[Wiesel]

Ich glaube nicht dass es ein "Sicherheitsvorteil" ist die "internen" IPs im kompletten Range zu verteilen. Wenn von außen jemand von in den Router kommt ist es eh zu spät, ganz gleich wie viele der "nur" 65000 IPs belegt sind. Abgesehen davon ist es für viele Netzwerkgeräte kompliziert andere zu finden wenn die außerhalb 192.168.X sind, so dass du dir selber ein Bein stellst.

Warum es sicherer sein soll einige IPs statisch zuzuweisen und andere dynamisch erschließt sich mir auch nicht.

Letztlich komme ich immer zum zweiten Satz zurück: wenn einer von außen ins interne Netz gelangt, ist es eh zu spät.

[Sturmovik]

Die Tips sind alle sinnvoll in dem Sinne, dass die Angriffsfläche reduziert wird. Hundertprozentige Sicherheit bringen sie nicht, aber das muss ich dir ja glaube ich nicht erzählen

Die Idee, DHCP nicht alle Adressen ausgeben zu lassen hat weniger etwas mit Sicherheit zu tun, sondern dass man eben einen Bereich für statische IPs freilassen soll, damit nicht plötzlich ein DHCP-konfiguriertes Gerät mit einem statisch konfigurierten Gerät kollidiert.

Ein unpopuläres Subnetz zu wählen, also z.B. mal nicht das übliche 192.168.178.0 der Fritzen o.ä. bringt einem in erster Linie Zeit. Viele Exploits zielen auf eben diese typischen Subnetze, viele Angreifer haben nicht die Geduld, abseits der in den Fertigexploits eingetragenen Netze zu suchen. So kann man z.B. auch eine beliebige IP-Range aus den öffentlichen Adressbereichen nutzen, dann darf ein Angreifer erstmal raten (oder scannen). Natürlich mit dem Nachteil, dass diese IP's dann nicht mehr Richtung Internetz aufgelöst werden.
Ebenfalls sinnvoll ist, das Subnetz kleinzuhalten. Ich bin hier z.B. auf nem /29 unterwegs.

---

kleiner Nachsatz: So schön diese Sammlung von Tips auch ist, sie ist nicht geeignet, dass man sich nach dem Durcharbeiten der Liste sagen kann:"Ich hab meinen Router jetzt soundso konfiguriert, ich bin jetzt sicher!1!einself"
Denn so eine Liste gibt es nicht. (falls einer anderer Meinung ist und sone Liste kennt, bitte Bescheid sagen)

Dieser Beitrag wurde von Sturmovik bearbeitet: 23. Januar 2016 - 21:01

[RalphS]

DHCP macht zwar Spaß, hat aber halt auch den Nachteil - sicherheitstechnisch gesehen -- daß man dem Möchtegern-Mitsurfer komplett automatisch eine gültige Netzkonfiguration in die Hand drückt, die er sich sonst hätte suchen müssen.

Das spielt auch ganz eng mit in die "unüblichen IP-Ranges" rein, wie Sturmovik ja schon andeutete. Wenn in Deutschland jeder zweite Heimnetz-Router eine Fritzbox ist und Fritzboxen standardmäßig mit 192.168.178.0/24 unterwegs sind...

... dann heißt das, auch ohne DHCP füttert man in seinen Piraten-PC ganz einfach "ip=192.168.178.200; sn=255.255.255.0; gw=192.168.178.1; dns=192.168.178.1" und kann sich sicher sein, daß er in einem signifikanten Anteil der deutschen Privatnetze Internet-Hijacking betreiben könnte *und* aufs Privatnetz zugreifen können wird. Einfach deswegen, weil das "alle" so machen.

Angriffsfläche verkleinern heißt Risiken minimieren, und wenn man sein Heimnetz ohne DHCP zB mit einem /29er Netz betreibt (oder halt so klein wie möglich) *und* auch nicht vorne bei "1" anfängt, hat man schon wahnsinnig gute Karten, selbst beim kaputtesten Router noch halbwegs geschützt zu sein. Wenn das Netz auch nur auf 192.168.3.9/29 hört, findet das ohne DHCP kaum ein Angreifer.

Mit DHCP hebelt man sich das natürlich aus.

[RalphS]

Nicht per se. Die Netzwerkgeräte müssen ja auch alle reinpassen ins Netzsegment (maximal 6, einschließlich Router), der Router muß umkonfiguriert werden re: IP-Konfiguration und die Clients auch.

Wenn Du weißt, was Du tust, nur zu. Die privaten Adressräume sind groß genug, daß man da sein kleines Paar-Geräte-Heimnetz irgendwo drin verstecken kann.

Caveat 1, wenn natürlich wer Zugriff auf die Routerkonfiguration kriegt... zuallererst fällt mir da MyFritz ein, wo noch zu fragen ist, wie sicher das ist oder nicht ist.

Caveat 2, ohne DHCP wird über WLAN keine (automatische) Verbindung etabliert, wenn der Client keine gültige IP-Konfiguration mitbringt. Also dahingehend, daß auch auf L2 getrennt bleibt und es keine Assoziation mit dem AP gibt.

Caveat 3, 7 NICs passen nicht in ein /29 Netzwerk rein. Das merkt man spätestens dann, wenn man sich ein zusätzliches Telefon oder Tablet oder Internetkühlschrank oder sonstwas anschafft. Hier muß man dann wissen, wie man seine Netzwerkkonfiguration so ändert (bzw überhaupt erstmal einrichtet) damit 3 oder 5 oder 7 oder 20 Geräte optimal untergebracht werden.

