.
Ein zyklischer Blick in die /var/log/auth.log deines RasPis kann aber nicht schaden ob sich da doch mal einer zu schaffen macht...
Da wird dann aber wohl eher die Vista Gurke oder die XP VMs primäres Angriffziel sein als der RasPi, denn fail2ban wird Angreifern da das Leben schwer machen.
Bitte warten ..
Mitglied: Maik1991
05.05.2014 um 23:45 Uhr
Ich werte meine Frage mal als beantwortet weil es sich nun für mich raus stellt das ich von Wlan nicht genügend Ahnung habe. Wenn es nach mir ginge würde ich es am liebsten abstellen weil es mich nicht einschränkt und die schnellste einfachste Methode ist. Ich werde mich aber diesbezüglich belesen und danke euch für eure Mühen. Außerdem sehe ich das Problem mit den Viren und Windows ja nicht bei mir sondern eher bei den Leuten die hier mit im Lan sitzen. Soweit ich das sehe habe ich bereits eine Menge richtig gemacht und muss mir keine all zu großen Sorgen machen. Wer mir noch Tipps,Softwarevorschläge nennen möchte kann mich gern anschreiben. Ich schätze mal mit dem Status "Frage beantwortet" ist der Thread dann auch geschlossen ? (Bin ja derzeit noch neu)
Bitte warten ..
Mitglied: aqui
06.05.2014 um 08:54 Uhr
Na dann heisst das Motto für dich: Lesen, Lernen, Lustig sein !!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Voice over IP
gelöst Modem + Router einzeln kaufen bei VOIP (3)

Frage von danielr1996 zum Thema Voice over IP ...

Router & Routing
VigorNIC 132 (PCI-e Card) - PCIe Karte Modem/Router (16)

Link von Dobby zum Thema Router & Routing ...

LAN, WAN, Wireless
Fritzbox 3170 als modem und Lancom 1781ew+ als Router (6)

Frage von ItGeek zum Thema LAN, WAN, Wireless ...

UMTS, EDGE & GPRS
Suche reines LTE-"Modem" als Failover-Lösung für Lancom-Router (10)

Frage von Paul39 zum Thema UMTS, EDGE & GPRS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...