Netzwerksicherheit

[kalamazoo]

Aus gegebenem Anlass: Netzwerksicherheit

Was macht ihr, damit euer Netzwerk sicher ist und bleibt?

Ich sitze hier hinter einer Fritzbox und danach einem alten Router, der eigentlich mehr als Switch fungiert, und habe PCs sowie NAS im Heimnetzwerk. Besondere Sicherheitsvorkehrungen? Da ich keine Ahnung von der Materie habe: eigentlich keine. Es wäre auch nichts Wichtiges und Wertvolles zu holen. Aber vielleicht sollte ich mich da doch ein wenig darum kümmern ...

Wie sieht das bei euch aus? Welche Vorkehrungen habt ihr getroffen? Und gibt es dazu etwas, das man gelesen haben sollte (also quasi Literatur für Noobies)?

[debilian]

Im Heimnetzwerk ist ja erstmal so, dass keine Ports von aussen offen sind.
Ausser du gibst welche frei, in der Fritzbox (Freigaben).
Somit musst du dir eigentlich nur Gedanken machen über die Dinge, die du aktiv öffnest, nutzt.

Wenn du z.B. eine Email empfängst und die einen Virus, Tronjaner, fishing-Link enthält.
Wenn du Webseiten besuchst, die solche Dinge enthalten.

Natürlich kannst du dein Heimnetzwerk auch mit einer Firewall absichern
aber gegen aktive Surffehler auf deiner Seite hilft das wenig.

Ich mach mir im Heimnetzwerk ehrlich gesagt wenig Gedanken, da ich GNU/Linux für einigermaßen sicher halte und ungefähr weiß,
was ich anklicken darf

Backups sind auch so eine Art "Netzsicherheit", dass wenn was ist, nichts sein kann.....

[Draal]

Über die Fritzbox kannst Du unter dem Punkt Internet herausfinden, welche öffentliche IP Adresse sie von Deinem Provider zugewiesen bekommen hat.

Jetzt könntest Du Dir das Paket nmap installieren und damit einen Portscan auf Deine öffentliche IP Adresse machen.

Code: Alles auswählen

nmap <IP Adresse aus der Fritzbox>

Nach etwas einer Minute gibt Dir das Programm die offenen Ports aus, falls vorhanden.
Beispiel:

Code: Alles auswählen

~$ nmap 78.50.xx.xxx
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-07 10:34 CET
Nmap scan report for dynamic-078-050-0xx-xxx.xx.xx.pool.telefonica.de (78.50.xx.xxx)
Host is up (0.37s latency).
Not shown: 938 filtered tcp ports (no-response), 54 filtered tcp ports (host-unreach)
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
443/tcp  open   https
587/tcp  closed submission
5060/tcp open   sip
8089/tcp open   unknown
9001/tcp open   tor-orport
9050/tcp closed tor-socks

Nmap done: 1 IP address (1 host up) scanned in 68.20 seconds

Wobei zu sagen ist, dass 8089 ein Serviceport von AVM ist.
Die geöffneten Ports für die betriebenen Gameserver werden ebenfalls nicht augelistet. Man kann sie jedoch auf der Fritzbox unter Internet > Freigaben finden.

[dufty2]

Ich mach mir im Heimnetzwerk ehrlich gesagt wenig Gedanken, da ich GNU/Linux für einigermaßen sicher halte und ungefähr weiß,
was ich anklicken darf

Stimme Dir prinzipiell zu, nur ist es nicht ganz so einfach, denn
Neulich ist mir zufällig aufgefallen, daß eine (nicht in meinen Heimnetz verwendete) 10er IP von meinen Telekom-Router zum
"Haupt-Router" (der - vermute ich - bei/um Frankfurt steht) geroutet wurde.
Da frage ich mich schon, was macht eine private IP im "Internet"?

[mat6937]

Neulich ist mir zufällig aufgefallen, daß eine (nicht in meinen Heimnetz verwendete) 10er IP von meinen Telekom-Router zum
"Haupt-Router" (der - vermute ich - bei/um Frankfurt steht) geroutet wurde.

Wo und wie hast Du gesehen, dass diese private 10er-IP (die in deinem Heimnetz nicht verwendet wird), geroutet worden ist?

BTW: In der support-Datei meiner FritzBox sehe ich auch so ein Routing und diese private IP, ist aus dem VPN das mein ISP für die Telefonie benutzt.

