Hallo, liebe Linux Nutzer,

ich hoffe, ich bin im richtigen Thread und hoffe auf ein paar Antworten:)


Zu meinem Vorhaben:

Ich beabsichtige mittels einer Linux Distribution (Ubuntu) eine Firewall mir iptables zu konfigurieren. Ich tp-habe jetzt keine Frage zur Firewall an sich, sondern zu dem Aufbau des Netzes.

Ich bin bei Kabel BW und habe ein Modem, welches NICHT W-LAN fähig ist. Hinter dem Modem steht ein TP-Link WDR3600.

Meine Frage: es ist doch möglich, an das Modem den router anzuschließen und dann den Linux Server, auf dem iptables alles bocken soll, außer Port 80, 22, 443 und e-mail Ports.

Gibt es eine Möglichkeit, auf den TP-Link zu verzichten? Wie funktioniert das dann mit W-LAN Geräten? Das Modem ist, wie gesagt, nicht W-LAN fähig.

Gibt es eine Syntax, die z.B. Smartphones ins Netz lässt, um nicht überall ene statische IP eintragen zu müssen?

Könnte ihr mir da weiterhelfe? DANKE!

Möglichkeiten gibt es viele - je nach gewünschtem Sicherheits, Paranoia und Aufwandspotential.

... die erste Frage wäre daher erst mal, wie groß denn das Netz sein soll, warum Du nicht die sicherlich vorhandene Firewall des Routers nutzen willst oder ggf. den Router einfach mit OpenWRT ausstatten. Eine ded. HW-Firewall ist eigentlich im privaten Umfeld im großen und ganzen übertrieben.

Ansonsten - "am sichersten und einfachsten" dürfte sein

modem -> firewallpc -> router -> lan + wlan - für alle Alternativen brauchst Du entweder an der Firewall eine WLan-Karte, ggf. manipulierbare DNS- und Gateway-Funktionalitäten und zusätzliche Hardware wie Switche, ...

@marce

Zunächst vielen Dank! Gibt es keinen "Danke" Button?


... die erste Frage wäre daher erst mal, wie groß denn das Netz sein soll, warum Du nicht die sicherlich vorhandene Firewall des Routers nutzen willst oder ggf. den Router einfach mit OpenWRT ausstatten. Eine ded. HW-Firewall ist eigentlich im privaten Umfeld im großen und ganzen übertrieben

In dem Netz werden sich etwa 8 Clients befinden, manche per LAN, andere per W-LAN.

Ja, sicher ist im router eine Firewall integriert und ich habe auch testeweiwe auf einem anderne TP-link DD-WRT installiert, was auch sehr mächtig ist. Aber ich interessiere mich für Sicherheit allgemein und teste gerne bzw. möchte einfach so gut es geht abgesichert ein.

Also an das Modem soll direkt der Firewall PC und dahinter der Router? Aber geht das? An das Modem direkt der Firewall PC und erst dann der Router? Einen zusätzlichen Switch brauche ich nicht, am Rputer sind 4 Ethernetschnittstellen, die ausreichen.

Nach Bedarf kommen aber noch andere Geräte an einen Switch - ist das ein großes Problem, das zu konfigurieren? Sicherlich muss ich nicht jedes Mal am Script drehen, oder?

Würde es, wenn ich an den Firewall PC eine W-LAN Karte einbaue auch ohne den Router gehen? Erhalten die W-LAN clients per DHCP eine interne IP?


Edit: Ein Gerät muss von außen per DynDNS erreichbar sein.



Noch was, wenn es andes geht, könnte ma den Router auch weglassen, aber ich habe wie gesagt Kabel BW. Ich brauche den Router, um die MAC Adresse zu klonen und dann an die WAN Schnittstelle zu übermtteln damit eich eine neue IP erhalte - kann man das auch anders realisieren?

Deine Schilderungen zeigen, dass dir Netzwerke eher unbekannt sind, womit deine "Sicherheitsüberlegungen" eher zweitrangig sind.
Meist wird mit geringem Wissen die Sicherheit, die die Geräte per se bieten unterlaufen.

Es sind selbstverständlich alle Szenarien möglich. Bis auf die Einschränkungen, die die Geräte selbst mitbringen. Im SoHo Bereich haben wir billige, abgespeckte Geräte. Und Kabel* hat meist Eigenwillige.

Um den LinuxFirewallPC direkt an den Router anzuschliessen, der dann via Hub/Switch die anderen Geräte versorgt, sollte der zwei Netzwerkkarten haben.
Und den TP Router wirst du wollen. Du sprichst ja selbst von WLAN- Geräten.
Es sei denn du bürdest dem FirewallPC auch diese Funktionalität auf, was natürlich eine WLAN- Karte in diesem Rechner voraussetzt.

Auf einem Router läuft heute standardmäßig ein DHCP.
Damit kriegen die Geräte automatisch ihre Netzkonfiguration, wenn man sie anstöpselt oder die Funke einschaltet.

DynDNS macht dein Netz bequem erreichbar von außen.
Nicht nur für dich, sondern vor allem für die Bösen.
Und da wir in De asynchrones DSL haben, ist die Leistung nach außen außerordentlich bescheiden.
Muss das wirklich?

