Stimmt es, dass in den vom BSI Zertifizierten Modellen einfach jegliche unverschlüsselte Funktionen (SNMPv1 / LANmonitor, usw.) rausgestrichen wurden und die Dinger somit komplett unbrauchbar sind?
Hatte gehofft es würde bei LANCOM mal jemand schaffen SNMPv3 (für LANmonitor) und TLS 1.2 (für LANconfig) umzusetzen...
BSI Router
Moderator: Lancom-Systems Moderatoren
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: BSI Router
Hi Christoph_vW
Gruß
Backslash
nein, das ist alles noch drin, muß aber für den zertifizieretn Betrieb deaktiviert werden - dann obliegt es der Paranoia des Admins, ob er es dennoch zulassen will. Letztendlich muß man in sicherheitskritischen Bereichen halt Abstriche von der Bequemlichkeit machen...Stimmt es, dass in den vom BSI Zertifizierten Modellen einfach jegliche unverschlüsselte Funktionen (SNMPv1 / LANmonitor, usw.) rausgestrichen wurden und die Dinger somit komplett unbrauchbar sind?
irgendwann wird das sicher kommen - aber es ist nunmal so, daß SNMPv3 mit SNMPv1/2 ungefähr soviel gemein hat, wie IPv6 mit IPv4...Hatte gehofft es würde bei LANCOM mal jemand schaffen SNMPv3 (für LANmonitor)
Im zertifizierten Betrieb ist der Zugriff nur über SSH zulässig. HTTPS wird vom BSI schlicht abgelehnt - und ich sag mal: aus gutem Grund... LANconfig wird daher auch per SSH auf die Geräte zugreifen könnenund TLS 1.2 (für LANconfig) umzusetzen...
Gruß
Backslash
Re: BSI Router
Hallo Backslash,
Dachte immer mit HTTPS bin ich auf der sicheren Seite, SSH aufm WAN-Standardport ist ja eine mittlere Katastrophe, bei genügend Interesse aus Sibirien gibts da schon mal ein LCOS-Watchdog...
Viele Grüße,
Jirka
kannst Du da noch mal etwas weiter ausholen? Geht das Richtung DoS? Oder echt ein Sicherheitsproblem? Gibt doch auch TLS, das können die LANCOMs doch nun auch?!backslash hat geschrieben:HTTPS wird vom BSI schlicht abgelehnt - und ich sag mal: aus gutem Grund...
Dachte immer mit HTTPS bin ich auf der sicheren Seite, SSH aufm WAN-Standardport ist ja eine mittlere Katastrophe, bei genügend Interesse aus Sibirien gibts da schon mal ein LCOS-Watchdog...
Viele Grüße,
Jirka
Re: BSI Router
Hi Jirka,
es gibt diverse Schwachstellen im TLS, z.B. den BEAST-Angriff (http://www.heise.de/security/meldung/To ... 46257.html) der offenbar in abgewandelter Form auch in TLS 1.2 funktioniert (http://www.heise.de/security/meldung/En ... 02069.html) - und solange es noch Browser gibt, die kein TLS 1.2 sprechen (dazu gehören Internet-Explorer, Firewfox, Safari - also die am weitesten verbreiteten), macht es keinen Sinn es im LANCOM zu implementieren - es würde eh nicht genutzt...
Gerade in letzter Zeit sind noch eine Menge anderer Schwachstellen im TLS bekannt geworden, z.B. http://www.heise.de/security/meldung/TL ... 97577.html oder http://www.heise.de/security/meldung/Er ... 22963.html...
Das BSI hält HTTPS aus diesen Gründen einfach für zu unsicher
Gruß
Backslash
es gibt diverse Schwachstellen im TLS, z.B. den BEAST-Angriff (http://www.heise.de/security/meldung/To ... 46257.html) der offenbar in abgewandelter Form auch in TLS 1.2 funktioniert (http://www.heise.de/security/meldung/En ... 02069.html) - und solange es noch Browser gibt, die kein TLS 1.2 sprechen (dazu gehören Internet-Explorer, Firewfox, Safari - also die am weitesten verbreiteten), macht es keinen Sinn es im LANCOM zu implementieren - es würde eh nicht genutzt...
Gerade in letzter Zeit sind noch eine Menge anderer Schwachstellen im TLS bekannt geworden, z.B. http://www.heise.de/security/meldung/TL ... 97577.html oder http://www.heise.de/security/meldung/Er ... 22963.html...
