Sicherheitsvorkehrungen für UMTS Stick?

[Alternativende]

Hallo zusammen,
muss ich spezielle Vorkehrungen treffen wenn ich mit einem UMTS Stick unterwegs bin?
Normalerweise ist man ja hinter einem Router und dadruch durch NAT einigermaßen geschützt, aber wie verhält es sich bei diesen Sticks?

[Natureshadow]

Hi,

du bist in den meisten UMTS-Netzen auch geNATed wie nichts gutes, bis zum Internet sind es da teilweise bis zu 15 Hops über abenteuerliche Netze ...

Die üblichen Vorkehrungen sollten eichen: restriktives Firewall-Setup, Traffic nur durch VPN-Tunnel, damit du nicht gesnifft wirst und dein Traffic nicht manipuliert wird (Vodafone ist da ganz groß drin, da kommt von HTTP nicht mehr viel originales bei dir an).

Oh und ach ja, das hier ist auch noch interessant: Punching through The Great Firewall of T-Mobile

-nik

[Alternativende]

Firewall auf einem einzelnen Rechner ist mir bisher noch nicht untergekommen, zumindest nicht bei Debian.
Vorschläge?

[Natureshadow]

Firewall auf einem einzelnen Rechner ist mir bisher noch nicht untergekommen, zumindest nicht bei Debian.
Vorschläge?

Bei mir immer shorewall. Sieht bei mir dann so aus:

zones:

Code: Alles auswählen

fw              firewall
lan             ipv4
wan             ipv4

Drei Zonen, einmal ich selbst, einmal mein VPN und einmal alles andere.

interfaces:

Code: Alles auswählen

wan             eth+            detect          tcpflags,nosmurfs,routeback,dhcp
wan             wlan+           detect          tcpflags,nosmurfs,routeback,dhcp
wan             wwan+           detect          tcpflags,nosmurfs,routeback,dhcp
wan             usb+            detect          tcpflags,nosmurfs,routeback,dhcp
lan             tap0            detect          tcpflags,nosmurfs,routeback

Alle möglichen Interfaces, die sich mit fremdem Netzen verbinden, in der WAN-Zone, mein VPN-Device in der lan-Zone.

policy:

Code: Alles auswählen

fw              lan             ACCEPT
all             all             REJECT

Niemand darf irgendwas, außer mein Notebook selbst ins VPN

rules:

Code: Alles auswählen

ACCEPT          fw                      wan:88.198.107.26

Ausnahmeregel, um den VPN-Server zu erreichen.

providers:

Code: Alles auswählen

#NAME   NUMBER  MARK    DUPLICATE       INTERFACE       GATEWAY         OPTIONS         COPY
Tinc    1       1       main            tap0            172.29.10.1     track           none

Provider (Routingtabellen)-Konfiguration für den VPN-Tunnel

rtrules:

Code: Alles auswählen

#SOURCE                 DEST                    PROVIDER        PRIORITY        MASK
-                       88.198.107.26           main            1000
-                       10.0.0.0/8              main            1001
-                       172.16.0.0/12           main            1001
-                       192.168.0.0/16          main            1001
-                       0.0.0.0/0               Tinc            1002

Routingregeln - alles immer durch den Tunnel, außer zum VPN-Server selber und in lokale Netze.


Damit kann ich überall online gehen, aber die Firewall sorgt 100%ig sicher dafür, dass niemand etwas von mir sieht außer VPN-Traffic.

Paranoid, aber besser ist das.

-nik

[mullers]

Traffic nur durch VPN-Tunnel, damit du nicht gesnifft wirst und dein Traffic nicht manipuliert wird (Vodafone ist da ganz groß drin, da kommt von HTTP nicht mehr viel originales bei dir an).

Mmh, interessanter Thread; ich habe seit Neuestem auch so's Stick hier rumliegen (noch unbenutzt) und noch nicht im Traum daran gedacht, Firewall/VPN einzurichten. Jetzt allerdings denke ich schon daran, und zwar in meinen Alpträumen, wenn ich an VPN denke.
Firewall ist kein Problem, aber mit VPN habe ich mich noch nie beschäftigt. Scheint mir ungeheuer kompliziert zu sein.
Ein Tip für eine gute Anleitung?