Ja, sicher ist im router eine Firewall integriert und ich habe auch testeweiwe auf einem anderne TP-link DD-WRT installiert, was auch sehr mächtig ist. Aber ich interessiere mich für Sicherheit allgemein und teste gerne bzw. möchte einfach so gut es geht abgesichert ein.
Sicherer wird es durch eine Firewall nicht - der jetzige Router dürfte auch schon nichts rein lassen. Und es selbst zu machen bedeutet nicht automatisch, es besser zu machen. Solange der Router durch den Hersteller noch gepflegt wird gibt's da eigentlich grundsätzlich keinen Handlungsbedarf. Ok, von off. Backdoors für die NSA mal abgesehen :-)


Also an das Modem soll direkt der Firewall PC und dahinter der Router? Aber geht das?
Klar. Du musst nur die Netzwerkkarte, die am Router hängt entsprechend konfigurieren, daß die das gleiche Protokoll sprechen (PPPoE oder so, je nach dem, keine Ahnung was da gerade aktuell ist)
Dann ein bisserl Firewalling und Routing konfiguieren, nach Wunsch auch DNS und DHCP und fertig ist die Laube.

Gibt's auch schon fertig als ded. Disitribution - pfsense oder fli4l z.B.


Nach Bedarf kommen aber noch andere Geräte an einen Switch - ist das ein großes Problem, das zu konfigurieren? Sicherlich muss ich nicht jedes Mal am Script drehen, oder?
Kommt drauf an, wie "hart" Du die Konfig verdrahten willst.
Wenn Du natürlich jede Client-MAC einzeln freischalten willst und ggf. noch ded. Switchport-Zuweisungen und getrennte Gast-VLans - dann kann's schon sein, daß Du für jeden Client an 'ne Konfig ran musst.


Würde es, wenn ich an den Firewall PC eine W-LAN Karte einbaue auch ohne den Router gehen? Erhalten die W-LAN clients per DHCP eine interne IP?
Klar. Dann musst Du den PC nur als WLAN-AP konfigurieren, eben noch DHCP und DNS einrichten und ein bisserl Routing.

Und Dir ggf. noch ne Oberfläche jenseits von SSH, vi + systemctl basteln, wenn Du mal 'n Gast-Zugang brauchst, ... Da ist der fertige Charme fertiger Boxen halt schon im Wohlfühlbereich, was Komfort angeht...


Edit: Ein Gerät muss von außen per DynDNS erreichbar sein.
technisch, solange kein kastriertes DSLight oder ähnlichen anbieterseitigen Dingen kein grundsätzliches Problem.


Noch was, wenn es andes geht, könnte ma den Router auch weglassen, aber ich habe wie gesagt Kabel BW. Ich brauche den Router, um die MAC Adresse zu klonen und dann an die WAN Schnittstelle zu übermtteln damit eich eine neue IP erhalte - kann man das auch anders realisieren?
Solange Modem und Router keine "verbastelte" Einheit sind kannst Du jedes Teilelement weglassen und anderweitig umsetzen. Der Router ist ja im Endeffekt nichts anderes OutOfTheBox als das, was Du nun mit einem PC, der 50x so viel Strom verbraucht wie der aktuelle Router, nachbauen willst.

@BetterWorld


Deine Schilderungen zeigen, dass dir Netzwerke eher unbekannt sind, womit deine "Sicherheitsüberlegungen" eher zweitrangig sind.
Meist wird mit geringem Wissen die Sicherheit, die die Geräte per se bieten unterlaufen


Unbekannt würde ich nicht sagen, aber ich beschäftige mich untensiv damit. Außedem habe ich bei youtube ein interessantes Turtorial einer Sicherheitsfirma entdeckt, die in über 20 Videos alls haargenau erklären, es ist also kein Problem. Testweise habe ich in einer vituellen Umgebung einmal das System aufgebaut - so weit, so gut.#


Um den LinuxFirewallPC direkt an den Router anzuschliessen, der dann via Hub/Switch die anderen Geräte versorgt, sollte der zwei Netzwerkkarten haben.

Logisch, das habe ich ja in der VM so gemacht.


Und den TP Router wirst du wollen. Du sprichst ja selbst von WLAN- Geräten

Ja, nur ist dann evtl. Problem mit Doppel-NAT?


Auf einem Router läuft heute standardmäßig ein DHCP.
Damit kriegen die Geräte automatisch ihre Netzkonfiguration, wenn man sie anstöpselt oder die Funke einschaltet.


Das ist soweit klar, es sei denn, DHCP Server deaktiviert.


Nicht nur für dich, sondern vor allem für die Bösen.

Sicherlich, aber deswegen sichere ich ja auch gut ab - nutze keine Standardprots und natürlich alles verschlüsselt und Passwort geschützt und keine Freigaben im netz. Da es sich um ein Sicherheitssystem handelt, muss es unbedint erreichbar sein.


Und da wir in De asynchrones DSL haben, ist die Leistung nach außen außerordentlich bescheiden.
Muss das wirklich?

Also ich habe eine 150 MBit/s Leitung und 6 MBit/s im Upload, das reicht dicke! Ja, muss sein.

@marce


Und es selbst zu machen bedeutet nicht automatisch, es besser zu machen.

Logisch. Im Notfall habe ich auch noch Freunde aus der IT-Branche, die bereits fertigf sind mit ausbildung oder Studium, da älter as ich. Aber ich möchte gerne alleine fortschritte machen und probierne.


Klar. Du musst nur die Netzwerkkarte, die am Router hängt entsprechend konfigurieren, daß die das gleiche Protokoll sprechen (PPPoE oder so, je nach dem, keine Ahnung was da gerade aktuell ist)

O.K., das dürfet ja nicht sonderlich schwer sein.


Dann ein bisserl Firewalling und Routing konfiguieren, nach Wunsch auch DNS und DHCP und fertig ist die Laube

Ja, wird in den Turotials alles gut erläutert.


Wenn Du natürlich jede Client-MAC einzeln freischalten wills

Nein, nein, und ein MAC Filter ist shr einfach zu umgehen, Stichwort MAC spoofing^^


Klar. Dann musst Du den PC nur als WLAN-AP konfigurieren, eben noch DHCP und DNS einrichten und ein bisserl Routin

Ja, mit welchem Tool am Besten? Was auch noch gehen würde, eine Fritz Box Cable - dann bracuhe ich keinen anderen Router.


technisch, solange kein kastriertes DSLight oder ähnlichen anbieterseitigen Dingen kein grundsätzliches Problem.

Ne, 150 MBit/s.


Solange Modem und Router keine "verbastelte" Einheit sind kannst Du jedes Teilelement weglassen und anderweitig umsetzen

Ja, ist es ja nicht, oder?!^^

Selbst "DoppelNAT" wäre kein Problem. Muss man halt passend einrichten.
Normalerweise lässt man einfach einen Router die DHCP/DNS Geschichten erledigen, der zweite Router läuft dann einfach als quasi "Repeater" und tut sonst nix. Und selbst das lässt sich ganz verschieden realisieren.

Gerade ein kritisches System will man eben NICHT erreichbar machen.
Sicherheit ist kein Zustand, sondern ein Prozess.
Und bei einem TCP/IP Netzwerk dealst du automatisch mit einer Unzahl von Protokollen.
Jedes einzelne kann ein Einfallstor bieten.
Zu glauben, dass ein paar YouTube Videos dich zum DDOS-in-allen-Lagen gestählten Netzwerker machen,
ist tapfer. Und ganz sicher unsicher.
(Link zu diesen Videos?)

Um eine Firewall wirklich sauber selbst zu konfigurieren, empfiehlt es sich wenigstens ein paar dieser Bücher (https://www.amazon.de/s/ref=nb_sb_noss/253-1111522-7234063?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&url=search-alias%3Dstripbooks&field-keywords=TCP%2FIP) über die Grundlagen zu lesen. Und wie man Netzwerke analysiert, was man können sollte, erklärt dieses Buch (https://www.amazon.de/Nmap-Network-Scanning-Discovery-2009-01-01/dp/B01K3K0LPK/ref=sr_1_24?s=books&ie=UTF8&qid=1476884279&sr=1-24&keywords=nmap) ganz gut.

Nur ein paar nicht-standard Ports zu verwenden, genügt bei Weitem nicht.
Die lassen sich ratzfatz finden, so man will und nmap beherrst. Und Spasswörter sind Spasswörter. Man sollte nur Verbindungen mit richtigen Schlüsseln zulassen. Geht bei so ziemlich jeden Service, den man bieten will. Erfordert aber wieder mehr Grundlagenwissen.

Welche Services deines LANs sollen denn von außen erreichbar sein?

Nur so am Rande bemerkt, Smart Devices würde ich nicht ins LAN lassen, bei vielen Routern gibt es ein Gastnetz/Gastzugang dürft so ziemlich genau das sein, was du suchst.

Och, wenn wir schon dabei sind: Aus dem Internet erreichbare Services gehören in eine DMZ - sprich davor und dahinter gehört eine Firewall.

Oh - so langsam kommen wir in Bereiche, die mit "3 PCs, 2 Handies, 1 Smart-TV und ein Internet-Radio hinter dem Telekom-Router, kleines NAS von außen erreichbar" nichts mehr zu tun haben und def. für's Home-Office oversized sind.

Anders gesagt: Kanonen + Spatzen?

Noch anders gesagt: Selbst die größten Paranoiker im meinem Bekanntenkreis verwenden den Standard-Telekom-Router mit der Standard-Firewall ebenjenes. WLAN wir aktiviert, wenn man es braucht. Sonst nicht. Ok - auf den PCs und Lappis läuft dann QubeOS.

Machen kann man viel. Lernen dabei auch - aber ernsthaft: My home is my castle und nicht my bank. Lernen kann man auch in virt. Netzen mit virt. PCs, virt. Servern und lustigen Tools, die dort ganz reale Szenarien abklappern...

(vor allem hat man dann auch immer, wenn mal was schief geht, noch ein funktionierendes Internet, in dem man sich mal Hilfe holen kann)

Selbst "DoppelNAT" wäre kein Problem. Muss man halt passend einrichten.

Ja, klar, es is tbesser, wenn es nicht vorhanden ist, um alles zu konfigurieren, aber muss man eben schauen dann.


Normalerweise lässt man einfach einen Router die DHCP/DNS Geschichten erledigen, der zweite Router läuft dann einfach als quasi "Repeater" und tut sonst nix. Und selbst das lässt sich ganz verschieden realisieren.

Ich möchte es auch per DHCP die IP beziehen lassen.


Gerade ein kritisches System will man eben NICHT erreichbar machen.
Sicherheit ist kein Zustand, sondern ein Prozess.

Zunächst finde ic hes super, dass hier so rege diskutiert wird und man schnell Antworten bekommt. Allerdings ist mir schon bewusst, was ich mache, und ich beschäftige mich seit Jahren mit allem möglichem, egal ob mit kaskadierten VPN Tunneln, kompletter HDD Verschlüsselung oder sonst was. Ich möchte nur bitten, einfach - wenn das möglich ist - zu hefen, und nicht versuchen, mir ds auszureden. Ich möchte testen - mehr nicht. Wenn was nicht geht, nehme ich den Server weg, Router dran und fertig, alles läuft wieder.

Zudem wäre es sinnlos, wenn das Gerät nicht online wäre, da ich dann im Zwefel bei einem Vorfall nicht soort informiert werde - das möchte ich aber. Wenn z.B. Gas im Haus austritt, bin ich froh, wenn ich erst informoiert werde, wenn das Haus weg ist.


Und bei einem TCP/IP Netzwerk dealst du automatisch mit einer Unzahl von Protokollen.
Jedes einzelne kann ein Einfallstor bieten.

Korrekt - aber dann musst du komplett offline bleiben. Heute ist doch der Kühlschrank online - das kann man nicht verhindenr. Wenn ein Atomkraftwerk offline wäre, wäre es auch besser - geht aber nicht.


Zu glauben, dass ein paar YouTube Videos dich zum DDOS-in-allen-Lagen gestählten Netzwerker machen,
ist tapfer. Und ganz sicher unsicher.
(Link zu diesen Videos?)

Wo habe ich das gesgat? Unter anderem hier (https://www.youtube.com/watch?v=hpJYqKiulV8&list=PLnzEbgyK52GvB8t7a0sH50sb5sObDcS4-).


Um eine Firewall wirklich sauber selbst zu konfigurieren, empfiehlt es sich wenigstens ein paar dieser Bücher über die Grundlagen zu lesen. Und wie man Netzwerke analysiert, was man können sollte, erklärt dieses Buch ganz gut.

Ich besitze bereits Literartu zu Netzwerktechnik, aber danke für den Tipp.



Nur ein paar nicht-standard Ports zu verwenden, genügt bei Weitem nicht.
Die lassen sich ratzfatz finden, so man will und nmap beherrst.

Das ist mir alles bekannt. Aber alles am Port 80 laufen lassen, macht es nicht besser. Natürlich kann man das schnell herausfinden, deshalb nützt auch ein MAC Filter nichts, sobald man z.B. Backtrack etwas nutzt.


Welche Services deines LANs sollen denn von außen erreichbar sein?

Wie meinst du das? Eigentlich nur eine TCP Verbindung von außen, also per DynDNS, keine Mailserver oder so.


Och, wenn wir schon dabei sind: Aus dem Internet erreichbare Services gehören in eine DMZ - sprich davor und dahinter gehört eine Firewall.

Ja, die DMZ ist ja kein Problem.


def. für's Home-Office oversized sind.

wie gesgat, ich möchte testen.


kom-Router mit der Standard-Firewall ebenjenes

Also der speedport ist die schlechteste Hardware, die es gibt - ich sage nur "Portweiterleitung" - die nie funktioniert oder "vergessen" wird.


wenn mal was schief geht, noch ein funktionierendes Internet

habe ich auch - der Router ist ja nicht aus der Welt.

Nichts gegen Dein Vorhaben, wie gesagt - aber "Testen" und "parallel ein stressfreies Leben mit Internet führen" passt nicht zusammen :-)

Wie gesagt - grundlegend alles kein Problem. Es geht alles, was Du willst. Du hast nun mehrere Möglichkeiten - von (a) alles mal virtuell aufbauen bis zu (z) Router weg, PC an's Modem dran, bel. OS installieren und loslegen ist alles möglich - da wäre nun die Frage, wo denn nun konkret das Problem / die Fragen auf Deiner Seite liegen?

Was du bis jetzt genannt hast, rechtfertigt kein DynDNS.
Das brauchst du für diese Vorhaben nicht.
Da genügt ein LAN-seitiges Pushen eventuell wichtiger Nachrichten.

Nichts gegen Dein Vorhaben, wie gesagt - aber "Testen" und "parallel ein stressfreies Leben mit Internet führen" passt nicht zusammen :-)

Bevor ich die Firewall bzw. den Server tatsächlich nutzte, ist ja klar, dass ich vorher ein gleiches Modell virtuell teste, um festzustellen, wie es läuft.

Jedoch ist im Prinzip das Script aus den Turorials schon fertig, man müsste nur ein paar Anpassungen vornehmen. Und die Tatscahe, dass soviel wie möglich verbtoten ist, nur das minimale erlaubt ist und auch alles "gedropped" wird, was nicht erlaubt ist, ist schon eine hohe Sicherheit. Zudem auch, dass erst SSH erlaubt wird, BEVOR man alles andere verbietet, um sich nicht selbst auszuschließen. Ferner soll wird die Firewall erst gestartet, wenn alle Regeln eingelesen sind.


- von (a) alles mal virtuell aufbauen bis zu (z) Router weg

Den Router lasse ich natürlich erst einmal dran - vor allem, wenn der Server nicht fertig konfiguriert ist^^


da wäre nun die Frage, wo denn nun konkret das Problem / die Fragen auf Deiner Seite liegen?

Ja, du hast mir schon einige nützliche Hinweise gegeben, vielen Dank dafür! Die anderen auch. Welche Probleme auftreten, kann ich sagen, wenn ich es virtuell in Vmware teste. Für den Fall der Fälle - wird mir hie geholfen? :)



Was du bis jetzt genannt hast, rechtfertigt kein DynDNS.

Woher willst du das wissen? Einmal angenommen, es handelt sich hierbei um ein Videoüberwachungssystem, an dem Bewegungsmelder angeschlossen sind und welches einen Laden oder Büro überwacht - was nützt es mir, wenn das Gerät nicht erreichbar ist? Wenn ich keine SMS/E-Mail etc. erhalte? Dann merke ich es am nächsten Tag - genau das soll aber nicht so sein. Du kannst mir glauben, dass ich JEDES Risiko, dass man ausschließen kann, ausschließe. so nutze ich kein W-LAN, wechsle regelmäßig den Schlüssel und nutze die maximale Anzahl an Stellen. Jegliche Dienste sind deaktiviert, UpnP, Druckserver, Mass Storage, Zugriff von außen für Fernwartungen etc. - alles riskant. Glaube mir, ich beschäftige mich nicht erst seit gestern mit der Materie. Aber ich bin eben noch nicht ganz fit in Linux - deshalb ja das Forum:)

Ein wichtiger Punkt, egal wie viel du von außen blockierst, der eigentlich Kampf hat sich schon lange nach innen verlagert, da gibt es auch nicht wirklich eine Lösung, man kann halt nur sehr schwer erkennen, ob eine Kommunikation von innen legitim ist, weil du zB gerade chattest, oder ob die von einer bösartigen Software stammt, zB einem Trojaner. Einfallstor schlecht hin sind die Web Browser, es gibt aber keinen guten Weg den Traffic zu kontrollieren, im schlimmsten fall bricht man die Verschlüsselung und versucht bösen Code zu entfernen, was ein Kampf gegen Windmühlen ist, unmoralisch ist es auch und die professionellen Anbieter haben da regelmäßig fails drin, der Weg ist schlicht falsch.

Wie auch immer, die Gefahr ist bei den Clients, eine Firewall bietet dir da so gut wie keinen Schutz - deswegen würde ich auch keine bzw. wenn überhaut nur ausgewählte Smart Devices in mein LAN lassen.

Weiterhin hast du einen Denkfehler, ein Sensor soll dich ggf. informieren idR willst du den Sensor von außen nicht beeinflussen können, da die bösen Menschen, dass dann auch könnten! Man kann alles eingehende verbieten und dennoch eine SMS, Mail, what ever verschicken, was gerade bei sicherheitsrelevanten Sensoren gewünscht ist - will man überhaupt Sensoren im www haben, auf keinen Fall -> VPN!!!

Wie schon festgestellt wurde mit Kanonen auf Wasser, falsche Stelle, fang lieber bei den Clients an - ordentliches Sandboxing usw.

Ich denke von außen auf z. B. Kameras zugreifen macht schon Sinn und einen Basisschutz durch eine Firewall aufbauen auch. Die Sicherheit von Clients liegen dann wieder auf einem anderen Blatt und müssen natürlich auch zusätzlich berücksichtigt werden. Von daher finde ich den Anfang nicht falsch. Smart Devices kann man im LAN ja durch VLAN's oder seperater Verkabelung trennen, oder wie schon erwähnt mit dem Gäste-WLAN.
DynDNS ist jetzt auch kein Teufelszeug. Die Frage ist nur was du genau benötigst. Nehme ich dein Beispiel mit den Kameras und den Bewegungssensoren, dann muss der Port nicht zwangsläufig 24/7 offen sein. Man kann sich ja nen Trigger-Mechanismus anlegen. Ein Beispiel wäre ein Kontrollelement auf einen (Web)Server im Netz auszulagern. Sobald dein Bewegungsmelder an geht generiert er über diese Seite einen Token und fängt alle 10 Sekunden an die Rückmeldung abzufragen. Per SMS oder Mail schickt das System dir den Token in Form eines Links. Sobald du drauf klickst wird eine Port-Nummer generiert und deine IP gespeichert. Dein System erhält dann nach dem 10 Sekunden Intervall deine aktuelle IP und den generierten Port und kann dann diese in der Firewall freischalten und z. B. auf ssh umleiten. Theoretisch bräuchtest du dann auch kein DynDNS, da die IP des Systems auch auf dem Webserver hinterlegt werden kann. Dann baust du ganz normal die SSH Verbindung über den Port auf. Nach ein, zwei oder auch 24 Stunden wird der Token und die iptables rule wieder gelöscht oder nach nicht Nutzung des Tokens. Das System ist dadurch nicht ständig erreichbar und auf dem Webserver werden dann nur Port+IP übergeben.

Im Übrigen ist man auch ohne DynDNS für "die Bösen" erreichbar. Ein dauerhaft geöffneter Port ist demnach ein Risiko aber keine Sicherheitslücke. Soll es solch eine Lösung sein, dann sei dir als "Luftgewehr" für die Spatzen fail2ban und geoipblocking als akzeptable Lösung genannt.

Davon abgesehen will man im Smart Home durchaus seine Sensoren im Netz haben, nur nicht für jeden zugänglich. VPN ist da keine 100% kompatible Lösung, wenn an meinem BMW kein VPN vorgesehen ist, ich aber bei der Heimfahrt die Wassertemperatur meines Whirlpools über den integrierten Browser auf 50°C stellen möchte.

Die Auslagerung und Aufteilung der entsprechenden Steuerungselemente in Verbindung mit Verschlüsselung oder eben nur "unkritische" Funktionen scheint mir ein guter Weg.

Ganz vergessen:

Kabel BW funktioniert (glaub ich) ähnlich wie KabelD/Vodafone. Daher musst du nur das LAN Kabel in die WAN Dose des Routers stecken und WAN auf DHCP stellen. Beim Firewall-PC ist das genauso. Bekommst du irgendwann einen Wlan-Router mit integriertem Modem (bekam ich zwangsweise) kannst du im Kundenportal auf den BridgeModus umschalten. So bei Vodafone und angeblich auch bei Unitymedia und KabelBW. Der Nachteil du deaktivierst damit Wlan, somit den Homespot und dadurch die Hotspot Flat. Kann man aber alles wieder aktivieren.

Also Kamera, sinnvoll wäre, wenn die eine "ungewöhnliche Bewegung" erkennen würde und in diesem Fall Alarmiert ggf. mit dem Bild welches "getriggert" hat - kein Zugriff von außen notwendig. Will man doch unbedingt immer kucken können was los ist, wäre VPN mein Favorit, jedenfalls definitiv kein ausleiten ins Internet, Tokens hin oder her. Wobei ich das durchaus sexy finde, so one time passwords sind ja gerade bei VPN durchaus üblich, ob das für privat realistisch ist kann ich gerade nicht bewerten.

Was ich jedenfalls nicht machen würde, dynamisches anpassen der Router/Firewall Konfiguration, entweder es gibt den Zugriff oder nicht - das hat auch nichts mit ddns gemein; ist ja nur Komfort...

wtf, wirklich kauf die ein anderen Whirlpool und ein anderes Auto, warum macht das nicht dein Smart Fon und warum willst du das beim Fahren tun - darf man das überhaupt :D sorry das sind keine Argumente, das ist Faulheit und die hat bei Sicherheit nichts verloren - fapening grüßt bei diesem Thema ;)

Also Kamera, sinnvoll wäre, wenn die eine "ungewöhnliche Bewegung" erkennen würde und in diesem Fall Alarmiert ggf. mit dem Bild welches "getriggert" hat - kein Zugriff von außen notwendig. Will man doch unbedingt immer kucken können was los ist, wäre VPN mein Favorit, jedenfalls definitiv kein ausleiten ins Internet, Tokens hin oder her. Wobei ich das durchaus sexy finde, so one time passwords sind ja gerade bei VPN durchaus üblich, ob das für privat realistisch ist kann ich gerade nicht bewerten.
Wenn auf dem Bild nichts erkennbar ist will man vielleicht doch genauer nach schauen. Ich halte das für sinnvoll, VPN auch nur geht das nicht immer bzw. überall. Ich kenne mind. drei OpenWiFi's die keine OpenVPN Verbindung durch lassen. Will ich dann beim einkaufen zu Hause nach schauen gehts nicht.




Was ich jedenfalls nicht machen würde, dynamisches anpassen der Router/Firewall Konfiguration, entweder es gibt den Zugriff oder nicht - das hat auch nichts mit ddns gemein; ist ja nur Komfort...

warum nicht? Temporärer offener Port ist doch besser als dauerhaft.



wtf, wirklich kauf die ein anderen Whirlpool und ein anderes Auto, warum macht das nicht dein Smart Fon und warum willst du das beim Fahren tun - darf man das überhaupt :D sorry das sind keine Argumente, das ist Faulheit und die hat bei Sicherheit nichts verloren - fapening grüßt bei diesem Thema ;)


Mein Dinosaurier GSM Handy kann kein Internet [emoji12] Dafür gibts das Auto [emoji23]

Wenn auf dem Bild nichts erkennbar ist will man vielleicht doch genauer nach schauen. Ich halte das für sinnvoll, VPN auch nur geht das nicht immer bzw. überall. Ich kenne mind. drei OpenWiFi's die keine OpenVPN Verbindung durch lassen. Will ich dann beim einkaufen zu Hause nach schauen gehts nicht.


warum nicht? Temporärer offener Port ist doch besser als dauerhaft.



Mein Dinosaurier GSM Handy kann kein Internet [emoji12] Dafür gibts das Auto [emoji23]

1st nette emojis ;)
2nd pass dich an GSM gibt es bald nicht mehr so wirklich, der neue Standard ist kurz vor fertig (5G) und in jeder Hinsicht überlegen, GSM ist einfach tot - schon lange ;)
3rd ein Port ohne Anwendung offen oder nicht ändert nichts am Risiko, auf oder zu that simple.

b eine Kommunikation von innen legitim ist, weil du zB gerade chattest, oder ob die von einer bösartigen Software stammt, zB einem Trojaner.

Ja, eine "established" könnte auch von einem Trojaner sein, aber das ist ein anderes Problem.


r ausgewählte Smart Devices in mein LAN lassen.


wo steht, dass ich das nicht mache?


willst du den Sensor von außen nicht beeinflussen können

Ganz sicher nicht - und das steht auch nirgendwo. Aber wenn ich Kameras habe - es ist nur ein Beisppiel - dann macht es Sinn, wenn ich nachsehen kann, wenn ein Infrarotsensor eine Bewegung meldet, oder nicht? Genau so bei einem Einbruch.


überhaupt Sensoren im www haben, auf keinen Fall -> VPN!!




ren mit allem möglichem, egal ob mit kaskadierten VPN Tunneln

Sorry, beziehe dich doch bitte auf das Wesentliche. DArum geht es jetzt doch nicht.



ch denke von außen auf z. B. Kameras zugreifen macht schon Sinn und einen BP-asisschutz durch eine Firewall aufbauen auch

Denke ich auch, wenngleich das nur ein Beispiel war. Ein NAS ist auch erreichbar, eine IP-Alarmanlage, wie etwa von Abus, ebefnalls.


dann muss der Port nicht zwangsläufig 24/7 offen sein. Man kann sich ja nen Trigger-Mechanismus anlegen

Ja, das war ja nur ein Beispiel, bitte nicht daran verrennen.


stem ist dadurch nicht ständig erreichbar und auf dem Webserver werden dann nur Port+IP übergeben.

DAS wäre sicher auch eine gute Idee, da hast du recht!


in dauerhaft geöffneter Port ist demnach ein Risiko aber keine Sicherheitslücke. Soll es solch eine Lösung sein, dann sei dir als "Luftgewehr" für die Spatzen fail2ban und geoipblocking als akzeptable Lösung genannt.

Ja, zumal das Gerät zwar erreichabr ist, deswegen aber nicht ohne Weiteres ins interne Netzwerk gelangt.


Kabel BW funktioniert (glaub ich) ähnlich wie KabelD/Vodafone. Daher musst du nur das LAN Kabel in die WAN Dose des Routers stecken und WAN auf DHCP stellen.

Bezügloch des IP-Adressen Wechlseln? Ich klone die MAC im normalfall


Will man doch unbedingt immer kucken können was los ist, wäre VPN mein Favorit, jedenfalls definitiv kein ausleiten ins Internet

WEnn SSL verschlüsselt, ist auch schon mal was. Klar, VPN kann man auch machen. Das ist ja jetzt nicht nur das Thema.


Was ich jedenfalls nicht machen würde, dynamisches anpassen der Router/Firewall Konfiguration, entweder es gibt den Zugriff oder nicht - das hat auch nichts mit ddns gemein; ist ja nur Komfort...



warum nicht? Temporärer offener Port ist doch besser als dauerhaft.

Meint er evlt. UpnP?

zu 1) [emoji16] [emoji12] [emoji38] [emoji23]
zu 2) das Szenario ist frei erfunden, ich hab keinen BMW, keinen Whirlpool und dafür aber ein Smartphone [emoji51]
zu 3) grundsätzlich ja. Ich finde das Risiko, dass jemand mit der selben IP, den selben Port im richtigen Zeitfenster trifft nur sehr unwahrscheinlich. Da ist die Daueröffnung mit wesentlich höherem Risiko behaftet. Wenn ich mich vor "den Bösen" schützen möchte dürfte ich garkeine Dienste anbieten. VPN ist auch nichts anderes als das und anfällig für Sicherheitslücken (OpenVPN / SSL mit Heartbleed oder diversen Lücken für Juniper z. B.). Wenn ich also einen Dienst im Netzt anbieten möchte, wofür es dann auch da ist, muss das nur mit einkalkulieren, berücksichtigen und Maßnahmen ergreifen. Ich sehe aber keinen Grund es nicht zu tun, weil etwas passieren könnte.

Ich hatte nicht umsonst gefragt, welche Dienste du denn nach außen anbieten möchtest.

Es macht wenig Sinn hier allgemein zu debattieren.
Da wurde dir die einzig mögliche Antwort schon gegeben: "Ja, klar. Kann man alles machen. In sehr vielen verschiedenen Arten. Und noch viel mehr."

Jetzt wehrst du Beispiele nur noch ab mit "Hab ich das gesagt?"
Macht das Sinn?

Ja, das war ja nur ein Beispiel, bitte nicht daran verrennen.

Wenn du dein konkretes Vorhaben verrätst, dann kann man dir vielleicht bessere Vorschläge oder Alternativen unterbreiten.



Bezügloch des IP-Adressen Wechlseln? Ich klone die MAC im normalfall

Ne eigentlich meinte ich den regulären Betrieb des Modems mit der Firewall. Ein Verbindungsaufbau mit PPPoE wie bei DSL ist daher nicht nötig. Zumindest bei mir nicht. An ne MAC bin ich aber auch nicht gebunden. Vielleicht ticken die Uhren bei KabelBW doch etwas anders.



WEnn SSL verschlüsselt, ist auch schon mal was. Klar, VPN kann man auch machen. Das ist ja jetzt nicht nur das Thema.

Sinnvoll wäre auch das alles ausschließlich durch ssh zu tunneln. Hier kannst du das dann auch kombinieren: der Trigger + Passwort-Authentifizierung + Zertifikat-Authentifizierung
Alles ist verschlüsselt und ssh unterstützt Portforwarding bzw du kannst es dann auch als socks Proxy nutzen um interne Dienste anzusteuern. Dadurch öffnest du dann temporär nur einen einzigen Port.



Meint er evlt. UpnP?
Keine Ahnung, ich meinte eigentlich iptables aber das kann man umsetzen wie man will.

So muss kurz noch mal ausbuddeln, das hier: https://twitter.com/ow/status/789515155877027840 (via fefe) hat mich an diesen Thread erinnert und mir auch noch mal gezeigt, warum Sensoren im Internet kacke sind ;)

Technik macht nunmal Fehler in allen Bereichen. Wer sich deswegen einigelt verhindert Fortschritt.

