Deine Argumente triefen leider nur so von technisch nicht nachvollziehbaren Annahmen (Router mit integrierter Firewall sind unsicher?), unpassenden Vergleichen ("Kontrolle über digitales Leben verloren"), aus der Luft gegriffenen Schlussfolgerungen (FTP) und Herumreiten auf Spitzfindigkeiten ("fundamentaler Irrtum" bei Routern und Firewalls). Da hilft auch das Festhalten an weltfremden Geschwurbel über Massenvernichtungswaffen nicht mehr. Du drehst dir deine Argumente immer wieder so zurecht, wie es dir gerade in den Kram passt. Gleiches Schema wie bei den Umkehrkurven.

Ich habe gesagt, dass potentiell unsichere Geräte in geschützten Netzen ein vernachlässigbares Risiko sind, solange das Filtergerät (bei Heimanwendern der Router) auf aktuellem Softwarestand ist (Hersteller wie AVM sind darin gut) und die Geräte den Müll aus dem Internet nicht abbekommen. Dann stellst du die Behauptung auf, vom Hersteller gut gepflegte Router seien unsicher und mit Hintertüren. Dass deine gesamte Argumentation für ein Ablaufdatum aller Geräte wie ein Kartenhaus zusammenbricht, weil du beliebigen Geräten Hintertüren unterstellst, merkst du selbst, oder?

Hinter jeden Router gehört eine vernünftige Firewall, wo Ursprung und Ziel eines jedes IP-Pakets kontrolliert werden kann und wo ein IDS/IPS sofort dazwischen grätschen kann, wenn Anomalien auftreten. Und das alles nach den Regeln, die Du bestimmst und nicht irgendjemand sonst, am Ende möglicherweise irgendein Unternehmen oder Staat, der sich seine Hintertürchen wahren will.

Jaja, du lötest wie bei den bereits erwähnten VDSL-Modems deine Prozessoren und Ethernet-PHYs/-MACs, Wifi-Radios und sonstige Netzwerkschnittstellen mit Zugriff auf den Systembus dieser "vernünftigen Firewalls" auch garantiert selbst zusammen. So wie dein Smartphone mitsamt Basisband, oder etwa nicht? Obwohl ein Herr Jakobs wohl auch wie jeder andere Mensch ab und zu Fehler produzieren dürfte.

der braucht mir nicht wirklich versuchen Begriffe oder Funktionsweisen zu erklären

Ja, ich vergaß, bei jemandem mit bekannten Resistenzen braucht man wirklich nicht versuchen, etwas zu erklären, kommt nicht wieder vor. Er hat ja, so sicher wie er sich fühlt, im Vergleich zu meinem vernachlässigbaren CCNA wohl hunderte Zertifikate zu Netzwerksicherheitsthemen.

Ich habe gesagt, dass potentiell unsichere Geräte in geschützten Netzen ein vernachlässigbares Risiko sind, solange das Filtergerät (bei Heimanwendern der Router) auf aktuellem Softwarestand ist (Hersteller wie AVM sind darin gut) und die Geräte den Müll aus dem Internet nicht abbekommen. Dann stellst du die Behauptung auf, vom Hersteller gut gepflegte Router seien unsicher und mit Hintertüren. Dass deine gesamte Argumentation für ein Ablaufdatum aller Geräte wie ein Kartenhaus zusammenbricht, weil du beliebigen Geräten Hintertüren unterstellst, merkst du selbst, oder?

Sorry leider vollkommen daneben. Von der persönliche Anmache bei eigener Argumentationsarmut abgesehen.

• ein dummer Router/Firewall am allerwenigsten ein AVM Gerät mit in der Regel offenen Ports 80,443 merkt von einem kompromitierten Gerät nichts. Wie gesagt Dir scheint der Unterschied zwischen Router und Firewall nicht bekannt zu sein oder kannst Du mit GeoIP alles östlich vom Baltikum und südlich von Italien in Deiner AVM Fritzbox wegblocken oder mit einem IDS/IPS und SNORT Regeln umgehen?
• Selbstverständlich ist ein einzelnes Gerät in vorderster Linie, wo neben Telefonie, WLAN, Switch noch zahlreiche andere Dienste und Services mitlaufen einfacher und schneller gehackt. Und das beste dann, man steht mit einem Bein direkt im internen Netz wenn keine Firewall dazwischen ist. Nochmals zum Mitschreiben: Wer seinen Router von Telekom, Vodafone whatever direkt ins interne Netz hängt, der handelt fahrlässig.
• Hauptangriffsvektor ist zu 95% immer "von innen" meist durch Userm mit komprimitierten Rechnern oder eben durch verbaute und nicht mehr unterstütze Drecks-Hardware in Form von WebCams, Druckern mit Webservern NAS-Geräten. Die Meinung, daß eine Gefahr von Außen kommt zeugt - milde formuliert - von einem grob gestrickten Security-Verständnis. Zu meinen, potentiell unsichere Geräte im internen Netz bedenkenlos betreiben zu können, ist ebenfalls grob fahrlässig.
• Unverschlüsseltes FTP mit offen Kennwörtern nutzen und zugleich meinen mich in Sachen Security belehren zu müssen, selten so laut gelacht!

Ja, ich vergaß, bei jemandem mit bekannten Resistenzen braucht man wirklich nicht versuchen, etwas zu erklären, kommt nicht wieder vor. Er hat ja, so sicher wie er sich fühlt, im Vergleich zu meinem vernachlässigbaren CCNA wohl hunderte Zertifikate zu Netzwerksicherheitsthemen.

Das ist ja echt der Brüller, wenn das alles, was Du hier in Sachen Security von Dir gibst inkl. dem Abrutschen in die persönliche Anmache das Ergebnis eines zertifizierten CCNA sein soll, dann verwundert mich nichts mehr. Leute, die sich hinter einem Zertifikat verstecken, süss.. werkelt an einem IOS mit dokumentierten NSA Hintertürchen herum und bezichtigt mich, daß ich Geräten dieses unterstelle... ist ja fast genauso witzig wie Möchte-Gern-Windows-Admins, die immer meinen wie toll sie sind weil sie mehr wie 100 Benutzer und 10 Server administrieren... bis ich denen dann zeige wie schnell ich an Ihre Passwörter gelange. Stichwort Mimikatz, aber das Tool ist Dir bestimmt völlig fremd Deinen Beiträgen nach zu urteilen.

Oh Gott, wer soll denn das alles lesen? Mach mal IR und gehe fliegen, bevor die Vereisungsgrenze sich zu weit absenkt ;-).

Aber danke für die Info über die Marine, passt genau in den Fred DWD Flugwetter App :-).

;-) Du hast Recht, wir geraten offtopic...

Und wann machst du IR?

Da muss er erst mal PPL haben und dann belehrt er und mit Umkehrkurve in einer CU bei Vereisungswarnungen mit 60 Grad bank weil man dann schneller wieder draussen ist. :-))

Wobei ich irgendwas munkeln hörte, das er PPL anfing...

Schade, ich hatte gerade schon Salzstangen und Schokocrossies besorgt...

Wo stand denn das mit der Kurve in CU und 60 Grad ?

Erik, das war ein Blick in die Zukunft, sofern unser "Forumsmasterfluglehrer" wirklich IFR macht und neue und "sichere" Vorschläge macht. Also quasi Science Fiction..... :-)))

...wäre ja insgesamt zu begrüßen, dann hört dieser Umkehrkurvenblödsinn von selbst auf. Die IR Ausbildung hat diesen besinnlichen Effekt. Und CBIR ist ja scheinbar sehr erfolgreich, Anzahl der IR Privatpiloten hat sich in einem Jahr verdoppelt !

Blubbdiblubb

Dein Gequatsche über Disqualifizierung von Ciscohardware wegen irgendwelcher Hintertüren bestätigt leider nur, dass du keinerlei Schimmer von großen Netzwerken hast. Deine tollen Eigenentwicklungen kannst du meinetwegen Arztpraxen oder sonstigen Kleinkunden, vermutlich inkl. teurem Supportvertrag, andrehen. Dummerweise ist dein toller Selbstbau-Firewallansatz ab einer bestimmten Schnittstellenbandbreite eine Sackgasse, weil man für die Routing- und Filtervorgänge Hardwaremodule in Form von ASICs benötigt - wenn wir schon von Großnetzen schwadronieren, um die es eigentlich nie ging.

bis ich denen dann zeige wie schnell ich an Ihre Passwörter gelange

Ja, dein Attribut sollte von GröULFLAZ (Größter UL-Fluglehrer aller Zeiten) auf GröULFLNeSeExAZ (Größter UL-Fluglehrer, Netzwerk-, Security Experte aller Zeiten) erweitert werden. Wir sind ja schließlich im Vergleich dazu alle Dummtrottel.

Dein Gequatsche über Disqualifizierung von Ciscohardware wegen irgendwelcher Hintertüren bestätigt leider nur, dass du keinerlei Schimmer von großen Netzwerken hast. Deine tollen Eigenentwicklungen kannst du meinetwegen Arztpraxen oder sonstigen Kleinkunden, vermutlich inkl. teurem Supportvertrag, andrehen. Dummerweise ist dein toller Selbstbau-Firewallansatz ab einer bestimmten Schnittstellenbandbreite eine Sackgasse, weil man für die Routing- und Filtervorgänge Hardwaremodule in Form von ASICs benötigt - wenn wir schon von Großnetzen schwadronieren, um die es eigentlich nie ging.

Soso Eigenentwicklungen, interessant habe zwar davon nichts geschrieben. Aber na gut mit Exaktheit, Lesen und Verstehen scheinst bei Dir im Moment vorbei zu sein, denn anscheinend bist Du getroffen und schlägst wild um Dich herum. Komm mal her zum Onkel TJ, setz Dich neben mich und laß' Dir kurz die Welt erklären. Dein tolles IOS basiert zum größten Teil auf den gleichen Open Source Sicherheitslösungen, die ich propagiere. Linux, IPCop, Squid, OpenSSL, Snort etc. Ironischerweise wurde erst kürzlich Sourcefire, Entwickler von Snort Ende der 90er Jahre und de facto Standard bei allem was mit IDS/IPS zu tun von Cisco übernommen. Auch wenn Cisco und Du es vehement bestreiten, die Backdoors sind dokumentiert und grundsätzliches Problem von jedem propietären Zeugs. Security by Obscurity hat noch nie funktioniert, aber manche lernen es halt nie. Darüberhinaus geht es gar nicht um Backdoors sondern um Patches und es ist pups egal, mit was irgendein Zeugs im Netz betrieben wird. Wenn es nicht vom Hersteller mit Patches versorgt wird, verursacht selbst Dein ungepatchter Apotheken-IOS-Cisco-Router aus dem Jahr 2005 sicherheitstechnisch ein mildes Lächeln bei einem, der sich ein wenig mit Cipher, Heartbleed und den entsprechenden Tools auskennt.

Bevor Du also noch mehr Einblicke in Dein profunden Nicht-Wissen zum Besten gibst und nunmehr auf die persönliche Schiene abrutschst, würde ein Innehalten und Nachdenken Dir eindeutig besser stehen.

In diesem Sinne, einen schönen Sonntag.

Gähn.... getroffene Hunde bellen am Lautesten. Und dann so viel Text im falschen Fred zu lesen, tststs ;-).

Komm TJ, rette die Welt und mache IR. Erik hat recht.

Die arme ATO........!

Wer seinen Router von Telekom, Vodafone whatever direkt ins interne Netz hängt, der handelt fahrlässig.

Klar kann man in Hausnetzen jede Menge Firewalling-Monitoring-IDS-Zusatzgerätschaften betreiben, nur kommt dummerweise Strom nicht einfach so aus der Steckdose.

Unverschlüsseltes FTP mit offen Kennwörtern nutzen und zugleich meinen mich in Sachen Security belehren zu müssen, selten so laut gelacht!

Es ist ja auch unheimlich schrecklich, die Bilder einer Außenkamera unverschlüsselt auf einen Server hochzuladen. Die Frage ist nur, wie viel furchtbarer es ist, seinen Abfall in den gelben Säcken vor der Entsorgung nicht zu verschlüsseln.

Dein tolles IOS basiert zum größten Teil auf den gleichen Open Source Sicherheitslösungen, die ich propagiere.

Auf ner ASA Firewall läuft kein IOS. Und alle Pakete in Software durch den IP-Stack zu werfen, wäre viel zu langsam.

und grundsätzliches Problem von jedem propietären Zeugs

Die schnellen Systeme für Großnetze gehen nun mal nur mit Hardware Processing Fabrics alias "propietären Zeugs".

Bevor Du also noch mehr Einblicke in Dein profunden Nicht-Wissen zum Besten gibs [...] würde ein Innehalten und Nachdenken Dir eindeutig besser stehen.

Deine selbstironischen Scherzchen bringen immer wieder ein Schmunzeln!

und nunmehr auf die persönliche Schiene abrutschst

"Denkfehler", "fundamentaler Irrtum". Wald & Schall.

...Open Source Sicherheitslösungen, die ich propagiere. Linux, IPCop, Squid, OpenSSL, Snort etc....

Nur, dass

• auch erst letztens ein großer Bug in OpenSSL geschlossen wurde
• insbesondere Linux (und Android) in ihrer WPA2-Implementierung noch leichter angreifbar sind als Windows oder macOS (und es für die meisten Android-Besitzer wohl für ihre "alten" Handys auch keine Updates geben wird)

und zusätzlich bei OpenSource-Produkten dass Risiko besteht, dass niemand einen Bug fixt, weil eben auch niemand dazu eine Verpflichtung hat. Das Risiko (auch wenn es üblicherweise nicht sehr hoch ist) erklärst Du hoffentlich Deinen Kunden?

