Trollkirsche hat geschrieben: 
02.08.2018 21:47:51
Wie sieht es aber mit der Debian Distribution aus? Wie knackbar ist ein System, wenn, nehmen wir mal an, der Provider mit irgendwelchen dubiosen Gestalten zusammenarbeiten würde und die Providersicherheit (Firewall, NAT) keine Rolle mehr spielen würde?
Wenn dein Debian keine offenen Ports hat, wäre das schwierig. Also bleibt Nutzung von Exploits, Daten abschnorcheln (Legal Interception) und Quellen-TKÜ/Staatstrojaner. Welche Tricks Geheimdienste, Kriminal-/"Cyberaemter" und Hacker haben, kann dir hier sicher keiner genau beantworten. Jedenfalls werden Provider keine Eigeninitiative haben (dürfen).
Trollkirsche hat geschrieben: 02.08.2018 21:47:51
Ich bin im Besitze einer Hardware Firewall, bin aber noch relativ neu und unerfahren in dem Gebiet. Es ist extrem kompliziert da wirklich durchzublicken und man bekommt wirklich das Gefühl, dass der Kampf um die Freiheit eigentlich schon verloren ist.
Ist kein Allheilmittel. Man kann sich absolut heiss machen oder allgemeine Grundsätze der Konfiguration einhalten. Ist nicht sooo schwierig und Spaß macht es auch. Allerdings stellt die Firewall einen Server dar, der direkt am Internet hängt. Deshalb obige Tipps für Anfänger, insbesondere eigene Firewall hinter NAT-Router des Providers basteln, testen, lernen.
Meine Regeln für eigene FW im Heimnetz:
Alles ist verboten! Nur gewünschten Traffic outgoing erlauben! Rückweg macht SPI implizit.
Wenn WAN-IF=DHCP-Client spezielle Regeln erforderlich.
DNS-Server antwortet nur nach innen. DHCP-Server selbstverständlich auch.
besondere Achtung auf Managementzugriff (nur spezieller Port der FW oder 1 "Management-PC" mit Ethernetkarte im LAN erlaubt)
Segmentierung für LAN, WLAN und Gastnetz + besondere Regeln, Einschränkungen für letztere
möglichst kein Traffic von und zu lokal genutzten, privaten und bogon Netzen incoming und outgoing auf WAN-IF (IP-Spoofing)
http://www.team-cymru.com/bogon-reference.html oder
https://ipinfo.io/bogon
(Einschränkungen bei Carrier Grad NAT oder Doppel-NAT beachten)
besondere Achtung auf ICMP (nicht alles erlauben)
https://de.wikipedia.org/wiki/Firewall- ... CMP-Regeln
IMAP/S und SMTTP/S (also Transportverschlüsselung) nur zu meinen Provider-Servern
DNS- oder/und IP-Blocker outgoing gegen Malwareseiten, Tracker, Werbung (Nutzung von Listen anderer + eigene Erweiterungen)
sinnvolle Konfiguration der Logs, einige Unregelmäßigkeiten im Netz hoffentlich erkennbar
(IPv6, DMZ und öffentlich erreichbare Server habe ich nicht.)
Klingt kurz, ist wochenlange Arbeit und noch paranoider geht's auch.
Fast alles kann man mit Debian-Rechnern machen - aber wer kann härten, Kernel-Parameter etc? Bin da eher für eine von Experten angepasste FW-Distributionen, spart Zeit und Nerven und die Konfiguration ist übersichtlicher bzw. erinnert an sinnvolle Parameter und Werte.
Hyperthreading ist wohl auch nicht die sicherste Idee auf einer FW.
https://en.wikipedia.org/wiki/Hyper-threading#Security
Neben Intel ME und Intels Meltdown mit KPTI. An Spectre ist auch AMD "erkrankt".
Kannst du mir etwas genauer sagen, wieso Behörden jede Maschine innert Minuten zu knacken imstande sind? Wie würden solche Angriffe aussehen, was könnte man am besten dagegen tun, um sein Netz zu schützen?
Die "Ermittlungsarbeit" sieht doch verallgemeinert so aus: Einer fällt im Netz auf (Denunziation oder allgemeiner Datenstaubsauger, Selectoren, Analysen) Social Engineering einschließlich aller Kontaktpersonen, Hausdurchsuchung eventuell auch bei Kontaktpersonen/Providern und Beschlagnahmen von Unterlagen, IT, Smartphones, u. a.
Ein Spendenaufruf auf der Vereinswebseite reicht, um die bayerische Polizei bei Tagesanbruch durch die Wohnungstür marschieren zu lassen. Anlass für die Aktion war eine eher fadenscheinige Verbindung zu einem strittigen Demo-Aufruf. Wir sprachen nach dem Einsatz mit den Betroffenen vom Verein „Zwiebelfreunde“, die sich zu Unrecht kriminalisiert sehen ...
https://netzpolitik.org/2018/zwiebelfre ... lt-werden/
Gab m. E. kürzlich noch einen zweiten, ähnlich gelagerten Fall. Schütze dich da mal gegen. Eventuell Verschlüsselung und zentraler Not-Ausschalter (FI-Schutzschalter, Funksteckdose). Rechtsstaat im Sinne von Gerechtigkeit und Verhältnismäßigkeit wäre die universelle, systematische Lösung.
Hinweis: Firewalls werden kaum verschlüsselt und loggen Verbindungen. Art und Dauer einstellbar.