Wenn die Heizung mal nen halben Tag voll aufgedreht läuft ist das kein Weltuntergang. Für sowas baut man eine Abschaltautomatik ein oder sowas ähnliches. Meine Heizungen laufen max. 300 Sekunden und schalten dann ab.
Wenn ein wichtiger Server nicht erreichbar ist zur Not abschalten. Wenn die Temperatur öfter als 3 mal nicht von allen Sensoren etwa den gleichen Wert bekommt abschalten. Die Heizung kann man auch ohne Sensoren im Netz voll aufdrehen und vergessen oder die Herdplatte oder einen Schwung Tupper im Ofen zwischen lagern und dann einschalten um im Anschluss ein Nickerchen auf der Terasse zu machen und sich über den Qualm in der Bude wundern. Sensoren im Netz hätten mich dann immerhin informiert und ich hätte dann über die Kameras bei meinem Papa nachsehen können und ggf. gleich die Feuerwehr rufen. Die Herdplatte hätte sich vielleicht ohne Netz einfach selbst deaktiviert. Dafür kann ich im Urlaub aber doch nochmal prüfen ob ich auch wirklich alle Fenster und Türen verschlossen hab.

Ich glaube da hat sich einfach ein Ami ein markttypisches, unfertiges, nicht gut durchdachtes Produkt gekauft. Das findet man bei "sicherheitsunkritischen" Produkten wie Autos öfter mal (z. B. aktuell Tesla).

Und dann braucht man für die Überwachungsautomatik eine Überwachungsüberautomatik, die wiederum eine Aufsicht durch einen übergeordneten Schwarm an -jetzt abba wirklich- richtig überwacht wird, was natürlich eine Kontrolle der Überwachungsergebnisse durch höhergeordnete Schwarmüberwachung nötig macht. ad lib.

Wer einfach technikgläubig alles einsetzt, hat den Schuß nicht gehört.
Ich finde solche Leute gehören in Flugzeuge, bei denen der Zentralcomputer findet, dass die Außentemperatur nicht zur Fluglage passt.

Technik, die mehr Schaden anrichten kann, als sie nutzen kann, ist absoluter Schwachsinn.
So ein Dingens soll den Verbrauch optimieren und hoffentlich senken. Es hat ihn erhöht.
Durch kein technikhöriges Geseier zu rechtfertigen.

Wenn du so denkst hast du den falschen Job und lebst in der falschen Zeit. Schieb den Drehstuhl zurück, entferne dich von deiner TECHNIK, nimm einen Stein und einen Holzspeer in die Hand und geh dein Mittagessen jagen.

Unachtsamer Umgang mit Technik schadet fast immer. Wenn ich meinen Fernseher nicht ausschalte schadet das auch meinem Geldbeutel. Und ja ich sitze lieber in einem Flugzeug, das alles deaktiviert und im "Notbetrieb" sicher landet bevor wegen einer defekten Klimaanlage der Vogel runterfällt. Technik ist ein Unterstützer und nichts was die Kontrolle übernehmen soll. Die Stichwörter sind bedacht, durchdacht und ausgereift. Die Wörter kannst du gerne in einer auf Stein gemeisselten Enzyklopädie nachschlagen.
Der Computer ist nur so dumm wie der der ihn bedient oder programmiert hat.
Da frag ich mich glatt wer dir das Internet eingerichtet hat.

Ne da hat er schon recht, so eine Technik ist einfach mal für den Arsch, genauso für den Arsch wie denken: "ich hab ja eine Firewall, mir kann nichts passieren"; es ändert nichts daran, IOT ist Arsch und bleibt Arsch - genau wie systemd (wirklich das ist also "new age", das ich nicht lache, in den 70ern, da wurden noch Programme mit Zukunft und _SORGFALT_ entwickelt, aber heute - scnr ;))

Vielleicht bin ich da bei ihm etwas sensibel aber seine Meinung verkünden oder dieser seine herablassende Note hinzufügen sind zwei verschiedene paar Schuhe. In dem Sinn wird er nie Recht haben [emoji12]
Ich finde IoT nicht fürn Arsch. Die Sorgfalt mag wohl mal besser gewesen sein, aber sie steckt dann eben in Produkten, die schon länger am Markt sind. Das kann auch mal zehn Jahre bedeuten. Das Motto "früher war alles besser" kann ich so nicht vertreten. Wir jammern hier viel zu viel über Dinge, die uns das Leben erleichtern , den zu schnellen Fortschritt und abseits von IoT über unseren Wohlstand usw. Ohne diesen Fortschritt könnte ich jetzt nicht entscheiden ob ich Putenkeule oder Rindersteak auf dem Teller will, sondern müsste in ner Höhle meine Hirse mahlen. Ich begrüße Veränderung und Fortschritt erstmal in jeder Hinsicht. Auch wenn ich sie selbst dann nicht benötige oder nutze. Wenn diese von jemandem nicht genutzt werden will akzeptiere ich das. Stell ihn aber nicht als unwissenden hin, der das nicht bedienen kann, da eh nicht benötigt, weil ich es nicht benötige.
Wie schon gesagt bedacht, durchdacht und ausgereift sind drei gute Schlagworte, die berücksichtigt werden sollten. Dann klappts auch mit der Technik [emoji41]

Anzumerken wäre aber noch, dass Sicherheit früher noch weniger bedacht wurde als heute. Damals wurden nur die knappen Ressourcen bedacht.