Netzwerkzugriff

Community-Firmware (cfw), Selbstbaucontroller (TX-Pi, ftduino, usw.), usw.
Forumsregeln
Bitte beachte die Forumsregeln!
Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 05 Jun 2017, 21:27

Ich setze das bei Gelegenheit mal um. Zu deinem gui Konzept: das war nur so eine Idee. Mit dem Haken hast du natürlich recht.

Raphael

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 06 Jun 2017, 15:39

Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.

Ein Nachteil fällt mir gerade nicht so recht ein ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
PHabermehl
Beiträge: 2427
Registriert: 20 Dez 2014, 22:59
Wohnort: Bad Hersfeld

Re: Netzwerkzugriff

Beitrag von PHabermehl » 06 Jun 2017, 15:45

Ehrlich gesagt habe ich mich schon gewundert, warum da mehr als die MAC passen muß. Ich würde es auch begrüßen, wenn NUR die MAC-Adresse überprüft wird. Auf die Schnelle ist mir da auch kein Nachteil eingefallen.
Gruß
Peter
https://www.MINTronics.de -- der ftDuino & TX-Pi Shop!

viele Grüße
Peter

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 06 Jun 2017, 15:51

MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 06 Jun 2017, 19:30

Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ... ... aber dafür bist Du viiiiel zu jung ...

Ich habe es mal auf Mac-Adressen beschränkt. Sollte im nächste Weekly-Build dabei sein ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 06 Jun 2017, 19:36

Naja , ich bin 15. Und verfälschte IPs bringen erst was, wenn der ehemalige Besitzer bereits das Netzwerk verlassen hat oder halt per MITM, aber das klären wir besser beim CCC oder so.

Raphael

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 06 Jun 2017, 19:40

Sag ich ja. Für den Satz bist Du zu jung. Erklärt Dir bestimmt gleich einer der alten Säcke hier, wo der Satz her kommt ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

richard.kunze
Administrator
Beiträge: 583
Registriert: 26 Dez 2015, 23:49
Wohnort: Rhein-Main-Gebiet

Re: Netzwerkzugriff

Beitrag von richard.kunze » 06 Jun 2017, 20:38

MasterOfGizmo hat geschrieben:Belassen wir es beim MAC/IP-Paar oder gehen wir nur auf die MAC-Adresse? Wenn man das später permanent speichert hätte es den Vorteil, dass z.B. das eigene Handy dann auch in anderen Netzen und unter anderer IP erkannt wird.

Ein Nachteil fällt mir gerade nicht so recht ein ...
MAC-Adresse allein sollte eigentlich reichen. Gegen gezielte Angriffe ist das ganze eh kein Schutz (soll es ja auch nicht sein), und automatisierte Scans nach Schwachstellen/offenen Services hält ein simpler MAC-Filter auch schon draußen.

Einziger möglicher Nachteil: Kaputte Clients mit nicht eindeutiger MAC-Adresse (schönen Gruß an TI an dieser Stelle ;) ). Wenn man ein solches kaputtes Gerät zulässt, gibt man damit unabsichtlich gleich der ganzen Geräteklasse (die alle dieselbe MAC haben) auf einmal Zugang (und nicht alle kaputten MACs sind so offensichtlich kaputt wie TI's "DE:AD:BE:EF:00:00"). Kann man aber denke ich ignorieren.
ski7777 hat geschrieben:MAC reicht vollkommen. Ne IP ist in 5sec gefälscht.
MAC auch. Die kannst du dem Netzwerktreiber oft einfach als Parameter mitgeben - und bei manchen Geräten (siehe oben) musst Du das sogar, sonst haben die alle dieselbe MAC-Adresse.

Benutzeravatar
PHabermehl
Beiträge: 2427
Registriert: 20 Dez 2014, 22:59
Wohnort: Bad Hersfeld

Re: Netzwerkzugriff

Beitrag von PHabermehl » 06 Jun 2017, 21:14

MasterOfGizmo hat geschrieben:Wer IP-Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, ...
... wird mit UUID-Auswürfeln nicht unter zwei Jahren bestraft :mrgreen: oder muß bis zum Morgengrauen hundertmal "Romani ite domum" ...

Sorry für's off topic
https://www.MINTronics.de -- der ftDuino & TX-Pi Shop!

viele Grüße
Peter

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 06 Jun 2017, 21:19

Achja, ich habe auch eingebaut, dass generell keine Verbindungen vom Gateway angenommen werden. Das stört zwar etwas, wenn man seinen Arbeitsplatz-PC für seinen TXT NAT'en lässt. Aber das ist m.E. ein recht seltener Fall. Andersrum können sich hinter dem Gateway beliebig viele Maschinen verstecken, so dass der Mac-Filter dort keinen Sinn gibt.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 06 Jun 2017, 22:29

Möp, Ich mache gerne per Port Forwarding ne Verbindung zum TXT. Das will ich auch in Zukunft noch ohne VPN machen.

