lubuntu-lulu
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Hallo, ich möchte gerne bei meinem Speedport Router Ports sperren für eine MAC-Adresse eines Mitbewohners - das geht über die Filterfunktion in der Routerkonfiguration. Ich spreche wie gesagt vom Sperren der Ports von innen nach außen.
Von Außen nach innen sollte ja standarmäßig alles gesperrt sein.
Ich habe mich nun durch die ganzen verschiedenen Protokolle dazugehörigen Ports gelesen, und testweise mal bei mir selbst manche gesperrt. Aber steige noch nicht ganz durch. Die Frage ist welche ich sperren kann und welche ich offen lassen muss zum normalen Surfen. Auf jeden Fall könenn vermutlich gesperrt werden: NNTP, Telnet, SNMP ?, beide VPN Ports ? Den Rest offen lassen ?
Es soll einfach eine weitere profilaktische Sicherheitsmaßnahme im Netzwerk sein, auch wenn bspw. Filesharing-Programme oder Viren sich andere Ports suchen können. Außerdem werde ich versuchen meinem Mitbewohner Linux nahe zu bringen Vordefinierte Sperren Alle TCP-Ports sperren Alle UDP-Ports sperren WWW - HTTP, TCP-Port 80,3128,8000,8001,8080 Sicheres HTTP - HTTPS, TCP-Port 443 E-Mail senden - SMTP, TCP-Port 25 E-Mail empfangen - POP3, TCP-Port 110 News Foren - NNTP, TCP-Port 119 File Transfer - FTP, TCP-Port 21 Telnet Dienst - TCP-Port 23 DNS - UDP-Port 53 SNMP - UDP-Port 161, 162 VPN-PPTP - TCP-Port 1723 VPN-L2TP - UDP-Port 1701 Benutzerdefinierte Sperren: TCP-Portbereiche: UDP-Portbereich:
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8493
|
Eine MAC-Adresse kan man unter Windows und Linux leicht ändern. Das Sperren von Ports von innen hilft auch nur bedingt. Man kann z.B. über einen HTTP-Port einen VPN-Tunnel öffnen. Damit kann man dann wieder auf alle Dienste und Ports zugreifen. Warum soll denn der arme Mensch das Internet nicht richtig nutzen dürfen?
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Hallo Thomas Do: , vielen Dank für deine Antwort.
Du hast Recht mit dem Öffnen eines VPN-Tunnels, aber auf solche Lösungen kommen meist doch eher etwas erfahrenere PC-Nutzer oder ?
Der Mensch hat mir zugesichert nichts in Sachen Filesharing etc. zu machen, aber ich dachte sicherheitshalber sperre ich ein paar Ports, auch wenn diese vlt. umgangen werden (können). Man sollte es eben nicht ohne Hindernisse zulassen.. Das Ändern der MAC-Adresse ist glaube ich auch wieder etwas für erfahrenere Nutzer, auch wenn wir uns einig sein werden, dass solche Dinge nicht schwer sind - Aber die meisten in meinem Umfeld wissen nicht einmal was eine MAC-Adresse denn ist ! Von daher wird so jemand nicht mal auf das Ändern der MAC-Adresse kommen.
Ich sperrte bspw. bei mir selbst eben ein paar Ports und schon kann ich bestimmte Netzwerkprogramme nicht mehr korrekt nutzen - Aber normales Surfen ging eben trotzdem weiterhin.
Falls du dich etwas mehr auskennst, kannst du mir auch aus purer Neugier, sagen ob FTP innerhalb des Browsers normal verwendet wird ? Wenn man Dateien downloaded, ist das dann nicht via FTP schon (klickte letztens im Browser auf ftp-download und der Download im Firefox ging los) ? Oder ist das nur für den Upload via Filezilla o.ä. gedacht ?
Ich möchte einfach Sicherheitsvorkehrungen treffen, selbst wenn diese vlt. mit wenig oder mehr Aufwand überwunden werden können. Es ist z.Bsp. ratsam eine unsichtbare SSID zu wählen oder ?
