Das längste Thema

  • Kann jemand eine brauchbare USB Netzwerkkarte empfehlen? 100BaseT reichen vollkommen aus.

    Ich müsste meinen Rechner mal in ein zweites VLAN befördern. PCIe ist nichts mehr frei (wie auch bei mini ITX Boards?)

  • Um mal bei deinem Fahrradvergleich zu bleiben: Mit geänderten Port steht das Fahrrad nicht mehr direkt neben der Haustür, aber es steht immer noch an einer zufälligen Stelle direkt an der Hauswand, die man durch einmaliges herumlaufen finden kann. Ähnlich ist es auch beim ändern des Ports. Jemand, der es wirklich auf deinen Server abgesehen hat, wird einen Portscan durchführen, um so herauszufinden, welche Dienste wo laufen. Der Angriff verlängert sich nur um den Portscan, ansonsten bringt es nichts im Punkt Sicherheit.

    Und natürlich nützt dem Angreifer auch der Port nichts, wenn kein root Zugriff möglich ist und ich ein starkes Passwort verwende, bzw. einen Key. Wobei ich ersteres bevorzuge. Daher sehe ich das Ändern des Ports auch nicht als wirklichen Sicherheitsgewinn an.


    EDIT: Und wer zu oft probiert wird ja dann von fail2ban geblockt.

  • Hay,

    Kann jemand eine brauchbare USB Netzwerkkarte empfehlen?

    ich habe einen USB-Hub im Einsatz, der auch einen Gigabit Ethernet-Port enthält und ich bin extremst zufrieden. Er ist sowieso einer der besten und stabilsten Hubs überhaupt (Transfer SSD auf USB-Stick, beide am Hub, mit der maximal möglichen Geschwindigkeit der Geräte, schon viele Male 150GB in einem File kopiert ohne einen Aussetzer).


    Es ist der Aukey USB 3.0 6-Port (+1 Ladeport) + Gigabit Ethernet -> https://amzn.to/2KK8lan. Zumindest bei mir wird er derzeit für 20 Euro angezeigt... gerade ein Schnapper :D


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Um mal bei deinem Fahrradvergleich zu bleiben: Mit geänderten Port steht das Fahrrad nicht mehr direkt neben der Haustür, aber es steht immer noch an einer zufälligen Stelle direkt an der Hauswand, die man durch einmaliges herumlaufen finden kann. [..]

    Was zu folgendem Vorteil führt: Ein Dieb, der mit dem Transporter vor Hunderten von Häusern vorgefahren kommt, kann mein Fahrrad nicht mehr klauen, weil er es nicht findet. Der hat keine Zeit zu suchen, sondern fährt weiter zum nächsten Haus.


    Genau darum geht es mir auch, wenn ich den SSH-Port ändere. Ich möchte keinen Angriff verhindern, sondern automatisierte Bot-Logins unterbinden. Diese Bots machen keinen Portscan.

  • Richtig, aber die hätten sowieso keinen Erfolg wegen unbekanntem Benutzernamen und starkem Passwort + Fail2Ban, daher ist es völlig egal, ob die sich am Port 22 abarbeiten oder nicht. Nach 5 Fehlversuchen innerhalb vordefinierter Zeit ist erst einmal Schluss.


    Daher sehe ich auch nur den Vorteil der weniger zugemüllten Logfiles.

  • Was zu folgendem Vorteil führt: Ein Dieb, der mit dem Transporter vor Hunderten von Häusern vorgefahren kommt, kann mein Fahrrad nicht mehr klauen, weil er es nicht findet. Der hat keine Zeit zu suchen, sondern fährt weiter zum nächsten Haus.


    Genau darum geht es mir auch, wenn ich den SSH-Port ändere. Ich möchte keinen Angriff verhindern, sondern automatisierte Bot-Logins unterbinden. Diese Bots machen keinen Portscan.

    So schaut's aus.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Um den Fahrradvergleich noch zu ergänzen. Es müsste sich um ein Fahrrad in einem gepanzerten Stellraum handeln, der 24/7 von Wachleuten bewacht wird, welche bei fünf maligem Fehlversuch das Schloss zu öffnen, die Person vom Grundstück verweisen und nicht mehr drauf lassen. Und bei einem geänderten Port steht dieser gepanzerte Raum mit Wachleuten eben nicht mehr neben der Haustür, sondern wo anders am Haus, so jetzt passts :)

  • Richtig, aber die hätten sowieso keinen Erfolg wegen unbekanntem Benutzernamen und starkem Passwort + Fail2Ban, daher ist es völlig egal, ob die sich am Port 22 abarbeiten oder nicht. Nach 5 Fehlversuchen innerhalb vordefinierter Zeit ist erst einmal Schluss.


    Daher sehe ich auch nur den Vorteil der weniger zugemüllten Logfiles.

    Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern :D

  • Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern :D

    Zur Not hackt man sich selbst noch nen paar Server ?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • ich leg meine 5 dazu ;)

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Was spricht dagegen auf den vorhandenen Ethernet Port einfach VLANs zu konfigurieren? Selbst Windows kommt mit VLANs klar.

    Mein Rechner ist an meinem Router angeschlossen (OpenWRT 15.05) und die VLANs manage ich über meinen Switch.

    Somit müsste ich zwischen Switch und Router einen Trunk einrichten und einen weiteren (bzw. beide VLANs in Ri. Rechner taggen) zwischen Router & Rechner.


    Der Router hatte aber in der Vergangenheit so seine Probleme mit VLANs.

    Außerdem kann man ein Kabel schneller in ein anderes VLAN patchen, als den Port am Switch umzukonfigurieren.

    Es ist der Aukey USB 3.0 6-Port (+1 Ladeport) + Gigabit Ethernet

    Sieht sehr gut aus, danke.

  • Ich seh noch einen weiteren Vorteil. Wenn es einen zero-day-exploit für SSH gibt, oder so was wie den Debian-Bug im OpenSSL-Zufallszahlengenerator, dann hat man etwas mehr Zeit zum updaten als die, die den Port nicht geändert haben. Je mehr den Port nicht geändert haben, umso mehr Zeit hat man, weil die Bösewichte ja gar nicht mehr wissen wohin mit den ganzen gehackten Servern :D

    Schade, dass es "Wetten, dass..?" nicht mehr gibt:


    Zitat

    Ich wette, dass ich schneller von einem zero-day-exploit mitbekomme und diese Lücke patche als dass John the hacker seinen Portscan beendet hat.

    :)

  • Der Router hatte aber in der Vergangenheit so seine Probleme mit VLANs.

    Außerdem kann man ein Kabel schneller in ein anderes VLAN patchen, als den Port am Switch umzukonfigurieren.

    Das hört sich irgendwie komisch an. Gerade wenn etwas wie OpenWRT mit VLANs Probleme hat...


    Das einzige was bei VLANs welche unter Linux konfiguriert wurden an vielen Switches nicht funktioniert, ist wenn man auf einer Bridge VLANs und untagged Traffic vermischt. Da kommt der Netzwerkstack nicht mit den unterschiedlich großen Paketen zurecht. Ich musste schon in mehreren Setups deswegen zwei Kabel zwischen Switch und Router ziehen. Eins für den untagged Management Traffic und eins für die VLANs.


    Wenn man ohne Bridges auskommt ist dies allerdings kein Problem.

  • Wenn man ohne Bridges auskommt ist dies allerdings kein Problem.

    Das WLAN und eth1 sind gebridged als br-lan. WLAN und LAN könnte man sicherlich auch in einander routen.

    VLANs identifizieren sich als Subinterface von eth0 (also eigentlich WAN). LuCI bietet mir dabei keine Trunks.

    Die Ports selber identifizieren sich als CPU (for PHY-LAN), Port 1 - 4 (PHY-LAN), CPU PHY-WAN, Port PHY-WAN. Das VLAN 1 auf dem Router tritt also sowohl als eth0.1 als auch als eth1 auf.