Sicherheit hinter Router
 

Hallo,

weiß nicht ob es genau hier her passt: Wie sieht es mit der Sicherheit eines Rechners hinter einem Router aus? Angriffe landen ja eigentlich direkt beim Router und dringen nicht zu dem PC dahinter vor.

Kann ein Angreifer denn sehen, welcher Router "vorgeschaltet" ist und diesen aushebeln? Wie ist es, wenn man Ports für Onlinespiele etc. an die lokale IP weitergeleitet hat? Diese lassen sich ja mit bestimmten Tools sicherlich herausfinden. Stellt das eine Gefahr da?

Oder ist man hinter einem Router relativ geschützt? :piggi:

Man ist hinter einem Router relativ geschützt. Aber auch ein Router bringt nix, wenn der User jeden Anhang öffnet, dubiose Seiten besucht oder einfach alles installiert was sich installieren lässt.

Der Router mit seinem OS ist grundsätzlich angreifbar, wobei es sich aber eher um theoretische Konstrukte handelt. Die Anzahl der Rechner hinter einem Router ist heute feststellbar, was aber egal ist, da kein ISP rummuckt.
Grundsätzlich darauf achten, dass der Router nen Packetfilter hat (nen konfigurierbaren) und Zugriffe von aussen mit lokalen IPs auf das Netzwerk per Regeln únterbinden.

Kannst du das näher erläutern? Wenn ich mir z.B. einen Trojaner fange (Adaware & Spybot entdecken manchmal welche :() macht der doch wahrscheinlich nen Port auf meinem Rechner auf und wartet, dass derjenige, der ihn mir untergejubelt hat, Kontakt herstellt. Der andere kann ihn aber ja nicht erreichen, wenn ich den Port nicht im Router weitergeleitet habe. Oder was könnte da passieren? Geht es darum, dass der Trojaner Infos auslesen könnte und diese dem anderen zukommen läßt?

Den letzten Teil versteh ich glaub ich nicht richtig. Mein Router hat einen Paketfilter, der sich auf ausgehende Pakete bezieht. Da ist eingestellt, dass alles raus darf! Ich kann dort aber einstellen, dass nur bestimmte rausdürfen. Meintest du das?

Was sind "Zugriffe von außen mit lokalen IPs"? Zugriffe von außen (über das Internet) erfolgen doch mit externen IPs?

Veilleicht solltest du dich erst einmal grundsätzlich mit der Funktion eines Routers und eines Trojanischen Pferdes (kurz Trojaner) bekannt machen. Ein Trojaner ist nicht zwangsläufig Backdoorprogramm, kann aber. Einen Trojaner wirst DU dir installieren (meist allerdings unbewusst). Und was Ad-Aware und Spybot entdecken, sind (hoffentlich) keine Backdoors.

Die meisten DSL-Router haben nur eine Paketfilter der so eingestellt ist, dass nur von innen angeforderte Paket (nach innen) durchgelassen werden und dass Pakete/Daten die NUR für ein LAN bestimmt sind (z.Bsp. NetBIOS, IPX/SPX, anfragen an lokale IP-Adressen (192.168.x.x) etc..) nicht nach aussen gelassen werden. Da i.A. (im Heimbereich) die IP-Adressen des Heimnetzes aus diesen Bereichen sind, können sie über das Internet gar nicht (direkt) angesprochen werden (192.168.x.x und 10.x.x.x werden im Internet nicht geroutet).

Wie denn?
Durch NAT und Masquerading wird dies verschleiert. Man könnte höchsten (durch sniffing) abschätzen, dass hier mehrere PCs dahinter hängen, aber bestimmt nicht die exakte Zahl. Und es gibt AFAIK noch Zugangsprovider die es (offiziell zumindest) nicht zulassen.
Lasse mich aber gerne (in beiden Fällen) auf einen neueren Stand bringen.

http://www.cs.columbia.edu/~smb/papers/fnat.pdf

Wie die offiziellen Regelungen der ISPs sind weiss ich nicht, jedoch ist bisher kein einziger Fall publik geworden, in dem ein ISP gegn einen Kunden vorgegangen wäre, der gegen die AGB verstossen hat.

Noch was zu den internen IPs, die von aussen kommen:

http://www.dfn-cert.de/infoserv/dib/...us/node14.html

werde es mal lesen, allerdings sagt schon der erste Abschnitt, dass es nur eine Schätzung sein dürfte. :D (bzw. eben seine Grenzen hat)
Habe es jetzt zugegeben nicht ganz durchgelesen, aber eigentlich steht als Essenz drinnen was ich gesagt habe: Durch sniffen kann man schätzen, aber nicht definitiv bestimmen. Linux-Clients, PCs hinter LAN-to-Lan-Routern, Subnetze oder LAN-internernen Proxys dürften ein kleines Problem darstellen. Ist alles vorhanden :-)
Deshalb habe ich bewusst dein "rummucken" durch "offiziell zulassen" ersetzt.
Ja und wenn man dann noch zwischen öffentlichen und privaten IP-Adressen unterscheiden kann, wird es vollständig.
NIEMAND kann dich via Internet DIREKT (ich schrub dieses) mit 192.168.1.2 (oder ähnlichen privaten IP-Adressen) ansprechen, denn sie werden NICHT geroutet (im Internet). Lesen und verstehen. DFN-Cert geht hier einfach (und richtigerweise) von "ordentlichen" Unternehmen mit öffentlichen IP-Adressen aus.
Damit wir uns nicht mißverstehen, natürlich kann und muss ein Router (im Netzwerkverständnis und nicht im Heimnutzerverständnis) auch private IP-Adressen routen, aber die Router im Internet machen dies expliziet nicht, oder was meinst du was die alles mit den Anfragen nach "192.168.1.1" (o.ä.) zu tun hätten *bg* Und selbst wenn sie es täten, "dein DSL-Router" tritt ja nicht mit der Adresse auf und sagt auch dem Internet nicht, dass auf der anderen Seite solche Adressen vorhanden sind.

