Härten der eigenen Sicherheit

Quote from Gamma

Mein Openwrt Router ist eine Fritzbox 4040

Wie macht ihr das?

Das Thema ist noch in Arbeit bei mir.

Kann OpenWrt auf diesem Gerät eine Firewall für ausgehende Pakete abbilden?

Mein größtes gedankliches Problem im Augenblick: meine Fritzbox ist ja schön und gut aber es gibt überhaupt keine richtige Firewall für ausgehende Pakete.

Quote from Gamma

Dort als DNS den Pi-Hole eingetragen (Internetoptionen)

First DNS über Digital Courage

Second DNS nach Wahl aber niemals Google

Rasperry-Pi mit Unbound und Pi-Hole als DNS-Server im Homenetz

Das verstehe ich nicht...... erster DNS Digital Courage.... aber wozu dann noch der Pi-Hole als DNS und Unbound?
Der erste DNS wird doch dann verwendet.

harihegen

Ja, openwrt ist eine vollwertige FW.

Ich selber nutze einen opnsense als FW mit unbound DNS auf dieser. Deshalb verstehe ich nicht warum Gamma da noch DIgital Courage drin hat usw.
OpenWRT läuft bei mir auf einem AP, dort habe ich ein WLAN für meine IoT Geräte wie einem Saugroboter. Das WLAN ist von allem abgekapselt, nmur Internet. Die FW ist auf openwrt dort aus weil das ja alles über die opnsense läuft.

Meine Fritte läuft relativ "standard". Ich nutze deren WLAN mit Mesh. Ich habe lediglich den DNS angepasst und hier einmal Pi-Hole mit unbound auf einem Raspberry Pie laufen und als secondary DNS ebenfalls Pi-Hole, aber auf meinem unRAID Homeserver.

Bezüglich FW und Co habe ich mir noch keine großen Gedanken gemacht, da ich beabsichtige, mir einen Banana oder ähnliches mit OpenWRT zuzulegen. Allerdings steht bei uns in Kürze der Umstieg auf Glasfaser an (Leitung von der Straße in den Keller liegt schon) und dann muss eh hier Zuhause umgeplant und umgebaut werden. Daher warte ich noch ab, bis ich genau weiß, wie es künftig bei uns zuhause aufgebaut sein wird.

Quote from Gamma

In der Fritzbox ist der Pi-Hole als erster und zweiter für das interne Netzwerk als DNS-Server eingetragen. Im Pi-Hole ist mittels Unbound Digigitalcourage drin, da kann man ja auch 2 oder 3 DNS-Server angeben wie man will....
Alles außer Google wie du willst und dem du mehr Vertrauen schenkst
Die Filterlisten im Pi-Hole halten dein Netz sauber und Digitalcourage ist ein, meiner Meinung nach sauberer DNS Server und ungefiltert...

Aber unbound ist doch dafür da, direkt die ICANN anzufragen und eben nicht an Google und Co zu gehen. Unbound ist doch dann in deinem Szenario quasi arbeitslos bzw nutzlos.

Quote from Gamma

Das war schon immer für mich ein Problem da ich ja in dem Bereich arbeite. Sie soll einfach nur als "Volksbox" funktionieren, anstöpseln und fertig, wir sind ja nicht blöd....

Ich sehe das auch als Problem.
Der Fernseher kann ja immer noch Screenshots sonst wo hin schicken einfach als Post Request an eine IP Adresse irgendwo in der Welt, mal als einfaches Beispiel genannt.

Quote from Stardenver

Aber unbound ist doch dafür da, direkt die ICANN anzufragen und eben nicht an Google und Co zu gehen. Unbound ist doch dann in deinem Szenario quasi arbeitslos bzw nutzlos.

Genau das meinte ich, die Konstelation macht für mich so wenig Sinn.
Ich bin Laie was Linux angeht, beschäftige mich erst seit ca 6 Monaten damit, aber ich habe den unbound auf meiner FW (opnsense) mit Filterlisten.
Der unbound gilt bei mir global für alle Clients in meinem LAN und fragt die Root-DNS-Server bei mir ab.
Natürlich kann ich auch einen DNS wie Digital Courage in Unbound eintragen (unter DNS over TLS --> Custom forwarding )

nur frage ich so dann ja keine Root-Server mehr ab, kann also quasi gleich den unbound abschalten wenn ich keine Filterlisten nutze.
Das ist dann noch der einzige Vorteil von unbound. Aber Gamma nutz ja eh ein Pi-Hole, also ist das meiner Meinung nach überflüssig so.

