Lan verschluesseln ^^

W

WaterCoolMaster

Experte
Thread Starter
Mitglied seit
11.12.2015
Beiträge
287
Ort
ZuHause ???
Hallo,
ich wollte eigentlich schon seit laengerem mein Lan(Local Area Network) verschluesseln.
Die Grundidee dahinter ist eigentlich folgende:
Im Lan befinden sich viele Geraete unterschiedlicher User.
Wenn sich ein User einen hartnaeckigen Virus bzw. Trojaner einfaengt, kann dieser den Netzwerktraffic von allen Usern bedingt(http) mitlesen.

Um dieses Problem zu loesen nutze ich gerade eine PPTP connection zwischen meine Clients und dem Router, somit kann mein Traffic nicht gelesen werden. (logisch soweit)
Aber ich bin damit noch nicht ganz zufrieden, aufgrund:
PPTP ist obsulet und damit sehr schnell knackbar, gleichzusetzen mit einer WLAN WEP Verschluesselung
Ich wuerde lieber auf ein sicheres Protokoll wie Ipsec/L2TP setzen.

Zur Verfuegung stehen mir 2 Rasperry's.
Und ich habe schon mehrmals Tutorials vom Netz probiert, wie man sich eine VPN einrichtet, damit man von unterwegs aus auf sein Lan zugreifen kann,
mit dem Unterschied dass ich nur alle Clients verschluesselt zum Raspi connecten mochte, und von dort unverschluesselt zum Router weiter ... (Wuerde mein Problem nicht ganz loesen, sollte aber mehr Sicherheit bringen, da man nicht mehr klar sagen kann, welcher User wo surft, da ja alle Pakets vom Router zum Raspi, und von dort verschluesselt zu den Clients uebertragen werden)

Mein Router ist ein Asus N66U und ist auch ein klasse Geraet, einzig alleine stoert mich dass dieser nur die alte Verschluesselung PPTP unterstuezt...
Wuerde dieser IPsec/L2TP koennen, weare mein ganzer Text hier unnoetig...

Weiss jmd. vielleicht auch, ob der Hersteller diese Funktion nachpatchen kann? Oder muss der Router dafuer bestimmte Hardwarevorrauseztungen haben?
Denn ich erhalte oefters Updates fuer meinen Router, wo ich auch nach einem Feedback gefragt werde, und falls moeglich koennte ich da ja auch einmal fragen,
warum sie nur eine obsolete Verschluesselung anbieten, und nicht frisch eine aktuelle, sichere ...

Weiss den auch jmd, ob es moeglich ist, die Lan Clients automatisch zu verschluesseln, ohne dass diese Daten eingeben muessen?
Weil bei mir laeuft ein Raspi alls, DNS,DHCP,NTP,Samba Server, und es waere sehr gut, wenn dieser von "alleine" die Lan Clients verschluesseln koennte,
ohne dass ich nachher bei allen Geraeten die Verschluesselung manuell einstellen muss...

Ich hoffe ihr habt mein Anliegen verstanden,
ich denke dieses Thema ist eigentlich sehr wichtig, da es sehr wenig behandelt wird,
wie man sein Lan verschluesselt...(Auch bei Google findet man nur sehr wenig dazu)

Falls ihr noch Fragen oder Anregungen habt,
koennt ihr sie gerne schreiben.

Ich hoffe jmd. kann mir weiterhelfen und sich bedingt in meine Lage versetzten.
Wuensche euch noch ein schoenes Weekend! :p;)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn du auf andere Rechner zugreifen willst, muss der Verkehr unverschlüsselt sein. Willst du nur deine Geräte im LAN von anderen trennen, empfehle ich dir, dich mit VLANs zu beschäftigen.

Wenn du wirklich jede Verbindung zum Router von Einzelclients verschlüsseln willst, brauchst du 1. einen sehr! potenten Router, und 2. ein vollständig geroutetes Netz (statt einem geswitchtem). Edit: Ich sehe das machst du ja bereits.

Was hast du denn für viele unterschiedliche Nutzer im LAN?
 
Zuletzt bearbeitet:
Hallo,
danke fuer deine Hilfe.

VLANS kenne ich bereits, bin aber nicht sicher ob mir das hilft.
Es gibt Handy's, Laptops, Rechner, und die PI's im Netz und von allen mehrere.

Da bereits alle Geraete ueber meinen PI laufen, ist dass ja schon eine wirklich super Sache,
jetzt waere mir noch recht wenn alle Geraete eine verschluesselte Verbindung zum PI bekommen, und von dort wenns nicht anders geht eine verschluesselte PPTP Verbindung zum Router.

Das waere mein Wunsch.
Und was auch wichtig waere, dass ich nicht bei jedem Client ein Passwort oder aehnliches eingeben muesste. Es waere super wenn der PI das automatisch machen koennte,
so wie er halt auch die DHCP Adressen vergibt...

