Raspi verstecken

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo Feunde,

    Eine Frage : Beim PC kann ich über die Windows Firewall den Rechner im Netz für alle Netzscanner unsichtbar machen.

    Geht das beim Raspi auch ?

    Wenn ich icmp deaktiviere    "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all"

    kann man den Raspi zwar nicht mehr anpingen, aber Scanner die mit ARP auch

    arbeiten finden ihn trotzdem noch.

    Wenn ich ARP deaktiviere

    Code
    ip link set dev eth0 arp off

    ist der Pi über SSH nicht mehr erreichbar.

    Ich kann im Netz nichts gescheites finden !

    LG Pretzi

    :danke_ATDE:

  • Wenn ich ARP deaktiviere

    Code
    ip link set dev eth0 arp off

    ist der Pi über SSH nicht mehr erreichbar.

    Ich kann im Netz nichts gescheites finden !

    Suche mal nach arptables.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Innerhalb eines logischen Netzwerkes, das durch die Subnetzmaske definiert wird, funktioniert der Datentransport nur über die MAC.Adresse.

    Ist das System nicht übers eine MAC-Adresse im Netz bekannt, wird versucht, es mit einem Broadcast zu finden.

    Antwort es nicht, ist es nicht erreichbar.

    Ein Broadcast macht aus einem Switch einen Hub, dass heißt, Pakete an unbekannte MAC-Adressen im Netzwerk gehen über alle Ports.

    Werden Broadcasts gefiltert, werden die Systeme, die hinter diesem 'Filter' liegen, nicht erreicht.

    MAC-Adressen müssen Netzlokal (also innerhalb einer Broadcastdomäne) einmalig sein.

    In einer Broascastdomäne sind die IP-Adressen nur eine andere Schreibweise für die MAC-Adressen.

    Stellt das Quellsystem fest, dass die Ziel-IP im lokalen Netz liegt, wird beim ersten Verbindungsaufbau en Arp-Request an alle Systeme geschickt "Wer kennt die MAC zu der IP w.x.y.z?"

    Und es antwortet das gesuchte System.

    Wird nicht geantwortet, sieht man das z.B. an einem "arp -a" auf der Kommandozeile.

    Hier steht dann die IP-Adresse und anstelle der MAC "unvollständig" oder "unbekannt"

    "Unsichtbar" ist damit einfacher zu realisieren, in dem man das System vom Datennetz trennt.

    Computer ..... grrrrrr

  • "Unsichtbar" ist damit einfacher zu realisieren, in dem man das System vom Datennetz trennt.

    Naja, aber vielleicht soll ja _nur ein_ Gerät das System "sehen" können und alle anderen Systeme das Gerät nicht "sehen" können.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Naja, aber vielleicht soll ja _nur ein_ Gerät das System "sehen" können und alle anderen Systeme das Gerät nicht "sehen" können.

    Wen man die MAC kennt, kann man sie lokal auf einem Gerät fest in die Arp-Tabelle eintragen.

    Doch sollte man darauf achten, dass kein anderes System im Netz die zugeordnete IP bekomt.

    Und man sollte auch nicht vergessen, dass der Switch sich die MAC und den Port merkt, wenn dieser ausgelesen werden kann, ist das System nicht mehr 'unsichtbar'

    Und die letzte Frage bleibt unbeantwortet:

    Was soll ein unsichtbares System im Netz?

    Computer ..... grrrrrr

  • Wen man die MAC kennt, kann man sie lokal auf einem Gerät fest in die Arp-Tabelle eintragen.

    Was soll ein unsichtbares System im Netz?

    In den arp-cache kann man viel eintragen bzw. alles Mögliche eintragen, das System ist trotzdem nicht erreichbar (also nicht sichtbar).

    Das System ist ja nicht für alle Geräte im Netz unsichtbar, sondern nur für die Geräte die mit diesem System nicht kommunizieren sollen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Du willst bei allen Geräten, die nicht mit diesen besonderen gerät kommunizieren sollen, den Arp-Cache manipulieren?

    Immer wieder, da dort die System mit der Zeit rausfallen?

    Was machst du mit neuen Geräten?

    Wie verhinderst du, dass der Zugriff aus einem anderen Netz passiert?

    Computer ..... grrrrrr

  • Du willst bei allen Geräten, die nicht mit diesen besonderen gerät kommunizieren sollen, den Arp-Cache manipulieren?

    Nein, wie kommst Du darauf?

    Ich blockiere mit arptables auf dem Gerät (das nur von bestimmten Systemen gesehen werden soll) mit einer white-List den Zugriff mit bzw. von allen source-MAC-Adressen die dort nicht white-gelistet sind. Wenn es nur ein einziges Gerät ist, brauche ich keine white-List. Z. B.:

