Messages

Außer dem Artikel von heise kann ich dazu noch empfehlen:

https://www.linkedin.com/pulse/9-reasons-intercept-https-marnix-dekker
sowie Kris' Blog
http://blog.koehntopp.info/index.php/1280-10-reasons-not-to-do-https-interception/

> Hier tritt aber meine Paranoia in den Vordergrund und sagt mir: "ich vertraue den amerikanischen root Servern nicht". Auf jeden Fall mehr als meinem ISP, aber dennoch.

Das ist aber quatsch. Es ist völlig egal, ob das jetzt ein US Root ist oder nicht, aber irgendwo steht nunmal der Root der Zone bspw. .org. Und das wird dann eben recht häufig auch mal ein US Server sein. Entweder vertraut man DNS oder nicht, da gehört dann Vertrauen in die großen ROOTs mit rein. Die zudem meist Anycast ausliefern und das aus Servern in deiner Nähe, als auch bspw. eben Europa oder Deutschland.

> Nun bietet OpenNIC Tier 1 Root Server an als Alternative, aber wie zum Geier kriegt man das wieder in Unbound konfiguriert frag ich mich da. Fragen über Fragen. :P

Unnötiger schnickschnack meines Erachtens. OpenNIC macht nicht einen eigenen ROOT, sondern macht das um (zu alten Zeiten als es kaum gTLDs gab) eigene Domain TLDs nach eigenem Gusto anbieten zu können. Braucht aber nun wirklich kein Mensch. Dass man mehr freie und performante DNS Server brauchen könnte - keine Frage - dafür ist OpenNIC toll. Aber ich brauche keine alternativen ROOTs mit eigenen eingepflegten Zusatz TLDs denen ich dann auch wieder "trauen" muss, dass sie keine Zone wie bspw. .org mit was eigenem Überschreiben.

> Vor ein paar Jahren gab es da doch mal einen Angriff genau auf diese Art um DNS Anfragen auf Webseiten mit Werbe-Bannern aufzulösen.

Ist bei genug Anbietern und ISPs immer noch Gang und Gäbe. Nicht Werbebanner aber es gibt genug "schlechte" DNSe, die bspw. bei einem NXDomain eigene Seiten ausliefern als "Alternative". Was DNS im Grunde schon kaputt macht (weil es kein negatives Caching gibt, sondern der Client denkt, er hat was korrekt aufgelöst, obwohl es Werbung oder ISP Bullshit ist).

Grüße

Auch wenn OT: Verbunden via VPN oder sonstiges? Generelle DNS Server Settings? NTP?

> Warum...warum...warum nur habe ich schon immer den Eindruck, dass in Deutschland viele Dinge etwas ganz anderes bedeuten als im Rest der Welt.

Verstehe ich nicht was du meinst :) Wie gesagt die Definitionen von DMZ und Co sind älter als Wikipedia ;)

> Warum meine sense Microsoft-Mist auflösen will kannst du sicher auch nicht beantworten, oder?

Doch, das sieht mir nach Windows 8.1 respektive Windows 10 Telemetrie Datenaustausch aus. Zumindest passen die aufgerufenen Domains ziemlich genau :)

Das dachte ich mir dass das jetzt kommt ;) Lies dazu mal den deutschen Eintrag, der ist IMHO korrekter in der Auffassung. Aber auch der englische schreibt nicht "System" sondern "Service". Natürlich wird ein Service exponiert - 80, 443, wasauchimmer :) Aber nicht das komplette System wird exponiert. Nebenbei: Nur weils in Wikipedia steht... und so :D

Ansonsten volle Zustimmung. Bridging etc. sehe ich heute auch eher als überflüssig - es sei denn im Ausnahmefall WLAN im internen Netz wenn da eh nur kontrollierte Clients drin sind (zu Hause bspw.). Aber alles andere sollte man heute durchaus auftrennen und kontrollieren. Da flötet einfach zu viel mit Daten im Netz herum :)

Hallo Helge,

Diskussion ist immer toll, gerade bei solch einem Thema :)

Auch spielt es kaum eine Rolle (bin jetzt lieber etwas vorsichtiger  ;) ) wenn Geräte im LAN stehen und rein Sicherheitstechnisch der Super-GAU sind, aber keine Internetverbindung besitzen. Dafür ist nun mal die Firewall da, um dafür zu sorgen. Auch kann man in LAN mehrere Bereiche mit unterschiedlichen Sicherheitsanforderungen definieren und die  per Router / Firewall von einander trennen.