Ansonsten wenn mein Router nicht potent genug ist, koennte ich ja auch die 2 Raspberrys zum Einsatz kommen lassen?
Damit wuerde sich ja auch so einiges realisieren lassen.

Ansonsten wird in der Zukunft ab Maerz wahrscheinlich auch noch ein Odroid C2 dazukommen.
 
Zuletzt bearbeitet:
Nochmals:
Client - verschluesselt - Router - Inet
Client(Virus) - Wireshark encrypted Traffic = no result

So stelle ich mir das vor.
Problem:
Router kann nur PPTP

Meine nicht perfekte Loesung:
Client - Ipsce/L2tp - Raspberry pi - PPTP - Router
Lieber waere mir alles ueber l2tp zu machen, denke aber das wird nicht gehen.

Ich habe kuerzlich folgende Website dazu gefunden:
https://jlnostr.de/blog/raspberry-pi-sstp-vpn-server-installieren/

Dort steht schon fast alles so wie ich es brauche,
hatte aber gehofft jmd. kann meine Idee leichter verstehen und mir individuell Tipps und Anweisungen geben.

Beispiel warum:
In London gab es einen Journalisten, der ueber Wireshark glaube ich Content von Kollegen gestohlen und verkauft hat... So ungefaehr ging diese Geschichte.
Das Ergebnis davon war, dass man das gesamte Lan verschluesselt hat, damit die anderen sich nicht gegenseit ausspionieren konnten...

Ich hoffe meine Idee ist nun klar verstaendlich.

Ich persoenlich wuerde es wirklich begruessen,
sollte die Verschluesselung des Lan's bis zum Router in der Zukunft irgendwann Standard wird.
Es ist eigentlich zu schaffen, und es bringt auch Sicherheitsvorteile,
und ich verstehe eigentlich nicht,
warum man diesbezueglich eigentlich noch keine gescheite Loesung gefunden hat ...

Habe ich mich nun klar ausgedrueckt, was mein Vorhaben ist?
Danke und freundliche Gruesse!! :) ;)
 
WaterCoolMaster schrieb:
Wenn sich ein User einen hartnaeckigen Virus bzw. Trojaner einfaengt, kann dieser den Netzwerktraffic von allen Usern bedingt(http) mitlesen.
Zum Vergrößern anklicken....

Deine Grundannahme ist falsch. In einem geswitchten LAN erhält jeder Client nur die für ihn bestimmten Pakete. Ausnahme: Broadcasts gehen an alle im selben Subnetz, wie zb. DHCP Requests, SMB Discovery.
Es gibt zwar Angriffswege darauf (ARP Poisoning, MAC Spoofing etc.), aber dass ein Trojaner die benutzt ist afaik höchst unwahrscheinlich.
 
Nunja, nehmen wir einmal an der "Hacker" will sich mein Netzwerk genauer ansehen, und macht ARP poisoning? Was ich auch schon selbst gemacht habe in meinem Netzwerk und haette jeden Bloesinn auffuehren koennen den ich wollte.

Wie gesagt,
nehmen wir einfach an, ich bin Journalist und die anderen duerfen mir nicht meine Story klauen,
wie wuerde ich da am besten vorgehen?
 
In dem Artikel steht doch alles? Solange man aber von ausgeht, dass der Angreifer im LAN ist, sollte man aber doch zumindest ansatzweise sein LAN-Setup überdenken... Besonders im LAN gibt es doch simplere Einfallstore als IP-Traffic mitzuschneiden.

Locky z.B. könntest du mit deinem Ansatz nicht aussperren, WENN du auch noch Netzwerkfreigaben hast.

Edit: Ein Hacker kommt im Normalfall nur über WLAN rein. Und da gibt es schon recht sichere Authentifizierungsmethoden (RADIUS etc), wenn einem WPA2 nicht reicht. Wer ungeschützt LAN-Ports hat, dem ist sowieso nicht zu helfen.

Edit2: ist das geschäftlich oder Privat?
 
Zuletzt bearbeitet:
Schon klar,
aber in meine Netzlaufwerk musst du dich authorisieren, von daher viel Spass beim Bruteforcen meines logins und pw's :d
 
Und wenn du einmal autorisiert bist? ;) Oder gibst du für jeden Zugriff Login/PW neu ein?

Edit: Ab Router ins Web ist auch verschlüsselt?

Edit2. Das Topic hat nen ganz harten Aluhut-Vibe...
 
Zuletzt bearbeitet:
Wenn der Hacker auf deinen Router-Zugriff hat, bringt das alles nichts.

Am besten einen vServer mieten, OpenVPN installieren und fertig, eine sichere Verbindung bis ins Internet.
 
Will er das überhaupt? Da hätte man ja wieder eine Schwachstelle.
 
Ja habe ich und daraus deute ich, dass Verbindungen zwischen den Clients nicht erwünscht sind.
 
Ihr wollt es nicht verstehen.
Aluhut hin oder her, wenn es schon einen konkreten Fall gab, wo es durch diese "Schwachstelle" zu einem wirklichen Problem kam.
Mit einem Vserver hat das auch nix zu tun.

