[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: firewall für banking



Am 28.05.2014 18:03, schrieb casibu:
> Warum ich kein Bankix nehme 

ist, weil ich gerne bastle, ja.
Ja ich nehme dazu ein eigenes live System, das ich extra dazu konfigurieren
möchte.
Gut die Tipps mit dem Browser absichern, CA Liste einrichten, habe ich
schon in
Betrachte gezogen, mir geht es aber erstmal die FW abzuchecken, und dann
Schritt für
Schritt den Rest angehen.


> DNS Traffic verweigern, 

wäre eine gute Idee, aber etwas
umständlich wenn ich neue Seiten nutzen will. Würde das dann heißen:

# abgehende DNS-Anfragen erlauben
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

das ich die Zeile einfach weg lasse?

Wenn ich mich an einem Hotspot per Wlan anmelde, um dann per openconnect eine
Verbindung aufzubauen, dann bin ich nicht sicher ob ich ohne dns auskomme? 
Ich glaube openconnect ruft eine URL auf, keine IP.



> Nicht, nachdem dieses Skript gelaufen ist. DHCP erlaubst Du nicht. Das
> wird wahrscheinlich spätestens dann problematisch, wenn die Lease
> erneuert werden muss.
>

DHCP muss ich dann noch rauslassen:

# abgehende DHCP-Anfragen erlauben
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT

DHCP sollte dann funktionieren?





> Gegen Man-in-the-middle kannst Du Dich mit iptables nicht schützen.
> Dafür brauchst Du vertrauenswürdige Krypto (DNSSEC, SSL/TLS mit
> bereinigtem Zertifikatsspeicher im Browser).
>


Ja das ist kein Schutz gegen MIM.

Gibt es denn freie DNS Server die DNSSEC anbieten, und was müsst ich dann
bei debian konfigurieren, dass so dass nur noch dnssec genutzt wird.
Weil dann ist
mir ja auch wider dhcp im weg, wenn ich z.b. im hotspot ein anderen dns
server bekomme?


Gruß






-------------------------------------------------

VFEmail.net - http://www.vfemail.net
ONLY AT VFEmail! - Use our Metadata Mitigator to keep your email out of the NSA's hands!
$24.95 ONETIME Lifetime accounts with Privacy Features!  
15GB disk! No bandwidth quotas!
Commercial and Bulk Mail Options!  


Reply to: