Seite 2 von 4

Re: Netzwerkzugriff

Verfasst: 05 Jun 2017, 21:27
von ski7777
Ich setze das bei Gelegenheit mal um. Zu deinem gui Konzept: das war nur so eine Idee. Mit dem Haken hast du natürlich recht.

Raphael

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 15:39
von MasterOfGizmo
Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.

Ein Nachteil fällt mir gerade nicht so recht ein ...

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 15:45
von PHabermehl
Ehrlich gesagt habe ich mich schon gewundert, warum da mehr als die MAC passen muß. Ich würde es auch begrüßen, wenn NUR die MAC-Adresse überprüft wird. Auf die Schnelle ist mir da auch kein Nachteil eingefallen.
Gruß
Peter

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 15:51
von ski7777
MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 19:30
von MasterOfGizmo
Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ... ... aber dafür bist Du viiiiel zu jung ...

Ich habe es mal auf Mac-Adressen beschränkt. Sollte im nächste Weekly-Build dabei sein ...

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 19:36
von ski7777
Naja , ich bin 15. Und verfälschte IPs bringen erst was, wenn der ehemalige Besitzer bereits das Netzwerk verlassen hat oder halt per MITM, aber das klären wir besser beim CCC oder so.

Raphael

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 19:40
von MasterOfGizmo
Sag ich ja. Für den Satz bist Du zu jung. Erklärt Dir bestimmt gleich einer der alten Säcke hier, wo der Satz her kommt ...

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 20:38
von richard.kunze
MasterOfGizmo hat geschrieben:Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.

Ein Nachteil fällt mir gerade nicht so recht ein ...
MAC-Adresse allein sollte eigentlich reichen. Gegen gezielte Angriffe ist das ganze eh kein Schutz (soll es ja auch nicht sein), und automatisierte Scans nach Schwachstellen/offenen Services hält ein simpler MAC-Filter auch schon draußen.

Einziger möglicher Nachteil: Kaputte Clients mit nicht eindeutiger MAC-Adresse (schönen Gruß an TI an dieser Stelle ;) ). Wenn man ein solches kaputtes Gerät zulässt, gibt man damit unabsichtlich gleich der ganzen Geräteklasse (die alle dieselbe MAC haben) auf einmal Zugang (und nicht alle kaputten MACs sind so offensichtlich kaputt wie TI's "DE:AD:BE:EF:00:00"). Kann man aber denke ich ignorieren.
ski7777 hat geschrieben:MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.
MAC auch. Die kannst du dem Netzwerktreiber oft einfach als Parameter mitgeben - und bei manchen Geräten (siehe oben) musst Du das sogar, sonst haben die alle dieselbe MAC-Adresse.

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 21:14
von PHabermehl
MasterOfGizmo hat geschrieben:Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ...
... wird mit UUID-Auswürfeln nicht unter zwei Jahren bestraft :mrgreen: oder muß bis zum Morgengrauen hundertmal "Romani ite domum" ...

Sorry für's off topic

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 21:19
von MasterOfGizmo
Achja, ich habe auch eingebaut, dass generell keine Verbindungen vom Gateway angenommen werden. Das stört zwar etwas, wenn man seinen Arbeitsplatz-PC für seinen TXT NAT'en lässt. Aber das ist m.E. ein recht seltener Fall. Andersrum können sich hinter dem Gateway beliebig viele Maschinen verstecken, so dass der Mac-Filter dort keinen Sinn gibt.

Re: Netzwerkzugriff

Verfasst: 06 Jun 2017, 22:29
von ski7777
Möp, Ich mache gerne per Port Forwarding ne Verbindung zum TXT. Das will ich auch in Zukunft noch ohne VPN machen.

Raphael

Re: Netzwerkzugriff

Verfasst: 07 Jun 2017, 00:10
von MasterOfGizmo
Na dann kannst Du Dir ja sämtliche Filterei sparen, wenn Du aus dem Internet einfach jedem freien Zugriff auf Deinen TXT gibst. Einfach /etc/init.d/S41netreq löschen und Du hast wieder vollen Zugriff.

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 16:07
von ski7777
Ich habe hier gestern einen TXT frisch Communitysiert :D , aber leider auch nach einem Neustart kommt keine Firewall-Meldung :( . Ich werde das gleich mal noch genauer analysieren.

Raphael

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 16:12
von ski7777

Code: Alles auswählen

Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found
OK
OK ist das zwar nicht, aber ich suche mal weiter

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 17:35
von H.A.R.R.Y.
Hallo zusammen,

in welchem Modus erfolgt denn die Verbindung zum TXT? Gibt er selbst den WLAN-Access-Point oder ist er im (Heim-)WLAN-Netz als eines von mehreren Geräten eingehängt?

Bei mir im Giftschrank tummeln sich Tools wie IPsniffer, MAC-Address-Changer und Co. Dem TXT da ein bekanntes Pärchen unterzujubeln ist mit sowas keine Aktion. Hält er mein olles Laptop damit doch glatt für das Handy seines Herrn.

Gruß
H.A.R.R.Y.

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 21:18
von MasterOfGizmo
Dann mach doch gerne einen besseren Vorschlag. Dass man MAC- Adressen verstellen kann haben wir ja bereits diskutiert. Dazu braucht man auch keinen Giftschrank. Das geht bei rkchtigen Betriebssystemen oft mit Bordmitteln.

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 21:21
von MasterOfGizmo
ski7777 hat geschrieben:

Code: Alles auswählen

Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found
OK
OK ist das zwar nicht, aber ich suche mal weiter
Du musst nicht suchen, sondern nur netreq neu bauen. Buildroot halt ....

Re: Netzwerkzugriff

Verfasst: 18 Jun 2017, 21:41
von ski7777
So war das im letzten weekly...

Re: Netzwerkzugriff

Verfasst: 19 Jun 2017, 07:09
von H.A.R.R.Y.
MasterOfGizmo hat geschrieben:Dann mach doch gerne einen besseren Vorschlag.
Deswegen hatte ich nach dem Modus der Verbindung gefragt um direkt das Thema zu treffen. So wird es halt unübersichtlich.

Wenn der TXT selbst den WLAN-Accesspoint gibt, erwarte ich ausreichenden Schutz durch SSID (eventuell versteckt) und den Schlüssel. Das kann ja heutzutage (fast) jeder WLAN-Router. Zusätzlich ein MAC-address-filter könnte kontraproduktiv sein weil er kein LAN hat! Klar ist auch das zu knacken. Mikrofon und Kamera per Netzwerk nutzen geht nur mit Erlaubnis (Stufen "nie" / "jedesmal fragen [default]" / "bis Gerät abgemeldet" / "immer").

Wenn der TXT als ein Gerät in einem Netzwerk hängt, sieht die Sache anders aus:
Ist es das eigene 'private' WLAN, kann man das doch anhand der Verbindung erkennen (wiederum SSID und Schlüssel mit denen die Verbindung erfolgte). Wenn nicht gerade Sohnemann als Hobbyhacker den Papa ärgern möchte, ist hier kein weiterer besonderer Schutz nötig. Lediglich bei Benutzung der Kamera sowie des Mikrofons übers Netzwerk würde ich eine entsprechende Abfrage schalten (optional auch abschaltbar in den Stufen "für die aktuelle Session" / "immer").

Der "Convention-Modus" wäre dann: Einbuchen als Teilnehmer ins Convention-WLAN wie gehabt. Anhand der erfolgreichen Verbindung (SSID / Schlüssel) wird erkannt, dass es sich nicht um das eigene 'private' WLAN handelt sondern wir irgendwo in der Wildnis sind. Wer über dieses Netzwerk auf den TXT zugreifen möchte, muss eine passende ID und einen Schlüssel vorweisen. Damit könnte sich ein zusammengehörender Aufbau aus mehreren TXTs (bzw. auch andere WLAN-Geräte die mitspielen) auch wieder zusammenfinden ohne das allzuviel Hantiererei nötig wird. Wenn ID oder Schlüssel nicht passen, ploppt eine Meldung auf dem Bildschirm auf dass der Teilnehmer "<MAC-Address> <IP-Address> <Gerätename>" sich mit dem TXT verbinden möchte. Benutzung der Kamera und des Mikrofons via Netzwerk müssen grundsätzlich immer am TXT erlaubt werden - hier keine Optionen. Ebenso abgeblockt vielleicht der Schreibzugriff auf Dateien?

Und diese Schutzmechanismen (besonders Kamera und Mikrofon) müssen wirklich robust sein gegen alle Versuche sie auszuhebeln.

Gruß
H.A.R.R.Y.

Re: Netzwerkzugriff

Verfasst: 19 Jun 2017, 09:34
von MasterOfGizmo
ski7777 hat geschrieben:So war das im letzten weekly...
Hier wird das Script installiert. Kann es sein, dass Peter für sein weekly keinen kompletten Nuebau erzwingt?