Oder sehe ich das falsch?
Sorry wenn ich bullshit schreibe, aber ich bin noch nicht so lange dabei in der digitalen Welt.

Vielleicht kann Gamma ja mal einen Netzplan hier von seinem Setup reinstellen, so kann ich das viellicht besser verstehen und nachvollziehen?

Quote from bttr

Freiwilliger Umstieg? Oder haben dich Telekomiker-Drückerkolonnen überredet?

Das finde ich jetzt ziemlich polemisch.

Quote from Der Dude

Das finde ich jetzt ziemlich polemisch.

Ich formuliere es anders: Stardenver, trotz des initialen zeitlichen und monetären Aufwands und der (vermutlich) höheren laufenden Kosten, siehst du in der Umstellung auf Glasfaser für dich einen Mehrwert?

Ich habe gerade heute einen Herren, der von oder für die Telekom bei uns unangemeldet an der Wohnungstür geklingelt hat, ohne Vertragsunterschrift weggeschickt.

Quote from bttr

Ich habe gerade heute einen Herren, der von oder für die Telekom bei uns unangemeldet an der Wohnungstür geklingelt hat, ohne Vertragsunterschrift weggeschickt.

Das hätte ich genauso gehandhabt. Wenn ich einen Vertrag abschließen oder ändern will, melde ich mich bei dem entsprechenden Vertragspartner. Vor der Tür fängt meine Härtung an (um beim Thema zu bleiben).

Quote from Der Dude

Das hätte ich genauso gehandhabt. Wenn ich einen Vertrag abschließen oder ändern will, melde ich mich bei dem entsprechenden Vertragspartner. Vor der Tür fängt meine Härtung an (um beim Thema zu bleiben).

OT: Ich habe mich zumindest mal ein paar Minuten von ihm „informieren lassen“. Bei „Kupfer fällt dann weg und Sie wollen doch sicherlich weiterhin Internet haben“ hakte ich ein paar Mal nach und am Ende hieß es dann: „Wir reißen die Kabel nicht gleich bei der Gebietserschließung raus, aber die sind ja schon >20 Jahre alt und werden nicht mehr gepflegt. In ein paar Jahren also.“

Ja, nee, ist klar ... Wer weiß, was in ein paar Jahren ist und wo ich da sein werde. Kümmere ich mich drum, wenn's soweit ist.

Kupfer hin, Glasfaser her, das hat jetzt nichts "Härten" zu tun.

Entschuldige mich direkt für meine Unwissenheit, aber ich verstehe micht warum mehrerer DNS Server im Netz nötig sind.
Was ist der Vorteil davon, wie teile ich diese auf bzw. weise ich die unterschiedlichen Clients zu?

Ich z.B. habe "nur" einen auf meiner opnsense am laufen für alle Clients.
Ich beschäftige mich erst seit kurzem mit IT als Hobby und habe deshalb bestimmt einen Denkfehler in meiner Logik aufgrund fehlenden WIssens.

Quote from GF-S15

ps.. Respekt!! Nach nur 6 Monaten als Linuxer schon einen Root-Resolver eingerichtet. TOP

Ich habe das ja nur in der opnsense eingetragen. Hoffe dass das auch richtig konfiguriert ist.
Kann ich das irgendwo testen?

Quote from Gamma

Ich nutze Digitalcourage weil die Rootserver keine Verschlüsselung beherrschen. Außerdem hat der Pi-Hole einen Cache und habe dadurch keinen Geschwindigkeitsverlust, da ich meist auf den gleichen Seiten surfe.

Wie kann ich herausfinden ob bei mir Verschlüsselung aktiv ist?

Nutze anscheinend DNSSEC --> http://www.dnssec-or-not.com/
Bei mir kommt da eine positive Rückmeldung.

Habe folgendes dazu gefunden:

DNSSEC ist ein Satz von Sicherheitserweiterungen zur Überprüfung der Identität von DNS-Root-Servern und autoritativen Nameservern bei der Kommunikation mit der DNS-Auflösung. Neben anderen Angriffen soll es u. a. DNS-Cacheangriff verhindern. Es verschlüsselt keine Kommunikation. DNS über TLS oder HTTPS hingegen verschlüsselt DNS-Abfragen. 1.1.1.1 unterstützt auch DNSSEC.

Sorry wenn ich frage, weil ist für mich schwer zu verstehen als Neuling.
Ist mit Veschlüsselung DNS over TLS gemeint?
HTTPS verschlüsselt doch eigentlich schon, oder nicht?