Gruesse
henry

[FragendesMysterium]

Ich muss dir, myyers, beipflichten, ein höchst interessanter Thread, schon, weil mir als Vodafone-Kunde auch noch nicht bewusst war, dass sie so sehr am Netz herum popeln.

VPN ist relativ leicht einzurichten.
Da ich so einen nur im Urlaub benötige, wegen freien WLAN-APs oder eben UMTS, hab ich mir ein Konto bei SecurityKiss eingerichtet.
Erspart mir den Server, die zusätzlichen Betriebskosten und reicht für meine Verhältnisse.

Mit freundlichen Grüßen
Mysterium

[Natureshadow]

Vodafone ist noch harmlos. Die rechnen halt Bilder runter und machen auch HTML kaputt, um Traffic zu sparen (wozu schließende HTML- und Body-Tags? Die können wir doch wegschmeißen, ist dann zwar nicht mehr valide, aber die Browser werden es schon schlucken und wir haben 12 Byte gespart!).

Das SSL/TLS-Foo da mit T-Mobile ist wesentlich gruseliger.

[Alternativende]

Aber für VPN bräuchte ich ja auch einen Server meines Vertrauens mit dem ich mich verbinde inkl. Proxy.
Ist bei der Arbeit zwar prinzipiell kein Problem, aber das stiehlt der Gegenseite natürlich Performance und mir auch.

[Natureshadow]

Aber für VPN bräuchte ich ja auch einen Server meines Vertrauens mit dem ich mich verbinde inkl. Proxy.
Ist bei der Arbeit zwar prinzipiell kein Problem, aber das stiehlt der Gegenseite natürlich Performance und mir auch.

Also ich surfe problemlos mit mehreren Geräten durch meine nTinc-Tunnel, das Gateway dazu läuft problemlos neben ejabberd, Apache, Postfix, Dovecot, Squid und diversen anderen Diensten auf meinem Miniatur-512MB-RAM-V-Server .

Weiß nicht, was ihr alle immer mit Ressourcen habt, ich brauche irgendwie nie welche .

[Alternativende]

Ich meine Up und Downstream. Ich mache viel Fernwartung über diese Kiste, dass geht so und so über das VPN, aber wenn ich den gesamten Traffic erst zu Aussenstelle A leite und dann zu B ist das nicht so ganz praktisch .

Ich könnte vielleicht den Browser auf einen Proxy hinter einem VPN einstellen, aber da fehlt dann ja trotzdem die Bandbreite .

[FragendesMysterium]

Natürlich ist die Frage bei einem VPN-Anbieter, inwiefern man diesem denn vertrauen kann.
Doch letztlich scheint es mir sicherer, selbst so einen zu nutzen, als mich nackt mit einem freien WLAN verbinden zu müssen, zumal die Internetseite des Anbieters seriös wirkt und bei WoT auch viele gute Bewertungen hat.
Bei UMTS wie gesagt, war mir das selbst bisher nicht bewusst.

Dazu wie gesagt, der Kostenaufwand, für einen eigenen Server, welchen ich (noch) nicht hab.

Mein alter Rechner steht hier in der Ecke, der soll später mal zum VDR umfunktioniert werden, wo man sicherlich auch einen VPN-Server drauf laufen lassen kann.
Bis dahin allerdings muss man vorlieb nehmen, mit dem, was man kriegen kann und zum ausprobieren ist es ja auch nicht verkehrt.


Mit freundlichen Grüßen
Mysterium

[mullers]

Äh, mal so ganz dumm, funktioniert das auch mit VPN zur FritzBox?

[Natureshadow]

Äh, mal so ganz dumm, funktioniert das auch mit VPN zur FritzBox?

Du meisnt dieses merkwürdige ike-Zeugs?

Naja, sagen wir mal so: Das funktioniert über UMTS nicht schlechter als ohne ..........