• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Alternativen zu geschlossenen Netzwerk-Komponenten

gehrke

Administrator
Teammitglied
Moin *,

ich gestehe, dass ich vom Umfang der Bespitzelungsaktion der führenden Demokratie unserer Welt überrascht und schockiert bin. Ich bin nicht komplett blauäugig, so dachte ich bislang jedenfalls... Sonst wäre ich nicht hier in diesem Forum und würde seit Jahren privat wie im Job OpenSource fördern - nicht zuletzt aus Überlegungen zur Security.

Ich stelle mir gerade die Frage, wie ich darauf reagieren kann/muss. Sicherlich darf man die Verhältnismäßigkeit nicht aus dem Auge verlieren und muss trennen zwischen Privatleben und Job. Maßnahmen wie OpenSource wo möglich, Verschlüsselung von Mails mit PGP, Blockade von Apple-Produkten sowie Facebook + Co und weitestgehende Beschränkung im Umgang mit Google/Android bilden derzeit meinen persönlichen Status Quo.

Mein konkreter Punkt hier ist, welche Alternativen es zu den geschlossenen (amerikanischen) Systemen im Bereich Netzwerk-Equipment gibt. Zu meinem direkten Einflussbereich gehören Firewalls, Switches und die Netzwerk-Hardware auf den Servern in unserem Rack sowie die komplette Software darauf. Auf das ganze Zeug davor (Backbone, Routing im Rechenzentrum...) habe ich kaum Einblick und noch weniger Einfluss.

Bislang habe ich Systemen von Juniper und Brocade keine besondere Bedeutung im Bereich Security beigemessen, was sich natürlich bei einer Firewall erstmal recht komisch anhört. Ich meine das in dem Sinne, dass ich bislang davon ausgegangen bin, dass eine Firewall mit dem richtigen Ruleset dafür sorgt, dass wir uns damit gegen Angriffe von externen und internen Angreifern wehren können. Dass man sich aber möglicherweise sogar gegen den Hersteller der Firewall selbst respektive gegen eine Organisation wehren muss, die diesen scheinbar nach Belieben beeinflussen kann, das hatte ich bislang nicht auf dem Schirm. Und da wird es dann auch schwer...

Im privaten Umfeld bin ich mit pfsense auf Alix-Hardware schon seit einiger Zeit sehr zufrieden und habe ein gutes Gefühl dabei. Aber im Job gibt es ganz andere Anforderungen und Parameter. Das ist nicht mein Kernthema und bin in unserem Kontext eher der Einäugige unter den Blinden, kann aber möglicherweise zu den richtigen Entscheidungen beitragen.

Um also konkret zu werden ein fiktives Beispiel: Ein Rack mit 10 Servern, redundaten Brocade-Switches (48 Ports) und redundanter Firewall von Juniper. Alle Server laufen mit SLES. Unsere Netzwerk-Admins kennen sich sehr gut mit JunOS aus, da kann ich echt nicht Klagen. Insgesamt läuft das Netzwerk ordentlich, und das sollte auch so bleiben.

Gibt es in diesem Bereich vertrauenswürdige und praktikable Alternativen? Was wäre zu tun? Warum genau sollte man da was ändern?
TNX


cu, Paul
 

na-cx

Hacker
Moin, Moin,

kurz: es gibt kein Entkommen!

In Deutschland haben die drei Möglichkeiten:
1.) Sie fragen den BND (Bundesstelle für Fernmeldestatistik, BFSt), ob der nicht mal bitte den Traffic eines bestimmten Zieles umleiten kann, dafür stehen die Schnittstellen bei den Providern ja rum.
2.) Sie "knacken" das Backbone des entsprechenden Providers.
3.) Sie versuchen den MS-Server direkt zu knacken, MS liefert ja Info's dazu. (Welcher Windows-Server/PC erhält schon sofort ein Update ... spätestens seitdem nicht mehr, nachdem MS das ganze Office-Geraffel in 2012 mit einem Update zerschossen hatte ...)

Gegen alle 3 Methoden kannst du nichts machen.

Firewalls, Router, Switches?
Selbst wenn bei einigen ein Linux drauf läuft, kannst du oftmals wegen der Support-Verträge nicht mal den SSH-Zugang der Hersteller sperren.
Dann haben fast alle eine Webinterface, was sich zwar "abschalten" lässt, der Prozess aber trotzdem gestartet wird.
Selbst wenn man Geräte darauf einstellt, dass der Zugriff nur per serieller Konsole erfolgen darf, kann eine Sicherheitslücke bei den IP-Anschlüssen trotzdem noch genutzt werden.