Also ich finde es durchaus bedenklich, SGAU Geräte im LAN zu haben ;) Das können wie gesagt Gründe sein wie bspw. dass nicht alle Leute auf diese Geräte zugreifen sollen, das kann aber auch schlicht sein, dass diese ggf. trotzdem anfällig sind. Und auch in einem LAN können Probleme auftreten, die Client-induziert sind. Sprich: ein falscher Download/Klick und ein schlechter Tag der AV Software und des Kopfs, der den Rechner bedient und man hat einen Zombie im LAN. Und dann sollte der vielleicht nicht unbedingt an die Kamerabilder, NAS Daten o.ä. so problemlos rankommen. Cryptlocker, Locky und Co. waren da fiese Beispiele. Klar waren da auch mitunter Netzlaufwerke mit drunter die gefallen sind, aber ggf. nicht der ganze Server o.ä. und kann damit wieder aus einem Backup hergestellt werden. Solche Schädlinge scannen ja gerne dann mal ihre Umgebung und je weniger sie dann sehen, umso weniger Blödsinn können sie anrichten.

Eine DMZ kenne ich nur als einen Bereich, der einen geringeren bzw. gar keinen Schutzbedarf hat. Dienste die aus dem Internet erreichbar sein müssen, können nicht zu 100% abgesichert werden. Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten aber das eigentliche LAN nicht zu gefährden.

Geringen würde ich zwar gegen geringeren austauschen, aber ja. Keinen Schutzbedarf gibt es heute eigentlich nirgends mehr. Die Zeiten sind leider vorbei, heute sind da Botnetze, (D)DOS und Co nur Mausklicks und PayPal entfernt und teils als SaaS Lösung outgesourced. Keinen Schutzbedarf gibts heute eigentlich nicht mehr - es sei denn du gießt den Rechner in Blei ein und verbuddelst ihn im Boden :D

Webserver und Co stehen in der DMZ, weil sie Dienste nach außen zur Verfügung stellen (anders als die Clients im LAN) und daher Zugriff von außen brauchen. Aber nur Zugriff auf die Dienste, nicht auf generell alles. Also nur weil ein Server in der DMZ steht, heißt das nicht, dass er nicht firewalled sein kann, sondern nur dass für ihn (überhaupt) ein (strengeres) Regelset definiert ist, als für das LAN (meist Block All).

Wen das ganze Architektur Thema interessiert, dem kann ich auch heute noch den O'Reilly "Building Internet Firewalls" empfehlen. Ja der ist alt (2005) aber es geht da weniger um sich ständig ändernde Filtersyntax und Tools, sondern eher um ganz generell die Nomenklatur und der Aufbau von diversen Firewalling Mechanismen und Architekturen. Zweibein, Dreibein (Mehrbein), nachgeschaltet, etc. Bastion Host, DMZ, usw. werden dort ganz ausführlich behandelt und auch mit Beispielen belegt. :)

> demilitarisiert = kein Schutz = exposed to internet

Interessant, die Auffassung habe ich in 20 Jahren bislang noch nie gelesen :) DMZ heißt m.W.n. in keinerlei Literatur zu Security Konzepten, dass hier komplett "exposed" wird. Das ist eine Auffassung, die irgendwelche günstigen Routerhersteller mal angefangen haben, die den Begriff DMZ plötzlich mit exposed Host gleichgesetzt haben. Aber das war schon damals nicht richtig und für viele sehr verwirrend. "Exposing Services", was eine DMZ tun soll, ist aber nicht gleichzusetzen mit "fully exposed", was leider einige Hersteller verbrochen haben.

Richtig ist aber, dass es in diesem Fall - wenn eigentlich keine Ports nach außen geöffnet werden weil der Zugriff lediglich via VPN erfolgen soll - es keine DMZ im klassischen Sinne ist. Es ist vllt. eher als weiteres LAN zu betrachten, das entsprechend "firewalled" sein sollte. :) Aber ich glaube das artet in Nitpicking bei dem Begriff aus ;)

> In eine DMZ gehören Server die vom bösen Internet und Intranet aus erreichbar sein sollen.

Ich möchte nicht auf Formalien herumreiten, aber laut meinem durchaus begrenzten Wissen ist eine DMZ genau das - eine demilitarized Zone, sprich eine Zone mit sicherheitstechnisch kontrolliertem Zugang. Ob das sich jetzt auf Internet, LAN oder beides bezieht ist eigentlich egal. Im Fall von Kameras wäre das - zumindest wenn man ein Auge Richtung Firmeneinsatz wirft - durchaus beides der Fall, denn ich will ja vielleicht nicht unbedingt, dass andere Leute/Mitarbeiter die Kameras anschauen können, sondern nur ein begrenzter Personenstamm oder nur ich. Also schirme ich hier nicht nur vom WAN, sondern ggf. auch vom LAN ab. Das ist zumindest mein Ansatz dabei. Natürlich: wenn das nicht nötig/gewollt oder gewünscht ist, kann man die theoretisch auch ins LAN packen. Praktisch gab es aber durch die jüngsten IoT Botnetze genug Gründe, solche embedded Server Kisten lieber woanders als ins LAN zu packen ;)

Grüße

Guten Morgen :)

Aaalso:

> Wichtig war es mir die IP Kameras in einer DMZ einzusperren, jedoch über VPN von außen Zugriff zu erhalten.

Das ist schonmal ein kluger Ansatz. Es gibt leidigerweise genug IP Kameras die offen im Netz rumschwirren, weil sie nie sauber abgesichert wurden und der Nutzer "mal eben von unterwegs mit ner App" drauf zu greifen wollte...

> Ports wollte ich auf meiner "FW1" eigentlich keine öffnen und für das VPN lieber eine zweite Firewall "FW2" nutzen.

DAS allerdings macht IMHO überhaupt keinen Sinn. VPN ist ja genau dafür da, eben keine anderen Ports öffnen zu müssen als VPN. Ob das nun auf fwl01 oder fwl02 geschieht ist doch nebensächlich. Im Gegenteil du bekommst eher noch mehr Probleme bezüglich Routing, asymmetrische Routen etc. mit rein als dass es dir effektiv einen Nutzen bringt. Macht aus meiner Sicht überhaupt keinen Sinn (für dich).

> Aus Security Sicht, wie schlimm ist es für IPSec oder OpenVPN Verbindungen von außen (WAN) auf der Firewall zu erlauben und die notwendigen Ports freizuschalten?

VPN sollen Sicherheit bringen. Dass der Dienst entsprechend erreichbar sein muss versteht sich von selbst. Korrekt konfiguriert besteht hier kein Risiko, da sich niemand einloggen kann ohne alle Parameter und Schlüssel zu kennen.

> Bin ich da zu übervorsichtig? Lohnt sich an der Stelle der DMZ Aufwand überhaupt?

Bezüglich der Kameras? JA! Zweite Firewall bzw. extra VPN Gegenstelle - not so much :)

> Die meisten Angriffe von Außen kommen ja eh über 443 und 80/ 8080 oder?

Nö. Darüber kommen die meisten Skriptattacken, ja. Aber Angriffe gibt es inzwischen am Laufenden Band auf die unterschiedlichsten Ports. Gerade wenn bspw. irgend ein IoT Device wie Kamera, Kühlschrank, Toaster etc. eben mal wieder entdeckt wird, dass es unsichere Defaults hat... oder Netgear Router :D

> Ich hatte von einer NAT DMZ Umsetzung aus dem M0n0wall Handbuch gelesen.

DMZ ist Firewall Basic Wissen :D Das hat nicht M0n0wall erfunden ;) Aber schön, dass du die korrekte Implementation von DMZ gelesen hast und nicht das was teils Routerhersteller daraus gemacht haben... *kopfauftisch*

> Aber das kann man ja nicht länger DMZ nennen (im klassischen Sinne),

Warum?

> gerade wenn ich mir was zu UDP hole punching durchlese.  :-\

Was haben Attacken wie diese mit dem Konzept DMZ zu tun? Das Konzept DMZ sieht eine Zone vor, die andere (geringere) Sicherheitsbedürfnisse hat, weil sie Dienste extern bereitstellen (Webserver bspw.) und daher von WAN Seite erreichbar sein sollen, selbst aber bspw. keinen Zugriff aufs LAN haben sollen. Zugriff VOM LAN aus aber soll bspw. gestattet sein etc.

Es geht bei Firewall Architekturen mehr um die Abschirmung von Zonen unterschiedlicher Nutzung und Sicherheit. Bspw. sollte dein LAN bei guter Planung NULL Zugriff von extern brauchen (gut - ist heute mit Spielen etc. auch nicht mehr ganz so einfach ;) aber im Enterprise Sektor gehts genau daraum).

> Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?

