IT-Sicherheit im Privatleben: Bitte um Unterstützung

[rmgLazyBone]

Hallo Luxxer,

vor ein paar Wochen habe ich, basierend auf einer Wette, begonnen, mich mit dem gesamten Thema Cyber-Security enger auseinander zu setzen.
Für die Wette sollte ich meine Wettpartnerin - mit ihrer Erlaubnis - hacken. Innerhalb weniger Stunden Online-Recherche hatte ich das notwendige Wissen zusammen, um Ihren gesamten Netzwerkverkehr mitzulesen - zugegebenermaßen auch, weil ihre Geräte in meinem WLAN hingen und ich dementsprechend den WLAN-Key kannte.
Trotz der etwas vereinfachten Situation hat mich das ins Grübeln gebracht, wie schnell man dank frei zugänglicher Tools auch verschlüsselte Verbindungen auslesen kann.
Ganz davon zu schweigen natürlich, wie es in Netzen der Bahn, am Flughafen o.Ä. aussieht.

Ich habe dementsprechend entschlossen, meine IT-Infrastruktur zu härten und bitte dafür um eure Mithilfe. Denn wie gesagt habe ich mich bisher nur ein paar Stunden wirklich eng mit dem Thema auseinander gesetzt. Ein Grundverständnis für IT, Protokolle und Sicherheit bringe ich aber mit.

Grundsätzlich plane ich aktuell, eine pfSense Firewall (Wahrscheinlich eine dedizierte Low Power Kiste auf Basis einer APU2, 3 Ports) zu installieren.
Die FritzBox wird auf der Internetseite hängen, das angebotene WLAN wird als Gast-WLAN behandelt und gibt nur Zugriff auf das Internet.
Ein zusätzlicher Access-Point wird internes WLAN anbieten und mit einem MAC-Filter ausgestattet.
Alle mobilen Geräte bekommen ein OpenVPN-Verbindung zur pfSense-FW, um jede externe Verbindung über meinen Heimanschluss zu leiten und im externen Netz eine Verschlüsselungsschicht zu implementieren.
Alle Browser werden umgestellt, um keine Cookies, Passwörter etc. zu speichern. Stattdessen werden alle Passwörter mit KeePass gespeichert. Alle Passwörter werden zufällig generiert und mit Ablaufdaten versehen (vrsl. alle 180 Tage)
Feste Geräte (AV-Receiver, Fernseher, Rechner...) sind bereits oder werden auf kabelgebundenes Netz umgestellt.

Nun meine Fragen:
Wie bewertet ihr diese Maßnahmen? Ausreichend, noch offensichtliche Schwachstellen, unnötig und gleiche Sicherheit einfacher zu erreichen?

Ist es möglich/sinnvoll, das VPN auch im eigenen WLAN einzusetzen? Dadurch dürfte ja selbst ein Angreifer, der das WLAN-Passwort geknackt hat, den Traffix nicht mitlesen können.

Ich bin mir noch unsicher, wie ich ohne im Chrome gespeicherten Passwörtern einigermaßen komfortabel unterwegs arbeiten kann. Ich sehe 2 Varianten: 1. eine Passwort-Safe-App auf dem Smartphone, welches ich aber grundsätzlich als unsicheres Gerät ansehe. Hier kann ich kein langes Passwort eingeben, insofern wird die Sicherheit der Passwort-DB kompromittiert. 2. Einen USB-Stick mit einer Kopie der Passwort-DB und einer mobilen Version des Passwortmanagers. Hier sehe ich die Gefahr, den USB-Stick zu verlieren. Außerdem benötige ich dann immer einen Desktop-Rechner, um auf meine Passwörter zuzugreifen. Habt ihr hier Best-Practices? Ich hatte schon überlegt, ein kleines embedded-Device zu bauen, auf dem die Passwörter verschlüsselt liegen und mit einem Fingerprint-Sensor abgerufen (auf einem kleinen Display angezeigt) werden können. Die Wahrscheinlichkeit, dass ich eine Schwachstelle einbaue, ist aber natürlich recht hoch.

Ebenfalls noch unsicher bin ich mir, wo mein NAS hin soll. Es enthält größtenteils Filme, Fotos, Musik etc. für den Heimgebrauch. Damit würde ich es ins interne Netz hängen. Der darauf laufende Windows-Server wird allerdings teilweise auch für Software-Entwicklung benötigt, den würde ich eher in die DMZ (dritter Port der pfSense-FW) hängen. Auch für Datenaustausch-Shares mit Gast-Geräten wäre das sinnvoller. 2 Getrennte NAS möchte ich aber aus Kostengründen (Hardware und Strom) ungern aufbauen. Bietet Windows-Server eventuell Techniken, um Zugriffsrechte Netzabhängig zu gewähren? Ich würde dann 2 NICs ins NAS hängen, eins im internen Netz und eins in der DMZ. Bin mir aber unsicher, ob das noch Sicher wäre oder dadurch nicht eine Umgehung der pfSense-FW ermöglichen würde.

Ich freue mich schon auf eure Antworten und vielen Dank im Voraus!
LG
RMG

 

[DragonTear]

Stell dir doch bitte erstmal die Frage - vor was willst du deine "IT-Infrastruktur" denn härten?
Was für Angriffe erwartest du?

Btw. aus deinem "Hack" etwas abzuleiten ist ein wenig Käse. Selbstverständlich steht und fällt die Sicherheit mit einem Passwort. Wenn man dieses hat, ist die Sache klar...
Des weiteren hättest du damit höchstens spionieren oder unwichtige Seiten manipulieren können - jegliche relevanten Daten und Seiten ala Banking und auch Social Media läuft heute über https. Aus solchen Verbindungen kann auch Wireshark nichts vom Inhalt rauslesen (auch in gänzlich unverschlüsselten Netzwerken nicht).

Durchschnittliche Haushaltsnetzwerke sind sicherlich für sehr Versierte, gezielt angreifbar, aber darum die erwähnte Frage - rechnest du damit dass jemand das bei dir versucht?
Denn gegen übliche Drive-By Bedrohungen muss man keine zusätzlichen Maßnahmen ergreifen, außer das System aktuell zu halten. Ein Antivir ist einigermaßen sinnvoll aber manche argumentieren stichhaltig dass man mit aktuellen Windows Versionen das auch nicht mehr braucht oder gar unter Umständen mehr schaden als nutzen.
Auf jeden Fall kommen abermillionen Menschen ohne zusätzliche "Härtung" aus
Also befasse dich damit nur wenn es dir wirklich Spaß macht (kann ich mir nur sehr bedingt vorstellen). Die Gefahr ist auch gegeben dass du selbst mehr neue Lücken reinmeißelst, wenn du die standardisierten Wände neu aufziehst ohne wirklich sehr exakt zu wissen was du tust.

