Hallo
Habe DSL mit dem Thompson Speedtouch 510 ADSL Router. Habe auf dem Router NAT eingerichtet und dahinter ein kleines Heimnetz mit einem Server. Soll ich das Heimnetz „zur Sicherheit“ nochmal hinter den Server hängen oder reicht das NAT vom Router?
Noch ne Frage: Ich weiß das passiert wahrscheinlich eh nie, aber da man ab und zu von Fehlern in Cisco Routern und so liest: Ist es möglich von außen in einen Router einzubrechen? Sind beim Speedtouch schon mal Fehler vorgekommen?
Gruß
Fabian
Hallo
Hi,
Habe auf dem Router NAT eingerichtet und dahinter ein kleines
Heimnetz mit einem Server. Soll ich das Heimnetz „zur
Sicherheit“ nochmal hinter den Server hängen oder reicht das
NAT vom Router?
NAT ist kein Sicherheits-feature (auch nicht eins mit Anfuehrungszeichen). Ansonsten wuerde ich das fuer hyperfluid halten, zumal sich der Aerger mit NAT eher steigert, als ohne. Weiteres haengt von den Faehigkeiten des ersten routers ab und von Deiner genauen Netzwerktopologie. (BTW: iptables kann ja noch mehr als NAT.)
aber da man ab und zu von Fehlern in Cisco Routern und so
liest: Ist es möglich von außen in einen Router einzubrechen?
Wenn auf dem router unsichere Dienste laufen: ja. Ansonsten: auch, es ist nur schwieriger.
Sind beim Speedtouch schon mal Fehler vorgekommen?
Keine Ahnung,
Gruss vom Frank.
Habe DSL mit dem Thompson Speedtouch 510 ADSL Router. Habe auf
dem Router NAT eingerichtet und dahinter ein kleines Heimnetz
mit einem Server. Soll ich das Heimnetz „zur Sicherheit“
nochmal hinter den Server hängen oder reicht das NAT vom
Router?
Hast du SNAT oder DNAT eingerichtet? Anders gefragt: bietest du selbst aktiv Dienste an, oder willst du lediglich aus dem Netz heraus Dienste im Internet ansprechen? Im zweiten Fall ist mit SNAT sichergestellt, dass installierte Dienste auf den PC (der ganze verletzliche RPC-Krams bei Windows-Kisten) nicht aktiv aus dem Internet angegriffen werden können (ich nehme einfach mal an, dass dein Router sauber konf. ist). Hast du dir aber irgendeinen Trojaner o. ä., auf welchem Wege auch immer, eingefangen, kann der nach wie vor Verbindungen ins Internet aufbauen. Dies vermeidest du (weitgehend), indem du SNAT auf einige wenige bekannte Ports beschränkst, z. B. http(s), ftp u. ä.
Wenn der Router das selber nicht beherrscht, kann eine zusätzliche Filterung durchaus sinnvoll sein. Zwingend erforderlich für ein Heimnetz ist das m. E. nicht, sinnvoller ist die methodische Sicherstellung der Schädlingsfreiheit im lokalen Netz.
Gruss
Schorsch
Antwort an beide
Hallo
Mein Router akzeptiert Verbindungen auf sich selbst nur aus dem LAN und nie welche aus dem Internet, d.h. von außen keine Dienste ansprechbar. Weiterleiten zwischen LAN und WAN tut er alles, allerdings ist da eben NAT eingeschalten so dass von außen die internen Adressen nie sichtbar sind.
Mir geht es nur ob ich evtl. NAT auf dem Router ausschalten soll und alles direkt auf den (Linux)Server leiten soll (sodass der Router quasi als Bridge fungiert) und auf diesem Linuxserver dann NAT und Iptables einrichten soll.
Is aber IMHO unnötig weil ich keinerlei Dienste nach außen anbiete und deswegen beim NAT auch keine statischen Routen oder so konfiguriert sind.
Meine Frage: Ist es irgendwie möglich bei meiner Konfiguration doch auf die internen IPAdressen zuzugreifen also den Router von außen dazu zu bringen Pakete nach innen weiterzuleiten?
Gruß
Fabian
Wenn auf dem router unsichere Dienste laufen: ja. Ansonsten:
auch, es ist nur schwieriger.
Wie wenn die laufenden Dienste von außen nicht erreichbar sind?
Gruß
Fabian
Hallo Fabian,
Meine Frage: Ist es irgendwie möglich bei meiner Konfiguration
doch auf die internen IPAdressen zuzugreifen also den Router
von außen dazu zu bringen Pakete nach innen weiterzuleiten?
Das Zauberwort da heißt Port Forwarding. Du kannst den Router anweisen einkommende Paketen auf einem bestimmten Port an eine bestimmte IP innerhalb Deines LANs weiterzuleiten. Das brauchst Du zum Beispiel wenn Du einen Webserver betreiben möchtest der aus dem Indernet abrufbar sein soll oder eine Remote-Desktopverbindung gestatten möchtest.
Es gibt auch die DMZ - hier werden einfach alle „unbekannten“ Anfragen an den Rechner weitergeleitet der als Ziel-IP konfiguriert ist. Sicherheitstechnisch ist das jedoch nicht empfehlenswert.
Gruß
Thorsten
Ist es möglich von außen in einen Router einzubrechen?
Wenn auf dem router unsichere Dienste laufen: ja. Ansonsten:
auch, es ist nur schwieriger.
Was meinst Du?
Gruß,
Malte.
Das Zauberwort da heißt Port Forwarding. Du kannst den Router
anweisen einkommende Paketen auf einem bestimmten Port an eine
bestimmte IP innerhalb Deines LANs weiterzuleiten. Das
brauchst Du zum Beispiel wenn Du einen Webserver betreiben
möchtest der aus dem Indernet abrufbar sein soll oder eine
Remote-Desktopverbindung gestatten möchtest.
Das weiß ich eh, ich habe eher gemeint welche Attacken es gibt von außen einen Router so anzugreifen um ihn dazu zu bringen Pakete von außen an eine bestimmte innere IP weiterzuleiten obwohl er nicht sollte.
Gruß
Fabian
Das weiß ich eh, ich habe eher gemeint welche Attacken es gibt
von außen einen Router so anzugreifen um ihn dazu zu bringen
Pakete von außen an eine bestimmte innere IP weiterzuleiten
obwohl er nicht sollte.
Als Antwort auf eine Anfrage von innen gibts genug Attacken. Denk nur an die aktuelle (unbehobene [copyright anno 2525]) windows-jpeg-Schwäche. Per Mail eine falsche Zieladresse vorgejubelt, da muss der Angreifer nicht mal mehr irgendwelche IP-Header auswerten. Dass dir da keine Firewall nix hilft, sondern allenfalls ein Content-Filter, ist nicht weiter erwähnenswert.
Ohne Anfrage von innen muss der Router verletzlich sein. Ob deiner verletz- oder verlässlich ist musst du wohl selbst rauskriegen. Ich halte ein derartiges Angriffsszenario aber für viel zu unwahrscheinlich [*1], um sich im Rahmen eines Heimnetzwerkes damit ernsthaft zu befassen.
Gruss
Schorsch
[*1] für denkbar ja. Durchaus auch für flott realisierbar. Aber im Rahmen deiner und des Crackers Kosten/Nutzenrechnung für viel zu ineffizient. Dich zu berauben gibts billigere Methoden. Der Angreifer müsste automatisieren können, dafür steht er aber einem viel zu heterogenem Umfeld gegenüber.
Danke owT
.
Ist es möglich von außen in einen Router einzubrechen?
Wenn auf dem router unsichere Dienste laufen: ja. Ansonsten:
auch, es ist nur schwieriger.Was meinst Du?
Weiss nicht. Unter der nicht so wirklichkeitsfernen Annahme, dass auf den Heimroutern i.~A. ein minimalistisches Linux 2.2.ranzig werkelt: IIRC gab es fuer den Linux-Kernel auch schon exploits, die ihn mit einem vermurksten Paket dazu brachten, lokale Programme auszufuehren. Kann mich auch taeuschen, Quelle such ich jetzt nicht.
Im Augenblick ist sowieso mein Weltbild zerstoert: ich hab gestern auf dem CLT-kickoff mit zwei Menschen gequatscht, die machen derart perverse Sachen (mit „TCP over ICMP host unreachable“ durch die statefull inspection… *aechz*), dass ich mir dann doch bald einen Seitenschneider greife.
Zerknirschten
Gruss vom Frank.