Raphael

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 07 Jun 2017, 00:10

Na dann kannst Du Dir ja sämtliche Filterei sparen, wenn Du aus dem Internet einfach jedem freien Zugriff auf Deinen TXT gibst. Einfach /etc/init.d/S41netreq löschen und Du hast wieder vollen Zugriff.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 18 Jun 2017, 16:07

Ich habe hier gestern einen TXT frisch Communitysiert :D , aber leider auch nach einem Neustart kommt keine Firewall-Meldung :( . Ich werde das gleich mal noch genauer analysieren.

Raphael

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 18 Jun 2017, 16:12

Code: Alles auswählen

Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found
OK
OK ist das zwar nicht, aber ich suche mal weiter

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 18 Jun 2017, 17:35

Hallo zusammen,

in welchem Modus erfolgt denn die Verbindung zum TXT? Gibt er selbst den WLAN-Access-Point oder ist er im (Heim-)WLAN-Netz als eines von mehreren Geräten eingehängt?

Bei mir im Giftschrank tummeln sich Tools wie IPsniffer, MAC-Address-Changer und Co. Dem TXT da ein bekanntes Pärchen unterzujubeln ist mit sowas keine Aktion. Hält er mein olles Laptop damit doch glatt für das Handy seines Herrn.

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 18 Jun 2017, 21:18

Dann mach doch gerne einen besseren Vorschlag. Dass man MAC- Adressen verstellen kann haben wir ja bereits diskutiert. Dazu braucht man auch keinen Giftschrank. Das geht bei rkchtigen Betriebssystemen oft mit Bordmitteln.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 18 Jun 2017, 21:21

ski7777 hat geschrieben:

Code: Alles auswählen

Starting netfilter: /etc/init.d/S41netreq: line 17: /usr/bin/netreq_setup.sh: not found
OK
OK ist das zwar nicht, aber ich suche mal weiter
Du musst nicht suchen, sondern nur netreq neu bauen. Buildroot halt ....
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 18 Jun 2017, 21:41

So war das im letzten weekly...

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 19 Jun 2017, 07:09

MasterOfGizmo hat geschrieben:Dann mach doch gerne einen besseren Vorschlag.
Deswegen hatte ich nach dem Modus der Verbindung gefragt um direkt das Thema zu treffen. So wird es halt unübersichtlich.

Wenn der TXT selbst den WLAN-Accesspoint gibt, erwarte ich ausreichenden Schutz durch SSID (eventuell versteckt) und den Schlüssel. Das kann ja heutzutage (fast) jeder WLAN-Router. Zusätzlich ein MAC-address-filter könnte kontraproduktiv sein weil er kein LAN hat! Klar ist auch das zu knacken. Mikrofon und Kamera per Netzwerk nutzen geht nur mit Erlaubnis (Stufen "nie" / "jedesmal fragen [default]" / "bis Gerät abgemeldet" / "immer").

Wenn der TXT als ein Gerät in einem Netzwerk hängt, sieht die Sache anders aus:
Ist es das eigene 'private' WLAN, kann man das doch anhand der Verbindung erkennen (wiederum SSID und Schlüssel mit denen die Verbindung erfolgte). Wenn nicht gerade Sohnemann als Hobbyhacker den Papa ärgern möchte, ist hier kein weiterer besonderer Schutz nötig. Lediglich bei Benutzung der Kamera sowie des Mikrofons übers Netzwerk würde ich eine entsprechende Abfrage schalten (optional auch abschaltbar in den Stufen "für die aktuelle Session" / "immer").

Der "Convention-Modus" wäre dann: Einbuchen als Teilnehmer ins Convention-WLAN wie gehabt. Anhand der erfolgreichen Verbindung (SSID / Schlüssel) wird erkannt, dass es sich nicht um das eigene 'private' WLAN handelt sondern wir irgendwo in der Wildnis sind. Wer über dieses Netzwerk auf den TXT zugreifen möchte, muss eine passende ID und einen Schlüssel vorweisen. Damit könnte sich ein zusammengehörender Aufbau aus mehreren TXTs (bzw. auch andere WLAN-Geräte die mitspielen) auch wieder zusammenfinden ohne das allzuviel Hantiererei nötig wird. Wenn ID oder Schlüssel nicht passen, ploppt eine Meldung auf dem Bildschirm auf dass der Teilnehmer "<MAC-Address> <IP-Address> <Gerätename>" sich mit dem TXT verbinden möchte. Benutzung der Kamera und des Mikrofons via Netzwerk müssen grundsätzlich immer am TXT erlaubt werden - hier keine Optionen. Ebenso abgeblockt vielleicht der Schreibzugriff auf Dateien?

Und diese Schutzmechanismen (besonders Kamera und Mikrofon) müssen wirklich robust sein gegen alle Versuche sie auszuhebeln.

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 19 Jun 2017, 09:34

ski7777 hat geschrieben:So war das im letzten weekly...
Hier wird das Script installiert. Kann es sein, dass Peter für sein weekly keinen kompletten Nuebau erzwingt?
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Antworten