[dufty2]

$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
1 speedport.ip (192.168.2.1) 4.981 ms 5.423 ms 2.114 ms
2 p3e9bf3a8.dip0.t-ipconnect.de (62.155.243.168) 7.473 ms !N 7.321 ms !N 7.539 ms !N

[thunder11]

Mal ne Frage zur Diskussion. Was ist zu dieser Ausgabe von nmap zu sagen (VPN)

Code: Alles auswählen

~$ nmap 146.70.111.138
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-07 13:06 CET
Stats: 0:00:01 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 50.00% done; ETC: 13:06 (0:00:01 remaining)
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.04 seconds

Code: Alles auswählen

~$ nmap -Pn 146.70.111.138
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-07 13:07 CET
Nmap scan report for 146.70.111.138
Host is up.
All 1000 scanned ports on 146.70.111.138 are in ignored states.
Not shown: 1000 filtered tcp ports (no-response)

Nmap done: 1 IP address (1 host up) scanned in 201.86 seconds

[kalamazoo]

Ich mach mir im Heimnetzwerk ehrlich gesagt wenig Gedanken, da ich GNU/Linux für einigermaßen sicher halte und ungefähr weiß, was ich anklicken darf

Diese Susi-Sorglos-Einstellung habe ich auch -- nur dass diese noch mit einer großen Menge Unwissenheit gepaart ist.

Jetzt könntest Du Dir das Paket nmap installieren und damit einen Portscan auf Deine öffentliche IP Adresse machen.

nmap hatte ich bereits installiert, ich wusste nur nicht, dass man auch die eigene öffentliche IP Adresse scannen kann. Sehr interessant!
Bei mir sieht das wie folgt aus:

Code: Alles auswählen

# curl ipinfo.io/ip ; echo
xx.xxx.xxx.xxx

# nmap xx.xxx.xxx.xxx
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-07 13:07 CET
Nmap scan report for xx-xxx-xxx-xxx.dsl.dynamic.surfer.at (xx.xxx.xxx.xxx)
Host is up (0.0021s latency).
All 1000 scanned ports on xx-xxx-xxx-xxx.dsl.dynamic.surfer.at (xx.xxx.xxx.xxx) are in ignored states.
Not shown: 996 filtered tcp ports (no-response), 4 filtered tcp ports (admin-prohibited)
Nmap done: 1 IP address (1 host up) scanned in 6.45 seconds

$ nmap xx.xxx.xxx.xxx
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-07 13:08 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 1.16 seconds

$ nmap -Pn xx.xxx.xxx.xxx
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-07 13:36 CET
Nmap scan report for xx-xxx-xxx-xxx.dsl.dynamic.surfer.at (xx.xxx.xxx.xxx)
Host is up (0.027s latency).
All 1000 scanned ports on xx-xxx-xxx-xxx.dsl.dynamic.surfer.at (xx.xxx.xxx.xxx) are in ignored states.
Not shown: 994 filtered tcp ports (no-response), 6 filtered tcp ports (host-unreach)
Nmap done: 1 IP address (1 host up) scanned in 35.06 seconds

Port-Nummern, Status und Service werden nur bei Abfragen im Heimnetz, also mit 192.168.xxx.xxx, angezeigt.
Somit scheint das ganze ja ziemlich dicht zu sein.

[kalamazoo]

Mal ne Frage zur Diskussion. Was ist zu dieser Ausgabe von nmap zu sagen (VPN)

Da dürfte von aussen noch weniger zu sehen sein als bei mir. Versuche es auch mal als root, da werden zumindest im Heimnetz noch zusätzliche Infos (e.g. MAC-Adressen) ausgegeben.

[thunder11]

Da dürfte von aussen noch weniger zu sehen sein als bei mir. Versuche es auch mal als root, da werden zumindest im Heimnetz noch zusätzliche Infos (e.g. MAC-Adressen) ausgegeben.

Nöö
intern:

Code: Alles auswählen

~# nmap 192.168.xx.
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-07 13:55 CET
Nmap scan report for XFCE.fritz.box (192.168.0.40)
Host is up (0.0000040s latency).
Not shown: 997 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
3389/tcp open  ms-wbt-server
9090/tcp open  zeus-admin

ms-wbt-server ---> https://de.adminsub.net/tcp-udp-port-finder/3389
zeus-admin ----> cockpit

Über Proviider:

Code: Alles auswählen

~# nmap 83.135.xx.xxx -Pn
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-07 13:55 CET
Nmap scan report for i53874465.versanet.de (83.135.68.101)
Host is up (0.0028s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT     STATE  SERVICE
113/tcp  closed ident
1080/tcp closed socks
5060/tcp open   sip

