Kann jemand eine brauchbare USB Netzwerkkarte empfehlen? 100BaseT reichen vollkommen aus.
Ich müsste meinen Rechner mal in ein zweites VLAN befördern. PCIe ist nichts mehr frei (wie auch bei mini ITX Boards?)
Kann jemand eine brauchbare USB Netzwerkkarte empfehlen? 100BaseT reichen vollkommen aus.
Ich müsste meinen Rechner mal in ein zweites VLAN befördern. PCIe ist nichts mehr frei (wie auch bei mini ITX Boards?)
Kann jemand eine brauchbare USB Netzwerkkarte empfehlen?
Hab von denen hier mittlerweile drei Stück, funktionieren super: https://www.amazon.de/gp/product/B008Y6SPN6/
Was spricht dagegen auf den vorhandenen Ethernet Port einfach VLANs zu konfigurieren? Selbst Windows kommt mit VLANs klar.
Display MoreAlso die Tatsache, dass mam durch die Änderung des Ports potentielle Angreifer außen vor lässt, macht es für mich zu einem sicherheitsrelevanten Punkt.
Wenn alle ihre Fahrräder außen vor dem Haus parken, wo ständig wer vorbei kommt und sie versucht zu klauen, ... Ich meins aber hinter dem Haus abstelle, wo keiner vorbei kommt ... ist es in meinem Augen sicherer.
Klar kommt es auch auf das Schloss an. Und klar, wenn wer das Teil klauen will, schafft er es auch.
Just my 5 Cents
Um mal bei deinem Fahrradvergleich zu bleiben: Mit geänderten Port steht das Fahrrad nicht mehr direkt neben der Haustür, aber es steht immer noch an einer zufälligen Stelle direkt an der Hauswand, die man durch einmaliges herumlaufen finden kann. Ähnlich ist es auch beim ändern des Ports. Jemand, der es wirklich auf deinen Server abgesehen hat, wird einen Portscan durchführen, um so herauszufinden, welche Dienste wo laufen. Der Angriff verlängert sich nur um den Portscan, ansonsten bringt es nichts im Punkt Sicherheit.
Und natürlich nützt dem Angreifer auch der Port nichts, wenn kein root Zugriff möglich ist und ich ein starkes Passwort verwende, bzw. einen Key. Wobei ich ersteres bevorzuge. Daher sehe ich das Ändern des Ports auch nicht als wirklichen Sicherheitsgewinn an.
EDIT: Und wer zu oft probiert wird ja dann von fail2ban geblockt.
Hay,
Kann jemand eine brauchbare USB Netzwerkkarte empfehlen?
ich habe einen USB-Hub im Einsatz, der auch einen Gigabit Ethernet-Port enthält und ich bin extremst zufrieden. Er ist sowieso einer der besten und stabilsten Hubs überhaupt (Transfer SSD auf USB-Stick, beide am Hub, mit der maximal möglichen Geschwindigkeit der Geräte, schon viele Male 150GB in einem File kopiert ohne einen Aussetzer).
Es ist der Aukey USB 3.0 6-Port (+1 Ladeport) + Gigabit Ethernet -> https://amzn.to/2KK8lan. Zumindest bei mir wird er derzeit für 20 Euro angezeigt... gerade ein Schnapper
CU, Peter
Um mal bei deinem Fahrradvergleich zu bleiben: Mit geänderten Port steht das Fahrrad nicht mehr direkt neben der Haustür, aber es steht immer noch an einer zufälligen Stelle direkt an der Hauswand, die man durch einmaliges herumlaufen finden kann. [..]
Was zu folgendem Vorteil führt: Ein Dieb, der mit dem Transporter vor Hunderten von Häusern vorgefahren kommt, kann mein Fahrrad nicht mehr klauen, weil er es nicht findet. Der hat keine Zeit zu suchen, sondern fährt weiter zum nächsten Haus.
Genau darum geht es mir auch, wenn ich den SSH-Port ändere. Ich möchte keinen Angriff verhindern, sondern automatisierte Bot-Logins unterbinden. Diese Bots machen keinen Portscan.
Richtig, aber die hätten sowieso keinen Erfolg wegen unbekanntem Benutzernamen und starkem Passwort + Fail2Ban, daher ist es völlig egal, ob die sich am Port 22 abarbeiten oder nicht. Nach 5 Fehlversuchen innerhalb vordefinierter Zeit ist erst einmal Schluss.
Daher sehe ich auch nur den Vorteil der weniger zugemüllten Logfiles.
Was zu folgendem Vorteil führt: Ein Dieb, der mit dem Transporter vor Hunderten von Häusern vorgefahren kommt, kann mein Fahrrad nicht mehr klauen, weil er es nicht findet. Der hat keine Zeit zu suchen, sondern fährt weiter zum nächsten Haus.
Genau darum geht es mir auch, wenn ich den SSH-Port ändere. Ich möchte keinen Angriff verhindern, sondern automatisierte Bot-Logins unterbinden. Diese Bots machen keinen Portscan.
So schaut's aus.
...wenn ich irgendwann die Muße hab, Portknocking einzurichten, werde ich das zusätzlich tun. Der Port bleibt aber verlegt und f2b darf trotzdem bannen
Um den Fahrradvergleich noch zu ergänzen. Es müsste sich um ein Fahrrad in einem gepanzerten Stellraum handeln, der 24/7 von Wachleuten bewacht wird, welche bei fünf maligem Fehlversuch das Schloss zu öffnen, die Person vom Grundstück verweisen und nicht mehr drauf lassen. Und bei einem geänderten Port steht dieser gepanzerte Raum mit Wachleuten eben nicht mehr neben der Haustür, sondern wo anders am Haus, so jetzt passts
Richtig, aber die hätten sowieso keinen Erfolg wegen unbekanntem Benutzernamen und starkem Passwort + Fail2Ban, daher ist es völlig egal, ob die sich am Port 22 abarbeiten oder nicht. Nach 5 Fehlversuchen innerhalb vordefinierter Zeit ist erst einmal Schluss.
Daher sehe ich auch nur den Vorteil der weniger zugemüllten Logfiles.
Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern
Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern
Zur Not hackt man sich selbst noch nen paar Server ?
Display MoreAlso die Tatsache, dass mam durch die Änderung des Ports potentielle Angreifer außen vor lässt, macht es für mich zu einem sicherheitsrelevanten Punkt.
Wenn alle ihre Fahrräder außen vor dem Haus parken, wo ständig wer vorbei kommt und sie versucht zu klauen, ... Ich meins aber hinter dem Haus abstelle, wo keiner vorbei kommt ... ist es in meinem Augen sicherer.
Klar kommt es auch auf das Schloss an. Und klar, wenn wer das Teil klauen will, schafft er es auch.
Just my 5 Cents
ich leg meine 5 dazu
Was spricht dagegen auf den vorhandenen Ethernet Port einfach VLANs zu konfigurieren? Selbst Windows kommt mit VLANs klar.
Mein Rechner ist an meinem Router angeschlossen (OpenWRT 15.05) und die VLANs manage ich über meinen Switch.
Somit müsste ich zwischen Switch und Router einen Trunk einrichten und einen weiteren (bzw. beide VLANs in Ri. Rechner taggen) zwischen Router & Rechner.
Der Router hatte aber in der Vergangenheit so seine Probleme mit VLANs.
Außerdem kann man ein Kabel schneller in ein anderes VLAN patchen, als den Port am Switch umzukonfigurieren.
Es ist der Aukey USB 3.0 6-Port (+1 Ladeport) + Gigabit Ethernet
Sieht sehr gut aus, danke.
Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern
Schade, dass es "Wetten, dass..?" nicht mehr gibt:
QuoteIch wette, dass ich schneller von einem zero-day-exploit mitbekomme und diese Lücke patche als dass John the hacker seinen Portscan beendet hat.
Der Router hatte aber in der Vergangenheit so seine Probleme mit VLANs.
Außerdem kann man ein Kabel schneller in ein anderes VLAN patchen, als den Port am Switch umzukonfigurieren.
Das hört sich irgendwie komisch an. Gerade wenn etwas wie OpenWRT mit VLANs Probleme hat...
Das einzige was bei VLANs welche unter Linux konfiguriert wurden an vielen Switches nicht funktioniert, ist wenn man auf einer Bridge VLANs und untagged Traffic vermischt. Da kommt der Netzwerkstack nicht mit den unterschiedlich großen Paketen zurecht. Ich musste schon in mehreren Setups deswegen zwei Kabel zwischen Switch und Router ziehen. Eins für den untagged Management Traffic und eins für die VLANs.
Wenn man ohne Bridges auskommt ist dies allerdings kein Problem.
Blöd gelaufen: Gerade eine Domain zu netcup umgezogen, und zwanzig Sekunden später das hier entdeckt: https://www.netcup-sonderangeb…in/30-euro-wechselrabatt/
Ich hoffe das gilt nur für Neukunden
Blöd gelaufen: Gerade eine Domain zu netcup umgezogen, und zwanzig Sekunden später das hier entdeckt: https://www.netcup-sonderangeb…in/30-euro-wechselrabatt/
Ich hoffe das gilt nur für Neukunden
Wenn man ohne Bridges auskommt ist dies allerdings kein Problem.
Das WLAN und eth1 sind gebridged als br-lan. WLAN und LAN könnte man sicherlich auch in einander routen.
VLANs identifizieren sich als Subinterface von eth0 (also eigentlich WAN). LuCI bietet mir dabei keine Trunks.
Die Ports selber identifizieren sich als CPU (for PHY-LAN), Port 1 - 4 (PHY-LAN), CPU PHY-WAN, Port PHY-WAN. Das VLAN 1 auf dem Router tritt also sowohl als eth0.1 als auch als eth1 auf.
[..] Ich hoffe das gilt nur für Neukunden
Nein, auch als Bestandskunde bekommst du den Wechselbonus, solange du eine Rechnung vom vorherigen Anbieter einreichst.
Ich hoffe das gilt nur für Neukunden
...und wenn die Domain mehr als 30€ kostet. Soweit ich das mit dem Mindestumsatz verstanden habe?