-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Johannes,
vielen Dank für Deine Einschätzung! > ich bin erstaunt ob des Umfangs. On 30.03.2014 17:46, Jan Grosser > wrote: >> habe ich eine Anleitung zur EasyBox 904 von Vodafone gefunden, >> die auf einen "ausgewachsenen" Router schließen läßt. Offenbar >> läßt sich da > > Na, sie versprechen viel im Handbuch. Sogar eine Firewall ist an > Bord. > > Ich will nicht davon abraten, aber: > > Diese Art von Geräten ist gut zu dem Zweck, den ISP zu konnektieren > und nach innen auch ein RFC1918-Netz per NAT nach aussen zu routen. > Evtl. auch gut zum Telefonieren. Grundsätzlich wird Sie für diesen Zweck eingesetzt. Port-Forwarding für SSH und https habe ich aber auch aktiviert. Und DDNS+DHCP mache ich auch selbst. > Vertrauenswürdig erscheinen sie mir dennoch keineswegs, da nicht > nur Softwarefehler, sondern herstellerseitig gewiss auch amtliche > oder nichtamtliche Hintertrüren eingebaut wurden. Daher empfehle > ich Dafür gibt es leider eine ganze Reihe Beispiele für ... Warum sollte Vodafones EasyBox da eine Ausnahme machen? Die eigenen Rechner "hinter" dem Router kann man ja theoretisch noch ganz gut schützen. Aber wie der jüngste FritzBox-Hack zeigt, kann ein Unhold, welcher "nur" auf den Router kommt, von dort auch schon eine Menge Unfug anstellen. > dringend, dahinter einen Eigenschutz zu aktivieren, z.B. > Portforwarding auf den sshd Deines Vertrauens auf diesm nur per Key > und nie per Passwort zuzulassen. Ausserdem sollte alles weitere > durch einen solchen Mmh, da ich häufiger SSH-Zugriff über meinen Androiden mache, erschien mir bislang ein starkes Kennwort sicherer als Public Key. Aber wenn der Androide mal abhanden kommt oder ich das Gefühl habe, der ist komprommitiert, dann kann ich ja auch dessen Public Key aus der Datei ~/.ssh/authorized_keys auf dem Server löschen. Innerhalb meines Heimnetzes mache ich bereits Public Key (ist auch viel bequemer ;-) ). Das werde ich wohl mal angehen ... > Server per iptables eingestellt werden, so dass ausschließlich > solche Pakete passieren dürfen, die Du haben willst und alles > andere verborgen bleibt. Das mit der iptables-Firewall auf dem Gerät (Server), den man vom "Internet" aus per Port-Weiterleitung erreichbar macht, ist eine gute Anregung. Da mein Server dieses Jahr eh ein Update bekommen wird (neue, leisere Platte und Debian anstelle von Ubuntu), werde ich das mal auf die ToDo-Liste setzen. Bei mir ist iptables nur schon so schrecklich lange her ... Gruß, Jan - -- /"\ \ / ASCII Ribbon Campaign X against HTML email & vCards / \ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iEYEARECAAYFAlM4V3gACgkQDvfYEG6rFIZH5gCeN7Zft8qG050q9gylaWGQn2nk RXEAn1leSUsiW7fKwy6G2N81QusWz5Yy =GMEM -----END PGP SIGNATURE----- _______________________________________________ Trolug_trolug.de mailing list [email protected] https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
