Netzwerkzugriff
Forumsregeln
Bitte beachte die Forumsregeln!
Bitte beachte die Forumsregeln!
Re: Netzwerkzugriff
Ich setze das bei Gelegenheit mal um. Zu deinem gui Konzept: das war nur so eine Idee. Mit dem Haken hast du natürlich recht.
Raphael
Raphael
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.
Ein Nachteil fällt mir gerade nicht so recht ein ...
Ein Nachteil fällt mir gerade nicht so recht ein ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
- PHabermehl
- Beiträge: 2434
- Registriert: 20 Dez 2014, 22:59
- Wohnort: Bad Hersfeld
Re: Netzwerkzugriff
Ehrlich gesagt habe ich mich schon gewundert, warum da mehr als die MAC passen muß. Ich würde es auch begrüßen, wenn NUR die MAC-Adresse überprüft wird. Auf die Schnelle ist mir da auch kein Nachteil eingefallen.
Gruß
Peter
Gruß
Peter
Re: Netzwerkzugriff
MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ... ... aber dafür bist Du viiiiel zu jung ...
Ich habe es mal auf Mac-Adressen beschränkt. Sollte im nächste Weekly-Build dabei sein ...
Ich habe es mal auf Mac-Adressen beschränkt. Sollte im nächste Weekly-Build dabei sein ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
Re: Netzwerkzugriff
Naja , ich bin 15. Und verfälschte IPs bringen erst was, wenn der ehemalige Besitzer bereits das Netzwerk verlassen hat oder halt per MITM, aber das klären wir besser beim CCC oder so.
Raphael
Raphael
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Sag ich ja. Für den Satz bist Du zu jung. Erklärt Dir bestimmt gleich einer der alten Säcke hier, wo der Satz her kommt ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
-
- Administrator
- Beiträge: 583
- Registriert: 26 Dez 2015, 23:49
- Wohnort: Rhein-Main-Gebiet
Re: Netzwerkzugriff
MAC-Adresse allein sollte eigentlich reichen. Gegen gezielte Angriffe ist das ganze eh kein Schutz (soll es ja auch nicht sein), und automatisierte Scans nach Schwachstellen/offenen Services hält ein simpler MAC-Filter auch schon draußen.MasterOfGizmo hat geschrieben:Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.
Ein Nachteil fällt mir gerade nicht so recht ein ...
Einziger möglicher Nachteil: Kaputte Clients mit nicht eindeutiger MAC-Adresse (schönen Gruß an TI an dieser Stelle ). Wenn man ein solches kaputtes Gerät zulässt, gibt man damit unabsichtlich gleich der ganzen Geräteklasse (die alle dieselbe MAC haben) auf einmal Zugang (und nicht alle kaputten MACs sind so offensichtlich kaputt wie TI's "DE:AD:BE:EF:00:00"). Kann man aber denke ich ignorieren.
MAC auch. Die kannst du dem Netzwerktreiber oft einfach als Parameter mitgeben - und bei manchen Geräten (siehe oben) musst Du das sogar, sonst haben die alle dieselbe MAC-Adresse.ski7777 hat geschrieben:MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.
- PHabermehl
- Beiträge: 2434
- Registriert: 20 Dez 2014, 22:59
- Wohnort: Bad Hersfeld
Re: Netzwerkzugriff
... wird mit UUID-Auswürfeln nicht unter zwei Jahren bestraft oder muß bis zum Morgengrauen hundertmal "Romani ite domum" ...MasterOfGizmo hat geschrieben:Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ...
Sorry für's off topic
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Achja, ich habe auch eingebaut, dass generell keine Verbindungen vom Gateway angenommen werden. Das stört zwar etwas, wenn man seinen Arbeitsplatz-PC für seinen TXT NAT'en lässt. Aber das ist m.E. ein recht seltener Fall. Andersrum können sich hinter dem Gateway beliebig viele Maschinen verstecken, so dass der Mac-Filter dort keinen Sinn gibt.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
Re: Netzwerkzugriff
Möp, Ich mache gerne per Port Forwarding ne Verbindung zum TXT. Das will ich auch in Zukunft noch ohne VPN machen.
Raphael
Raphael
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Na dann kannst Du Dir ja sämtliche Filterei sparen, wenn Du aus dem Internet einfach jedem freien Zugriff auf Deinen TXT gibst. Einfach /etc/init.d/S41netreq löschen und Du hast wieder vollen Zugriff.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
Re: Netzwerkzugriff
Ich habe hier gestern einen TXT frisch Communitysiert , aber leider auch nach einem Neustart kommt keine Firewall-Meldung . Ich werde das gleich mal noch genauer analysieren.
Raphael
Raphael
Re: Netzwerkzugriff
Code: Alles auswählen
Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found
OK
- H.A.R.R.Y.