Und Caveat 4, ohne DHCP muß man seine IP-Konfiguration selber im Auge behalten (dokumentieren). Sonst haben irgendwann fünf Rechner drei IP-Adressen.

[RalphS]

Jawohl. Sicherheit opfert Komfort und andersherum auch. Da muß man also einen Mittelweg finden. Was ist Dir wichtig? Was nicht so? Wenn jetzt, sinngemäß, jeden Tag wer ein- und ausgeht, wird das schon irgendwann kritisch, denn derjenige müßte ja dann jedesmal seine Client-Konfiguration ändern.

Hier ist aber zB auch schon die Frage: was soll "LAN" in diesem Kontext sein? "Klassisch", also "Kabel"? Oder pauschal "Heimnetz", also "egal wie, hauptsache verbunden"? Macht aber schon einen Unterschied, ob Funk oder Leine; letztere erlaubt nicht ganz so viele unbekannte "Mitmacher" wie virtuelles Kabel. Entsprechend gibt's für Kabel auch weniger Gründe, DHCP auszumachen, vom allgemeinen Komfort mal abgesehen.

Netzgröße geht aber immer noch zu beschränken. Jedenfalls dann, wenn man entweder DHCP an hat oder aber einen ausreichend guten Blick fürs Netz hat, oder wenn sich "natürlich" nichts ins Gehege kommt. Schwiegermami I und Schwiegermami II sind beide ständig da, aber niemals zusammen, weil die können sich nicht riechen? Okay, die können sich eine IP-Adresse teilen. Und so weiter.

Ich denke, in einem Sicherheitskontext ist die beste Option diejenige, das soweit anzuziehen wie es geht, *ohne* daß man allzusehr "gestört" wird. Desktop-PC steht neben der Fritzbox? WLAN überflüssig. Gibt gar keinen Desktop, sondern Frau und Kind (und man selber) sind eher per Fon oder Tablet oder Laptop daueronline, mal in der Küche, mal im Keller und mal in der Badewanne? Da kann man WLAN nicht ernsthaft abschalten und sagen: nimm Kabel. Und so weiter.

Den Moment, wo man nur noch am Rennen ist und statt Spaß am Rechner bloß noch frustriert ist, weil nichts geht, war es zuviel gewesen und man hat die Schwelle zur Paranoia überschritten.

Dieser Beitrag wurde von RalphS bearbeitet: 22. April 2016 - 20:58

[dale]

SSID verstecken und all das andere ist doch auch nur Schlangenöl wer mit https://s-t-d.org/ und dessen Nachfolgern umgehen kann lässt sich von einem ausgeschaltetem DHCP nicht aufhalten.

Selbst MAC-Filter sind nicht 100%ig sicher trotzdem hab ich die in meinem WLAN an

[RalphS]

Absolute Sicherheit gibt es auch nicht. Aber wie bei Safes läßt sich Sicherheit durchaus an "Dauer bis man einbrechen konnte" messen.

Die SSID wird zB für WPA2 als IV mitverwendet. Liefert man sie also frei Haus, macht man es dem Angreifer einfacher. Darf man sich also mit ausgeschalteter SSID in Sicherheit wiegen? Natürlich nicht. Hat man es damit bequemer? Auch nicht, weil WPS benötigt den Broadcast eben wegen dem bewußten IV, ergo ohne SSID auch kein WPS.

MAC Filter sind da noch ne Stufe drunter. Die halten alles ab, was keine Ahnung hat; der Rest schaut sich ein x-beliebiges aus der Luft gefischtes Paket an (buchstäblich, bei WLAN). Da steht eine gültige MAC-Adresse drin. Ergo, eigene MAC anpassen. Das ist eine Sache von Momenten.

Aber es ist halt ein weiteres Glied in der langen Kette. Jetzt muß der Angreifer nämlich erstmal eine passende MAC-Adresse beschaffen, muß sich dann eine Hash-Kollision berechnen - ohne den IV, wohlgemerkt -- und muß *obendrein* noch eine für das Netzwerk gültige IP-Konfiguration haben (wenn DHCP aus war). Jetzt könnten wir das noch fortführen mit Zertifikaten (WPA-E) - was von Fritzboxen nicht unterstützt wird -- oder einem zugang über einen Proxy, welcher Zugangsdaten benötigt und vielleicht auch noch IP-Filter oder sonstwas verwendet; der Möglichkeiten gibt es viele. Plus, Verbindungsprotokollierung. Aber auch das geht bekanntlich mit Fritzboxen nicht.

Hier macht es einfach die Summe. Klar, wer wirklich unbedingt immer noch da rein will, wird - mit einem gewissen Aufwand -- trotzdem reinkommen können, irgendwann. Aber alle diejenigen, die nicht konkret "zu mir" wollten, sondern einfach nur für Lau ins Internet wollten, oder zum Spaß "irgendwo" rein wollten; alle jenigen also, die eher ziellos unterwegs waren... die lenkt man so von sich auf andere, einfachere Ziele ab. Warum eine passende IP-Konfiguration ermitteln, wenn das Nachbar-WLAN die erfolgreich mitbringt, am besten noch über einen ungesicherten Smart-TV, wo's eh keiner merkt?

Privat ist Netzwerksicherheit zumindest bisher noch hauptsächlich ein Fall von "ich bin nicht da, schau woanders". Das wird natürlich nicht mehr ewig halten, aber... derzeit funktioniert es noch so.