Re: Routing in ein privates geNATetes Netzes?

To: debian-user-german@lists.debian.org
Subject: Re: Routing in ein privates geNATetes Netzes?
From: "M. Houdek" <linux@houdek.de>
Date: Sun, 11 Jan 2009 14:10:20 +0100
Message-id: <200901111410.20845.linux@houdek.de>
Reply-to: maxx@houdek.de
In-reply-to: <200901101118.00768.debian-mailingliste@online.de>
References: <gk2jvn$u7a$1@ger.gmane.org> <20090110000554.GA31847@dserver.dnetz> <200901101118.00768.debian-mailingliste@online.de>

Hallo, Christian

Du solltest einfach:

- noch/erst mal in einschlägige Fachbücher sehen (TCP/IP, DNS)
- versuchen, dich mit den Motiven eines Angreifers vtraut machen.

Am Samstag 10 Januar 2009 11:18:00 schrieb Christian Knorr:
> Am Samstag 10 Januar 2009 01:05:54 schrieb Dirk Salva:
> > On Sat, Jan 10, 2009 at 12:24:57AM +0100, Christian Knorr wrote:
> > > Ja, richtig. Im Falle eines privat betriebenen Webservers schwirrt der
> > > ja auch überall herum. Durch Verlinkungen auf eigene HowTos, Bilder,
> > > und kleine PHP-Scripte z.B.
> >
> > ? Aber doch nicht, wenn man das nur für eine Fernwartung einrichtet.
>
> Es gibt aber kein "wenn" oder "entweder, oder". Wenn man es mit DynDNS
> einrichtet, dann komplett, mit Webserver, und mit Fernwartung (so man die
> denn braucht).

Naja, mit allem, was der über DynDNS eingetragene Rechner netzweit anbietet.

Du könntest ja z.B. nur HTTP(S) öffnen und von dort in einen PW-geschützten 
Ordner über HTTPS ein Script aufrufen, dass andere Dienste auf Wunsch öffnet 
und auch wieder schließt (ich würde zusätzlich ein Timeout einrichten, dass 
den Dienst automatisch abschaltet).

> > Mal ganz davon abgesehen: wer oder was hindert Dich daran, verschiedene
> > Namen/Services für ein und denselben Rechner zu verwenden?
>
> Und die kann man trennen? Verschiedene Namen leiten trotzdem alle Ports auf
> meinen Rechner. Oder? Falls man das tatsächlich trennen kann bitte ich um
> Aufklärung.

Flscah!
Verschiedene Namen verweist (nicht leitet!) der DNS-Server letztlich immer auf 
die gleiche (dynamische) IP (evtl. auf den gleichen IP-Pool). Ports werden von 
DynDNS wie auch von keinem anderen DNS weitergeleitet.

> > > Klar, ich könnte von Zeit zu Zeit meinen DynDNS-Namen verändern, aber
> > > dann
> >
> > Warum sollte man das tun wollen??? Änderst Du auch "von Zeit zu Zeit"
> > den Namen auf Deinem Türschild, damit Dich niemand wiederfindet,
> > ärgerst Dich aber gleichzeitig, weil dann Pakete nicht mehr ankommen?!?
>
> Das ist es ja, warum ich auch sagte, dass es nicht geht. Den Spam hätte ich
> dann nicht, auf einer "den kannst Du attackieren"-Liste stehe ich dann auch
> nicht, aber Besucher auf meinen Seiten habe ich dann auch nicht mehr.

1. Spam kriegst du immer, wenn da ein SMTP-Server läuft. Den kann nur ein 
Filter eindämmen.

2. Auf einer "den kannst du attackieren"-Liste stehst du bestenfalls dann, 
wenn man dich _erfolgreich_ attackieren kann. Dann hast du aber eh schon etwas 
flachs gemacht.

3. Angreifer suchen in der Regel nicht einen bestimmten Rechner, sondern 
irgendeinen Rechner, der ausreichend offen ist. War man dann erst mal 
erfolgreich drauf, findet man den auch immer wieder - egal ob mit oder ohne 
DynDNS o.ä. (bis der Betreiber des Rechners darauf reagiert hat). Der 
kompromittierte Rechner kann dem Angreifer dann neben der aktuellen IP auch 
noch genau mitteilen, wann er erreichbar ist.

> > > Insofern würde ich es mir Heute 2mal überlegen nochmal DynDNS
> > > einzusetzen. Und wenn, dann geheim mit kryptischen Zeichen z.B., aber
> > > nicht mehr offentlich.                    .
> >                                            /|\
> > Ich verstehe Dein Problem damit nicht.      |
>                                               |
> Wer sagt dass ich damit ein Problem hätte?    |
Du sagtest es? ---------------------------------'

> > Wenn Du nicht willst, daß man
> > Deinen Rechner kennt, dann gib's halt nicht weiter.
>
> Vielleicht gibt es einen Kompromiss.
>
> > Aber wenn jemand
> > den Namen kennt, verstehe ich immer noch nicht Dein Problem damit.
> >
> > Du bietest halt nach aussen (nur) die Dienste an, die Du anbieten
> > willst, und gut is'.
>
> Ich habe ja auch keinen SSH-Zugang offen, der OP schon.

Also ganz ehrlich - ich habe auch einen SSH-Port offen. 
Aber mein SSH-Zugang ist deswegen noch lange nicht offen ;-)

> [...]
> Wenn ich Heute für mich einen neuen Internetzugang einrichten würde, dann
> würde ich mir einen Hoster suchen, bei dem ich auch PHP, und am Besten auch
> noch MySQL hätte.
> PHP alleine würde evtl. schon reichen, die Inhalte meines Heim-Servers zu
> includieren, ohne dass man die IP-Adresse oder den DynDNS-Namen sieht.
> Probiert habe ich das nicht, aber es könnte möglich sein.

OK, dann mach das doch so. Richte dir einen Web-Space ein, auf dem ein script 
läuft, dem du beim Online-Gehen deine IP mitteilst und dass dann jeden 
gewüschten Traffic auf deinen Rechner umleitet. Denk aber daran, dass auch die 
Antwortpakete wieder über dieses Script geleitet werden müssen, sonst erkennt 
der Besucher deiner Seite deine IP aus den Antworten.

Mir wäre das zu umständlich. 
Und sicher(er) ist es trotzdem nicht, denn mein Rechner muss ja dennoch aus 
dem Netz erreichbar sein. Die meisten (fast alle?) Angriffe erfolgen nach 
einem erfolgversprechenden Portscan - und dieser erfolgt auf IP-Adressen und 
nicht auf DNS-Namen.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

References:
- Routing in ein privates geNATetes Netzes?
  - From: Rüdiger Noack <ernohl@yahoo.de>
- Re: Routing in ein privates geNATetes Netzes?
  - From: Dirk Salva <dsalva@gmx.de>
- Re: Routing in ein privates geNATetes Netzes?
  - From: Christian Knorr <debian-mailingliste@online.de>

Prev by Date: Re: Routing in ein privates geNATetes Netzes?
Next by Date: Re: xorg von experimental und falsches Tastatur-Layout
Previous by thread: Re: Routing in ein privates geNATetes Netzes?
Next by thread: Re: Routing in ein privates geNATetes Netzes?
Index(es):
- Date
- Thread