- Beiträge: 1083
- Registriert: 01 Okt 2012, 08:38
- Wohnort: Westpfalz
Re: Netzwerkzugriff
Hallo zusammen,
in welchem Modus erfolgt denn die Verbindung zum TXT? Gibt er selbst den WLAN-Access-Point oder ist er im (Heim-)WLAN-Netz als eines von mehreren Geräten eingehängt?
Bei mir im Giftschrank tummeln sich Tools wie IPsniffer, MAC-Address-Changer und Co. Dem TXT da ein bekanntes Pärchen unterzujubeln ist mit sowas keine Aktion. Hält er mein olles Laptop damit doch glatt für das Handy seines Herrn.
Gruß
H.A.R.R.Y.
in welchem Modus erfolgt denn die Verbindung zum TXT? Gibt er selbst den WLAN-Access-Point oder ist er im (Heim-)WLAN-Netz als eines von mehreren Geräten eingehängt?
Bei mir im Giftschrank tummeln sich Tools wie IPsniffer, MAC-Address-Changer und Co. Dem TXT da ein bekanntes Pärchen unterzujubeln ist mit sowas keine Aktion. Hält er mein olles Laptop damit doch glatt für das Handy seines Herrn.
Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Dann mach doch gerne einen besseren Vorschlag. Dass man MAC- Adressen verstellen kann haben wir ja bereits diskutiert. Dazu braucht man auch keinen Giftschrank. Das geht bei rkchtigen Betriebssystemen oft mit Bordmitteln.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Du musst nicht suchen, sondern nur netreq neu bauen. Buildroot halt ....ski7777 hat geschrieben:OK ist das zwar nicht, aber ich suche mal weiterCode: Alles auswählen
Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found OK
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
Re: Netzwerkzugriff
So war das im letzten weekly...
- H.A.R.R.Y.
- Beiträge: 1083
- Registriert: 01 Okt 2012, 08:38
- Wohnort: Westpfalz
Re: Netzwerkzugriff
Deswegen hatte ich nach dem Modus der Verbindung gefragt um direkt das Thema zu treffen. So wird es halt unübersichtlich.MasterOfGizmo hat geschrieben:Dann mach doch gerne einen besseren Vorschlag.
Wenn der TXT selbst den WLAN-Accesspoint gibt, erwarte ich ausreichenden Schutz durch SSID (eventuell versteckt) und den Schlüssel. Das kann ja heutzutage (fast) jeder WLAN-Router. Zusätzlich ein MAC-address-filter könnte kontraproduktiv sein weil er kein LAN hat! Klar ist auch das zu knacken. Mikrofon und Kamera per Netzwerk nutzen geht nur mit Erlaubnis (Stufen "nie" / "jedesmal fragen [default]" / "bis Gerät abgemeldet" / "immer").
Wenn der TXT als ein Gerät in einem Netzwerk hängt, sieht die Sache anders aus:
Ist es das eigene 'private' WLAN, kann man das doch anhand der Verbindung erkennen (wiederum SSID und Schlüssel mit denen die Verbindung erfolgte). Wenn nicht gerade Sohnemann als Hobbyhacker den Papa ärgern möchte, ist hier kein weiterer besonderer Schutz nötig. Lediglich bei Benutzung der Kamera sowie des Mikrofons übers Netzwerk würde ich eine entsprechende Abfrage schalten (optional auch abschaltbar in den Stufen "für die aktuelle Session" / "immer").
Der "Convention-Modus" wäre dann: Einbuchen als Teilnehmer ins Convention-WLAN wie gehabt. Anhand der erfolgreichen Verbindung (SSID / Schlüssel) wird erkannt, dass es sich nicht um das eigene 'private' WLAN handelt sondern wir irgendwo in der Wildnis sind. Wer über dieses Netzwerk auf den TXT zugreifen möchte, muss eine passende ID und einen Schlüssel vorweisen. Damit könnte sich ein zusammengehörender Aufbau aus mehreren TXTs (bzw. auch andere WLAN-Geräte die mitspielen) auch wieder zusammenfinden ohne das allzuviel Hantiererei nötig wird. Wenn ID oder Schlüssel nicht passen, ploppt eine Meldung auf dem Bildschirm auf dass der Teilnehmer "<MAC-Address> <IP-Address> <Gerätename>" sich mit dem TXT verbinden möchte. Benutzung der Kamera und des Mikrofons via Netzwerk müssen grundsätzlich immer am TXT erlaubt werden - hier keine Optionen. Ebenso abgeblockt vielleicht der Schreibzugriff auf Dateien?
Und diese Schutzmechanismen (besonders Kamera und Mikrofon) müssen wirklich robust sein gegen alle Versuche sie auszuhebeln.
Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying
- MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Netzwerkzugriff
Hier wird das Script installiert. Kann es sein, dass Peter für sein weekly keinen kompletten Nuebau erzwingt?ski7777 hat geschrieben:So war das im letzten weekly...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32