    Spoiler anzeigen
    Code
    :~ $ sudo arping -c 3 -I wlan0 -s 192.168.178.43 192.168.178.24
    ARPING 192.168.178.24 from 192.168.178.43 wlan0
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  8.145ms
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  6.920ms
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  6.823ms
    Sent 3 probes (1 broadcast(s))
    Received 3 response(s)
    Code
    sudo arptables -I INPUT 1 -i eth0 --source-mac b8:27:eb:a8:6a:64 -j DROP
    Code
    :~ $ sudo arping -c 3 -I wlan0 -s 192.168.178.43 192.168.178.24
    ARPING 192.168.178.24 from 192.168.178.43 wlan0
    Sent 3 probes (3 broadcast(s))
    Received 0 response(s)
    Code
    :~$ sudo arping -c 3 -I wlan1 -s 192.168.178.22 192.168.178.24
    [sudo] password for gm: 
    ARPING 192.168.178.24 from 192.168.178.22 wlan1
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  3.319ms
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  3.193ms
    Unicast reply from 192.168.178.24 [B8:27:EB:11:42:30]  3.156ms
    Sent 3 probes (1 broadcast(s))
    Received 3 response(s)
    Code
    ~ $ sudo arptables -nvx -L INPUT
    Chain INPUT (policy ACCEPT 179K packets, 5013K bytes)
    -j DROP -i eth0 -o * --src-mac b8:27:eb:a8:6a:64 , pcnt=39 -- bcnt=1092 

    Das System ist nur für bestimmte Geräte nicht sichtbar und nicht für alle. Warum der TE das so haben will, muss er beantworten. Es muss auch nicht zwingend um Sicherheit gehn. Mir ging es darum, wie man das technisch umsetzen kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Richtig unsichtbar wird ein Rechner erst, wenn er sich komplett hinter einem anderen Netzwerkgerät vertreckt. D.H. Du lässte einen Dummy-Rechner laufen, und Dein zu versteckender Rechner benutzt nun die gleiche MAC-Adresse wie der Dummy. Jetzt muss dein versteckter Rechner bei allen Anfragen, die der dummy bearbeitet den Mund halten, aber für Den bestimmten Zweck, also einen speziellen port oder Verbindungsart etc. muss der dummy ruhig sein, dann antwortet der versteckte rechner und von aussen siehr es immer so aus, als ob nur der dummy da ist. Wenn Du also einen tollen service über den verstecken rechner anbietest (z.B. ftp server mit tollen sachen), und jemand möchtet sich reinhacken um die tollen sachen zu klauen, dann landet er auf dem dummy und der ist leer.

  • Richtig unsichtbar wird ein Rechner erst, wenn er sich komplett hinter einem anderen Netzwerkgerät vertreckt.

    Nein, wenn ein arp-scan im (W)LAN die MAC-Adresse nicht erreichen kann, d. h. der Rechner kann nicht dazu "bewegt" werden auf ein arp-request mit einem arp-reply zu antworten, dann ist der Rechner richtig unsichtbar (... und das ist Layer-2). Was Du beschreibst (mit Ports) ist schon Layer-4.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich blockiere mit arptables auf dem Gerät (das nur von bestimmten Systemen gesehen werden soll) mit einer white-List den Zugriff mit bzw. von allen source-MAC-Adressen die dort nicht white-gelistet sind.

    Sobald dieses Gerät ein Gerät im Netz sucht, und wenn nur der eigene Arc-Cache abgelaufen ist, schickt es eine Anfrage durch das Netz, und alle Geräte hören diese Anfrage und lernen auch die MAC-Adresse dieses "versteckten" Gerätes.

    Computer ..... grrrrrr

  • ..., schickt es eine Anfrage durch das Netz, und alle Geräte hören diese Anfrage ...

    Hast Du schon mal getestet was passiert, wenn Du auf dem ("versteckten") Gerät die arp-requests in das Netz an die Broadcastadresse ff:ff:ff:ff:ff:ff blockst und nur gezielte arp-requests an bestimmte MAC-Adressen (white-List) durchlässt bzw. es seinen arp-cache gar nicht neu aufbauen muss, weil alles was es diesbezüglich braucht, dort statisch (permanent) eingetragen ist?

    [EDIT]

    Im Netz kann man (als Test) auf einem Gerät, das das versteckte Gerät nicht sehen soll, mit z. B.:

    Code
    sudo tcpdump -vvveni <Interface> ether src <MAC-Adresse-verstecktes-Gerät> and arp

    warten/sniffen.

    [/EDIT]

    Aber darum geht es doch gar nicht, Du sucht jetzt doch nur das Haar in der Suppe. Der TE hat in seinem 1. Beitrag doch klar geschrieben:

    Zitat

    Eine Frage : Beim PC kann ich über die Windows Firewall den Rechner im Netz für alle Netzscanner unsichtbar machen.

    Geht das beim Raspi auch ?

    und wie man das für den _Netzwerkscanner_ machen kann, habe ich gezeigt. Denn was die "Windows Firewall" (siehe 1. Beitrag) kann oder nicht kann, das kann man mit Linux auch machen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (15. Februar 2019 um 14:58)

  • Naja, aber vielleicht soll ja _nur ein_ Gerät das System "sehen" können und alle anderen Systeme das Gerät nicht "sehen" können

    Ja genau so wollte ich es machen !

    Hast Du schon mal getestet was passiert, wenn Du auf dem ("versteckten") Gerät die arp-requests in das Netz an die Broadcastadresse ff:ff:ff:ff:ff:ff blockst und nur gezielte arp-requests an bestimmte MAC-Adressen (white-List) durchlässt bzw. es seinen arp-cache gar nicht neu aufbauen muss, weil alles was es diesbezüglich braucht, dort statisch (permanent) eingetragen ist?

    Ja das werd ich dann versuchen

    :danke_ATDE:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!