|
Hallo Björn,
On 12.11.2013 15:21, Bjoern Meier wrote: Stichwort: Zwangstrennung mit folgender Neuverbindung, in der Regel mit einer neuen IP-Adresse.hi, Am 12. November 2013 15:31 schrieb Hugo Wau <hugowau@gmx.net>:Hallo Björn, Konrad, die Welt ist bunt, aber jeder findet in seiner eigenen Welt nur schwarz-weiße Antworten, nämlich gut oder schlecht. Es gibt nicht nur verschiedene Sicherheitskonzepte, sondern auch verschiedene Sicherheitsstufen. Für den DSL-Anschluss, privat oder im Kleinunternehmen ist doch wohl eine Kombination aus NAT mit Firewall, wie sie in einer Fritzbox etc. realisiert ist, (man kann auch einen Linux-Rechner für diesen Zweck nutzen), ausreichend geanuso ausreichend, wie ein Türschloss und Zündschloss für das Auto. Ich würde das, was am weitesten verbreitet ist, einfach (dynamisch, so wie beim Auto die Wegfahrsperre dazu gekommen ist) als den 'Stand der Technik' ansehen.Tust du das? fein. Okay. Also im Privaten. Gern. Ein simples Beispiel: Ein Fahrrad 2000€, ein Schloss 30€. Reicht ja. Denkste. 20 Sekunden mit Lockpick und tension wrench. Auch hier muss man überlegen. Sorry, aber dieses Argument 'privat' lasse ich nicht mehr gelten. Wenn ich sehe wie viele dial-ups Zombies bei meinen Servern anklopfen und versuchen mit den ewig gleichen Methoden nut den SMTP abtasten vergeht es mir. Und nein, es sind nicht alles gecrackte asiatische Windows-Maschinen. Das Internet ist ein Mesh aus unabhängigen Unternetzen. Insofern hat jeder die selbe Verantwortung egal ob privat oder professionell. Das ist meine Meinung. Doch hier kämpfe ich seit Jahren gegen Windmühlen mit laxer Einstellung.Für breitbandigere Zugänge und für Server-Dienste dahinter (feste IP), auch wenn man nur einen Server beim Hoster stehen hat, sollte die Sicherheit viel spezifischer ausgelegt werden. Wo es um die Sicherheit von kritischen Daten geht, braucht es noch mehr Aufwand, diese vor allen bekanntermaßen möglichen - Attacken zu schützen. Und wo es um Server geht (Datenbanken z.B.), die nicht ausfallen dürfen, braucht es noch mehr Aufwand. (Das ist soweit meine laienhafte Sicht mit Resten von Wissen aus alten Zeiten in Netzwerken verschiedener Größe.)S. oben.NAT kommt selten alleine, sondern meist wird jeden Tag die IP gewechselt, ääh, bitte was? Näher erklären bitte, das lese ich zum ersten mal. https://de.wikipedia.org/wiki/Zwangstrennung (Ein echtes Problem für VoIP-Nutzung.) Selbst bei einem Provider, bei dem ich eine feste IP-Adresse hatte, hat es diese Zwangstrennung gegeben, (an der angeblich die Telekom hat schuld sein sollen). Ich habe aber auch schon verschachteltes NAT erlebt, wo der Provider selbst in ein privates Netz NAT-et und dem SOHO-Anwender eine 10.x.x.x Adresse zuweist, der dann nochmals selbst eine NAT-Box betreibt (die hoffentlich auch eine zumindest rudimentäre Firewall beinhaltet.) Entschuldigung, als ich studiert habe, hat es noch keine Netzwerke (Deqnet und Tokenring kamen später) gegeben. Ich sehe bei Debian zwei Pakete, die ich gerne eingesetzt habe: 'dnamasq' für die DNS-Adressvergabe und NAT-Routing und 'iptables' für die erste Stufe der Sicherheit, deshalb habe ich NAT und Firewall getrennt erwähnt, es sind zwei verschiedene Debian Pakete (eines für die Funktion, das andere als eine Stufe zu mehr Sicherheit).was auch die Sicherheit etwas erhöht und wer keine Firewall im NAT-Router unterbringt, ist selber schuld.Aha. Wenn die Firewall nicht selbst routet, sondern eine firewall vor dem Router und jeweils eine hinter dem Router (pro Department) sitzt, ist auch schlecht, mh? Oh man, diese Aussagen hier, allmählich bekomme ich Gänsehaut. Internetführerscheinpflicht einführen? Auch für jeden Besitzer eines Smartphones?Ich denke, einfach, wir sollten verschiedene Sicherheitsstufen differenzieren zwischen der Wahrscheinlichkeit eines Angriffsschadens und der Höhe des Schadens, der angerichtet werden kann.Soll ich dir mal ein nächtliches Protokoll zukommen lassen, allein für automatisiertes Abtasten von öffenlichen Subnetzen (also nur meinen host innerhalb, mehr hab ich nicht *hust*), da wird dir schlecht, was da alles abgegrast wird. Und ja, Autop0wnen klappt erstaunlich häufig. Es gibt noch so viele private Leute, die einen IIS4/5 im Internet stehen haben. Grauenhaft. Unterschätzt NIE die Fahrlässigkeit von Menschen. Meine Erfahrung. Gut, Du möchtest ein sicheres Internet haben, aus dem heraus du weniger Angriffe erlebst. (Wie wäre es dann mit Blacklists schon am Router davor? Und wenn der Provider das machen würde, wie weit sind wir dann von der Zensur entfernt?) Das sehe ich trotz meiner Bedenken als eine berechtigte Forderung, die Durchzusetzen ich mich aber nicht in der Lage sehen würde. Ich sehe es trotzdem kommen, genauso, wie an gewöhnlichen DSL-Anschlüssen operierende SMTP-Server, schon lange weitgehend geblacklistet sind. Mir reicht es, meine eigenen Systeme vor Angriffen aus dem Internet - so gut ich das halt kann - zu schützen. An der Stelle gehen halt Deine und meine Ansichten auseinander. Ich kann damit leben. MfG Hugo |