[Sicherheit] WLAN-AP auf Server?!
Hallo! Bitte nicht hauen wegen der blöden Frage, aber macht es sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe (konkret im DSL-Router) oder diesen gleich im Server integriere?! Natürlich jeweils WPA-verschlüsselt usw. Hintergrund ist der, dass ich in meiner Soekris eigentlich eine WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur Server sondern auch gerne AP spielen lassen. Tom -- Wenn die Länge des römischen Grenzwalls unter dem Gesichtspunkt der Chaostheorie (Fraktale) vermessen wird, kann man mit Fug und Recht behaupten: limes - oo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [Sicherheit] WLAN-AP auf Server?!
ja hallo erstmal,.. Am Montag, 10. Juli 2006 09:12 schrieb Thorsten Steinbrenner: Hallo! Bitte nicht hauen wegen der blöden Frage, aber macht es sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe (konkret im DSL-Router) oder diesen gleich im Server integriere?! Natürlich jeweils WPA-verschlüsselt usw. Hintergrund ist der, dass ich in meiner Soekris eigentlich eine WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur Server sondern auch gerne AP spielen lassen. Das ist vor allem sicherheitstechnisch relevant. Es empfiehlt sich, Dienste soweit von einander zu trennen, dass nicht bei Kompromittierung eines Dienstes (z.B. Bug in Samba) andere Dienste, (in die ein Einbruch schwerer ist, aber zugleich schwerwiegendere Folgen hat z.B. Routing) verhindert wird. Du musst davon ausgehen, dass ein AP durch seine Wlan-Antenne und dem erreichbaren Softwarebackend einer erhöhten Gefahr ausgesetzt ist. Letzendlich musst du abschätzen ob du das Risiko tragen willst: Hier: Z.B. Durch einen Exploit im WPA-Backend Zugriff auf die auf dem Fileserver gesicherten Daten nehmen. Keep smiling yanosz
Re: [Sicherheit] WLAN-AP auf Server?!
Jan Luehr schrieb: Das ist vor allem sicherheitstechnisch relevant. Es empfiehlt sich, Dienste soweit von einander zu trennen, dass nicht bei Kompromittierung eines Dienstes (z.B. Bug in Samba) andere Dienste, (in die ein Einbruch schwerer ist, aber zugleich schwerwiegendere Folgen hat z.B. Routing) verhindert wird. Alles klar. Du musst davon ausgehen, dass ein AP durch seine Wlan-Antenne und dem erreichbaren Softwarebackend einer erhöhten Gefahr ausgesetzt ist. Letzendlich musst du abschätzen ob du das Risiko tragen willst: Hier: Z.B. Durch einen Exploit im WPA-Backend Zugriff auf die auf dem Fileserver gesicherten Daten nehmen. Hm, wohl eher nicht. Denke, dass die Trennung in Server einerseits und Router/AP andererseits doch so bleibt, wie sie ist. So weit hatte ich nicht gedacht: ich dachte, wenn jemand den AP hackt, dann hat er quasi nur einen Stecker im LAN, aber noch lange nicht Zugriff darauf. An einen richtigen Exploit hatte ich so nicht gedacht. Also sorry für meine naive Frage und danke f.d. etwas erhellende Antwort! Viele Grüße, Tom -- Es genügt nicht nur, keinen Gedanken zu haben, man muss ihn auch nicht ausdrücken können. -- Kurt Tucholsky -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [Sicherheit] WLAN-AP auf Server?!
Hi Thorsten, Thorsten Steinbrenner schrieb: Hallo! Bitte nicht hauen wegen der blöden Frage, aber macht es sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe (konkret im DSL-Router) oder diesen gleich im Server integriere?! Wie schon in der Antwort von Jan: Ja es macht einen Unterschied! Natürlich jeweils WPA-verschlüsselt usw. Hintergrund ist der, dass ich in meiner Soekris eigentlich eine WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur Server sondern auch gerne AP spielen lassen. Prinzipiell natürlich möglich. Ich möchte nur noch ein paar Dinge zu beiden Varianten los werden. Vielleicht hilft dir das bei der Entscheidung. Szenario 1: AP bleibt AP, Server bleibt Server Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt, damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder http (kein https) auf deinem Router ein, bekommt der Angreifer alle Passwörter auf dem Tablett serviert. Das gleiche gilt für die Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw. liegen alle offen da. Szenario 2: Server spielt den AP Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des APs auch Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir Spaß macht hast du damit eine sehr flexible und meines Erachtens auch sichere Lösung (natürlich nur, wenn es sauber implementiert ist). Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit Debian und IpCop. Da lief als Server OS Debian und per user-mode linux IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt und als Firewall fungiert. Diverse Dienste des Servers waren dann aus dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan. Gruß -Sascha- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [Sicherheit] WLAN-AP auf Server?!
FunkyFish schrieb: Hi Thorsten, Hallo! Szenario 1: AP bleibt AP, Server bleibt Server Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt, damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was Das gilt allerdings doch für beide Varianten, oder?! WPA geknackt heißt Stecker im LAN, unabhängig ob WLAN im Router oder Server. D.h. ein Angreifer könnte alle unverschlüsselten Dinge mitlesen (und das sind ziemlich viele hier im LAN) ins Internet, Spam verschicken usw. usf. unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder http (kein https) auf deinem Router ein, bekommt der Angreifer alle Passwörter auf dem Tablett serviert. Das gleiche gilt für die Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw. liegen alle offen da. Soweit klar. Szenario 2: Server spielt den AP Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des APs auch Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir Spaß macht hast du damit eine sehr flexible und meines Erachtens auch sichere Lösung (natürlich nur, wenn es sauber implementiert ist). Naja, mit geht es mehr um's Lernen als um den Zeitaufwand. Einen Router (fli?) in einer XEN-Umgebung. Hm, das könnte mir schon gefallen. Mal sehen wann ich mal gnz viel Zeit zum Basteln habe. Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit Debian und IpCop. Da lief als Server OS Debian und per user-mode linux IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt und als Firewall fungiert. Diverse Dienste des Servers waren dann aus dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan. Ja, stimmt, du hast recht! Habe die c't im Abo aber daran hatte ich nicht mehr gedacht. Muss ich gleich mal rauskramen um mir Ideen zu holen. Das Problem mit Sicherheitsfragen ist IMHO, dass normale Menschen wie ich gar nicht daran denken, was potentielle Angreifer tun _könnten_ weil eben diesen normalen Menschen sowas nie im Traum einfallen würde... Herzlichen Dank für deine ausführliche Antwort!! Viele Grüße, Tom -- Bill Gates fing in einer Garage an. In Deutschland wäre er damit bereits an der Gewerbeaufsicht gescheitert. -- Roman Herzog -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)