Ich dachte der letzte Post haette recht deutlich gemacht, was ich eigentllich will.

Zum Inet Server hin gehts ja nicht immer mit Verschluesselung, soweit so klar.

Ich wollte mich nur vor Man in the Middle Attacks vom lokalen Lan schuetzen.

Ja ich muss jedes mal das PW eingeben ... 'Aluhut auf, bequemlichkeit=0, security=1'

Eine sichere Verbindung ins Netz bekomme ich auch durch TOR, da brauche ich kein Openvpn.

Es geht nur dadurch, man in the middle, arp spoofing etc.. etc...

Aber ich glaube ich bin besser beholfen,
wenn ich mich selbst darum kuemmere ...

Wie gesagt ich wollte das ganze schon vor ueber einem Jahr mit dem Raspi umsetzten...
Damals habe ich sicherlich 5-6 verschiedene Tutorials zum einrichten einer Ipsec/l2tp Verbindung gelesen und auch 1:1 ausgefuehrt,
dennoch gab es immer Probleme und mein Vorhaben lies sich nicht umsetzen.

Ich dachte hier weiss vielleicht jmd. Bescheid, bzw. hat Erfahrung.
Das mit Vlan kann ich mir auch ansehen,
ich glaube aber nicht dass die clients in einem der vlan sich nicht gegenseitig ausspionieren koennen.

Aluhut auf, security=#1
Wenn du irgendwo arbeitest,
sagst du dann dem Chef:
Du hast ja den Aluhut auf, wir brauchen keine Verschluesselung,
unser Unternehemen ist so unbekannt dass uns keiner hackt,
und wenn doch ist mirs wurscht.

Bin gespannt wie lange du die Person dann noch Chef nennen wirst...
'Aluhut off'

By the way:
Ich hatte schon damit gerechnet, dass die Antworten ins kuriose laufen werden,
von daher habe ich automatisch das ^^ smiley im Thread Titel gewaehlt,
da ich es vermuten habe.

Ich habe hier nur gefragt,
da ich mit diesem Forum sehr gute Antworten bei meinen anderen Fragen erhalten habe,
von daher dachte ich dass hier sich mehr Experten tummeln,
als wie in anderen Pc Foren.

Trotzdem danke fuer eure Hilfeversuche.
Sollte ich es schaffen, mein Ziel zu erreichen,
werde ich sicherlich ein Tutorial in einem Forum oder auf youtube veroeffentlichen,
da ich finde man sollte diese Luecke schliessen, da man einfach zu viel Unfug mit man in the middle, arp poisoningetc. anstellen kann.
 
Zuletzt bearbeitet:
Bist du Journalist? Geht es hier um ein Geschäftliches Netzwerk? Soll Mutti nicht erfahren wenn du auf XXX-Seiten surfst? Du hast bisher noch keinen wirklichen Use Case gebracht, sry.

Edit: in deinem Beispiel saß der Angreifer bereits im LAN. Wenn du in deinem privaten Netzwerk nicht sicher sein kannst, dass du nicht bereits einen internen Angreifer hast, dann ist eine Komplettverschlüsselung imho dein geringstes Problem.
 
Zuletzt bearbeitet:
Wie gesagt,
nehmen wir einfach an, ich bin Journalist und die anderen duerfen mir nicht meine Story klauen,
wie wuerde ich da am besten vorgehen?
Zum Vergrößern anklicken....
a) Du baust einen VPN Tunnel in ein sicheres Netz auf
b) Du benutzt zur Datenübertagung ein Protokoll, das von Haus aus verschlüsselt... HTTPS z.B.



Ich bin mir echt nicht sicher, dass du selbst weist, was du eigentlich brauchst - oder du willst es einfach nicht verraten...
Aber wenn es nur darum geht, das Gerät A nichts vom Datenverkehr von Gerät mit bekommen soll, beide aber über den gleichen Weg nach draussen sollen, ist ein Feature namens "Private VLAN" evtl. dein Freund. Google hilft weiter...

Ansonsten hilft dir kein VPN Tunnel der Welt, wenn beide Endpunkte in einem (dem gleichen) potentiell kompromitierten Netz sitzen.
Mit Adress-Spoofing und Co. lässt sich auch der (unverschlüsselte) "Ausgang" deines RasPIs abgreifen und du hast den gleichen Salat - das hast du ja auch im ersten Posting schon selbst erkannt.

Heist für dich: Wenn du es richtig machen willst, brauchst du einen VPN Endpunkt außerhalb deines "Bösen" LANs - dein Router kann es nicht (PPTP), also bleibt nur ein Endpunkt im Internet - das Stichwort "VServer mit OpenVPN" ist schon gefallen...
"Innen" könntest du dir mit einem zweiten NAT Router ein eigenes, halbwegs abgeschottetes LAN aufbauen - mit der passenden Router-Hardware kannst du dem auch beibringen, dass er allen Traffic zu deinem VServer tunnelt...