Olaf

Nur, dass, auch erst letztens ein großer Bug in OpenSSL geschlossen wurde. Insbesondere Linux (und Android) in ihrer WPA2-Implementierung noch leichter angreifbar sind als Windows oder macOS (und es für die meisten Android-Besitzer wohl für ihre "alten" Handys auch keine Updates geben wird)

Du meine Güte wenn das Dein letzter Stand ist? Jeden Tag laufen CVEs und CERT-Bund über den Ticker mit duzendweise Bugs in irgendeiner Open-Source-Software. Das Schlimme dabei ist, dass Closed-Source eben nicht in Audits und durch Security-Experten und Kunden überprüfbar ist. Du scheinst den signifikanten Unterschied zwischen Full Disclosure und Security through Obscurity nicht verstanden zu haben.

und zusätzlich bei OpenSource-Produkten dass Risiko besteht, dass niemand einen Bug fixt, weil eben auch niemand dazu eine Verpflichtung hat. Das Risiko (auch wenn es üblicherweise nicht sehr hoch ist) erklärst Du hoffentlich Deinen Kunden?

Diese Aussage ist insofern falsch ist, weil das selbstverständlich ganz vom Projekt und Deiner Entscheidung abhängt. Du darfst gerne z.B. bei der Apache Foundation nachschauen, wie viele Projekte und Entwickler dahinter stecken. Oder in einschlägigen Bug-Trackern, wie schnell Pakete zur Verfügung gestellt werden. Im Gegenteil Closed-Source Unternehmen sitzen monate- oder jahrelang auf Ihrem Schrott, ja begreifen häufig gar nicht, was Ihnen die Security Experten vorlegen. Ich nenne als jüngstes Negativbeispiel die Software PC-WAHL. Am Ende hatte der CCC sogar Mitleid und hat Ihnen den Patch kostenlos gespendet.

Jepp PC-WAHL und die die Diesel-Softwaremanipulationen - Deutschlands einzige Beiträge zur Digitalisierung...

Dafür benutzt er dann die Analogie der Umkehrkurve: Tolles Video, geiler Hecht, braucht man zwar fast nie, wenn nur in einem engen Höhenband bei exzellentem Trainingszustand, aber wenn er kompetent rüberkommt - kann er brav weiter Rechnungen schreiben :-).

Du meine Güte wenn das Dein letzter Stand ist? Jeden Tag laufen CVEs und CERT-Bund über den Ticker mit duzendweise Bugs in irgendeiner Open-Source-Software.

Stimmt, aber ich muss mich damit nicht befassen. Daher habe ich nur die „dicken Brocken“ genannt. Meine Brötchen verdiene ich zwar auch in der Informatik, aber an anderer Stelle. Und zu Hause brauche ich das auch nicht, zumindest nicht in dieser Frequenz.

Olaf

Moin Olaf, ich muss in einer größeren Firma in Sachen Security vor allem OpenSSL, Apache sowie Java und Tomcat im Auge behalten (plus Bibliotheken). Zeitweise gab es die Tendenz, z.B. auf "SSL-Overloader" etc. auszuweichen. Oder die Idee, "Web-Application-Firewalls" für mehr Sicherheit einzusetzen.

Meine Wahrnehmung ist, dass diese Kombination der "Closed-Boxes" aus Hardware und Software i.d.R. auf den gleichen OpenSource-Bibliotheken basiert, aber nicht ansatzweise in der gleichen Geschwindigkeit wie z.B. eben eine neue OpenSSL-Version veröffentlicht ist, mit ihren Patches nachziehen. D.h., wer auf "Closed-Source"-Lösungen setzt (und der GPL-Verweis wird ja gerne vergessen), hat die gleichen Risiken wie bei "offenem" OpenSource (statt geklautem OpenSource), aber die neu entdeckten Scheunentore deutlich länger offenstehen.

Ist nur meine bescheidene Berufserfahrung der letzten 1-2 Jahrzehnte... Insofern bin ich da näher an TJ mit seiner Forderung nach langfristiger und zugleich schneller Patchversorgung - "Vendorlösungen" sind da eher eine Scheinsicherheit, und der Verweis auf OpenSSL von Dir trifft viel mehr Produkte, auf denen OpenSSL nicht offen draufsteht.

...wer auf "Closed-Source"-Lösungen setzt (und der GPL-Verweis wird ja gerne vergessen), hat die gleichen Risiken wie bei "offenem" OpenSource (statt geklautem OpenSource), aber die neu entdeckten Scheunentore deutlich länger offenstehen.

Absolut richtige Beobachtung. In diesem Zusammenhang fällt mir nur Fortinet ein, das sich schamlos an offener Software bedient, das eigene Branding und propietäres Deep-Inspection, Crypto- und Werbe-Zeugs hinzupappt und anschliessend den Mist als Enterprise-Security teuer verkauft.

Warum macht jemand sowas? Warum verschlechtert ein Unternehmen, das immer nur ein begrenztes Maß an Ressourcen haben kann, einfache und millionenfach bewährte Lösungen? Warum wurden z.B. mit SSL Interception verschlüsselte Verbindungen bewusst aufgebrochen, nur um diese dann fehlerbehaftet neu zu verschlüsseln? Die Antwort ist einfach: Kontrolle.

Kontrolle um künftig Produkte nicht nur anzubieten sondern einem ahnungslosen Kunden zwangsweise zu verkaufen. Denn eine Infrastruktur wechselt man nicht "mal eben". Besonders kriminell wird's bei den "Connected UTM" Cloud-Diensten, wo die eigenen Daten und Surfverläufe am Ende in den Händen von Datenverkäufern landen. Man kann Fortinet da noch nicht mal vorwerfen zu betrügen denn in deren AGBs und Privacy-Bestimmungen steht's schwarz auf weiß. Aber der typische, deutsche, mittelständische Michel mit seiner Bauernschläue vertraut lieber Hochglanzprospekten und einem Marketing/Nudging Geschätz. "Nein ein App-Whitelisting können wir nicht machen, das schränkt die Mitarbeiter zu sehr ein. Wir vertrauen lieber dem AV-Security-Schlangenölprodukt XYZ." oder "Welcher Hersteller steckt hinter Open-Source?".

Bitteschön, mache wollen eben leiden und lieber den schwierigen und schmerzhaften Lernprozess durchlaufen. Mir soll's sogar Recht sein, denn dann verstummen auch die elenden Diskussionen was Honor- und Tagessätze anbetrifft... zumindest für 4-6 Wochen nach einem Daten GAU. Schwarmdummheit nennt Günther Dueck sowas.

Apropo Günther Dueck und Fortinet-Zeugs. Benutzt irgendjemand hier privat oder für seine Firma für VPN und so unwichtigem Kram eine FortiGATE? Ungepatched? Der sollte längst seinem Dienstleister auf die Füsse getreten haben: DUHK Attack

Vor 75 Jahren operierten noch hunderte deutsche U-Boote gleichzeitig und weltweit... auch eine Art Fortschritt und Werbung für den High-Tech Standort Deutschland.

Du bist wirklich von allen guten Geistern verlassen. Ein viel besseres Beispiel für die strukturelle misalliance von technischem Sachverstand mit mangelndem Urteilsvermögen hättest Du kaum geben können.

... einfach mal den Stock aus dem Arsch nehmen. Wer Zynismus nicht erkennen kann und (bewusst) falsch zitiert, dem kann nicht mehr geholfen werden...

Doch, wir haben den Zynismus alle sofort erkannt.

Heute ist mir ein wunderschöner Artikel begegnet, der nicht nur 1:1 in your face passt, sondern der mich einmal mehr darin bestätigt, ein Wochenende wirklich mit Notebook und RaspPi-RF-Modul zu schauen, was so alles geht. Auf meiner letzten Tour durch Europa habe ich ein Garmin G3X Touch genutzt, das neben dem üblichen Gaggelfax über WLAN/BT iPhone-Entertainment-Zeugs sogar Live-Bilder von den Virbs Action Cams im Panel anzeigen konnte. A380-Feeling beim Taxiing... in einem UL ;-)

https://www.aviationtoday.com/2017/11/08/boeing-757-testing-shows-airplanes-vulnerable-hacking-dhs-says/

Die Keywords des Artikels revue passierend:

• "commercial aircraft remotely hacked in a non-laboratory setting"
• "[Which] means I didn’t have anybody touching the airplane"
• "using typical stuff that could get through security"
• "we were able to establish a presence on the systems of the aircraft"
• "based on the RF configuration of most aircraft"
• "Patching avionics subsystem on every aircraft when a vulnerability is discovered is cost prohibitive"
• "whether it’s the U.S. Air Force or the commercial sector, there are no maintenance crews that can deal with ferreting out cyber threats aboard an aircraft. They don’t exist in the maintenance world"

Die Reaktionen der Airliner-Piloten ist da mehr wie verständlich. Die Reaktionen der betroffenen Avionik-Unternehmen leider auch, kennen wir in der IT Industrie nur leider zu gut...