Posts by sls

    Puh, in Facebook's NOC hätte ich bei diesem Major Incident gerne Mäuschen gespielt :D


    Aber es ist halt wie es ist. Man hört und sieht vom Netzwerk in Unternehmen so gut wie nie etwas, und wenn, dann richtig. Irgendeine miese Config eingspielt, Router-Cluster abgesemmelt. Whatever. Da arbeiten auch nur Menschen und man sieht eindrucksvoll dass selbst FANG-Unternehmen nicht vor derlei Problemen verschont sind.


    Ein recht guter Artikel zu den technischen Auswirkungen des Ausfalls: https://blog.cloudflare.com/october-2021-facebook-outage/

    Ich spiele auch immer mal wieder mit dem Gedanken managed Router mit VLAN bei mir einzusetzen. Dann muesste ich aber meine existierenden unmanaged Router alle ersetzen und unterschiedliche APs fuer Heimnetz, IOT Devices, Cam und GuestWLAN aufsetzen. Ist mir ehrlich gesagt etwas zu viel Aufwand fuer die Cam.


    Ich habe zwar keinen Blassen wie dein Netzwerk aussieht, aber grundsätzlich geht's mir nur um das Gateway (Fritbox für PPPOE-Aushandlung) und dahinter einen Router der als Exposed Host eingetragen ist und dann als Paketfilter und Router auftritt.


    Mir war nicht klar dass du einen dedizierten OpenVPN-Server betreibst, vergiss also was ich mit externer IP schrieb, das war natürlich quatsch. Ich hatte da einen Denkfehler.


    WiSo hat da eigentlich einen guten Einwand gebracht mit den unterschiedlichen Subnetzen.

    Da kann einer der Netzwerkspezialisten im Forum sicher mehr zu sagen, aber gerade bei diesen ganzen China-Cams gab's doch in der Vergangenheit immer kritische Sicherheitslücken, DNS-Backhole "schützt" hier ja nicht als Sinkhole sondern es werden nach wie vor Ports ins Internet geöffnet die von der Gegenstelle erreicht werden sollen.


    Ich fände es daher besonders wichtig den Traffic der Webcam zu blocken, anstatt eine Kommunikation ins Leere laufen zu lassen.


    Gruß, sls


    Hi framp,


    zu deiner obigen Frage würde ich dazu raten auf einen dedizierten Router auszuweichen. Bei mir laufen nach wie vor Mikrotik Routerboards die für das komplette Heimnetzwerk zuständig sind (inkl. VLANS, Routing, VPN-Server etc.). Der Initialaufwand ist natürlich deutlich höher als eine Fritzbox in Betrieb zu nehmen, für ambitioniertere Heimnetzwerk-Setups würde ich aber die Fritzbox nur noch als besseres Modem verwenden.


    Bei Fritzbox geht es immer vorallem darum unbedarfte Anwender möglichst viel Arbeit abzunehmen, was dir gleichzeitig Steine in den Weg legt.


    Bei letzterem Problem wirst du via VPN mit einer externen IP an deinem Heimnetzwerk aufschlagen was von der Kindersicherung gefiltert wird. Du kommst da also nicht mit einer lokalen IP-Adresse an.


    Gruß, sls

    __blackjack__: das ist so. Scala wurde von Java beeinflusst, beeinflusste selbst Kotlin, *läuft* auf der JVM, ist aber eine eigene Sprache und keine Menge von Java o.ä.


    Ich *kann* zwar Java Objekte in Scala verwenden, muss diese aber immer noch konvertieren, Java-Klassen werden also nicht einfach vom Scala-Compiler übersetzt.


    Java und Scala zu kombinieren ist aber keine wirklich gute Idee.

    Linus Torvalds hat das Linux-Projekt bzw. den Linux-Kernel angefangen, weil er Lust dazu hat, so was zu machen.


    *Das* und der Fakt dass er Feedback für seine Arbeit wollte / brauchte, um den Kernel "besser" machen zu können. Natürlich lebt so ein Projekt dann auch durch die Unterstützung vieler. Die (20?) Millionen Zeilen Code hätte nämlich auch Torvalds in diesem Leben nicht alleine in seiner Kammer entwickelt.


    Dass es in Musiker-Foren so viel herzlicher und verständnisvoller zu geht möchte ich aber verneinen. Gerade Musiker sind sehr eigensinnig, nicht umsonst gehen so viele Bandprojekte den Bach runter.

