Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 19.08.2006 (d.m.y): > Christian Schmidt schrieb: > > > > Diesen Schutz kann man auch erreichen, indem man auf dem eigenen > > Rechner keine via Netzwerk zugaenglichen Dienste betreibt. > > > Man kann schon, aber so paranoid, dass ich mich selbst komplett > aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch > nicht. ;-) Naja, aber SSH bekommt man ja auch ohne iptables IMO hinreichend "dicht"... > > Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden > > schaffen. > > > Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Wenn man nicht aufpasst, kann das aber in Eigen-DOS ausarten. ;-) Gruss, Christian Schmidt -- Wer nichts Böses tut, hat damit noch nichts Gutes getan. -- Karl Heinrich Waggerl signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Christian Schmidt schrieb: > > Diesen Schutz kann man auch erreichen, indem man auf dem eigenen > Rechner keine via Netzwerk zugaenglichen Dienste betreibt. > Man kann schon, aber so paranoid, dass ich mich selbst komplett aussperren will (Zugriff auf Notebook vom Desktop aus) bin ich nun auch nicht. ;-) > Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden > schaffen. > Eben. Die tollen Protokollmöglichkeiten auch nicht zu vergessen. Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Hallo Rüdiger, Rüdiger Noack, 18.08.2006 (d.m.y): > Ich rede von Schutz vor > potentiellen Angreifern, mit denen ich mich bereits in einem Netz > befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Diesen Schutz kann man auch erreichen, indem man auf dem eigenen Rechner keine via Netzwerk zugaenglichen Dienste betreibt. Wenn man moechte, kann man mit iptables ja noch einen doppelten Boden schaffen. Gruss, Christian Schmidt -- Ein guter Propagandist kann sogar mithilfe der Wahrheit überzeugen. -- Wieslaw Brudzinzki signature.asc Description: Digital signature
Re: iptables standortbezogen - oder besser nicht?
Rüdiger Noack schrieb: Max Muxe schrieb: Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Sorry, Rüdiger, ich nahm an: Du bist in beiden Fällen im WLAN unterwegs. Grusz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > > Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein > kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die > rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch > schon ein Paket - whereami vielleicht. > Wie schon erwähnt, das war ursprünglich mein Ansatz. Nur benötige einen Wächter, der mich benachrichtigt, wenn ich mich in ein WPA-Netz eingeklingt habe (genauer gesagt, wenn ich mein WLAN-Adapter in solch einem Netz aktiviert habe). Nix Wächter - nix Automatismus. :-( -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Max Muxe schrieb: > > Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner > Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit > geschrieben. > Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du > das umgestellt hast! > Dies hat mit meinem Anliegen nichts zu tun. Ich rede von Schutz vor potentiellen Angreifern, mit denen ich mich bereits in einem Netz befinde, weil ich mich z.B. per LAN jobbedingt in dieses Netz geklingt habe. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > Einen Rechner mit sensiblen Daten werd' > ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface > spendieren. > Auf einem beruflich genutzten bzw. Firmendaten befinden sich nun einmal sensible Daten, sonst könnte man es gleich zuhause lassen. Und genau dieses Notebook brauche ich auch in Kundennutzen, sonst kann ich dort nicht arbeiten. Mit WLAN hat das nichts zu tun, es hängt normalerweise per LAN in diesen Netzen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: > Trotzdem mache ich bei meinen mobilen Geräten > Zugriffsberechtigungen von anderen Rechnern aus _nie_ von > irgendwelchen statischen Parametern abhängig. Eine geeignete > Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. > Ich nehme gern konkrete Anregungen entgegen. ;-) Wie ich im Ursprungsbeitrag erwähnte, hatte ich standortabhängige iptables-Regeln gebaut. Leider funktioniert die automatische Erkennung von WPA-Netzen nicht, ich muss also manuell die passenden Regeln (bzw. das Script mit dem Regelsatz) starten. Dazu bin ich auf Dauer einfach zu bequem. Wenn mir jemand sagen könnte, wie er das automatisiert, wäre ich sehr dankbar. Andererseits nutze ich nicht selten öffentliche Hotspots der großen Provider, wie sie z.B (natürlich kostenpflichtig) in Hotels angeboten werden. Das sind meist offene Netze. Um diese Netze zu nutzen, kann man sich nicht komplett abschotten, sonst sind diese Netze nicht nutzbar. Ich hatte mir vor Jahren (zu woody-Zeiten) mal verschiedene runlevel für verschiedene Vertrauensstufen gebaut, dies später aber wieder aufgegeben. Mir fällt gerade nicht ein, warum eigentlich. Vielleicht sollte ich dieses "Projekt" wieder aufleben lassen. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Dirk Ullrich schrieb: 2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk Also: Ich bin mal mit meinem "Zaurus + Kismet + Wellenreiter" in meiner Strasse auf und ab gegangen und habe alle Netze und die Mac-Adressen mit geschrieben. Das einzige was mich jetzt bei Dir aufhalten könnte wäre WAP. Gut das Du das umgestellt hast! Grusz P.S.: Es war eine Adresse dabei, deren ID war "erdgeschossrechts", WEP verschlüsselt! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Also sprach Joerg Zimmermann <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 12:18:02 +0200): > Hi, Hoi, > Richard Mittendorfer wrote: > > Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 > > Aug 2006 10:50:32 +0200): > >>> Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem > >Desktop >> natürlich uneingeschränkten Zugriff auf mein Notebook über > >Freigabe der >> IP-Adresse. Wenn ich diese Regel uneingeschränkt > >setze und ich mich mal >> in einem anderen Netz mit gleichen Adressen > >befinde, würde ich ja >> versehentlich unerwünschten Gästen den > >Zugang erlauben. > Wenn ja, dann bleibe ich bei meiner Antwort: Ein > >Angreifer braucht nur die > MAC-Adresse des Rechners des anderen > >Netzes rausbekommen, dem der > Zugriff erlaubt ist. > > > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) > > beim OP wissen. MMn. halt keine wahrscheinliche Situation. > > Aber es kann ja nicht schaden es sicherer zu machen. Kann natuerlich nicht schaden. Eine automatische Moeglichkeit waer' ein kleines Skript, von z.B. if-up aufgerufen, das je nach Umgebung die rules setzt. Kein grosser Aufwand und vermutlich gibt's dafuer auch schon ein Paket - whereami vielleicht. > Ich verwende > auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und > keys]). Den knockd hab ich schon ein paar Jahre im Einsatz. Allerdings nur um bei entfernten Rechner den ssh zu oeffnen - fuer administratives. > -Jörg sl ritch
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 12:05:07 +0200): > 2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) > > beim OP wissen. MMn. halt keine wahrscheinliche Situation. > Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. > Trotzdem mache ich bei meinen mobilen Geräten > Zugriffsberechtigungen von anderen Rechnern aus _nie_ von > irgendwelchen statischen Parametern abhängig. Och, die sind bei mir statisch: sshd und das war's. Damit laesst sich schon so gut wie alles machen, sollts dennoch mal z.B. http sein: 'ssh /etc/init.d/webfs start'. iptables laufen da oft gar nicht erst. > Eine geeignete > Authentifizierung lässt sich in einem solchen Fall immer sicherer > machen. Durchaus, meistens zumindest. Es kommt halt darauf an welche Sicherheit ich auf besagtem Rechner brauche. Einen Rechner mit sensiblen Daten werd' ich klarerweise in kein fremdes Netz haengen oder ihm ein WLAN Interface spendieren. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Hi, Richard Mittendorfer wrote: > Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 10:50:32 > +0200): >>> Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop >>> natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der >>> IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal >>> in einem anderen Netz mit gleichen Adressen befinde, würde ich ja >>> versehentlich unerwünschten Gästen den Zugang erlauben. >> Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die >> MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der >> Zugriff erlaubt ist. > > D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz > befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim > OP wissen. MMn. halt keine wahrscheinliche Situation. Aber es kann ja nicht schaden es sicherer zu machen. Ich verwende auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und keys]). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
2006/8/18, Richard Mittendorfer <[EMAIL PROTECTED]>: D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Ich stimme Dir zu dass dies keine wahrscheinliche Situation ist. Trotzdem mache ich bei meinen mobilen Geräten Zugriffsberechtigungen von anderen Rechnern aus _nie_ von irgendwelchen statischen Parametern abhängig. Eine geeignete Authentifizierung lässt sich in einem solchen Fall immer sicherer machen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Fri, 18 Aug 2006 10:50:32 +0200): > >Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop > > natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der > > IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal > > in einem anderen Netz mit gleichen Adressen befinde, würde ich ja > > versehentlich unerwünschten Gästen den Zugang erlauben. > > Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die > MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der > Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer <[EMAIL PROTECTED]>: Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Thu, 17 Aug 2006 20:18:59 +0200): > 2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: > > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden > > Umgebungen passt geht gegen Null. > > > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > > > Das ist alles andere als sicher: Wenn jemand die MAC-Adresse > rausbekommt, kann er sie bei den meisten Karten mit > ifconfig hw ether > vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. > Dirk sl ritch Ach ja? War die Frage nicht die folgende (Zitat aus dem ursprünglichen Beitrag von Rüdiger N.): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. Dirk
Re: iptables standortbezogen - oder besser nicht?
Also sprach "Dirk Ullrich" <[EMAIL PROTECTED]> (Thu, 17 Aug 2006 20:18:59 +0200): > 2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: > > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden > > Umgebungen passt geht gegen Null. > > > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > > > Das ist alles andere als sicher: Wenn jemand die MAC-Adresse > rausbekommt, kann er sie bei den meisten Karten mit > ifconfig hw ether > vortäuschen. Mir scheint, du hast die (unzitierte) Frage nicht recht verstanden. > Dirk sl ritch
Re: iptables standortbezogen - oder besser nicht?
2006/8/12, Richard Mittendorfer <[EMAIL PROTECTED]>: Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT Das ist alles andere als sicher: Wenn jemand die MAC-Adresse rausbekommt, kann er sie bei den meisten Karten mit ifconfig hw ether vortäuschen. Dirk
Re: iptables standortbezogen - oder besser nicht?
Richard Mittendorfer schrieb: > Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen > passt geht gegen Null. > > -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > Danke, das ist überzeugend. Rüdiger, der sich mal wieder die iptables-Möglichkeiten ansehen muss -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Also sprach Rüdiger Noack <[EMAIL PROTECTED]> (Sat, 12 Aug 2006 07:05:41 +0200): > Moin Hi, > Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem > Desktop > natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe > der > IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich > mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja > versehentlich unerwünschten Gästen den Zugang erlauben. > > Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Nimm eine MAC rule. Die Wahrscheinlichkeit das die in fremden Umgebungen passt geht gegen Null. -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT > Danke und Gruß > Rüdiger sl ritch
iptables standortbezogen - oder besser nicht?
Moin Ich habe mein iptables-Regelwerk auf dem Notebook so aufgebaut, dass es standortbezogen arbeitet. Seitdem ich zuhause auf WPA umgestellt habe, funktioniert aus Gründen, die ich noch nicht herausgefunden habe, die automatische Regelwerkanpassung nicht mehr. Ich muss also iptables manuell neu starten - das nervt etwas. Nun habe ich mir die Frage gestellt, ob ich auf diese Standortabhängigkeit nicht verzichten könnte, habe aber noch offene Fragen. Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Hat jemand ein paar Tipps, wie man hier vorgehen könnte? Danke und Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)