 

[rmgLazyBone]

Hi,

grundsätzlich habe ich keine spezifische Bedrohungslage, nein.
Aber klar, mich mit meiner Infrastruktur auseinanderzusetzen macht mir Spaß, das hat einen großen Einfluss.

Und https-Seiten lassen sich nach einem Eindringen in das WLAN durchaus dank SSLstrip mitlesen, auch HSTS (welches Chrome und Firefox dagegen einsetzen) ist über DNS-Angriffe zu umgehen.

Ich sehe hauptsächlich 3 Angriffsvektoren, gegen die ich mich schützen möchte (priorisiert):
1) mitsniffen in Acces Points wie Bahn, Flughafen, etc. (sieh auch ARPspoof, sslstrip etc)
2) physischer Zugriff auf meine Geräte (Notebooks, Handy) unterwegs, um meine Daten, insbesondere im Browser gespeicherten Daten (Passwörter etc) zu bekommen
3) Einbrechen in mein WLAN, durch Auswertung von ausreichenden Traffic-Mengen oder Schwachstellen im Access-Point, oder weil der Key auf dutzenden Geräten von Freunden liegt und "on the fly" mitgenommen wird.

Gegen 1) soll mich openVPN schützen. Gegen 2) das Umstellen auf Passwort-Safes. Hier wäre sicherlich auch eine Festplatten-Verschlüsselung sinnvoll, wenn ich so drüber nachdenke.
Gegen 3) soll mich der MAC-Filter im internen WLAN mit Trennung vom Gäste-WLAN schützen.

Und ja, ich kenne die Standard-Antworten:
1) Nutze solche Zugriffspunkte nicht. -->Da ich aber viel reise, benötige ich immer wieder mal unterwegs Zugriff. Und ein VPN ist nach meinem Verständnis eine einfache und preiswerte Lösung.
2) Lasse deine Geräte nicht unbeaufsichtigt. -->Irgendwann muss ich aber auch mal auf Toilette, auch unterwegs. Taschen werden manchmal auch gestohlen. Handy- und Tablet-PINs kann man unverschämt einfach durch Fettschmierer oder einfach zusehen/aufnehmen bei der Eingabe rausfinden

Gerade der tatsächliche Einbruch in ein WPA2-WLAN mit vernünftigem Passwort ist natürlich nicht unbedingt wahrscheinlich. Aber mein Switch ist eh manageable, einen AP habe ich noch rumliegen und für das VPN ist eh ne Firewall geplant - dann ist es wahrlich nicht mehr weit bis zur sauberen Trennung der Netze.

Ich habe auch immer mal wieder mit einem JIRA oder Bitbucket geliebäugelt. Weil ich da dann aber auch von extern drauf zugreifen will und mir das immer zu unsicher war, habe ich darauf immer verzichtet. Würde ich mein Windows Server aber in eine DMZ trennen, könnte ich das darauf ja laufen lassen.
Und bevor jemand fragt: Den Windows Server habe ich als Student über Dreamspark umsonst bekommen, mir ist bewusst, dass der für ein NAS Overkill ist

Ich hoffe, meine Intention ist etwas klarer geworden. Die Absicherung meiner IT unterwegs ist mein Hauptaugenmerk. Das WLAN zuhause hätte ich eher "on the fly" mitgemacht.

Grüße
RMG

 

[FLiNTx]

Nur drei schnelle Anmerkungen:

zu 1) Wenn du viel in offenen/fremden WLANs unterwegs bist, kann ein VPN Tunnel helfen (Saubere Umsetzung vorausgesetzt) - ich kenne tatsächlich einige Leute, die das ähnlich machen.

zu 2) Ein bisschen die Kirche im Dorf lassen vereinfacht das Passwort Handling ungemein. Du brauchst nicht für jedes dödelige Portal ein 32 Zeichen Passwort mit Sonderzeichen. Eine kleine Eselsbrücke für Dienstabhängige Passwörter und gut - Inspiration liefert google. Die Passwörter kann auch ein Browser gerne wissen...
Dann brauchst du auch nicht ständig den Container, in dem du die Passwöter für die sensibleren Sachen rumträgst. Der Container kann dann prima auf einem verschlüsselten Stick am Schlüsselbund aufbewahrt werden. Den lässt man ja eher selten aus den Augen. Und nicht vergessen irgendwo eine Kopie zu bunkern!
Ganz kritische Sachen hab ich mir angewöhnt nur im Kopf zu haben - ist nach jeder Änderung wieder ein Krampf, aber es geht - das sind zumindest für mich nicht mehr all zu viele Dienste/Systeme.

zu 3) Spar dir den MAC Filter - das macht dich bloss Wahnsinning, wenn du neue Geräte hinzufügst, bringt dir aber fast keine zusätzliche Sicherheit.

 

[black-avenger]

Feste Geräte (AV-Receiver, Fernseher, Rechner...) sind bereits oder werden auf kabelgebundenes Netz umgestellt.

Aber das WLAN bleibt trotzdem an? Wo ist denn da der gröbere Sinn.

3) Einbrechen in mein WLAN, durch Auswertung von ausreichenden Traffic-Mengen oder Schwachstellen im Access-Point, oder weil der Key auf dutzenden Geräten von Freunden liegt und "on the fly" mitgenommen wird.

Hier ein klares "selbst schuld", wenn man Leute ins eigene WLAN lässt und danach Angst hat, dass die was dummes tun können. Für sowas gibts vom Hauptnetz getrennte Gastnetze in jeder dümmlichen Fritzbox. Dagegen hilft aber eine schlichte Änderung des Passworts und das Aufsetzen eines getrennten Gäste WLAN. Oder man scheißt einfach gepflegt drauf (wie ich) und lässt die Leute wenn sie schon zu Besuch sind ihr Datenvolumen nutzen. Animiert in der heutigen Zeit vllt. dazu, mal das Ding aus der Hand zu legen.

Grüße
Thomas

 

[dirk11]

Gegen 3) soll mich der MAC-Filter im internen WLAN mit Trennung vom Gäste-WLAN schützen.

Und ja, ich kenne die Standard-Antworten:

Du kennst Standard-Antwort #3 nicht: Eine MAC lässt sich problemlos "kopieren". Ein MAC-Filter ist nutzlos.

 

[VoooDooo]

die Trennung zwischen Gast-WLAN und internem Netz macht eine aktuelle Fritz!Box für den Heimgebrauch imo schon ausreichend gut, da muss man keine extra Firewall einsetzten.
Passwortmanager ist eine gute Idee, aber wie schon gesagt, es muss nicht für jede Seite ein megakompliziertes Passwort sein. Für mobile Geräte gibts auch PW-Manager (darauf achten das die DB nicht in der Cloud liegt) und für den Browser Plugins damit man die PWs nicht abtippen oder Copy&Paste machen muss.
Festplattenverschlüsselung und VPN wenn man aus unsicheren externen Netzen aus surft halte ich auch für sinnvoll. VPN kann aber auch schon die Fritz!Box, extra Firewall kann man sich hier auch sparen.

MAC-Filter bringt nix.

 

[fdsonne]

Des weiteren hättest du damit höchstens spionieren oder unwichtige Seiten manipulieren können - jegliche relevanten Daten und Seiten ala Banking und auch Social Media läuft heute über https. Aus solchen Verbindungen kann auch Wireshark nichts vom Inhalt rauslesen (auch in gänzlich unverschlüsselten Netzwerken nicht).

Klar kann das Wireshark... Sogar nativ OotB
Das einzige was du brauchst ist der Key -> der wird eingespielt und schon kannst du wunderhübsch mitsniffern, was da Phase ist.
Tools wie SSLstrip respektive Forks oder Ableitungen davon bedienen sich ggf. auch einfach anderen, angelehnten Methoden um bspw. den Client selbst auf HTTP only zu zwingen, rückwärts zum Server aber SSL zu sprechen. HSTS Listen werden "einfach" durch ändern der URL umgangen. Oder über Zeitmanipulation am Client über manipuliertes (unverschlüsseltes) NTP.
Auch interessant ist einfach das Ausnutzen der Unwissenheit der Anwender... Ein CA-Cert dem Client Browser untergeschoben, mit dem Hinweis, kannst du vertrauen weil ist von mir, und schon sniffert dir der SSL Proxy den Spaß in Echtzeit durch... Und du ließt einfach mit.

Zu #3, keine Ahnung ob ich gerade auf dem Schlauch stehe, aber im WLAN ist das Unterbinden perse durch das shared Medium erstmal schwierig(er). Bei der Strippe hingegen wären private VLANs möglich. Das ganze gepaart mit am Besten fixen ARP Einträgen auf der Client Seite für das Gateway. Zusätzlich könnte man ein Stückchen Sicherheit mit einer Authentication am Gateway herstellen, bspw. nen Proxy mit Auth. der nur Access zulässt, wenn die Anmeldung erfolgreich ist. Generell bietet sich natürlich 2FA bei sowas auch an um die Sicherheit weiter zu steigern.
Gegen Manipulation beim DHCP/DNS kann/sollte man ebenso vorgehen.
Ansonsten, WLAN MAC Filter ist bestenfalls nice to have, bringt aber halt nix. Wer "mehr" will, setzt auf Zertifikate anstatt PSK.
Da wie aber gesagt, WLAN so oder so ein Thema für sich ist, wegen des shared Mediums, ggf. ist es halt einfach sinniger das WLAN selbst anders zu händeln... Und die WLAN Verschlüsslung ist auch nicht unknackbar. Siehe KRACK jüngst erst vor ein paar Wochen. Im Moment ist WLAN je nach Device so oder so einfach "offen", weil sehr sehr viele Geräte nichtmal nen Patch für diese Lücke erhalten haben/werden und man sich da einfach nicht vor schützen KANN, wenn der Angreifer in der Lage ist, durch ne Lücke am Client mitzulesen.
Auch sehr Geil bei sowas ist dann Win10 mit seinem Drang, die WLAN Settings zu "teilen"

Ich würde definitiv zusehen, WLAN vom LAN zu trennen und irgendwie ein Gateway zwischen zu klemmen. Sinnvollerweise was, was den Traffic auch untersuchen kann und entsprechend reagiert oder wenigstens alarmiert bei komischen Verhalten. Bspw. wenn der WLAN Client auf einmal in Größenordnung SMB Traffic zum Fileserver erzeugt liegt perse erstmal die Vermutung nahe, da ist ein Verschlüsslungstrojaner am Werk. Die Trennung von WLAN und LAN hat auch perse den Vorteil, dass so ohne weiteres erstmal nicht mehr möglich ist ein WLAN Device so zu konfigurieren, dass (potentiell) der ganze LAN Traffic auch davon einsehbar ist. Um so weniger brisante Daten man dann noch über WLAN sendet, desto weniger "gefährlich" ist der Spaß dann...

 

[jinz9]

ich hab jetzt nicht alles gelesen, aber so wie ich das sehe hast du mit cain&abel oder ähnlichem den netzwerkverkehr auslesen können, weil du im besitz des WPA2-schlüssels bist. eine verschlüsselte verbindung mitzulesen, während man im besitz des verschlüsslungskeys ist, ist in dem sinne kein hacken.

grundsätzlich würde ich zu VPN raten, mich von öffentlichen hotspots etc. fernhalten und insbesondere sensible vorgänge (online-banking, home-office etc.) nur per LAN-Kabel tätigen. solange du irgendwas durch die gegend funkst, ist es auch (theoretisch) auslesbar. beim kabel muss schon jemand einen dongle oder dergleichen anklemmen.

 

[rmgLazyBone]

Vorneweg erstmal danke für die zahlreichen Antworten.
Grundsätzlich lese ich einen Konsens raus, dass ein VPN für unterwegs sinnvoll ist. Dass meine FritzBox das grundsätzlich beherrscht, hatte ich schonmal gelesen.
Ich vermerke also: VPN ja.
Die Trennung zwischen Gast- und internem WLAN wird auch grundsätzlich als sinnvoll betrachtet, auch das kann meine FritzBox, klar.
Hier hätte ich eher für die zusätzliche Absicherung des internen WLANs auf ein getrenntes Gerät gesetzt.
Zu eben dieser Sicherung des WLANs konnte ich aber keine einheitliche Meinung herauslesen.
Ok, ein MAC-Filter ist unsicher, weil die Adressen auch änderbar sind, klar. Was stellt denn aus eurer Sicht einen sinnvollen Schutz da?
Ich habe jetzt Zertifikate herausgelesen, ok. Damit würde ich mich mal auseinander setzen.
Eventuell noch weitere Hinweise? Ja, ich google nebenbei auch, ich frage eher nach "Erfahrungen" als nach "Lehrbuchwissen". Nur, bevor hier jemand ein gidf postet
2FA wäre grundsätzlich ein spannendes Thema, aber für mich eher für das VPN von außen. Jedes Mal mich manuell ins WLAN mit 2. Faktor zu verbinden ist mir viel zu umständlich. Und zu umständliche Sicherheitslösungen werden erfahrungsgemäß früher oder später abgeschaltet...

Passwort-Safe werde ich umsetzen, wahrscheinlich in der Tat mit einem mini-USB-Stick am Schlüsselbund. Der bekommt dann 2 Partitionen: Eine verschlüsselte mit dem Safe+Manager (z.B. Passkee) und eine unverschlüsselte mit dem Verschlüsselungsprogramm (z.B. Truecrypt). Sollte denke ich eine gute Sicherheit bieten. Diesbezüglich bleibt mir nur noch die Frage, wie sicher die Passwörter in Chromes mobiler Variante sind. Dazu werde ich mich mal auch noch ein Bisschen belesen.

Bisher habe ich noch nichts zum NAS gefunden, wie ich das intelligent platziere. Ich hatte überlegt, eventuell das NAS komplett intern zu lassen und das Fritz-NAS meiner FritzBox mal anzuschmeißen mit einer Austausch-Partition. Da können dann spontan Gäste was für mich drauflegen bzw. ich was für Gäste. Die Performance ist wohl nach meinem letzten Stand suboptimal, aber ich erwarte auch keinen großen Traffic. Würde natürlich die Möglichkeiten, von außen zuzugreifen (JIRA etc) zunichte machen, außer ich lege mir ein VPN bis ins private Netz. Davon würde ich aber lieber absehen...

LG
RMG

 

[black-avenger]

Hier hätte ich eher für die zusätzliche Absicherung des internen WLANs auf ein getrenntes Gerät gesetzt.

Was für eine zusätzliche Absicherung versprichst du dir davon? Das Gastnetz liegt in einer anderen IP-Range als das Hauptnetz, zwischen den beiden wird nicht geroutet. Ich persönlich sehe da im Heimgebrauch keinerlei Probleme. Wenn man jetzt 'n zusätzlichen AP an einen VLAN fähigen Switch hängt bringt das nix außer zusätzlicher Kosten und mehr Verwaltungsaufwand.

 

[rmgLazyBone]

Was für eine zusätzliche Absicherung versprichst du dir davon? Das Gastnetz liegt in einer anderen IP-Range als das Hauptnetz, zwischen den beiden wird nicht geroutet. Ich persönlich sehe da im Heimgebrauch keinerlei Probleme. Wenn man jetzt 'n zusätzlichen AP an einen VLAN fähigen Switch hängt bringt das nix außer zusätzlicher Kosten und mehr Verwaltungsaufwand.

Da habe ich mich wohl etwas unverständlich ausgedrückt.
Die Idee war, dass das interne WLAN nicht nur grundsätzlich getrennt ist vom Gäste-WLAN, sondern mit zusätzlichen Sicherheitsmaßnahmen geschützt - z.B. indem Zertifikate genutzt werden, eine Intrusion Detection implementiert wird (siehe pfSense/opnSense) etc. Diese Absicherung ist natürlich noch nicht geklärt, auch, ob die überhaupt gebraucht wird.
Wenn ich sowas aber implementiere, würde das wahrscheinlich über die Fähigkeiten meiner FritzBox hinausgehen - daher dann ein 2. Gerät. Spätestens wenn ich wirklich eine DMZ aufsetze, würde eine Trennung notwendig, denke ich.
Bisher habe ich aber den Eindruck bekommen, dass eine physische Trennung, eine DMZ o.Ä. einzig Spielerei wären und keinen oder nur geringen Mehrwert bzgl der Sicherheit bieten (vor dem Hintergrund meiner Bedrohungslage zumindest).

LG
RMG

- - - Updated - - -

Hier ein klares "selbst schuld", wenn man Leute ins eigene WLAN lässt und danach Angst hat, dass die was dummes tun können. Für sowas gibts vom Hauptnetz getrennte Gastnetze in jeder dümmlichen Fritzbox. Dagegen hilft aber eine schlichte Änderung des Passworts und das Aufsetzen eines getrennten Gäste WLAN. Oder man scheißt einfach gepflegt drauf (wie ich) und lässt die Leute wenn sie schon zu Besuch sind ihr Datenvolumen nutzen. Animiert in der heutigen Zeit vllt. dazu, mal das Ding aus der Hand zu legen.

Grüße
Thomas

Ich habe weniger Angst, dass meine Gäste in meinem Netz Mist bauen. Es ging mir eher darum, dass ja deren Geräte meinen Key kennen. Wenn die mal "verloren gehen"...
Und klar, das aufsetzen des Gäste-WLANs ist ja hier in Planung.
Ein Zugang ist aber notwendig, eben wenn ich mal Dateien austauschen möchte, auf gemeinsame Dienste zugreifen möchte (z.B. eine DB auf meinem NAS, oder Musikwiedergabe über meinen Receiver...).

LG
RMG

 

[black-avenger]

Ich habe weniger Angst, dass meine Gäste in meinem Netz Mist bauen. Es ging mir eher darum, dass ja deren Geräte meinen Key kennen. Wenn die mal "verloren gehen"...
Und klar, das aufsetzen des Gäste-WLANs ist ja hier in Planung.

Nimm mir das nicht übel, aber das ist so herb an den Haaren herbei gezogen, das muss man sich auf der Zunge zergehen lassen. Also, es muss zunächst jemand eines Gerätes habhaft werden, das den Zugang zu deinem WLAN hat. Also muss derjenige mal konkret beschatten wer bei dir im Hause so ein und aus geht und dann auch noch bei dem einbrechen und das Gerät klauen. Mit diesem Gerät muss er dann wieder zurück zu dir in Reichweite deines WLAN Netzes und dann noch in deinem Netzwerk umherkaspern.
Warum konkret beschatten? Die Einbrechergang, die stumpf ziellos einbricht und Wertsachen klaut, hat Interesse am Gegenstand des Smartphones oder Laptops, aber nicht an irgendwelchem Homunkulus darauf, schon gar nicht an irgendwelchen gespeicherten WLAN Passwörtern. Da wird geklaut was sich halbwegs gewinnbringend weiter verkaufen lässt und Ende.

Willst du meine ganz ehrliche, praxisnahe Meinung hören? Wenn du die Zugangs- und Startcodes für ICBMs der vereinigten Staaten von Amerika sowie Russland in einer txt irgendwo tief in deinem Netzwerk liegen hast, in einem dreifach geschachtelt verschlüsselten Truecrypt / Veracrypt Container, und es weiß davon jemand, wird der sich oben genannte Mühe nicht machen. Da voll fett cybermäßig einzusteigen und den Dreifachschachtelcontainer zu überwinden wird er zugegeben auch in 5 Menschenlebenszeiten nicht packen. Deshalb wird ganz non-digital in dein Haus marschieren und dir so lange mit einer 5 Euro teuren Metallbrechstange die Scheiße aus dem Leib prügeln, bis du ihm freiwillig gibst was er will.
Dasselbe Spiel mit Tresoren, wenn das restliche Konzept drumrum nicht stimmt. Man gibt sich der Illusion hin, dass der 800kg schwere mit der Wand verbolzte Tresor mit doppelter Zugangssicherung die 20kg Goldbarren die man von der Schwippschwägerin omalicherseits geerbt hat ausreichend schützt, während man weiterhin dem Postboten einfach so die Tür öffnet und das Paket entgegen nimmt. Der Schutz besteht, wenn man nicht daheim ist und ein Trupp da rein marschiert, der dann "zufällig" auf den Tresor trifft. Die geben auf, ziehen weiter. Ein Zurückkommen jedoch nicht ausgeschlossen. Wer allerdings Wind davon kriegt, dass da 20kg Gold zu holen sind, wird auch hier wieder mit der 5 Euro Brechstange kommen und den Besitzer des unknackbaren Tresors so lange windelweich klopfen, bis dieser freiwillig den versteckten Schlüssel holt und noch den 25-stelligen Zahlencode eingibt.

In beiden Fällen bietet sich übrigens eine vollständige Außenhautsicherung mit tief verankerten Panzerglasfenstern + Sicherheitsschleuse nach den Zugängen (Haustüren) an. Balkon- & Terrassentüren sowie kippbare Fenster sollte das Haus nicht haben, oder wenn kippbare Fenster, dann frühestens ab dem 3. Stock. Das Haus verlassen sollte man übrigens am besten auch nicht mehr, denn der mit der Brechstange wird dann nicht warten, bis man drin ist und die Hochsicherheitsspezialtüre ins Schloss fällt, sondern davor schon jemanden abgreifen, der das ganze öffnen kann.

Ganz generell find ich den Thread von Beginn an auch reichlich merkwürdig. Aus einer "Wette" heraus eine Freundin im eigenen WLAN "gehackt" und nun wird direkt nach einer Fort-Knox ähnlichen Lösung gesucht. Entweder stinkt die ganze Geschichte drumrum zum Himmel und hier gehts in Wahrheit um was ganz anderes, oder es ist die ganz klassische Überkompensation nach dem Erlebnis eines Unwissenden. Letzteres glaube ich jedoch aufgrund dessen was im Eingangstext steht eher nicht.

Nix für ungut.

Beste Grüße
Thomas

 

[rmgLazyBone]

Hi Thomas,

ich verstehe nicht ganz, warum du so extrem auf Kontra gehst.
Von Anfang an habe ich aus meiner Sicht offen gelegt, dass ich eben keine Fort-Knox-Lösung suche:

Bisher habe ich aber den Eindruck bekommen, dass eine physische Trennung, eine DMZ o.Ä. einzig Spielerei wären und keinen oder nur geringen Mehrwert bzgl der Sicherheit bieten (vor dem Hintergrund meiner Bedrohungslage zumindest).

Das Ganze hier hatte ich mir auch als Diskussion vorgestellt, was möglich, was sinnvoll und was nötig ist. Aber nun gut.

Die Aussage mit der Wette wurde mir schon im letzten Thread nicht geglaubt, aber so ist das mit der Wahrheit manchmal.

Mir geht es aktuell hauptsächlich darum, wie ich mein internes WLAN absichere. Meinem aktuellen Recherche-Stand nach ist WPA2 ja ein relativ sicheres Verfahren - aktuelle Firmware auf allen Geräten vorausgesetzt.
Selbst KRACK scheint in den meisten Fällen kein Eindringen in das Netz zu ermöglichen (nach meinem Verständnis).
Dementsprechend scheint der Schlüssel zum Erfolg hier einzig ein sicherer Schlüssel zu sein (no pun intended). Als sicher werden anscheinend Passwörter mit ca. 80bit Entropie angesehen (solange keine Wörterbuch-Attacken möglich sind bzw. trivial-Passwörter verwendet werden).
Zertifikate scheinen mir ein maximales, aber unnötiges Sicherheitslevel zu bieten - jedes Gerät hat einen eigenen Schlüssel mit, sagen wir mal, 2048 bit, das alle 365 Tage abläuft (ein Zertifikat zu erstellen und aufs Gerät zu ziehen ist ja glücklicherweise kein Hexenwerk). Natürlich benötigte ich dafür auch einen RADIUS-Server (kann auf meinen Windows Server) und einen neuen Access-Point (also kosten ~50€).

Weiterhin habe ich bzgl. der Sicherheit von Chromes Passwort-Safe recherchiert (vor Allem auch mobil) und habe erfahren, dass das in der Tat recht unsicher ist.

Zusammengefasst bin ich auf folgendem Stand:
- Password-Safe verwenden, Chrome nur mit einmal-Passwörtern für unkritische Websites
- Gäste-WLAN vom internen Netz trennen
- VPN für unterwegs aufsetzen
- dedizierte Hardware (FW etc) nur bei DMZ sinnvoll

LG
RMG

 

[fdsonne]

Nimm mir das nicht übel, aber das ist so herb an den Haaren herbei gezogen, das muss man sich auf der Zunge zergehen lassen.

Naja, spätestens wenn jemand mit nem Win10 Gerät sich in das WLAN einklingt und den WLAN Sync in die MS Clound NICHT abgeschalten hast -> wird der PSK in der Welt verteilt...
Die Frage ist halt, ob da irgendwer seitens MS oder wem auch immer damit was anfangen will/kann/muss/soll... -> hier spielt dann die Größe des Aluhuts ne Rolle.

Selbst KRACK scheint in den meisten Fällen kein Eindringen in das Netz zu ermöglichen (nach meinem Verständnis).

Nein, nicht direkt, aber es kann der Traffic des Gerätes mitgelesen werden... Was fast aufs gleiche hinaus kommt.

Zertifikate scheinen mir ein maximales, aber unnötiges Sicherheitslevel zu bieten - jedes Gerät hat einen eigenen Schlüssel mit, sagen wir mal, 2048 bit, das alle 365 Tage abläuft (ein Zertifikat zu erstellen und aufs Gerät zu ziehen ist ja glücklicherweise kein Hexenwerk). Natürlich benötigte ich dafür auch einen RADIUS-Server (kann auf meinen Windows Server) und einen neuen Access-Point (also kosten ~50€).

Ich glaub du gehst da von der falschen Seite ran. Der Vorteil der Zertifikatsbasierten Lösung ist eben, dass du niemandem irgendwas geben musst, was dieser potentiel weiter geben kann.
Wenn das Zertifikat entwendet wird -> wirst du es einfach für ungültig erklären und fertig. Dann ist es effektiv wertlos und darüber kann keiner mehr einsteigen.
Im Grunde kommt das Ändern des PSKs aufs gleiche raus -> nur dass du eben dort all die Geräte neu registrieren musst und den Key entsprechend neu verteilen musst. Auch Dritten ggü. die da in deinem WLAN agieren sollen...

Ob man das braucht, ist natürlich ne andere Frage

 

[rmgLazyBone]

Ich glaub du gehst da von der falschen Seite ran. Der Vorteil der Zertifikatsbasierten Lösung ist eben, dass du niemandem irgendwas geben musst, was dieser potentiel weiter geben kann.
Wenn das Zertifikat entwendet wird -> wirst du es einfach für ungültig erklären und fertig. Dann ist es effektiv wertlos und darüber kann keiner mehr einsteigen.
Im Grunde kommt das Ändern des PSKs aufs gleiche raus -> nur dass du eben dort all die Geräte neu registrieren musst und den Key entsprechend neu verteilen musst. Auch Dritten ggü. die da in deinem WLAN agieren sollen...

Ob man das braucht, ist natürlich ne andere Frage

Dabei gehst du natürlich davon aus, dass ich mitbekomme, wenn ein Zertifikat "entwendet" wird. Wenn das ganze Gerät gestohlen wird, klar. Wenn jemand ein Gerät hackt und nur die Passwörter (+ Zertifikate) ausliest, kriege ich das natürlich nicht mit. Und ja, das ist natürlich ein höchst unwahrscheinlicher, sehr spezifischer Fall

Wenn ich aber davon ausgehe, dass nur sehr selten fremde Geräte Zugriff auf mein internes Netz bekommen, die dann auch immer nur für begrenzte Zeit (also nur für z.B. ein Wochenende Pair Programming) und keine weiteren Berechtigungen (z.B. DB-User) am Zertifikat hängen, kann ich den Gastgeräten im internen Netz natürlich zeitlich extrem beschränkte Zertifikate (z.B. 3 oder 7 Tage) ausstellen. Der durchschnittliche Gast bekommt natürlich kein Zertifikat, sondern nur Zugriff auf mein Gast-WLAN.

Das Ganze würde ich denke ich so aufziehen, wenn ich eine dedizierte Firewall-Appliance installiere, was ich erst machen werde, wenn ich eine DMZ errichte. Entweder wird die Firewall dann auf einer ESX-VM laufen, ebenso wie mein NAS und die verschiedenen Server (Aufteilung der Netzte dan per vNIC und mehreren physischen NICs), oder ich gönne mir tatsächlich eine eigene Box (z.B. APU2-basiert) dafür. Mal schauen, wie ich lustig bin, wenn ich das mache.

Danke für euren Input. Es ist doch immer wieder hilfreich, Ideen mal miteinander durchzuspielen

LG
RMG

 

[h00bi]

Im wesentlichen lässt sich dein Vorhaben auf 3 Punkte runter brechen:
1) Vermeide öffentliche WLANs und besorge dir genug mobiles Datenvolumen, ggf. mit Dual SIM damit du je nach Standort genug Bandbreite hast.
2) Fritzbox mit Gast-WLAN. Gäste wollen ja nicht in dein privates Netz sondern nur Internet schmarotzen.
3) Passwörter, die so kompliziert sind dass man sie aufschreiben muss, sind NICHT sicher sondern dämlich und nervig.

Eine kleine Eselsbrücke für Dienstabhängige Passwörter und gut

Genau das ist die Lösung, verwende ich auch. sind dann teilweise 24 oder mehr Zeichen, aber ich kenn sie trotzdem auswendig.

Wer allerdings Wind davon kriegt, dass da 20kg Gold zu holen sind, wird auch hier wieder mit der 5 Euro Brechstange kommen und den Besitzer des unknackbaren Tresors so lange windelweich klopfen, bis dieser freiwillig den versteckten Schlüssel holt und noch den 25-stelligen Zahlencode eingibt.

Fantastischer Beitrag. Hast 100% recht und toll geschrieben. Ich habe herzlich gelacht. Danke dafür

 

[rmgLazyBone]

Im wesentlichen lässt sich dein Vorhaben auf 3 Punkte runter brechen:
1) Vermeide öffentliche WLANs und besorge dir genug mobiles Datenvolumen, ggf. mit Dual SIM damit du je nach Standort genug Bandbreite hast.
2) Fritzbox mit Gast-WLAN. Gäste wollen ja nicht in dein privates Netz sondern nur Internet schmarotzen.
3) Passwörter, die so kompliziert sind dass man sie aufschreiben muss, sind NICHT sicher sondern dämlich und nervig.

1) Mehr Datenvolumen bedeutet mehr Kosten. Ein VPN ist kostenlos machbar und weltweit nutzbar - insofern werde ich das nutzen.
2) Absolut. Gäste-WLAN ist bereits eingerichtet.
3) Da gehe ich eher den Ansatz von Einmalkennwörten und Passwortsafe. Automatische Eingabe. Kein Verlust, wenn eine Website geknackt wird (ist ja schon häufig genug passiert). Die Umstellung zumindest der kritischen Passwörter von Chrome auf Keepass habe ich bereits für alle meine Geräte erledigt (Aufwand ca. 1h, Kosten = 0)

Es gibt sicherlich mehrere Ansätze zu jedem der Probleme. Ich persönlich präferiere eher die Lösungen, die täglich weniger Aufwand machen und dafür u.U. einmal Zeit kosten. Für jede neue Website ein neues Passwort merken ist anstrengend - auf jedem Gerät keePass zu installieren, eine Synchronisierung übers NAS einzurichten und dann je Website ein eigenes Passwort generieren zu lassen - das kostet mich dann im Alltag nichts mehr.

Habe übrigens direkt noch 2FA für Google-Dienste implementiert. Mit Android und Chrome weiß Google ausreichend über mich, um diesen Account extra zu schützen ^^

LG
RMG

 

[DragonTear]

Fantastischer Beitrag. Hast 100% recht und toll geschrieben. Ich habe herzlich gelacht. Danke dafür

Wobei es genau darum Panikräume (und Alarmanlagen) gibt.
Aber klar, wenn man wirklich an der Tür erwischt wird, ist es "doof"...
In der Praxis versichert man einfach sein Vermögen wenn man wirklich so viel hat.

Absolute Sicherheit gibt es weder im Netz noch im Leben

 

[oooverclocker]

Das bringt alles nichts, wenn man beispielsweise PCs mit aktiver Intel Management Engine hat. Dann lassen sie sich per Netzwerkanschluss einschalten und darauf zugreifen...

Leider ist IT-Security heutzutage komplett unterwandert von Spionagesoftware, die uns untergejubelt wird. Es gibt nur sehr wenige Geräte, die halbwegs sicher sind, zum Beispiel so ein Libreboot-Laptop, oder man flasht es sich selbst auf ein T400, oder ähnliches...

So, und wenn die Rootkits alle beseitigt sind, kann man sich um das andere kümmern. Da ist natürlich wieder der Kommentar von DragonTear, dass mit SSL alles sicher wäre... Dabei kann man ein SSL/TLS-Zertifikat auch fälschen... Und dann geht eben doch die Man in the Middle-Attacke mittels ARP-Spoofing und alle Bank-/Email-Passwörter etc. können abgefangen werden.

Naja, zum Rest wurde ja schon viel geschrieben - Security frisst viel Zeit und tut weh, weil die Massenüberwachungs-"Vereine" sehr kreativ sind, und sich immer neue Methoden einfallen lassen, um z.B. nachts die Cam/das Mikro einzuschalten etc. die man erst mal aushebeln muss.

 

[DragonTear]

Naja, zum Rest wurde ja schon viel geschrieben - Security frisst viel Zeit und tut weh, weil die Massenüberwachungs-"Vereine" sehr kreativ sind, und sich immer neue Methoden einfallen lassen, um z.B. nachts die Cam/das Mikro einzuschalten etc. die man erst mal aushebeln muss.

Klar, die NSA und Google wollen dein Schnarchen hören

 

[oooverclocker]

Klar, die NSA und Google wollen dein Schnarchen hören

Das nicht, aber eventuell, wie ich mit meiner Frau über der Decke kuschle oder nackt aus der Dusche komme und wenn ich irgendwann irgendetwas tu, das ihren Zielen widerstrebt, holen sie möglicherweise dieses "belastende" Material aus ihrer automatisiert erstellten Datenbank hervor und spielen es den Medien als Privatporno zu. Natürlich kann man sich verbal zurückhalten, ein liebes Schäfchen sein und versuchen, sein Leben lang im Hintergrund zu bleiben, um nicht in so eine Situation zu kommen, oder man behält sein Recht auf die freie Meinungsäußerung, indem man dafür sorgt, dass das Szenario keinesfalls passieren kann, weil man nie weiß, was die Zukunft so bringt. Und dazu müssen eben sämtliche Dinge, die als Spyware geeignet sind, dran glauben.

 

[DragonTear]

Du bist echt irre...
Glaub das ist das zweite mal diese Woche dass ich das schreib

Okey, lasst uns diesen Thread hier nicht unnötig zuspammen.

 

[black-avenger]

Das nicht, aber eventuell, wie ich mit meiner Frau über der Decke kuschle oder nackt aus der Dusche komme und wenn ich irgendwann irgendetwas tu, das ihren Zielen widerstrebt, holen sie möglicherweise dieses "belastende" Material aus ihrer automatisiert erstellten Datenbank hervor und spielen es den Medien als Privatporno zu. Natürlich kann man sich verbal zurückhalten, ein liebes Schäfchen sein und versuchen, sein Leben lang im Hintergrund zu bleiben, um nicht in so eine Situation zu kommen, oder man behält sein Recht auf die freie Meinungsäußerung, indem man dafür sorgt, dass das Szenario keinesfalls passieren kann, weil man nie weiß, was die Zukunft so bringt. Und dazu müssen eben sämtliche Dinge, die als Spyware geeignet sind, dran glauben.

Können sie gerne haben und unter dem Titel: "Wie man es richtig macht!" auch gerne als Lehrfilm verkaufen. Um daran ernstlich zu glauben muss der Aluhut allerdings schon reichlich eng sitzen. Wer genau hat übrigens in Badezimmer und Schlafzimmer eine Kamera, die so ausgerichtet ist, dass man das alles in bester Sicht mitverfolgen kann

Grüße
Thomas

 

[rmgLazyBone]

Können sie gerne haben und unter dem Titel: "Wie man es richtig macht!" auch gerne als Lehrfilm verkaufen. Um daran ernstlich zu glauben muss der Aluhut allerdings schon reichlich eng sitzen. Wer genau hat übrigens in Badezimmer und Schlafzimmer eine Kamera, die so ausgerichtet ist, dass man das alles in bester Sicht mitverfolgen kann

Grüße
Thomas

Ich dachte mir auch gerade, wenn mich jemand mit meinem Privatleben erpressen möchte, würde ich wahrscheinlich mit der Schulter zucken und ihn das veröffentlichen lassen. Sollen sie doch gaffen.
Der Gedanke, es gar nicht so weit kommen zu lassen, ist mir aber auch nicht fremd. Wer weiß, wie unsere Gesellschaft in 20 Jahren aussieht (LG an Afd un Co).
Zum Glück lassen sich Handy- und Laptop-Kameras ohne großen Aufwand dauerhaft abschalten. Die Frage ist nur, ob man zum Klebestreifen greift oder einem Sticker, der die eigene Persönlichkeit ausdrückt

Aus meiner Sicht ist klar, dass es keine hundertprozentige Sicherheit gibt. Aber schön, dass wir das nochmal explizit erwähnt haben.
Ansonsten wurde hier doch inzwischen eine Bandbreite an möglichen Maßnahmen inkl. Nutzen und Aufwand diskutiert.
Ich würde also vorschlagen, den Thread zu schließen (@Mod?), oder gibt es dagegen Einwände?

LG
RMG

 

[dirk11]

Lustig hier. Am tablet macht Zitieren nicht soo viel Spaß, deshalb schließe ich mich mal mit einem herzlichen "100% ACK" black-avenger an...

 

[oooverclocker]

Um daran ernstlich zu glauben muss der Aluhut allerdings schon reichlich eng sitzen.

Alu ist ein Ding der Vergangenheit - die Zukunft gehört dem Stahl.

Bildquelle: Von Wikipedia (Rama)

Wer genau hat übrigens in Badezimmer und Schlafzimmer eine Kamera, die so ausgerichtet ist, dass man das alles in bester Sicht mitverfolgen kann

So gut muss die Sicht ja nicht sein. Es reicht ja, wenn die eigene Person mit Sex in Verbindung kommt, und die zurückgebliebene Meute stürzt sich in Talkshows, die mit debilen besetzt sind, auf einen und man wird aus seiner Position nach wenigen Wochen entfernt. So läuft nunmal die Schmutzpolitik.

Beispielsweise ist für mich ein Doktortitel ebenfalls ein komplettes No-Go. Man hat ja gesehen, dass man sich dadurch nur angreifbar macht. Würde ich höchstens als Ehrentitel annehmen, ohne eine Dissertation schreiben zu müssen.

Schonmal gefragt, warum man immer nur RSA-Keys mit bis zu XXXX Bit Länge generieren kann, und das Programm für mehr umschreiben muss?

When communication is encrypted, the NSA will keep it until it knows what's it contains. That could be a very long time. For instance, there are coded messages from World War II that have yet to be decrypted.

Quelle

Es reicht eventuell nicht, eine Nachricht für 20 Jahre zu verschlüsseln - der Schlüssel muss so gut sein, dass Du lange tot bist, wenn die Rechenleistung ausreicht.

Hier hat jemand nach Sicherheit gefragt, und ich beleuchte es aus dem Standpunkt möglichst 100%-iger Datensicherheit. Doch sobald das Wort NSA kommt, hat wohl jeder Angst, und der Thread soll direkt zu gemacht werden? - Ich habe keine. Sollte ich jetzt irgendwas befürchten müssen, nachdem ich hier öffentlich zugängliche Daten zusammengetragen habe, schaufelt die NSA sich ihr eigenes Grab.

 

[DragonTear]

Seit wann ist sex was schlimmes? Du hast da schon eine etwas unbegründete Angst vor der Gesellschaft.
Wenn man schwul ist, hat man es in den USA wohl schwer, aber ansonsten?
Über Trump gibt es unglaublich viel Schmutz (wobei der großteil wahr ist...) und trotzdem hat man ihn gewählt...

Was Doktortitel angeht - nimm einen aus dem Technisch-Wissenschaftlichen Bereich
Merkel's aus der Physik z.B. war überhaupt nicht angreifbar weil das deutlich schwieriger bzw. von Anfang an strikter ist, als im gesellschaftswissenschaftlichen Bereich...

 

[rmgLazyBone]

Back to Topic mal ein Update: Mein lieber ISP betreibt mich über DS Lite - dementsprechend kann ich keine VN-Verbindung über meine FritzBox aufbauen.
Weiterhin habe ich gesehen, dass eine solche VPN-Verbindung auch immer vollen Zugriff auf das Heimnetz bekommt. Mein Plan ist natürlich, dass die VPN-Geräte nur über den VPN-Tunnel auf meinen Internetanschluss zugreifen können, ein kompletter Zugriff auf mein Heimnetz war nicht vorgesehen.
Ich werde mich mal bzgl der DS Lite - Fähigkeiten von openVPN schlau machen, scheint aber durchaus möglich zu sein. Muss wahrscheinlich IPv4 Tunneln, dann sollte das gehen.

LG
RMG

 

[black-avenger]

Ja, das ist doch mehr oder minder das Wesen des VPN? Das Gerät agiert, bzw verhält sich, als ob es direkt im selben Netz hängt. Sagen wir, wir haben ein Handy mit mobiler Datenverbindung und wir richten einen VPN Tunnel ins eigene Heimnetz ein. Es handelt sich wirklich um eine direkt verschlüsselt getunnelte Verbindung. Du wirst im WWW dann natürlich auch unter der öffentlichen IP deines Heimnetzes angezeigt und nicht unter der deines Mobilgeräts. Die mobile Datenverbindung wird nur dazu genutzt die Daten verschlüsselt durch den Tunnel zu jagen. Am anderen Ende werden die Daten dann wiederum regulär ins Internet weitergeleitet. So mal ganz pauschal vereinfacht.

Wunderbar zu sehen, wenn man z.B. an der Universität gewisse Seiten nur aus dem Uni-Netz aufrufen kann. Die Studenten bekommen oftmals die Möglichkeiten sich von zu Hause per VPN ins Uni-Netz einzuwählen um nach außen hin die IP dieses Netzes zu bekommen und dann auch auf die Inhalte (Zeitschriften, anderes wissenschaftliches Material) zugreifen zu können. Die Uni hat 'ne statische IP und der Anbieter der Zeitschriften erlaubt dann halt nur den Zugriff von den IPs der Hochschulen z.B.

Da der VPN Tunnel verschlüsselt läuft, bietet das hinsichtlich der Übertragung usw durchaus mehr Sicherheit, wenn man sich in öffentlichen Netzen bewegt und so. Birgt für deinen Fall aber auch den Nachteil, dass derjenige, der dein Gerät physikalisch in die Finger bekommt, dann direkt Zugriff auf dein Heimnetz zu deinen streng geheimen ICBM Abschusscodes hat.

Grüße
Thomas