DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Netzwerk Traffic mit nload beobachten

Was geht auf einem System eigentlich gerade an Netzwerk Traffic über die Leitung? Wie ist das Verhältnis zwischen Incoming und Outgoing Traffic? Wieviel Bandbreite wird aktuell benötigt? Die Antworten auf solche Fragen können auf Workstations vielleicht interessant sein, auf Servern jedoch unter Umständen wichtig. Unter Linux gibt es dafür das Kommandozeilenwerkzeug „nload“. Das Schöne daran ist, obwohl es in einem Terminal ausgeführt wird, liefert das Tool eine grafische Oberfläche in Form eines Graphen, der Daten in Echtzeit anzeigt. Alle gängigen Linux Distributionen liefern nload in den entsprechenden Repositories mit.

„Netzwerk Traffic mit nload beobachten“ weiterlesen

Netzwerkverkehr mit tcpdump aufzeichnen

Was passiert eigentlich den lieben langen Tag im eigenen Netzwerk? Warum behauptet der Mail Client, dass er keine Verbindung zum Mailserver aufbauen kann? Warum fangen Video Streams im Gigabit Netz plötzlich an zu ruckeln? Wie wird eigentlich ein WLAN gefunden? Das sind alles Fragen, auf die sich pauschal nur mit „Kommt drauf an“ antworten lässt. Soll also genau festgestellt werden, was gerade los ist, muss der Netzwerkverkehr aufgezeichnet und anschließend ausgewertet werden. Im ersten Schritt wird gezeigt, wie der Verkehr mit unterschiedlichen Optionen aufgezeichnet werden kann. Dies kann direkt über den Router (OpenWRT, DD-WRT), einen Raspberry Pi oder einen beliebigen Rechner im Netzwerk geschehen. Im nächsten Schritt wird dann der aufgezeichnete Verkehr mit Filtermöglichkeiten ausgewertet um den Fragen eine Antwort zu geben.

„Netzwerkverkehr mit tcpdump aufzeichnen“ weiterlesen

WLAN Tracking von mobilen Geräten

Mobile Endgeräte sind eine wirklich feine Sache. Damit lässt sich zu jeder Zeit, von jedem Ort aus arbeiten, kommunizieren oder einfach nur Content konsumieren. Die Verlagerung in Richtung der mobilen Geräte wie Tablets oder Smartphones ist nichts Neues, befindet sich aber nach wie vor unaufhaltsam auf dem Vormarsch. Die Industrie hat den Markt bereits voll erkannt und nutzt die Möglichkeiten auch schon kräftig aus, die neuen Technologien gewinnbringend einzusetzen. Eine Möglichkeit bietet das „WLAN Tracking“. Die dahinter steckende Funktion wird benötigt, um automatisch eine Verbindung mit einem WLAN aufbauen zu können. Somit gehört es zu den essentiellen Funktionen eines mobilen Endgeräts. Was passiert jedoch beim WLAN Tracking?

„WLAN Tracking von mobilen Geräten“ weiterlesen

Netzwerkanalyse mit nmap

nmap ist eine Open-Source Software, um das eigene Netzwerk zu analysieren und zu überprüfen. Hierbei ist wichtig zu wissen, dass es aus rechtlichen Gründen nur im eigenen Netzwerk eingesetzt werden darf oder die Genehmigung zum Scannen eines fremden Netzes vorliegen muss! Seit 2007 gibt es den sogenannten Hackerparagraphen „§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten“
, der dem Einsatz gewisser Tools nicht gerade offen gegenüber steht. Dazu gehört auch nmap. Wie soll es jedoch ohne den Einsatz solcher Tools möglich sein, sein eigenes System/Netz auf potentielle Schwachstellen zu prüfen? Nur weil ein Werkzeug eine gewisse Möglichkeit bietet, heisst es nicht, dass es auch genau dafür eingesetzt wird. Eine Kettensäge… Ach lassen wir das…

„Netzwerkanalyse mit nmap“ weiterlesen

OpenVPN Server auf DD-WRT Router betreiben

Um mit einem OpenVPN Client eine sichere Verbindung in ein Netzwerk aufzubauen, ist ein OpenVPN Server auf der Gegenseite Voraussetzung. Wer auf sein eigenes Netzwerk zugreifen möchte, benötigt einen eigenen Server. Ein solcher Server kann z.B. auf einem Raspberry Pi laufen. Auf dem heimischen Router ist dann lediglich eine Portweiterleitung auf den Rasperry Pi erforderlich. Wer die zusätzliche Hardware für einen Server scheut, kann den OpenVPN Server direkt auf seinem Router betreiben. Dazu ist eine OpenSource Router Firmware wie OpenWRT oder DD-WRT notwendig.

„OpenVPN Server auf DD-WRT Router betreiben“ weiterlesen

Internet sharen (NAT) unter Hyper-V

Hyper-V unter Windows 10 bietet „Out of the Box“ keine Möglichkeit, eine Internetverbindung zwischen Host und Gast zu teilen, wie es z.B. unter VMware oder VirtualBox der Fall ist. Ist der Host jedoch über einen HotSpot mit Portalanmeldung oder UMTS/LTE eingewählt, wird es schwer, dem Gast eine eigene IP zur Verfügung zu stellen. Hier muss auf Windows Bordmittel zurückgegriffen werden, um die Internetverbindung zu teilen (NAT).

„Internet sharen (NAT) unter Hyper-V“ weiterlesen