Ich hoffe ich störe nicht mit meinen zahlreichen Fragen, vlt. hast du ja ein wenig Ahnung und kannst mein Wissen in diesem Bereich erweitern - finde das sehr interessant.
Leo
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
lubuntu-lulu schrieb: Du hast Recht mit dem Öffnen eines VPN-Tunnels, aber auf solche Lösungen kommen meist doch eher etwas erfahrenere PC-Nutzer oder?
Wir haben 2014, das schafft jeder der länger als 1.5 Minuten Lust auf Google hat.
Es ist z.Bsp. ratsam eine unsichtbare SSID zu wählen oder?
Und was bringt das? Viele WLAN Scanner arbeiten passiv, und beim ersten Packet über WLAN ist auch die SSID gratis mit dabei. Mittelständische und Große Unternehmen bekommen dein vorhaben mit vielen 100.000€ nicht gelöst, also solltest du dir die Zeit dafür sparen und das Leben geniesen. Sobald ein Protokoll nach draußen geht bekommt man alles nach draußen, egal wie viel Aufwand man auf das Problem kippt. mfg Stefan Betz
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Wenn man jemandem so sehr misstraut, dass man den Netzzugang einschränken muss, dann würde ich so jemanden gar nicht erst ins Netz lassen. Den Rest hat encbladexp ja schon beantwortet. ~jug
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Ja, okay. Danke für eure Einschätzungen.
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Hätte da nochmal eine Frage. Ging nämlich um einen neuen Mitbewohner, der eben das WLAN mitnutzt. Er nutzt Windows 7 - auch wenn ich ihn zur Verwendung von Linux überreden möchte. Ich gehe davon aus, dass er Malware drauf hat, sein Virenscanner Avast fand nichts, aber Malwarebytes fand bereits nach ein paar Minuten einiges, das aber noch nicht entfernt wurde. Sollte wohl nochmal mit dem Mitbewohner sprechen. Theorethisch könnte jemand ja auch von seinem infizierten Windows-7 Rechner auf den anderen Linuxsystemen eindringen oder ? Oder ist das zu weit gedacht, weil sich kein Hacker der Welt solch eine "Mühe" machen wird. Sollte mich wohl wirklich um dieses Sicherheitsproblem kümmern, aber bin eben noch recht jung und der einzige Zuhause, der ein wenig von IT-Sicherheit versteht bzw. überhaupt halt Computerspezifische Dinge ☺
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8493
|
Windows-Malware funktioniert erst einmal nur auf Windows, stellt also für Linux meist kein Problem dar. Unter diesen Umständen würde ich den Router und die Clients im LAN vernünftig absichern (gutes Administratorpasswort für den Router, keine ungesichterten Freigaben etc.). Man kann ggf. auch dei Kommunikation der Clients untereinander ganz unterbinden. Dann sollte ein infizierter Linuxrechner kein großes Problem für andere Nutzer des LANs sein. Rechtlich könnte aber der Eigentümer des Internetzugangs Probleme bekommen.
|
Creease
Anmeldungsdatum: 18. Mai 2010
Beiträge: 58
|
lubuntu-lulu schrieb: Theorethisch könnte jemand ja auch von seinem infizierten Windows-7 Rechner auf den anderen Linuxsystemen eindringen oder ?
Theoretisch ist alles möglich.
Oder ist das zu weit gedacht, weil sich kein Hacker der Welt solch eine "Mühe" machen wird.
Das wird Dir hier niemand beantworten können. Sehr fahrlässig konfigurierte PCs ermöglichen auch "ohne Mühe" den Zugriff.
Sollte mich wohl wirklich um dieses Sicherheitsproblem kümmern, aber bin eben noch recht jung
... ob nun alt oder jung, dies lasst nicht auf Kompetenzen in der IT-Sicherheit schließen. Zu deiner Frage mit dem W-Lan: Stichwort W-Lan Guest Isolation (= Verbindung der Clients in einem Netzwerk untereinander nicht zulassen). Lässt sich bei den meisten Routern aktivieren.