Warum funktioniert sie denn nicht? :o

> - Ports auf FW2 öffnen, nicht auf FW 1

siehe oben - m.E. unnötig

> - Das Modem nicht durch eine Fritzbox ersetzen um Doppel-NAT zu verhindern

Doppel-NAT Panik wird überbewertet IMHO. Ich fahre das Setup zwangsweise bei Kabelanbietern schon jahrelang ohne Probleme und mit einem laufenden Cluster hintendran :D

> - Zugriff auf die Kameras (DMZ) aus dem Internet nur über VPN, jedoch ggf. SSH aus dem LAN in die DMZ

Dafür ist so eine DMZ ja da :) Also durchaus richtige Überlegung.

> Ich bin über jede Hilfestellung dankbar. :)

Bitte sehr :D

Wie gesagt denk nicht so überkompliziert (was 2. Firewall mit VPN angeht etc.), das bringt nur wieder neue Probleme und Angriffspunkte mit rein.

- Eine Firewall
- Konfiguration als "Dreibein" - also WAN, DMZ, LAN
- Auf WAN entweder IPsec oder OpenVPN annehmen -> was du willst sei dir überlassen
- Zugriff von VPN auf DMZ erlauben - ggf. zweiten VPN User oder zweites VPN definieren wenn man noch LAN Zugriff möchte und das getrennt sein soll
- LAN Zugriff überallhin(?) erlauben oder eben überall außer DMZ und DMZ nur von bestimmten IPs oder nur auf SSH Port o.ä.
- und dann nach und nach weitere Dinge aktivieren wie deinen Virenscanner etc.

Viele Grüße

Sehr gern. Freut mich dass es geholfen hat.

Ganz doof gesagt wird er für OPNsense schlicht die falsche Architektur haben, denn bislang habe ich nur in Erinnerung, dass es die 16.6.7(?) Version mal als Versucht für den Pi(1) gab. Ein Release für den Pi2 auf Basis von neuem FreeBSD habe ich bislang nirgends gesehen. Deshalb wirst du den Pi momentan noch eher weniger gebrauchen können.

Du könntest auch schlicht die Namen freigeben, die Sense übernimmt dann selbst den Lookup der IPs und das Eintragen in eine Tabelle oder Alias

Vielleicht kennen die meisten einfach M-Net nicht bzw. wie deren Setup aussieht :) So wie ich. Deshalb kann ich dir auch nicht sagen, ob dein Vorgehen korrekt ist, da ich nicht weiß wie die korrekte Einwahl bei M-Net ausschaut.

Gruß

Sorry dass ich ggf. doof nachfrage, aber ist es wirklich ernst gemeint, dass die Weiterleitung auf den SIP Port und die Sprach/Fax Ports von ANY erlaubt werden :o
Das würde im Normalfall dazu führen, dass - so die Sense bei einem SIP Portscan irgendwem auffällt - man recht fix ungebetene Gäste hat die über einen telefonieren können - oder konfiguriert 1&1 seine FB so streng, dass das nicht möglich ist?

Grüße

@Oxy
Finde ich persönlich zu pessimistisch und wir/ich reden hier nicht nur von der Generation Ü40/50. Und die Social Media Generation (Y) ist durchaus in der Lage sowas wahrzunehmen. Wenn sie darauf keinen Bock hat ist das was anderes ;) Aber alle als hoffnungsloses Pack abzustempeln finde ich schon einen extrem pessimistischen Ausblick.

EDIT: Mich hier aber bitte nicht falsch verstehen. Ich bin auf jeden Fall gegen das Aufbrechen von SSL im Betrieb oder in der Firma, jedoch finde ich die Idee für Zuhause "ganz interessant", würde mir den Stress aber nicht machen wollen. :)

Gerade zu Hause finde ich es eben nicht wirklich sinnvoll, denn da ist Aufklärung das wirkungsvollste Mittel und da auch - zumindest in meinem Umfeld bislang - nie vergeudet gewesen. Selbst meine Eltern die auf Ende 60 zugehen, sind in der Lage zu bemerken, dass mit der Bankseite oder dem Zertifikat was nicht stimmt :) Würde man denen das unterschieben, würden sie genau nix bemerken. Das Zert/den Balken nehmen sie wahr. Dass da ein Logo kleiner oder unschärfer ist - meh, das fällt nicht auf. Und inzwischen ist in den aktuellen Browsergenerationen der Klick aufs Schloß etc. so viel einfacher, an die Infos zum Zert zu kommen.

Grüße