BTW:
Einer der Gründe warum viele SOHO Router nur PPTP sprechen: Es braucht verglichen mit IPSec deutlich weniger Ressourcen (Rechenleistung) und ist einfacher einzurichten. Ich hätte wenig Hoffnung, dass sich das auf absehbare Zeit flächendeckend ändert.
Sicherer ist es sowieso, Ende-zu-Ende zu verschlüsseln...
 
Zuletzt bearbeitet:
FLINTx, du sprichst mir aus der Seele. Bisher weiß niemand, was genau das konkrete Szenario ist, was hier abgedeckt werden soll. Ohne dieses kann wohl auch keine adäquate Lösung vorformuliert werden. Weiterhin sehe ich das mit den SOHO Geräten genau so. Da fehlt für die Protokolle einfach die Rechenleistung und der Unterbau "kotzt" dann ab und die Büchse läuft ständig unter Volllast und brennt wahrscheinlich alsbald ab. Da muss dann andere Hardware angeschafft werden.
 
Ja, ich will mir Hardcore-Pronos reinziehen, und dass soll ich, Netzwerkadmin des Netzes und Verwalter von Router und aller Clients und co nicht rausfinden, dass ich selbst Pornos schaue ...*Common wenn ihr meine Idee schlecht machen wollt, dann gebt euch wenigstens Mühe, und schreibt nicht einfach einen Beitrag damit ihr ein "cooler" Hengst im Internet seid ....

Nunja mein Router hätte ja einen Dualcore Prozessor, und 60MB Ram + Swap Speicher, sollte eigentlich damit machbar sein, oder?
Dass es nicht so einfach zu konfigurieren ist, habt ihr sicherlich recht.

Aber habt ihr auch schon mal was von Crypto War gehoert?
Bei uns hier ist staatlich im Wlan nur WEP-Pflicht, soll heissen ich encrypte mein wlan damit, dann kann mir der Staat nix anhaben, wenn jmd. Blödsinn mit meiner Leitung macht.
Glaubt ihr echt nur weil der Staat WEP als mindeste Verschlüsselung vorschreibt benutze ich das?? Nein natürlich nicht, ich benutze ein sicheres WPA2.

Und ich finde das selbe gilt mit der PPTP Verschlüsselung die ich bereits zum Router herstellen kann, und damit "sicherer" bin.
Ich hätte halt lieber Ipsec L2TP weil dass im Vergleich zu PPTP halt besser und sicherer ist.

Eigentlich ist fast schon der Hauptgrund dafür dass ich das machen möchte die Erfahrung, die mir dann im Berufsleben weiterhilft bzw. ich sagen ich kann das schon wenn ich so etwas einmal tun möchte, ist irgendwie plausibel? Falls ihr schon jemals eine Bewerbung geschrieben habt, da steht meistens man muss der OberHengst sein und alles Wissen bzw. viel Erfahrung haben, deswegen versuche ich mir alles sinnvolle was mir manchmal einfällt mir beizubringen. Ist dieses Argument überzeugend genug, oder kann man bei euch in Deutschland auch mit faul sein und keiner Initiative etwas erreichen? Bei uns sitzt du auf der Strasse wenn du's nicht bringst, habe schon genug Leute gesehen die das tun.

Ich bedanke mich trotzdem einmal,
und sollte ich etwas nicht verstehen und Fragen haben,
bin ich so frei und melde mich einfach wieder hier!!

Schönes Wochenende wünsche ich euch!
 
WaterCoolMaster schrieb:
Eine sichere Verbindung ins Netz bekomme ich auch durch TOR, da brauche ich kein Openvpn.
Zum Vergrößern anklicken....
Zwar nicht direkt das Thema hier, aber weil das ein weit verbreiteter Irrtum ist, sei das hier gesagt. TOR ist definitiv das Gegenteil von sicher. TOR ist eine Technik zur Anonymisierung und anonym != sicher. Man muss sogar davon ausgehen, dass einzelne TOR Ausgangsknoten systematisch versuchen, Verbindungen zu kapern und Daten zu schnüffeln. Auf gar keinen Fall sollte man unverschlüsselte Verbindungen über TOR laufen lassen. Höchstens vielleicht um irgendwelche unverfängliche Webseiten zu lesen, aber selbst da muss man damit rechnen, dass bösartiger Code auf dem Weg durch TOR injiziert werden kann.
 
Da hast du sicherlich recht, Tor ist nicht das beste Medium um sicher durch das Netz zu surfen, jedoch fühle ich mich dort doch etwas sicherer. Nunja, da ich Tor mit sehr hohen Sicherheitseinstellungen benutze, und meistens nicht einmal das Google Captcha damit umgehen kann, da der Browser das Skript nicht mag, denke ich einmal das ich bedingt sicher bin, da im Hintergrund Unix bzw. Linux läuft, und die Gefahr von Privileg Exaltation nicht so gross sein dürfte.