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Hallo Creease und Thomas, vielen Dank für eure Antworten
Sollte mich wohl wirklich um dieses Sicherheitsproblem kümmern, aber bin eben noch recht jung
... ob nun alt oder jung, dies lasst nicht auf Kompetenzen in der IT-Sicherheit schließen.
Ja, von wahren Kompetenzen in der IT-Sicherheit sollte ich bei mir wohl nicht reden. Meinte damit: ich bin leider der Einzige, der sich überhaupt über diese Dinge Gedanken macht - sich für sie interessiert und auch versucht sie zu verstehen.
Ist nicht immer angenehm als Teenager die Verantwortung für Internetangelegenheiten Zuhause mit all den Sorgen zu übernehmen; wurde schnell als paranoid bezeichnet, als ich es als Gefahr ansah, dass jemand im WLAN-Netz mit Windows surft, welches bestimmt infiziert ist. Abgesehen von den allgemeinen Internetaktivitäten eines "fremden"/neuen Nutzers. Wobei ich schon mehrfach mit dem Mitbewohner über das Thema sprach und er selbst wusste und versicherte Dinge wie illegales Downloaden tunlichst zu unterlassen.
Am Ende ist es wohl eine Vertrauenssache. Auch wenn's mir blöd klingt und mir gar nicht gefällt. Außerdem sind mir die Hände gebunden, kann ihm die WLAN-Nutzung nicht untersagen..
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Na Super, heute durch Telefonieren mit meinem Internetanbieter auf eine DoS-Attacke aufmerksam gemacht worden.
27.10.2014 17:51:36 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
26.10.2014 19:40:44 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
26.10.2014 17:39:24 DoS(Denial of Service) Angriff ICMP TimeStamp request wurde entdeckt. (FW101)
26.10.2014 17:39:22 DoS(Denial of Service) Angriff ICMP TimeStamp request wurde entdeckt. (FW101) Gestern erst noch hat der Mitbewohner auf seinem Windows Malwarebytes laufen lassen und mehrere Sachen gefunden. Kann natürlich auch harmlos sein
(Telekomforum): Es ist der Speedport 723V Firmware 1.11.000 Der hat die tolle Arcadyan "Firewall", die findet immer irgendwelche Angreifer, selbst wenn es nur harmlose Anfragen aus dem eigenen Netz sind die ein wenig schneller kommen.
LG, Leo
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Entzieh ihm den Zugang zu deinem netzt oder sperr in ein Karantänenetz. Internet gibt es erst wieder gegen ordentlich gewartetes Betriebssystem 😉
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Raptor 2101 schrieb: Entzieh ihm den Zugang zu deinem netzt oder sperr in ein Karantänenetz. Internet gibt es erst wieder gegen ordentlich gewartetes Betriebssystem 😉
Hi,
was verstehst du unter ordentlich gewartetem System ? Er nutzt Win7, hat Malwarebytes & Avast Komplettscannen lassen. Kann ihn leider nicht zu Linux zwingen ☺
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
lubuntu-lulu schrieb: Raptor 2101 schrieb: Entzieh ihm den Zugang zu deinem netzt oder sperr in ein Karantänenetz. Internet gibt es erst wieder gegen ordentlich gewartetes Betriebssystem 😉
Hi,
was verstehst du unter ordentlich gewartetem System ? Er nutzt Win7, hat Malwarebytes & Avast Komplettscannen lassen. Kann ihn leider nicht zu Linux zwingen ☺
Naja doch, nix Linux, nix Netzwerk 😉 Du willst jetzt nicht wirklich, dass wir dir Tipps geben wie ein Windows ordentlich administriert 😉
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Raptor 2101 schrieb: Naja doch, nix Linux, nix Netzwerk 😉
Wie Recht ihr doch habt! Du willst jetzt nicht wirklich, dass wir dir Tipps geben wie ein Windows ordentlich administriert 😉
Nee, eigentlich nicht 😉
|