    Wenn du eine Applikation in einem Container betreibst kannst du natürlich noch die IP-Adresse vom Dockerhost (der diesen Container betreibt) ansprechen, es muss allerdings i.d.R. auch der Port der Applikation gemapped werden. Wie sieht dein Dockerfile zu der dockerisierten app aus?

    Du kannst initial mittels "crontab -e" das cron-file manipulieren. Die von dir gezeigte Meldung deutet darauf hin, dass für root noch kein cron job aktiv ist. Funktionieren wird das also nicht.

    nun ja, es ist genauso konfiguriert wie mit der alten FB nur da trat das nicht auf.

    Ich habe alle Hostnamen geändert, alle Passwörter.

    Nur noch nicht alle Ports, ansonsten verstehe ich dein Posting nicht wirklich, ja es sind Geräte nach aussen offen, das war der Sinn das ich von aussen zugreifen kann.


    Und woher weißt du, dass deine neue Fritbox genau das tut, was deine alte gemacht hat?


    Für WoL gibt es ein Magic-Packet, empfängt ein Interface mit WoL-Konfiguration dieses, ermutigt es den Rechner zum "aufwecken". Hier würde ich mit einem Sniffer ansetzen und schauen, was in deinem Heimnetz dieses Magic-Packets sendet.


    Zu XP hat Linus bereits alles nötige gesagt. Tu' dir doch selbst einen Gefallen und zieh den Netzwerkstecker, das kann äußerst ungesund werden.

    Ich dachte immer hinterm DSL Router sind meine Geräte relativ sicher.

    Seit dem ich den DSL Router wechseln musste von Fritzbox 3270 auf 7580 überrascht mich mein winXP PC öfter morgens eingeschaltet WoL vermute ich.


    Keine Ahnung was da los ist, ich glaube ich muss erst mal ein Programm installieren wann der WoL bekommt und dann irgendwie rausbekommen warum.

    Hat jemand eine Idee?


    Deine Geräte `hinter` der Fritzbox sind so sicher, wie AVM meint seine Blackbox für Enduser konfigurieren zu müssen. Jeder der erstmals ein Gateway so konfiguriert, dass er es nach extern absichern muss bekommt zu spüren, was das heimische Netz so alles von außen bombadiert. Ich kenne mich mit Windows nicht aus, aber soweit ich weiß ist der Support für XP eingestellt? Dein Router kann noch so sicher sein, wenn ein Client nach außen hin ein Scheunentor öffnet.


    Dass Geräte ein WoL-Device "wecken" kann viele Ursachen haben (z.B. Pakete die verunglückt an deinem WoL-Endpoint terminieren).

    ... oder sind Euch die Tuerruettler egal?


    Genau das. Ich sehe das so: wenn ein Einbrecher in einer Nachbarschaft an 50 Türen rüttelt, wird er vielleicht die eine finden, die offen ist. Darauf hoffen die bösen Buben auch bei dieser Vorgehensweise. Wenn du einen Profieinbrecher hast, wird dieser aber in so gut wie alle der 50 Türen kommen.


    Ich bin immer noch der Meinung, dass eine solide Härtung mit den von dir beschriebenen Mitteln der richtige Weg ist. Das einzige Mal dass ich erlebte dass ein Grundrauschen einen Rechner komprimitiert hat war ein human error in dem ein Telnet-Port an einem Enterprise-Switch per default geöffnet war und mit den hersteller-üblichen Standard-Login-Daten binnen 5 Minuten (!) übernommen wurde.


    Die größere Gefahr geht IMO von Cross-Site-Scripting, SQL-Injections (bedingt veralteter Software) oder Schweinereien mit XML aus. Ich habe auch schon Open Source Virtualisierungslösungen wie bspw. Proxmox erlebt welches die SSH-Konfig eigenständig manipuliert und Root-Login erlaubt. Übel.


    Zum Absichern meiner Server nutze ich ebenfalls Fail2Ban, eine DMZ, keine Passwort-Logins sondern nur SSH-Key-Authentifizierung mit Hardware-Token und einen statischen Netzbereich (besitze ein kleines /29 IPv4-Netz) welcher Zugriff auf die Server hat. Der rest wird als bogus behandelt.


    Ich bin übrigens kein Verfechter von Ändern von Standard-Ports und erlaube auch Root-Login. Das ersetzt keine vernünftige Absicherung eines von Außen erreichbaren Rechners.

    Hi,


    und du bist dir sicher, dass auf dem Raspberry auch die Bash als Standardshell verwendet wird?


    Edit: alternativ mal das Script so starten: bash <scriptname.sh>


    BTW: du möchtest den Inhalt von String x, und y vergleichen, dann würde ich grundsätzlich diese Syntax verwenden: