Zur Zeit gehe ich über einen Hardware-Router (logischerweise mit Firewall ausgestattet) ins Netz, der vom ADSL-Provider seine "IP nach außen" dynamisch zugewiesen bekommt. Dahinter hängt als Client ein PC, dem vom Router per DHCP eine dynamische IP zugewiesen wird. Es gibt noch 2 WLAN-Clients (genauer: 2 Nintendo DS *g*), die ebenso dynamisch addressiert werden. Nun stellt sich mir die Frage, ob es sicher ist, wenn ich dem PC eine feste IP vom Router zuweisen lasse? Gibt es irgendwelche sicherheitstechnischen Bedenken? Wäre nett, wenn ihr euer Pro oder Contra noch ein bischen erläutern würdet.

Vielen Dank im Voraus,
Susu

Gibt keine bedenken.
Wenn doch jemand in dein netz eindringen würde könnte er nen Scan machen und so trodzdem die IP's finden, oder halt einfach die ARP-Liste vom Router abfragen.

Wie siehts in Bezug auf obiger Fragestellung mit Portforwarding aus? Der Client hat (zusätzlich zum Router) einen Paketfilter laufen.

Susu

Wie siehts in Bezug auf obiger Fragestellung mit Portforwarding aus? Der Client hat (zusätzlich zum Router) einen Paketfilter laufen.

Susu

Wenn du auf dem PC einen Serverdienst anbieten möchtest ist es natürlich sinnvoll, ein paar "Regeln" für einen Paketfilter zu setzen (loggen, etc).

Portforwarding stellt natürlich immer eine "Lücke" dar, da ja ein potentieller Angreifer direkt auf deinen PC zugreifen kann. Wenn dann in dem von dir angebotenen Dienst eine Sicherheitslücke drinsteckt hilft dir auch kein Paketfilter mehr.

Wie sicherst du denn dein Wlan?

Wenn du auf dem PC einen Serverdienst anbieten möchtest ist es natürlich sinnvoll, ein paar "Regeln" für einen Paketfilter zu setzen (loggen, etc). Nein, das habe ich nicht vor.

Portforwarding stellt natürlich immer eine "Lücke" dar, da ja ein potentieller Angreifer direkt auf deinen PC zugreifen kann. Wenn dann in dem von dir angebotenen Dienst eine Sicherheitslücke drinsteckt hilft dir auch kein Paketfilter mehr.Der Paketfilter auf dem Client ist immer noch so konfiguriert, wie auch schon zu Zeiten ohne Router. Damals haben Portscans auch ergeben, dass alle Ports dicht sind.

Wie sicherst du denn dein Wlan?Den Zugriff aufs WLAN sichere ich dadurch, dass nur die 2 MAC-Adressen der beiden Nintendo DS aufs WLAN zugreifen dürfen. Zugriff von sogenanten Wardrivern fällt also flach. Die Datenübertragung des DS wird vom Nintendo selbst RSA-geschützt. Ist insofern aber auch Wurst.

Susu

Ohne feste IP wird es auch schwierig, den Port forzuwarden ;)

Greetz
Thomas

Ohne feste IP wird es auch schwierig, den Port forzuwarden ;)

Greetz
Thomas
Wieso die meisten DSL Router beherrschen NAT, wo liegt das Problem?
Wenn ich im Router einstelle das Port 80, 22 auf IP xxx.xxx.xxx.xxx
gehen soll, hat man auch kein Problem.

Bei mir läuft dies so das ich einen steinalten Rechner mit OpenBSD ausgerüstet habe, der den Router macht und meine Linux und Solarismaschinen ins Netz lässt. und Port 80 und 22 werden über Nat an eine Maschine weitergeleitet. DHCP wird über Mac Adressen authentifiziert.

Wieso die meisten DSL Router beherrschen NAT, wo liegt das Problem?
Wenn ich im Router einstelle das Port 80, 22 auf IP xxx.xxx.xxx.xxx
gehen soll, hat man auch kein Problem.Wenn die IP aber dynamisch zugewiesen wird, muss der Router wissen, wie denn grad die aktuelle IP lautet, auf die weitergeleitet werden soll. Und nicht jeder (Hardware-)Router beherrscht NAT mittels der MAC-Adresse. Da hast Du Dein Problem.

Susu

Wieso die meisten DSL Router beherrschen NAT, wo liegt das Problem?
Wenn ich im Router einstelle das Port 80, 22 auf IP xxx.xxx.xxx.xxx
gehen soll, hat man auch kein Problem.
Bei mir läuft dies so das ich einen steinalten Rechner mit OpenBSD ausgerüstet habe, der den Router macht und meine Linux und Solarismaschinen ins Netz lässt. und Port 80 und 22 werden über Nat an eine Maschine weitergeleitet. DHCP wird über Mac Adressen authentifiziert.

Also ich kenne nur sowas wie festes DHCP (anhand der MAC). (Ist das Authentifizierung?) Dann funktioniert das Portforwarding natürlich auch. (Das ist dann für mich aber ein Zwischending: statische IP mit den Mitteln des DHCP ;) )

Und nach meinem Verständnis hat (das übliche) NAT mit eingehenden Anfragen auch nicht viel tun - die Adresstranslation findet (bei der üblichen DSL-Situation) von Drinnen nach Draußen statt (Masquerading).

Greetz
Thomas

Nein, das habe ich nicht vor.
Den Zugriff aufs WLAN sichere ich dadurch, dass nur die 2 MAC-Adressen der beiden Nintendo DS aufs WLAN zugreifen dürfen. Zugriff von sogenanten Wardrivern fällt also flach. Die Datenübertragung des DS wird vom Nintendo selbst RSA-geschützt. Ist insofern aber auch Wurst.


Ich muss dich enttäuschen, dass ist nicht unbedingt das, was man unter gesichert versteht.
Es ist nicht schwer über herum fliegende Pakete eine Mac-Adresse herauszubekommen. Diese kann dann einfach auf das entsprechende Interface des Angreifers gesetzt werden und schon steht dein Netz offen.

Was interessieren mich die Daten, die du beim Spielen überträgst. Ich habe schon was ich erreicht habe und kann über dein Netz kostenlos im Internet surfen.

Es ist nicht schwer über herum fliegende Pakete eine Mac-Adresse herauszubekommen. Diese kann dann einfach auf das entsprechende Interface des Angreifers gesetzt werden und schon steht dein Netz offen.Ich dachte bis dato, dass MAC-Adressen gerätgebunden und somit eindeutig zuordnungsfähig wären?! Hmm, dann gucken wir mal...

Susu

Sollte sie ja eigentlich auch, allerdings gibts ne menge netzwerkkarten bei der man die ganz einfach einstellen kann.

ifconfig eth0 hw ether 11:aa:23:ce:3a:11

Deine Karte behält ja eigentlich auch seine Hardwareadresse, es wird sich halt nur als eine andere ausgegeben. Nach einem Neustart hast du wieder die alte Mac-Adresse.

Ich halte in deinem Fall die Anwendung von entweder DHCP oder statischen IPs einfach für Geschmackssache. Du kannst deinen DHCP-Server ja so konfigurieren, dass er nur an Rechner deren MAC er kennt und die auch in seiner Konfig eingetragen ist, eine bestimmte, quasi "feste" IP vergibt und ansonsten an niemanden. Das ist das quasi eine zentral verwaltete feste ip-addressen-zuordnung. Die Gefahr, dass jemand IPs oder MAC-Addresse spooft um in dein WLAN einzudringen bleibt natürlich nach wie vor. Dementsprechend ist aber zumindest dein Client-PC (der wohl die wertvolleren Daten enthält) schonmal gut gesichert. Du solltest allerdings deine MAC-Addresse in der arp-table deines routers (falls das möglich ist) statisch eintragen um zu verhindern, dass jemand von aussen sich die MAC deines Clients gibt und der router seine arp-table dahingehend verändert, dass er deinen client in Zukunft auf dem wlan device und nicht mehr auf dem lan-device vermuten wird. Feste Zuordnung von devices, mac-addressen und ip-addressen erschwert spoofing zumindest. Das kannst du auch an deinem client tun, mit der ausnahme, dass es da nicht so viel bringen wird, da er ja nur eine schnittstelle hat (lan). Somit wird ein potentieller Angreifer, der die MAC und die IP eines der Nintendos hat von deinem Client auch als ein Nintendo erkannt, da die beiden Nintendos sich ja auch über den ans Lan angeschlossenen Router verbunden hätten.
Was in jedem Fall für WLANs immer sinnvoll ist, ist Verschlüsselung. Ich weiß nicht genau ob du bereits erwähntest ob du das bereits getan hast oder nicht, sinnvoll wäre es jedenfalls (damit wären auch interne-ips schwerer zu erschnüffeln).

Wenn die IP aber dynamisch zugewiesen wird, muss der Router wissen, wie denn grad die aktuelle IP lautet, auf die weitergeleitet werden soll. Und nicht jeder (Hardware-)Router beherrscht NAT mittels der MAC-Adresse.
Einige Router bieten allerdings die Funktion des "statischen" DHCP, sodass eine Mac-Adresse immer die selbe IP bekommt; die meisten Router machen das sogar automatisch.
Ich bekomme seit etwa einem Jahr immer die selbe IP-Adresse zugewiesen, obwohl ich das nirgendwo eingestellt habe (fritzbox fon). Und damit lacht auch Portforwarding.

Einige Router bieten allerdings die Funktion des "statischen" DHCP, sodass eine Mac-Adresse immer die selbe IP bekommt; die meisten Router machen das sogar automatisch.Ich hab mal beim Router nachgeguckt. Es gibt bezüglich DHCP und der IP-Vergabe eine sogenannte Lease-Time, also die Zeit, bevor einem Ethernetgerät eine neue IP zugewiesen wird. Ich werde mal testen, ob sich darüber etwas machen lässt.

Bezüglich des IP-Spoofing: Ich muss mir den Router nochmal genauer unter die Lupe nehmen, aber ich meine eine Einstellungsmöglichkeit zum Schutz davor gesehen zu haben. Werde mich heute nachmittag mal dranmachen, ein bischen Finetuning zu betreiben.

Desweiteren ist die WLAN-Verbindung jetzt auch mit einem WEP-Schlüssel (128 Bit) abgesichert. WEP deswegen, weil der Nintendo DS nichts anderes kann. Nun sollte sich der WLAN-Zugang von Fremden aber um einiges schwieriger gestalten.

Vielen Dank für eure Denkanstöße!
Susu

Wenn die Lease-Time abgelaufen ist, bedeutet das aber nicht automatisch, dass du eine neue IP-Addresse zugeteilt kriegst. Bei den meisten DHCPs ist die Lease-Time 24h. Nach 24h musst du dir ein neues Lease holen, dir deine Addresse also theoretisch neu zuteilen lassen. Meistens kriegt man aber dennoch die selbe IP wieder. Aber das sagte MiGo ja auch bereits. D.h. man hat eigentlich schon mehr oder weniger "static" leases.

Nun sollte sich der WLAN-Zugang von Fremden aber um einiges schwieriger gestalten.

Vielen Dank für eure Denkanstöße!
Susu

http://www.linuxforen.de/forums/showpost.php?p=1080930&postcount=4

100-prozentige Sicherheit gibt es nicht, das ist mir schon klar. Naja, da hilft halt nur eines: Keinen Internetanschluss. *lach* Und im Himmel ist Jahrmarkt...

Susu

Das liegt einfach nur daran das dein Client nach der IP fragt bzw. evtl. ein irre langes Lease für die IP deines Rechners existiert.

Wenn die Lease-Time abgelaufen ist

Warum lässt man die Leases überhaupt ablaufen? Wo steckt da der Sinn?

Warum lässt man die Leases überhaupt ablaufen? Wo steckt da der Sinn?
Weil dir sonst spätestens nach dem 254. Reboot die leases ausgehen?

Ich versteh nicht, wieso es sicherheitstechnisch einen Unterschied machen soll, ob ich einem PC hinter einem Router per DHCP eine IP gebe, oder eine statische einstelle (bzw. per DHCP immer dieselbe IP vergebe).
Kann mich jemand aufklären?

Danke,
Chandler

Also ich vergebe statische DHCP Adressen an meine Clients. Ist pure Faulheit. Ich bimmel viel durch die Gegend mit meinem Notebook. Zu Hause DHCP, im Office DHCP und in den meisten anderen Netzen auch. Wozu also zu Hause statische IPs vergeben?

Also ich vergebe statische DHCP Adressen an meine Clients. Ist pure Faulheit. Ich bimmel viel durch die Gegend mit meinem Notebook. Zu Hause DHCP, im Office DHCP und in den meisten anderen Netzen auch. Wozu also zu Hause statische IPs vergeben?Ja, was denn jetzt? Statisch oder doch dynamisch? Ich werde jetzt nicht ganz schlau aus Deiner Antwort...

Um aber die Frage des "Wozu" zu beantworten: Es ging hier ursprünglich um Sicherheitsaspekte und weiterführend um Portforwarding, wozu der Client, auf den weitergeleitet wird (wenn ichs jetzt richtig verstanden habe), eine statische IP braucht.

Susu

Ich versteh nicht, wieso es sicherheitstechnisch einen Unterschied machen soll, ob ich einem PC hinter einem Router per DHCP eine IP gebe, oder eine statische einstelle (bzw. per DHCP immer dieselbe IP vergebe).
Kann mich jemand aufklären?Naja, ich fragte ja bereits, ob, und wenn ja, welchen Unterschied es macht.

Was gibt es daran nicht zu verstehen? Ich verwende statische DHCP Leases, eine Art Reservierung die an der MAC-Adresse eines Clients festgemacht wird. Ein Client bekommt damit immer die gleiche IP vom DHCP.

Schau hier mal rein:

http://www.faqs.org/rfcs/rfc2131.html