Falls man Tor in einer VM nutzen würde wäre man ja noch sicherer, aber das ist mir dann doch etwas zu umständlich jedes mal eine VM zu starten. Wäre VM-ware für OS X nicht sooo teuer, hätte ich das bestimmt gekauft, aber für 50 Euro pro aktuelle Version finde ich das nicht ganz preiswert. Da auch
noch jedes Jahr eine neue Version von OS X erscheint müsste man da immer upgraden und deswegen finde ich es etwas zu teuer. Sehe gerade 50 Euro für Upgrade und 80 für eine neue Version falls ich noch nicht Kunde bin.

Eine Prognose meinerseits für die nächsten ca. 5 Jahre.
Sicherheitsforscher finden es bedenklich dass man so leicht Leute ausspionieren kann (Stichwort: Wireshark, ARP poisoning, etc.) sodass diese eine sehr einfache Möglichkeit finden werden,
jedes Lan mit Hilfe einer Verschlüsselung sehr sicher zu gestalten.

Und dafür würde ich meine Hand in's Feuer legen.

Ich weiss noch als ich einmal in einem Forum gefragt habe, als Minecraft noch Alpha war ob man das nicht auch für die PS3 konvertieren konnte.
Damals wurde ich fast schon ausgelacht, und mir wurde gesagt ich könne doch anfangen dafür eine Portierung zu schreiben.

Ein paar Jahre später wird MC zum Knüller, und es werden Portierungen auf's Handy, XBox, PS3, PS4 und so weiter angekündigt + die Firma wird von MS für Milliarden aufgekauft... (Wäre gespannt wie das Forum auf mich heute reagieren würde)

Andres Forum, ich frage ist es technisch möglich eine Industrie zu hacken, habe damals Stirb Langsam 4 geschaut, wenn ich mich nicht irre.
Da haben Hacker ein Gas oder Öl Verteilungswerk "gehackt" und haben dadurch einen brutalen Schaden angerichtet.

In dem Forum wurden nur Anspielungen auf Holz hacken in Bezug auf "hacken" Computer Sabotage gemacht,
und heute lese ich auf golem folgendes:
US-Untersuchung: Hacker verursachten tatsächlich Stromausfall in Ukraine - Golem.de

Deswegen finde ich habe ich genug Selbstvertrauen entwickelt um zu behaupten was VIELLEICHT eine interessante Idee sein könnte.

Hatte bis jetzt noch nicht genug Zeit um mich in die Thematik einzulesen, da wir aber Wochenende haben, wird sich das ändern.

Wünsche dir auch noch ein schönes Wochenende.
 
WaterCoolMaster schrieb:
Hallo,
ich wollte eigentlich schon seit laengerem mein Lan(Local Area Network) verschluesseln.
Die Grundidee dahinter ist eigentlich folgende:
Im Lan befinden sich viele Geraete unterschiedlicher User.
Wenn sich ein User einen hartnaeckigen Virus bzw. Trojaner einfaengt, kann dieser den Netzwerktraffic von allen Usern bedingt(http) mitlesen.
Zum Vergrößern anklicken....

Welchen Sinn versprichst du dir denn überhaupt davon?
Ich mein, es scheint, als hättest du nach all den Ausführungen die Funktionsweise eines VPNs nicht verstanden... Denn das VPN schützt dich nicht in der Art, dass es keinen Angriffsvektor mehr gibt.
Das Problem ist schlicht, du hast xx viele Clients und all diese Clients sollen offenbar eine gesicherte Verbindung zu einem Endpunkt aufbauen. Nur was ist mit dem Endpunkt? Wer garantiert für die Sicherheit des Endpunktes?
-> der Endpunkt MUSS die Daten im Klartext lesen können, sonst kann er diese nicht verarbeiten. Ein SMB/FTP Share auf dem Server ist dort im Klartext mitzulesen. Was bringt dir also dieser VPN Gedanke?
Du sprichst von hartnäckigen Viren... Das VPN schützt davor genau NULL. Denn wie der Virus seine Datenpakete ans Ziel bringt, ist ihm total hupe. Ob das durch einen Tunnel geht oder nicht ist also völlig nebensächlich... Der infiltrierte Rechner (bspw. im Falle dieser aktuell umlaufenden Verschlüsslungstrojaner) schlägt auch noch dann zu, wenn der User mit seinem Gerät sich am Server authentifiziert und dort auf ein Share zugreift -> dann ists nämlich zu spät. Wie oft du da nach Kennwörtern fragst, ist völlig nebensächlich. Es reicht EIN Zugriff und die Tür ist offen...

Übrigens, das gleiche wie einen VPN Tunnel zwischen Client(s) und Router/Raspi kannst du mit VLANs lösen. Stopf jedes Gerät in ein eigenes VLAN und terminier all diese VLANs an deinem Server. So verhinderst du das (un)gewollte mitschneiden der Datenpakete, weil die verschiedenen VLANs nix mehr voneinander "wissen". Der Sinn ist aber weiterhin fraglich, da wie schon erwähnt wurde, in einem geswitchten Netzwerk die "anderen" sowieso nix von deinem Traffic mitbekommen sollten. Zielführender ist dann hier eher zu schauen, dass nix ungewolltes im LAN los ist. Sprich möglichst keine Broadcasts und solche Thematiken...

WaterCoolMaster schrieb:
Um dieses Problem zu loesen nutze ich gerade eine PPTP connection zwischen meine Clients und dem Router, somit kann mein Traffic nicht gelesen werden. (logisch soweit)
Zum Vergrößern anklicken....
Nein, absolut unlogisch, wenn man die Funktionsweise eines VPNs verstanden hat. Das VPN ist eine secure connection zwischen zwei Geräten. -> was davor und dahinter passiert, ist dem VPN total egal. Es schützt dich schlicht nicht davor, wenn der Raspi infiltriert wird. Die Warscheinlichkeit, dass dies passieren kann, ist sogar recht hoch... Vor allem, wenn du viele verschiedene Dienste auf dem Ding betreibst. Es gibt Unmengen von Angriffsstellen. Das wird allein an der Anzahl der unmengen Security Patches ersichtlich... Der größte Fehler, den man dabei machen kann ist zu glauben, dass viele Patches = Sicherheit bedeutet. Das was man dort sieht, ist schlicht nur das bekannte... Der Schwachpunkt in der IT ist das Unbekannte. Mit genügend Kleingeld kannst du dir Sicherheitslücken "kaufen" die wenig bis gar nicht public sind und von dehnen möglicherweise die Hersteller/Entwickler von Geräten und Software selbst nix wissen, geschweige denn, ahnen, dass sowas existent ist.

WaterCoolMaster schrieb:
Ja ich muss jedes mal das PW eingeben ... 'Aluhut auf, bequemlichkeit=0, security=1'
Zum Vergrößern anklicken....

Ich wage ehrlich gesagt zu bezweifeln, dass dir das gelingt ;) Zumal eine ganze Menge an Datenverkehr im LAN schlicht und ergreifend ohne Authentifizierung überhaupt passiert... Es gibt, wie oben erwähnt, unmengen Angriffsvektoren. Und ein Raspi ist in dem Fall sogar noch der zentrale Anlauf. Hebelt wer die Büchse auf, ist er drin. Ohne Wenn und Aber... Schaffbar ist/sollte das durchaus sein.

WaterCoolMaster schrieb:
Andres Forum, ich frage ist es technisch möglich eine Industrie zu hacken, habe damals Stirb Langsam 4 geschaut, wenn ich mich nicht irre.
Da haben Hacker ein Gas oder Öl Verteilungswerk "gehackt" und haben dadurch einen brutalen Schaden angerichtet.
Zum Vergrößern anklicken....

Man braucht da nichtmal nach Hollywood gehen. Das IST real. Ich sag einfach mal Stichwort Stuxnet.
Das schwächste Glied in der Kette ist so oder so der Mensch... Das sollte einem IMMER bewusst sein ;)

WaterCoolMaster schrieb:
Ja, ich will mir Hardcore-Pronos reinziehen, und dass soll ich, Netzwerkadmin des Netzes und Verwalter von Router und aller Clients und co nicht rausfinden, dass ich selbst Pornos schaue ...*Common wenn ihr meine Idee schlecht machen wollt, dann gebt euch wenigstens Mühe, und schreibt nicht einfach einen Beitrag damit ihr ein "cooler" Hengst im Internet seid ....
Zum Vergrößern anklicken....

Hier musste ich echt lachen... Der Netzwerkadmin, der fragt, wie man ein VPN einrichtet bzw. der hier erwähnt, Tutorials über die Einrichtung von VPNs zu "lesen". Nimms mir nicht übel, aber irgendwie passt da was nicht zusammen. Denn mir stellt sich unweigerlich die Frage, wieso der Admin des Unternehmens genau DAS offenbar nicht weis?
 
Zuletzt bearbeitet:
WaterCoolMaster schrieb:
Privileg Exaltation
Zum Vergrößern anklicken....

nichts für ungut, aber wer noch nichtmal die aufgeschnappten Buzzwords richtig schreiben kann, geschweige denn die Grundlagen von Ethernet & Co versteht kann es sich sparen Überlegungen zum Thema Security zu machen. Es wird nichts brauchbares dabei herauskommen.

PS: es heißt "Privilege Escalation", und das gibt's auch (sehr simpel) bei OS X: Get root on an OS X 10.10 Mac: The exploit is so trivial it fits in a tweet • The Register
 
ara1 schrieb:
nichts für ungut, aber wer noch nichtmal die aufgeschnappten Buzzwords richtig schreiben kann, geschweige denn die Grundlagen von Ethernet & Co versteht kann es sich sparen Überlegungen zum Thema Security zu machen. Es wird nichts brauchbares dabei herauskommen.