Hm, hm, hm. Hoffe ich hab das alles halbwegs verstanden...

Es droht also keine große Gefahr? :aplaus:

In der c't wurde das mal näher erläutert. Die schätzungen sind imho recht genau möglich. Auf jeden Fall ist es möglich zwischen einem und mehreren Rechnern zu unterscheiden (was für den ISP relevant wäre).

Habe ich das jemals behauptet?


Führe Diskussionen doch einfach mal ohne solche rhetorischen Konstrukte. Macht das ganze angenehmer und es dem Diskussionspartner leichter nicht auf stur zu schalten.

Jap. Mir ging es um eine grundsätzliche Erläuterung zu dem Thema. Natürlich werden laut RFC Schlagmichtot interne IPs nicht geroutet. Hierbei geht es aber um Ziel- nicht um Source-IPs. Fakt ist nunmal, dass es diese Angriffe gibt (habe sie bei mir im Log auch schon finden können) und dass es wohl auch erfolgreiche Angriffe auf SoHo-Router gab. Ich werde mich jetzt aber nicht durch Google wühlen um Quellen dafür zu suchen. Der geneigte Leser kann sich selbst auf die Suche machen.

Im Übrigen ist es auch echt kein Aufwand, dem Paketfilter zu sagen, er solle eingehende Pakete mit internen IPs als Absenderadresse verwerfen.

€dit: das Sperren interner IPs bei eingehenden Paketen wird übrigens auch von dingens.org empfohlen.

richtig
Es geht um private IP-Adressen und nicht um interne. Sorry, der Unterschied muss sein!
Ist richtig, allerdings sollte ein DSL-Internet-Router (im Normalfall) JEDEN nicht von innen aktivierten Datenaustausch verhindern. Wenn man allerdings bestimmte Anfragen zulässt, dann sollte tatsächlich zusätzlich auf die Absenderadresse gefiltert werden. Dies ist richtig.

Ich mein's meistens nicht so grob wie es vielleicht manchmal klingen mag:party:

Jap, mit intern und privat haste ja recht. War unpräzise meinerseits.:o

In diesem sinne :party:

Ein etwas anderer Ansatz. Hab in irgend einem FAQ won www.ntsvcfg.de (der Linkblock) gelesen, dass eine NAT nicht unbedingt ausreicht. Da diese versucht alle eingehenden Packete auch weiterzuleiten und wenn einem Port kein PC über NAT zugeteilt ist, der Router die Packete an irgend einen (default) PC durchleitet. Hab ich hier aber das erste mal gelesen

http://www.iks-jena.de/mitarb/lutz/u...ewall.html#NAT

kann nicht sagen wieviel da wirklich dran ist...

Wie so vieles von Lutz Donnerhacke/ der Firma IKS GMBH ist es nicht falsch, aber auch nicht unbedingt auf den SoHo-Bereich Einsz-zu-Eins umzusetzen. Donnerhackes Argumente dienen wie meistens auch hier dazu, die sehr viel teureren (aber auch besseren) Sicherheitskonzepte zu untermauern, dies sollten seine Jünger nie vergessen. Die (eigentliche) Zielgruppe ist eine andere.
Zum Thema:
Klar stimmts (so ungefähr).
Nur sind moderne SohHo-DSL-Router (oder sollten) so eingestellt sein, dass Pakete die nicht angefordert wurden (vom LAN), nicht akzeptiert werden (ausser du stellst was anderes ein).
NAT wurde NIEMALS als Sicherheitskonzept entwickelt, sondern immer nur als Mittel zum Zweck um - warum auch immer sei jetzt unerheblich - eine IP-Adresse in eine andere umzusetzen. Jeder SoHo-DSL-Router betreibt übrigens auch Masquerading, also umsetzen einer (bzw. mehrere) IP-Adresse(n) in eine(!) IP-Adresse (mit unterschiedlicher Port-Adressierung).

Wollte dazu mal fragen, wo sehe ich das bei meinem Router? Ich war mal bei meinem Router im Menü und habe nichts von Firewall, Packetilter oder sonst was gelesen... :(

p.S soll ich hier mal meinen hersteller posten oder ist das gefählrich?

Prinzipiell ist es natürlich richtig, wenn dein DSL-Router eine (bekannte) Schwachstelle hätte, du dieses Gerät hier bennen würdest UND man gleichzeitig wüsste, wo (unter welcher IP-Adresse) du zu finden bist. Aber im Normalfall dürfte es kein großes Risiko sein, solange du Passwörter nicht verrätst, eventuelle Fernwartung (vom Internet her) deaktiviert hast, etc.
Aber ob es hilft? :D