Wie sicher ist ein echo 0 > /proc/sys/net/ipv4/ip_forward?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
egerlach
Beiträge: 211
Registriert: 13.06.2009 17:21:50

Wie sicher ist ein echo 0 > /proc/sys/net/ipv4/ip_forward?

Beitrag von egerlach » 19.05.2014 21:10:59

Hallo beisammen,
wie sicher ist ein echo "0" > /proc/sys/net/ipv4/ip_forward in einem Router zu werten? Ist dann wirklich "dicht" was jedwedes Routing anbetrifft?

Warum? - Ich will eine FritzBox 7330 als EIN-/AUS-Router in ein anderes Netzwerk mit Internet-Zugang zum Einsatz bringen. Die FritzBox 7330 braucht "ewig" das Device für das andere LAN herunter zu fahren um komplett "dicht" zu machen. Bei der alten FritzBox 7170 ging das ruckzuck, gute Erfahrung gemacht. Jetzt, für die 7330 brauche ich eine neue Technik. Wie sieht es sicherheitstechnisch mit echo "0" > /proc/sys/net/ipv4/ip_forward aus? - Ich gehe einfach mal davon aus, dass die FritzBox nicht gehackt ist und ein hacker nicht einfach echo "1" > /proc/sys/net/ipv4/ip_forward machen kann. Es geht durchweg um Windows-Desktop-PCs (meistens mit einem Debian-Server ;) ) in einem LAN.

danke schon mal
Eckard
Nach oben
wanne
Moderator
Beiträge: 7625
Registriert: 24.05.2010 12:39:42

Re: Wie sicher ist ein echo 0 > /proc/sys/net/ipv4/ip_forwar

Beitrag von wanne » 19.05.2014 22:51:54

Zuerstmal ist es garantiert die sicherste Variante nicht mehr zu routen was du aber beachten solltest:
  • Du kannst dir das recht leicht versehentlich kaputtmachen indem du NAT-ing betreibst. (Da eine NAT keine Pakete weiterleitet sondern selbst "äquivalente" erzeugt.)
  • Einen normalen Benutzer auf der Frizbox hindernt nichts daran 2 Programme laufen zu lassen: Eins hört nach außen und eins nach innen. Und was an der einen Seite ankommt wird schön in die andere Richtung weitergeleitet. (ncat oder squid haben sowas als fearure.)
rot: Moderator wanne spricht, default: User wanne spricht.
Nach oben
egerlach
Beiträge: 211
Registriert: 13.06.2009 17:21:50

Re: Wie sicher ist ein echo 0 > /proc/sys/net/ipv4/ip_forwar

Beitrag von egerlach » 19.05.2014 23:28:24

Danke für die Ausführungen.
Auf der FritzBox gibt es nur einen User, das ist root. Ja, die FritzBox macht NAT. Es besteht nicht die Gefahr, dass ein Angreifer auf der FritzBox ein Programm (mips) zum laufen bringt, die FritzBox in dieser Funktion ist viel zu selten. Dann wäre es für einen Angreifer schon einfacher einfach echo "0" > /proc/sys/net/ipv4/ip_forward zu machen oder wie auf einer alten FritzBox 7170 ein dsld -n um das Interface wieder hochzufahren.

Da fällt mir (erst!) in diesem Augenblick ein: wenn ich nur echo "0" > ... mache, dann ist die FritzBox ja von außen weiterhin per LAN-Interface erreichbar! Dort lauscht ein ssh-Server. Und das soll ja gerade NICHT sein! Es sollen von außen ja alle Ports komplett zu sein, damit ein Angreifer sich dieses "Opfer" niemals merkt und es einfach mal später versucht, wenn IP-Routing wieder mal EIN-geschaltet ist. Also ist die Technik echo 0 > /proc/sys/net/ipv4/ip_forward nicht tauglich. Es *muss* zwingend das Internface herunter gefahren werden. Zur Info: von dem externen LAN ist ein Port, z.B. 77777 auf 22 der FritzBox weitergeschaltet.

ok, die Lösung echo 0 > /proc/... scheide aus, ... schade :(

Eckard
Nach oben
Antworten

Zurück zu „Netzwerk“