PS: es heißt "Privilege Escalation", und das gibt's auch (sehr simpel) bei OS X: Get root on an OS X 10.10 Mac: The exploit is so trivial it fits in a tweet • The Register
Zum Vergrößern anklicken....

Ja du hast Recht, entschuldige dass ich schnell einen falschen Begriff geschrieben habe, wobei ich das dennoch als geringen Fehler ansehe ... ;) Da ich kein Pen-Tester bin sind mir nicht ALLE englischen Wörter vertraut wenn es um Sicherheit's Eskapaden geht,
Nunja, ich benutze El Captain und das scheint nicht betroffen zu sein, wobei ich vermute dass diese Lücke auf schon längst bei Yosemite gefixt wurde.

Hier musste ich echt lachen... Der Netzwerkadmin, der fragt, wie man ein VPN einrichtet bzw. der hier erwähnt, Tutorials über die Einrichtung von VPNs zu "lesen". Nimms mir nicht übel, aber irgendwie passt da was nicht zusammen. Denn mir stellt sich unweigerlich die Frage, wieso der Admin des Unternehmens genau DAS offenbar nicht weis?
Zum Vergrößern anklicken....

Wir sprechen vom HeimNetz soweit ich geschrieben habe, und nicht von einem Unternehmen, aber ich möchte mir halt diese Fertigkeit beibringen.

Ich wage ehrlich gesagt zu bezweifeln, dass dir das gelingt Zumal eine ganze Menge an Datenverkehr im LAN schlicht und ergreifend ohne Authentifizierung überhaupt passiert... Es gibt, wie oben erwähnt, unmengen Angriffsvektoren. Und ein Raspi ist in dem Fall sogar noch der zentrale Anlauf. Hebelt wer die Büchse auf, ist er drin. Ohne Wenn und Aber... Schaffbar ist/sollte das durchaus sein.
Zum Vergrößern anklicken....

Was bezweifelst du denn daran? Bei meinem Samba Share musst du dich authentifizieren und damit basta. Das einzige worauf man hinaus könnte, falls du vor Ort wärst , könntest du die SD-Karte entwenden du die ganz einfach auslesen,
da der Raspi keine Verschlüsselung der SD-Karte kann. Das möchte ich sehen, wie du meine Raspi angreifen willst, der sich hinter meinem Router befindet. Der Router fungiert ja auch als Firewall. Da müsstest du dir zuerst Zugriff auf einen meiner Clients verschaffen, und anschliessend erst versuchen den Raspi zu knacken.
Da aber auf dem Rapsi Arch Linux läuft, bin ich gespannt wie leicht das wäre ... Schon klar ich kenne auch diese "Foren" wo tolle Sicherheitslücken verkauft werden, wenn du aber nicht wirklich ein "Hacker" bist und Ansehen in der Szene hast,
wäre ich gespannt falls du eine Lücke kaufen würdest ob du die bekommen tätest. Und jetzt komm mir bitte nicht mit Treuhand.

Ich mein, es scheint, als hättest du nach all den Ausführungen die Funktionsweise eines VPNs nicht verstanden... Denn das VPN schützt dich nicht in der Art, dass es keinen Angriffsvektor mehr gibt.
Das Problem ist schlicht, du hast xx viele Clients und all diese Clients sollen offenbar eine gesicherte Verbindung zu einem Endpunkt aufbauen. Nur was ist mit dem Endpunkt? Wer garantiert für die Sicherheit des Endpunktes?
-> der Endpunkt MUSS die Daten im Klartext lesen können, sonst kann er diese nicht verarbeiten. Ein SMB/FTP Share auf dem Server ist dort im Klartext mitzulesen. Was bringt dir also dieser VPN Gedanke?
Du sprichst von hartnäckigen Viren... Das VPN schützt davor genau NULL. Denn wie der Virus seine Datenpakete ans Ziel bringt, ist ihm total hupe. Ob das durch einen Tunnel geht oder nicht ist also völlig nebensächlich... Der infiltrierte Rechner (bspw. im Falle dieser aktuell umlaufenden Verschlüsslungstrojaner) schlägt auch noch dann zu, wenn der User mit seinem Gerät sich am Server authentifiziert und dort auf ein Share zugreift -> dann ists nämlich zu spät. Wie oft du da nach Kennwörtern fragst, ist völlig nebensächlich. Es reicht EIN Zugriff und die Tür ist offen...

Übrigens, das gleiche wie einen VPN Tunnel zwischen Client(s) und Router/Raspi kannst du mit VLANs lösen. Stopf jedes Gerät in ein eigenes VLAN und terminier all diese VLANs an deinem Server. So verhinderst du das (un)gewollte mitschneiden der Datenpakete, weil die verschiedenen VLANs nix mehr voneinander "wissen". Der Sinn ist aber weiterhin fraglich, da wie schon erwähnt wurde, in einem geswitchten Netzwerk die "anderen" sowieso nix von deinem Traffic mitbekommen sollten. Zielführender ist dann hier eher zu schauen, dass nix ungewolltes im LAN los ist. Sprich möglichst keine Broadcasts und solche Thematiken...
Zum Vergrößern anklicken....

Es geht aber darum, sollte sich einer der Clients (nicht ich) z.B ein Gast oder eine andere Person die Zugang zum Netz hat infiziert sein, und vielleicht nicht gerade mit Locky sondern mit einer "Malware" die das Ziel hat das Netzwerk auszuspionieren.
Ich möchte erreichen dass meine Clients eine verschlüsselte Verbindung zum Router haben, und damit fertig. Dateien die ich zum Samba Share kopieren würde, könnte man glaube ich mitlesen, bzw. abfangen? Bin nicht zu 100% mit Samba und den Shares vertraut.

ch mein, es scheint, als hättest du nach all den Ausführungen die Funktionsweise eines VPNs nicht verstanden... Denn das VPN schützt dich nicht in der Art, dass es keinen Angriffsvektor mehr gibt.
Das Problem ist schlicht, du hast xx viele Clients und all diese Clients sollen offenbar eine gesicherte Verbindung zu einem Endpunkt aufbauen. Nur was ist mit dem Endpunkt? Wer garantiert für die Sicherheit des Endpunktes?
Zum Vergrößern anklicken....

Mein Endpunkt ist der Router?? Und die Sicherheit von dem garantiere ich!
Bei einem Router muss man sich ja auch anmelden oder nicht? Und da die Fernanmeldung nicht ein ist, wird das auch nicht einfach. Schon klar, du könntest die Firmware zerlegen und dort nach Fehler und eingebetteten Passwörter suchen,
wobei ich bezweifeln würde dass du was finden würdest.

Mein Vorhaben scheint ja schon per Default bei manchen Router zu funktionieren, daher kann ich wohl eher nicht auf den falsche Weg sein:
http://www.tp-link.com/en/faq-444.html

Habe eine mögliche Lösung gefunden:
Den Router flashen und mit Tomato bespielen.
Sollte mind. openvpn ermöglichen und bestenfalls Ipsec L2TP... Hoffe ich einmal. (Wozu brauche ich sonst einen Router mit Dual Core, 60MB Ram... Für ein ADSL 6000?? Hatte vorher ein Gerät aus der Steinzeit, der den Service auch erledigt hat.)

Hier sehe ich gerade dass man nur Router und nicht ADSL Modem + Router flashen kann, damit habe ich wohl keine Chance? Habe ich das so richtig interpretiert?
 
Zuletzt bearbeitet:
WaterCoolMaster schrieb:
Mein Endpunkt ist der Router?? Und die Sicherheit von dem garantiere ich!
Zum Vergrößern anklicken....
Dein ganzer Ansatz entspricht ungefähr dem Versuch ein viereckiges Grundstück durch eine Mauer an einer der vier Seiten vor Einbrechern zu schützen.

Dass LANs in der Praxis so selten verschlüsselt werden hat einen ganz einfachen Grund - wenn Du mit so vielen Clients hantierst und die sich offenbar auch noch so einfach in verschiedene "Sicherheitsklassen" trennen lassen dann gibt es viel einfachere und wirkungsvollere Wege um Sicherheit zu gewährleisten, z.B. einfach die Netze zu trennen. Wenn Du Informationen schützen willst, wie in Deinem Journalisten-Beispiel dann verschlüssele eben die Dateien, so wären Sie auf dem Fileserver auch geschützt.
 
Schon mal an Subnetting gedacht?

Hast du Angst vor Locky?
 
Hier möchte glaube ich auch niemand deine Ideen schlecht machen. Man möchte nur wissen worum es geht, um eventuell eine bessere Möglichkeit zu finden. Das finde ich gerade das gute an nem Forum. Viele verschiedene Gedanken die man sammeln kann...
 
WaterCoolMaster schrieb:
Wäre VM-ware für OS X nicht sooo teuer, hätte ich das bestimmt gekauft, aber für 50 Euro pro aktuelle Version finde ich das nicht ganz preiswert. Da auch
noch jedes Jahr eine neue Version von OS X erscheint müsste man da immer upgraden und deswegen finde ich es etwas zu teuer. Sehe gerade 50 Euro für Upgrade und 80 für eine neue Version falls ich noch nicht Kunde bin.
Zum Vergrößern anklicken....
Nimm halt VirtualBox, das ist kostenlos.
 
Anmelden, um zu antworten.

Ähnliche Themen

M
2 Router mit jeweils eigenem Internetzugang über LAN verbinden
Antworten
8
Aufrufe
389
Hexcode
H
L
Fritzbox 7590 AX / 2.4Ghz Empfang katastrophal, wenn überhaupt
Antworten
15
Aufrufe
2K
†Prometheus†
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
184
justinh999
J
AliManali
Pilot und Copilot können nicht gegenseitig joinen
Antworten
7
Aufrufe
566
AliManali
AliManali
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
895
Pixolantis
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh