raspel

Ein und Ausfälle eines alten Terminal Junkies

Im Gegensatz zur Sicherung der eigenen Benutzerdaten, lege ich hier andere Maßstäbe an. Hier verwende ich Generationen von Sicherungen. Worin unterscheiden sich einzelne Art der Sicherung?

Weiterlesen...

Manchmal braucht man unter Linux schnell eine Übersicht der verwendeten Hardware. Da gibt es ein Rudel von Kommandos, die aber immer nur einen Teil des Ganzen abbilden. Da hilft inxi ...

Weiterlesen...

Hier will ich grob zeigen wie man vorgeht, einen einfachen Router aufzubauen. Dies stellt keine vollständige Anleitung dar.

Weiterlesen...

Oft stellt man fest, dass die Root-Partion der Linuxbüchse voll gelaufen ist... Was tun? Wie findet man große Dateien, die man eventuell löschen kann?

Als root:

apt install ncdu ncdu /var ncdu /usr

Mittels einer kleinen ncures Oberfläche kann man schnell durch die beiden Hauptverdächtigen durchgehen...

Fertig!


Nachdem wir uns ein paar Gedanken über Sinn und Zweck den Einsatz eines zweiten Routers gemacht haben, kommen wir jetzt dazu, auszusuchen was wir an Hard- und Software brauchen.

Hardware

Als Hardware kommen kleine aber leistungsfähige Einplatinen-Computer in Betracht. Sie nehmen wenig Platz weg und brauchen wenig Strom. Sie sind vollständig aus der Ferne via ssh zu administrieren:

  • Raspberry Pi
  • Banana Pi
  • Odroit

Software

Fertige Firewall Distributionen

Hier gibt es sehr viele Lösungsansätze:

https://www.linuxlinks.com/firewall/ https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions

Darauf gehe ich jetzt nicht weiter ein, weil ich weder Zeit noch Möglichkeiten habe, hierfür Umgebungen aufzubauen und zu testen.

Softwarebausteine

  • Debian Linux (Betriebsystem)
  • iptables (Firewall Backend)
  • ISC Bind (DNS)
  • ISC DHCP
  • NTP (Zeitservice)
  • fwbuilder (Firewall Frontend, optinal)
  • ufw (Firewall Frontend, optinal)

Management

Wenn man anfängt, so etwas selber aufzubauen, wird man nicht umhin kommen, vieles von der Kommandozeile aus zu administrieren:

  • Erstellen von Firewallregeln
  • Test, Start und Stop der Firewall
  • Eintragen von IPs und MAC-Adressen im DNS und DHCP
  • Test, Start und Stop der Dienste für DNS und DHCP

Im Laufe der Zeit wird man vieles in Form von Scripten automatisieren. Anpassungen und Veränderungen sind dann sehr viel einfacher und flexibler möglich. Es ist eine Art der Evolution...

Fazit

Ich will nicht sagen, dass sowas einfach und an einem Tag zu machen ist. Es ist auch bestimmt nichts für Einsteiger. Es sind Kenntnisse im Umgang mit Linux Servern, Netzwerken und Netzwerkdiensten erforderlich. Für all dieses finden wir im Internet jede Menge Beispiele. Somit lohnt es sich auf jeden Fall. Bei mir in meinem LAN laufen jede Menge Server, PCs und IOT-Geräte so sicher wie möglich in einem doppelt “genattettem” Netz, ohne dass irgend jemand darauf Zugriff haben wird. Der Router meines Providers kann von einem möglichen Angreifer erobert werden. Mein eigener Router eher nicht.

Ausblick

Im nächsten Teil zeige ich eine ganz einfache Lösung eines eigenen Routers, der nicht viel mehr kann als der Plasterouter des Providers. Wo kommt das WLAN her? Auf welchem Gerät lasse ich Dienste wie DNS, DHCP und NTP laufen? Die letzt genannten Dienste sollen nicht auf dem Router laufen. Soviel sei schon mal verraten.


Worum geht es? Plasterouter sind z.B. DSL-Boxen der Firmen AVM Fritzbox, Netgear oder anderen Anbietern. Es gibt sie wie Sand am Meer. Er stellt den Netzabschlußpunkt des jeweiligen Providers dar. Dahinter fängt das Internet an.

Von meinem Standpunkt aus ist jeder DSL-Router eines jeden Provider nicht in meiner Hand. Auch wenn ich ihn selber gekauft habe, bin ich auf Updates des Herstellers angewiesen. Dazu kommt, was dort unter der Haube abläuft, entzieht sich meiner Kenntnis. Ich gebe ihn praktisch auf... Egal, was auch passiert, meine Rechner, wie umfangreich auch immer mein Netzwerk ist, soll hinter so einem Plasterouter geschützt und nicht sichtbar sein. Von hier an wird es im Detail kompliziert...

Grundsätzlicher Aufbau eines eigenen Netzes

Firmen verwenden oft einen solchen Ansatz. Sie betreiben ein sogennntes “Schattennetz”, welches vom Internet unsichtbar ist. Oft wird es auch als Intranet bezeichnet:

 Aufbau einer DMZ

Da kommt ein neuer Begriff der “DMZ” hinzu:

https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)

Ich kürze hier ab. Eine DMZ in der Gestalt wie auf Wikipedia und im oben gezeigten Bild verwende ich nicht. Allerdings habe ich den zweistufigen Aufbau über einen zweiten Router mit Firewall bei mir gewählt.

Dienste

Welche Dienste des Plasterouter muß ich hinter meinem eigenen Router nachbilden? Was soll der Router können und was nicht? Welche Policy soll die Firewall auf dem verfolgen? Fragen über Fragen... Schauen wir uns den Plasterouter etwas genauer an. Was tut er, ohne das wir davon etwas merken:

  • Bereitstellung einer IP (DHCP)
  • Auflösung von Namen im Internet (DNS)
  • Zeitservice (NTP)
  • WLAN
  • Schutz meiner angeschlossenen Geräte (Firewall)

Bis auf die Firewall sind dies alles Dinge die sich nicht auf unserem Router befinden sollten...

Policy des Routers

Nun kommen wir aber zu dem schwierigsten Teil des Unternehmes:

“Wovor soll uns der neue Router denn schützen?” “Wo ist denn der Unterschied zum der Firewall des Plasterouters?” “Warum soll ich denn das alles tun?”

Das ist der Teil, den man Firewall-Policy nennt:

Welche IP darf welchen Dienst wann gegen wen verwenden

So gesehen ist es doch ganz einfach! Wie kann das konkret aussehen:

  • Ein Teil meines Netzes darf eine Liste von Diensten im Internetaufrufen und
  • alles andere eben nicht.
  • Ein Teil meines Netzes ist nur im Intranet verfügbar.
  • eigenes NAT Fertig!

Motivation

Da ich ein großer Fan davon bin, Daten im eigenen Netz zuhalten, ist dies ein Teil zu meiner eigenen Souveränität im Internet.

Links: Eine Liste von fertigen FW-Distrows findet man bei Wikipedia: https://de.wikipedia.org/wiki/Externe_Firewall#Firewall-Software


Abends kommt ein Update für meinen Matrix Client element-desktop unter Debian 11 rein... Und siehe da, die Version 1.11.4 startet nicht... Die Fehlermeldungen sind nichtssagend und nicht im Netz auffindbar... Also, Rolle rückwärts... Zurück zur Version 1.11.3...

Weiterlesen...

Wenn man als Linuxer manchmal den Zugang zu einem Windows braucht, geschieht es über CIFS... Doch dies funktioniert nur über einen Active Directory Server, den wir natürlich nicht haben... Also müssen wir uns eines Tricks bemächtigen: SMBv1

Weiterlesen...

Wer braucht schon wetter.com und Co wenn es doch

https://wttr.in/ gibt...

Setzt eueren Wohnort oder irgend einen auf Welt der ein und seht selbst es euch an:

curl https://wttr.in/fitou

Quelle:

https://github.com/chubin/wttr.in



Wie schon erwähnt, gib es unzählige Lösungen dazu. Eine möchte ich hier vorstellen. Es ist alles andere als perfekt, noch vollständig. Es soll nur illustrieren, wie mit einfachen Mitteln, man schnell ohne viel Aufwand, Daten sichern kann.

Weiterlesen...