Nmap done: 1 IP address (1 host up) scanned in 4.28 seconds

[debilian]

Diese Susi-Sorglos-Einstellung habe ich auch -- nur dass diese noch mit einer großen Menge Unwissenheit gepaart ist.

da muss ich dir widersprechen, ich betreibe seit 25 Jahren Server im Internet, ergo im Rechenzentrum.
Somit weiss ich genau, was ich tue

Ausserdem habe ich mehrere mitteständige Unternehmen als Kunden, deren Firewalls ich auch betreue
und deren Windows-Netzwerke ich absichere....

hier aber geht es um die "Absicherung" eines privaten Netzwerks, mit vermutet GNU/Linux Rechnern....

Ein Bewusstsein für ein- und ausgehende Ports und Dienste insgesamt ist zweckdienlich.

gruss

[kalamazoo]

Diese Susi-Sorglos-Einstellung habe ich auch -- nur dass diese noch mit einer großen Menge Unwissenheit gepaart ist.

da muss ich dir widersprechen, ich betreibe seit 25 Jahren Server im Internet, ergo im Rechenzentrum.
Somit weiss ich genau, was ich tue
gruss

Da hast Du mich wohl missverstanden: ich wollte Dir hier nichts unterstellen, Du weisst ja, was Du tust. Nur habe ich mich bisher überhaupt nicht um Netzwerksicherheit gekümmert, und bin somit -- gewissermaßen -- eine Kombination von Susi Sorglos und Rudi Ratlos (oder eher "ahnungslos"). Aber offensichtlich gibt es außer der üblichen Vorsicht bei E-Mails, Attachments, Websites, fremden USB-Sticks, etc. nicht wirklich was, das man aktiv tun sollte.

[debilian]

Aber offensichtlich gibt es außer der üblichen Vorsicht bei E-Mails, Attachments, Websites, fremden USB-Sticks, etc. nicht wirklich was, das man aktiv tun sollte.

dooooch: Backups!

[GregorS]

Aber offensichtlich gibt es außer der üblichen Vorsicht bei E-Mails, Attachments, Websites, fremden USB-Sticks, etc. nicht wirklich was, das man aktiv tun sollte.

dooooch: Backups!

Unterschreib ich!

Auch ich leiste mir eine „Susi Sorglos“-Einstellung zum Thema. Aber ich beschäftige mich mit dem Themengebiet, seit ich zum ersten Mal im Netz war (90er) und weiß daher, dass sich der Ursprung vieler Probleme hinter den Augen vor dem Bildschirm verbirgt. Wenn man nicht jeden Dreck anklickt, der einem in die Inbox oder auf den Schirm flattert und seine Computer regelmäßig updatet, ist man „sicher genug“ unterwegs. Allerdings bin ich Computermäßig nicht mehr beruflich unterwegs. Im kommerziellen Umfeld ist eine Susi Sorglos-Einstellung gaaanz schlecht.

Gruß

Gregor

[QT]

Was macht ihr, damit euer Netzwerk sicher ist und bleibt?

- Einteilung der Geräte in verschiende VLANs (zB GästeWLAN und IoT Geräte in getrenntem VLAN)
- Granulare Zugriffsrechte für Familienmitglieder auf die CIFS Freigaben am NAS
- am Router keinerlei Portfreigaben außer VPN DIenste (Wireguard, OpenVPN)
- Geräte regelmäßig updaten
- nicht auf alle Mailanhänge oder Links ohne Nachdenken klicken
- regelmäßig Backups auf externe Medien der wichtigsten (NAS) Daten

[kalamazoo]

dooooch: Backups!

Ja, mach ich, gerade wurde wieder meine wöchentliche Sicherung der wichtigsten Dateien fertig. Meine Backup-Strategie ist noch nicht optimal (nicht alle Bereiche werden gesichert und nur teilweise inkrementell), dafür aber regelmäßig.
P.S. in Deinem Benutzernamen kommt eine feine Selbstironie zum Ausdruck!

... ich beschäftige mich mit dem Themengebiet, seit ich zum ersten Mal im Netz war (90er) und weiß daher, dass sich der Ursprung vieler Probleme hinter den Augen vor dem Bildschirm verbirgt. Wenn man nicht jeden Dreck anklickt, der einem in die Inbox oder auf den Schirm flattert und seine Computer regelmäßig updatet, ist man „sicher genug“ unterwegs ...

Kann ich meinerseits unterschreiben!

Was macht ihr, damit euer Netzwerk sicher ist und bleibt?

- Einteilung der Geräte in verschiende VLANs (zB GästeWLAN und IoT Geräte in getrenntem VLAN)
- Granulare Zugriffsrechte für Familienmitglieder auf die CIFS Freigaben am NAS
- am Router keinerlei Portfreigaben außer VPN DIenste (Wireguard, OpenVPN)
- Geräte regelmäßig updaten
- nicht auf alle Mailanhänge oder Links ohne Nachdenken klicken
- regelmäßig Backups auf externe Medien der wichtigsten (NAS) Daten

Danke, QT, das würdigt meine "Debian for Dummies"© Anfrage schon mit Fortgeschrittenen-Kenntnissen!
Könntest Du insbesondere die ersten beiden Punkte ("verschiende VLANs" sowie "granulare Zugriffsrechte") näher ausführen oder etwas Weiterführendes dazu verlinken? Bisher hätte ich das Wort "granular" eher dem Küchenvokabular zugeordnet.

Yep, habe gerade doch noch eine gewisse Unsicherheit in meinem Heimnetzwerk gefunden: auf meinem NAS war der Web-Server aktiviert; den brauche ich wohl nicht wirklich!

Gruß und danke für eure Beiträge!

[QT]

VLANs:

Manche Geräte (zB Handys von Besuchern oder IoT Geräte) benötigen ja zB nur Zugriff aufs Internet und auf sonst gar nix. Also packt man sie in 1 VLAN, in welchem eben nur dieser Zugriff erlaubt ist. Es gibt keinerlei Zugriff auf zB NAS oder sonstige Geräte im LAN und auch kein Zugriff untereinander

granulare Zugriffsrechte am NAS:

Gehen wir mal von 3 bis 5 köpfigen Familie aus. Hier benötigt nicht jeder Schreibzugriff auf alle möglichen Ordnerhierarchien am NAS. Klar jeder hat ein privates Verzeichnis und es gibt auch Bereiche mit gemeinsamen Zugriff, aber das muss man halt seperat einstellen bzw. all diese Bereiche als separate Freigaben verteilen. Es ist sogar denkbar, dass man den Schreibzugriff für alle über einen speziellen Benutzer realisiert, mit dem man im Standard gar nicht eingeloggt ist sondern sich nur temporär für die Dauer des Schreibzugriffes einloggt. Dieser User kann man "adm" User oder "1a" User nennen.

Sagen wir im Standard nach dem Einloggen greifst Du auf Freigaben mit dem User "kalamazoo" zu. Hier hast Du nur LESEND Zugriff. Willst Du Schreibzugriff, so musst Du Dich separat mit dem User kalamazoo1a anmelden.

Das hat halt den Vorteil, dass alle Deine Userprozesse (zB Mailprogramm, Browser etc) nicht immer mit Deinen Schreibzugriffen unterwegs sind und so Dateien auf dem NAS in Gefahr sind...

EInes ist aber auch klar: jede Maßnahme zur Erhöhung der Sicherheit, reduziert den Komfort. Da muss man wissen, was von beiden man möchte bzw. wo die Grenze liegt.

[kalamazoo]

EInes ist aber auch klar: jede Maßnahme zur Erhöhung der Sicherheit, reduziert den Komfort. Da muss man wissen, was von beiden man möchte bzw. wo die Grenze liegt.

Da hast Du völlig recht und danke für die Erklärung!

Ich bin gerade von einer längeren Bahnreise zurückgekommen (mehr als 8 Stunden Fahrzeit) und habe im Zug mal die offenen Ports des WLANs geprüft: es waren tausende offen (exakt 2009 Ports) ... Normalerweise logge ich mich aus Sicherheitsbedenken nicht in offene Fremdnetze ein, habe dies hier aus Interesse aber getan, auch weil auf meinem Laptop nichts Wichtiges drauf ist.
Folgende Fragen:
[*] Soll ich jetzt ClamAV drüberlaufen lassen und gut ist es?
[*] Habe zu Hause das NAS am Laptop klarerweise nicht gemountet (umount sagt nicht eingehängt), weshalb kann ich es dann aber trotzdem pingen?

[GregorS]

... es waren tausende offen (exakt 2009 Ports) ...

Dass ein Port „offen“ ist, heißt an sich noch nichts, solange dort nichts „lauscht“.

[*] Habe zu Hause das NAS am Laptop klarerweise nicht gemountet (umount sagt nicht eingehängt), weshalb kann ich es dann aber trotzdem pingen?

Dass ein Ping beantwortet wird, heißt ebenfalls noch nichts – außer, dass am anderen Ende etwas ist, das „unter Strom steht“. Ich prüfe z.B. in meinem Backup-Script per

Code: Alles auswählen

...
# Testen, ob tablet erreichbar ist

ping -c 1 -W 1 tablet > /dev/null
if ! [ "$?" -eq "0" ]; then
 echo "tablet ist nicht erreichbar! Abbruch."
 exit
fi

ob mein Tablet schon hochgefahren ist.

Gruß

Gregor

[ralli]

Hab in 28 Jahren Linuxzugehörigkeit noch nie Probleme mit der Netzwerksicherheit gehabt, keinen Virus oder ähnliches. Mein Eindruck ist allerdings, das die Sicherheit allgemein immer besser wurde, das gilt auch für Windows. Natürlich mache ich regelmäßige Backups auf verschiedenen Datenträgern. Trotzdem ist mir ein Supergau passiert. Bei einer regelmäßigen Aufräumaktion habe ich den bereinigten Ordner Arbeit nicht zurückgesichert. Bin noch mit einem blauen Auge davongekommen, weil ich wichtige Zugangsdaten in einem separaten Ordner aufbewahre. Sofort ist ersichtlich, das das größte Sicherheitsrisiko vor dem PC sitzt. Ich leide nicht an Paranoia, würde aber für mich behaupten, das Sicherheit eine Illusion ist. Das heißt allerdings nicht, das ich nicht aktiv daran arbeite, das ein Mindeststandard eingehalten wird. Mit der FritzBox habe ich mich nicht in allen Details auseinandergesetzt, gehe aber davon aus, das sie standardmäßig gut abgesichert ist für mein Heimnetzwerk.

Gruß ralli

[kalamazoo]

Dass ein Port „offen“ ist, heißt an sich noch nichts, solange dort nichts „lauscht“.

Das heisst: LISTENING ist gefährlicher als OPEN PORT?

Dass ein Ping beantwortet wird, heißt ebenfalls noch nichts – außer, dass am anderen Ende etwas ist, das „unter Strom steht“.

Aha, danke, Gregor, gut zu wissen!

Hab in 28 Jahren Linuxzugehörigkeit noch nie Probleme mit der Netzwerksicherheit gehabt, keinen Virus oder ähnliches.

ralli, ich auch nicht, wenn auch meine Linuxnutzung bei weitem nicht so lang wie Deine ist!

Sofort ist ersichtlich, das das größte Sicherheitsrisiko vor dem PC sitzt. Ich leide nicht an Paranoia, würde aber für mich behaupten, das Sicherheit eine Illusion ist.

Jep, da hast Du recht ... und paranoid bin ich schon ein wenig; bei Windows machte ich (und mache ich teilweise immer noch -- bin immer noch nicht vollständig mit allem auf Linux umgezogen) alle paar Tage eine Gesamtsicherung von System und Daten (und bin da auch nur noch ganz kurz online, um E-Mails herunterzuladen); Debian hingegen vertraue ich so sehr, dass ich die ganze Zeit im Netz hänge und mich bisher auch noch nie besonders um Netzwerksicherheit gekümmert habe ...

ClamAV hat übrigens ergeben, dass das Debian-System -- trotz unsicherem Internetzugang -- nicht kompromittiert wurde; auf der Windows-Partition hat es viermal den gleichen "Virus" gefunden, interessanterweise unter den Microsoft-Office-Programmen, obwohl ich diese auf diesem PC Office noch nie in Betrieb genommen habe (ich wusste nicht einmal, dass dieses Zeugs da vorinstalliert war ...); dieser "Virus" dürfte durch eines dieser automatischen Windows-Updates auf die Kiste gekommen sein, da er in den Download-Package-Files gespiegelt wird -- warum ich "Virus" in Anführungszwichen setze? Unter www.virustotal.com zeigt nur ClamAV an, dass es sich um Schadsoftware handelt, alle anderen 69 Antiviren-Algorithmen erkennen es als legitime Datei. Geht man also davon aus, dass nicht das ganze M$ Windows Malware ist, so dürfte es sich bei diesem Fund lediglich um ein False Positive handeln.

[mat6937]

Das heisst: LISTENING ist gefährlicher als OPEN PORT?

Ja, weil man nie weiß, ob die benutzte (lauschende) Software "fehlerfrei" ist (... auch wenn sie gerade richtig konfiguriert ist).