Zur Zeit des kalten Krieges ging es sogar soweit, dass man in die IC's kleine Sprengladungen eingebaut hat, um die dann aus der Ferne zerstören zu können (unbestätigter Fakt, also Gerücht).
Eventuell existieren auch Lücken in den Netzwerchips? Keine Ahnung.

Bei einem 50MBit VDSL-Anschluss kann man noch einen "Billig-Router" mit selbst angepasstem DD-WRT verwenden. Bei mehr? Tja, nimm einen Rechner, bastel da eine Firewall aus einem Debian oder so drauf und gut ist. Oftmals läuft auf den Geräten der Hersteller auch nur ein Debian. Richte das Teil so ein, dass die Konfiguration nur direkt mit der Tastatur zu machen ist.
Bei den ganzen Cisco-, HP- und anderen Switches und Routern kann man die Konfiguration per Netzwerk abschalten. Dann sollte man aber auch ein Gerät haben, auf das man per Netzwerkkabel die seriellen Konsolen bedienen kann.
Dieses Gerät darf aber wieder nicht mit dem Netz verbunden sein und sollte ein direktes Kabel an den Arbeitsplatz des Admin haben.

Bei z.B. Bintec-Routern kann man die Konfiguration exportieren, die Datei anpassen und so verändern, das nach dem Einspielen die Konfiguration nicht mehr über irgendeine Schnittstelle zu ändern ist. Natürlich sollte dann der Im- und Export per serieller Konsole erfolgen.
Ganz paranoide schrauben die Teile auf und trennen am FLASH-IC die Verbindung zum Schreibschutz auf und "basteln" sich da einen Jumper hin. (Hilft aber alles nix, da das Notfall-OS in einem ROM ist.)

Zu deinem konkreten Beispiel:
Firewall selber basteln, Switch rauswerfen und durch einen Server mit enorm vielen NIC's ersetzen.
Die Server rausschmeissen und eine 4-Socket/12CPU-Maschine besorgen, Linux drauf und alle vorigen Server virtuell unter VirtualBox betreiben.

Egal wie man es sieht, man ist immer darauf angewiesen, dass der Hersteller die Dinger wirklich so baut, dass ein unberechtigter Zugriff nicht möglich ist.
Man kann nur seinen Job machen.

Wenn irgendeiner der Hersteller mit irgendjemanden zusammenarbeitet, dann kann man nichts machen.

Man kann nichts dagegen machen. Wenn jemand die Daten haben will, dann verschafft er sich einen Weg. Man kann es denjenigen nur so schwer wie möglich machen. Mehr nicht!
 

RME

Advanced Hacker
Hallo,

...in die IC's kleine Sprengladungen eingebaut...
Wenn mit "Sprengladungen" präparierte Software/Hardware gemeint ist (also nicht TNT oder ähnlich), dann ist dies durchaus kein Gerücht.

Zum Beispiel: Wenn eine U.S. Firma kryptologische Geräte oder Software an "gewisse" ausländische Stellen verkauft (standalone oder eingebaut in Flugzeuge etc.), dann muss davon ausgegangen werden dass die Sicherheit dieser Produkte (zumindest für die NSA) nicht gegeben ist.

Wenn irgendeiner der Hersteller mit irgendjemanden zusammenarbeitet, dann kann man nichts machen.
...zusammenarbeiten muss.

Gruss,
Roland
 

na-cx

Hacker
RME schrieb:
...zusammenarbeiten muss.
Alles was über den richterlichen Beschluss hinausgeht ist freiwillig.
Nein, ich weiß nicht wie weit der geht.
Ja, es wird wohl Firmen geben, die das freiwillig machen und im Gegenzug Vorteile geniessen.
Vorteil (wenn es nichts schriftliches gibt): kein Gerichtsbeschluss der in irgendwelchen Akten liegt, jeder bekommt was er haben will, ein "Verräter" kann nichts beweisen und man kann alles leugnen.
Nachteil (wenn es nichts schriftliches gibt): keiner, jedenfalls für die beiden Parteien nicht.
Wahrscheinlichkeit: nicht Null, aber wenn, dann existiert irgendwo auch ein Dokument, da zumindest die Geheimdienste zuallererst mal Behörden sind und auch gerne Papier schubsen. :D
 

spoensche

Moderator
Teammitglied
gehrke schrieb:
ch gestehe, dass ich vom Umfang der Bespitzelungsaktion der führenden Demokratie unserer Welt überrascht und schockiert bin.

Überrascht? So gesehen ist es ein alter Hut. Das Echolon Project gibt es ja schon seit bestehen des Internets und das nicht ohne Grund. Christian hat mögliche Maßnahmen schon erwähnt und ich füge noch einen Punkt hinzu.

Man hat noch die Möglichkeit das Interesse von den eigenen Servern abzulenken und dies kann sehr wirkungsvoll sein. Man kann mit einem Honeynet bzw. Honeypot System (System mit bewusst "eingebauten" Schwachstellen und nicht vollständig gepatcht) und dem Motto, warum mehr Aufwand betreiben als nötig, effektiv das eigene Netz aus dem Fokus nehmen. Es ist schließlich weniger Aufwand ein nich vollständig gepatchtes System mit zahlreichen Exploits zu kompromittieren als System, dass auf aktuellem Stand ist.

Nebenbei bekommt man sogar noch die Möglichkeit, die Arbeit des Eindringlings zu verfolgen und kann den Schutz für das eigentliche Netz erweitern.

na-cx schrieb:
Man kann nichts dagegen machen. Wenn jemand die Daten haben will, dann verschafft er sich einen Weg. Man kann es denjenigen nur so schwer wie möglich machen. Mehr nicht!

Das ist allerdings sehr stark von der Wichtigkeit der Daten und des evtl. nutzbaren Informationsgehalt und wie weit der Angreifer gehen will um an die Informationen zu gelangen.
 
OP
gehrke

gehrke

Administrator
Teammitglied
spoensche schrieb:
gehrke schrieb:
ch gestehe, dass ich vom Umfang der Bespitzelungsaktion der führenden Demokratie unserer Welt überrascht und schockiert bin.
Überrascht? So gesehen ist es ein alter Hut. Das Echolon Project gibt es ja schon seit bestehen des Internets und das nicht ohne Grund.
Das war mir schon bekannt. Überrascht hat mich das Ausmaß, welches da jetzt offenbar wird. Ein Deal mit über 1000(!) Firmen - offensichtlich geht es ganz gezielt darum, den eigenen Firmen auf breiter Basis wirtschaftliche Vorteile zu verschaffen, und dabei wird nicht zwischen Freund und Feind unterschieden. Bei diesem Ausmaß müssen sich nicht nur die großen europäischen Konzerne wappnen, da ist quasi jedes Unternehmen betroffen, dass in irgendeiner Weise einen gewissen Nutzen für den Angreifer verspricht.

Beeindruckend, mit welcher Kaltschnäuzigkeit die Amerikaner den Chinesen genau das vorwerfen und sich selbst immer als Opfer darstellen.
 

RME

Advanced Hacker
Beeindruckend, mit welcher Kaltschnäuzigkeit die Amerikaner den Chinesen genau das vorwerfen und sich selbst immer als Opfer darstellen.
Nicht nur in diesem Fall; ist ganz generell so und nicht nur die Chinesen betreffend.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Danke für die Antworten bisher.

na-cx schrieb:
Zu deinem konkreten Beispiel:
Firewall selber basteln, Switch rauswerfen und durch einen Server mit enorm vielen NIC's ersetzen.
Die Server rausschmeissen und eine 4-Socket/12CPU-Maschine besorgen, Linux drauf und alle vorigen Server virtuell unter VirtualBox betreiben.

In meinem fiktiven Beispiel läuft ausschließlich SLES, wobei darauf via XEN ca. 60 SLES-VMs virtualisiert werden.

na-cx schrieb:
Egal wie man es sieht, man ist immer darauf angewiesen, dass der Hersteller die Dinger wirklich so baut, dass ein unberechtigter Zugriff nicht möglich ist.
Man kann nur seinen Job machen.

Wenn irgendeiner der Hersteller mit irgendjemanden zusammenarbeitet, dann kann man nichts machen.

Man kann nichts dagegen machen.

Switches mit vielen Netzwerk-Karten selber bauen dürfte unsere Kapazitäten bei weitem übersteigen.

Gibt es europäische Hersteller für dieses Zeug? Und würde das helfen, das Risiko wenigstens zu minimieren?
 
OP
gehrke

gehrke

Administrator
Teammitglied
Leute, vielen Dank für Eure Antworten, aber das ist ja eine Katastrophe!

Ich ziehe als Zwischenfazit, dass wir einiges richtig gemacht haben bei der Wahl der System-Software und der sonstigen Infrastruktur. Externe Security-Audits für extern erreichbare Infrastruktur und WebApplication haben in der Vergangenheit auch ergeben, dass wir gar nicht so schlecht da stehen, bezogen auf normale Angreifer.

Aber hier zeigt sich ein Angriffsszenario, das bislang auf keiner Liste stand. Bei der Wahl des Netzwerk-Equipments haben wir möglicherweise alles falsch gemacht, aber scheinbar gibt es auch keine echten Alternativen und alle machen das so. Das kann doch wohl nicht wahr sein...

gehrke schrieb:
Switches mit vielen Netzwerk-Karten selber bauen dürfte unsere Kapazitäten bei weitem übersteigen.

Gibt es für so was wenigstens Community-Projekte oder sonstige Hilfestellungen???

Und würde das wirklich helfen? Denn man könnte ja auch auf den Gedanken kommen, dass es gewollte Schwachstellen in den Netzwerk-Karten gibt. Muss ich die dann auch selbst bauen, oder reicht es, offene Treiber zu verwenden?!?

gehrke schrieb:
Gibt es europäische Hersteller für dieses Zeug? Und würde das helfen, das Risiko wenigstens zu minimieren?

Keine Antwort ist auch eine Antwort. Au weia.

Wie machen so was eigentlich die großen europäischen Konzerne, beispielsweise EADS, SAP oder die Automobil-Hersteller? Die werden doch wahrscheinlich an vorderster Front stehen, was das Gefährdungspotential angeht.
 

na-cx

Hacker
Ausschliessen kann man gar nichts. Die menschliche Perversion ist in alle Richtung unendlich, selbst in alle undenkbaren Richtungen.
Nicht umsonst gibt es Sprüche á la: "Der Mensch baut die Atombombe aber keine Maus der Welt würde eine Mausefalle konstruieren".

Von beabsichtigten Schwachstellen in der Hardware würde ich nicht ausgehen. Nahezu jedes IT-Produkt wird in China hergestellt und zusammengelötet. Egal was man heutzutage aufschraubt, irgendwo findet sich immer ein Hinweis auf Foxconn. Die Chinesen sind auch nicht blöd und würden eine beabsichtigte Schwachstelle sofort finden.

Selbst wenn ein Unternehmen ausschliesslich auf Basis von IT arbeitet (Architekten, Ingenieurbüros und anderes "outgesourctes Geraffel"), wir das ganze nur als Kostenfaktor gesehen. Richtige Sicherheitsmechanismen sind überteuerter Mumpitz.
Ich habe schon mit Kunden zu tun gehabt, welche partout nicht den Sinn in solch "überteuerten Scheiß" gesehen haben und auf den Desktops höchstens Avira-Freeware laufen hatten. Leider gibt es von diesen Idioten zu viele.
Von einem deutschen Waffenhersteller weiß ich, das deren Entwicklungsumgebung komplett vom Netz getrennt ist und in abhörsicheren Räumen steht. :thumbs:
Andersrum sind mir aber auch Fälle bekannt, wo das Backup auf einem Media-Markt-NAS gemacht wird oder die Firewall vollständig virtualisiert ist: auf einem Win 2003-Server. :schockiert:
Das ist leider die Realität.
Sicherheitsprobleme werden schlicht ignoriert. Von daher existiert kein Markt.

Das kannst du tun, wobei das mit einem erhöhten Arbeistaufwand für den Admin einhergeht und es verstösst u.U. gegen die Gewährleistung:
- Aufbau eines separaten Administrationsnetzes für die Konfiguration der Router, Switches, etc. D.h. der Admin arbeitet mit zwei Rechnern: einmal ausserhalb und einmal innerhalb des normalen Systems,
- SAN's sowie die Konfigurationsschnittstellen der Hosts's für die VM's ebenfalls separieren und ggf. in das Adminnetz bringen,
- für die VM_Guest-Instanzen separate Netzwerkkarten verwenden (nicht onboard, die wird ja für das Adminnetz benutzt),
- alles was geht nur über die serielle Konsole verwalten bzw. KVM-IP nutzen (gehört ins Adminnetz),
- Herstellerzugänge sperren (verstößt immer gegen die Garantie- bzw. Servicebedingungen), z.B. die x86 basierte Hardwarefirewall mit einer Live-CD booten und die Passwörter in /etc/shadow neu setzen,
- Firmware, soweit möglich, durch OpenSource ersetzen,
- mehrstufiges Firewall- und Antivirenkonzept,
- Zertifikatsbasiertes VPN (sofern VPN benötigt wird),
- einen eigenen Internetanschluss mit eigener Firewallstruktur für das Adminnetz bereitstellen,
- IT-basierte Produktentwicklung physisch trennen (der Admin bedankt sich, Patches darf er per Datenträger in das Netz bringen),
- Thin-Clients einsetzen (Linux-Basis-OS oder noch besser Oracle SunRay),
- den Gebrauch von Datenträgern verbieten -> der Admin wird sich über die Mehrbelastung freuen,
- Netzüberwachung/management per z.B. MacMon,
- ...

... und wenn ich dann wissen will, was ihr so treibt, dann verkleide ich mich als Servicetechniker und warte den IP-basierten Digitaldrucker oder aber ich bagger die Chefsekretärin an, welche ja immer auch nach Feierabend noch da ist. :p

Oder ich sinke noch tiefer und erpresse den Admin. :D

Wie gesagt, du kannst nicht ausschliessen, das irgendwer irgendwie an die Daten kommt.

SAP läuft in den meisten Firmen auf Windows. MS informiert die NSA über Sicherheitslücken ... soll ich hier wirklich noch weitergehen oder möchtest du weiterhin einigermaßen ruhig schlafen? :D


Selbst ein deutscher Hersteller kann nicht vertrauenswürdiger sein. Bei unseren Nachrichtendiensten arbeiten auch keine "unbefleckten Klosterschüler". ;)
Die Arbeit eines Geheimdienstes ist niemals mit dem Recht auf Privatsphäre vereinbar. Das geht schlichtweg nicht.
Es wird alles mit einer imaginären Terrorgefahr begründet. Und jeder, der behauptet, dass die Dienste selber für die Terrorgefahr sorgen um das eigene Handeln und auch ihre eigene Existenz zu begründen, der wird als Verschwörungstheoretiker dargestellt.
Deutschland ist nicht besser.
Wer hat der NSU die Waffe besorgt (oder es zugelassen)?
Wer hat die RAF mit Waffen und Sprengstoff versorgt?
Von wem hatte Dutschke damals die Bombe bekommen?
Wer ist in all dem involviert und hätte es verhindern können? ;)

Wie war das mit dem Celler Loch?

Mit Juniper und Brocade bist du schon gut ausgestattet.
Wenn auch noch externe Sicherheitsaudits gemacht werden, sehr gut.
Wenn hierbei auch noch versucht wird das System zu knacken: besser geht es doch nicht. :thumbs:
 
OP
gehrke

gehrke

Administrator
Teammitglied
gehrke schrieb:
gehrke schrieb:
Switches mit vielen Netzwerk-Karten selber bauen dürfte unsere Kapazitäten bei weitem übersteigen.
Gibt es für so was wenigstens Community-Projekte oder sonstige Hilfestellungen???

Ich bin heute mal ganz zufällig durch unsere (öffentlichen) Server-Räume geschlendert und konnte dabei einige unbeabsichtigte Blicke nach links und rechts leider nicht gänzlich vermeiden.

Ich habe nicht ein einziges Rack gesehen, in denen nicht fertige Switches standen. Bei Firewalls sieht es nicht wirklich anders aus, sind im Vorbeigehen nur schwerer zu erkennen...
 

Jägerschlürfer

Moderator
Teammitglied
na-cx schrieb:
Ich habe schon mit Kunden zu tun gehabt, welche partout nicht den Sinn in solch "überteuerten Scheiß" gesehen haben und auf den Desktops höchstens Avira-Freeware laufen hatten. ...
Andersrum sind mir aber auch Fälle bekannt, wo das Backup auf einem Media-Markt-NAS gemacht wird oder die Firewall vollständig virtualisiert ist: auf einem Win 2003-Server. :schockiert:
Das ist leider die Realität.
Wie recht du hast. Leider.
 
Oben