Das BSI hält HTTPS aus diesen Gründen einfach für zu unsicher
Gruß
Backslash
Re: BSI Router
Moin,
Das Herausstreichen nicht verschlüsselter Konfigurationswege (mit Ausnahme der Outband, aber für die braucht man physischen Zugang) ist angesichts der Zielrichtung so einer Zertifizierung hoffentlich für jeden nachvollziehbar. Aber auch dann ist so eine Zertifizierung mitsamt entsprechenden Code-Reviews derart aufwendig, daß man sich gut überlegt, bei mehreren vorhandenen Konfigurationswegen mehr als nur einen zu zertifizieren. Ob und wenn ja warum das BSI HTTPS kategorisch abgelehnt hat, weiß ich nicht, aber man muß leider festhalten, daß es bei SSL/TLS in den letzten ein, zwei Jahren diverse und zum Teil ziemlich dicke Lücken gegeben hat, die zum Teil schon im Konzept des Protokolls begründet lagen und nur mit neueren Protokollversionen wirlich zu schließen wären - die im Augenblick kaum ein Browser unterstützt...
Bei SSH war es dagegen in den letzten Jahren vergleichsweise ruhig und SSH gibt einen vollständigen Zugiff zur LCOS-CLI und damit zu allen Funktionen des Geräts. Wer Probleme mit einer Kommandozeile hat - naja, das Thema ist halt etwas für Profis
Und die LANtools sind übrigens gerade dabei, auch den Zugang per SSH zu lernen. Ob das dann aber noch vom zertifizierten Betrieb abgedeckt sein wird, weiß ich nicht.
Gruß Alfred
Das ist eine Schlußfolgerung, der sich sicherlich nicht jeder Kunde anschließen wird...ich könnte dann ja genauso sagen, weil's die LANtools nur für Windoofs gibt, sind LANCOMs für jeden nicht-Windows-Nutzer (so wie mich) komplett unbrauchbar.Stimmt es, dass in den vom BSI Zertifizierten Modellen einfach jegliche unverschlüsselte Funktionen (SNMPv1 / LANmonitor, usw.) rausgestrichen wurden und die Dinger somit komplett unbrauchbar sind?
Das Herausstreichen nicht verschlüsselter Konfigurationswege (mit Ausnahme der Outband, aber für die braucht man physischen Zugang) ist angesichts der Zielrichtung so einer Zertifizierung hoffentlich für jeden nachvollziehbar. Aber auch dann ist so eine Zertifizierung mitsamt entsprechenden Code-Reviews derart aufwendig, daß man sich gut überlegt, bei mehreren vorhandenen Konfigurationswegen mehr als nur einen zu zertifizieren. Ob und wenn ja warum das BSI HTTPS kategorisch abgelehnt hat, weiß ich nicht, aber man muß leider festhalten, daß es bei SSL/TLS in den letzten ein, zwei Jahren diverse und zum Teil ziemlich dicke Lücken gegeben hat, die zum Teil schon im Konzept des Protokolls begründet lagen und nur mit neueren Protokollversionen wirlich zu schließen wären - die im Augenblick kaum ein Browser unterstützt...
Bei SSH war es dagegen in den letzten Jahren vergleichsweise ruhig und SSH gibt einen vollständigen Zugiff zur LCOS-CLI und damit zu allen Funktionen des Geräts. Wer Probleme mit einer Kommandozeile hat - naja, das Thema ist halt etwas für Profis
Und die LANtools sind übrigens gerade dabei, auch den Zugang per SSH zu lernen. Ob das dann aber noch vom zertifizierten Betrieb abgedeckt sein wird, weiß ich nicht.Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: BSI Router
Moin,
Gruß Alfred
Der IE ist in diesem Falle ausnahmsweise eine positive Ausnahme, aktuelle Versionen unter Windows 7 (nicht XP) können TLS 1.2. Ansonsten sieht's aber düster aus, Opera wäre noch ein Kandidat, die stampfen ihre Brower-Engine gerade ein, Chrome kann nur TLS 1.1, Firefox hängt noch bei TLS 1.0 fest. Von den GCM-Verschlüsselungsmodi, die nach aktuellem Wissensstand die einzig saubere Lösung für einige Probleme sind, gar nicht erst zu reden, die müßte ich auch dem LCOS erst mal beibiegen...und solange es noch Browser gibt, die kein TLS 1.2 sprechen (dazu gehören Internet-Explorer, Firewfox, Safari - also die am weitesten verbreiteten), macht es keinen Sinn es im LANCOM zu implementieren - es würde eh nicht genutzt...
Wenn's da Probleme gibt, sollten die gelöst werden. Sind die Watchdogs gemeldet? Mir ist aktuell nur ein Problem bekannt, das zugegebenermaßen etwas kniffliger zu lösen ist. Verschieben des SSH-Ports oder das Verbieten von Paßwort-Anmeldung auf der WAN-Seite sind aber i.a. schon recht effektive Maßnahmen.SSH aufm WAN-Standardport ist ja eine mittlere Katastrophe, bei genügend Interesse aus Sibirien gibts da schon mal ein LCOS-Watchdog...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: BSI Router
Also ich denke ich administriere genug LANCOM, von denen auch genug per SSH auf dem Standard-Port aus dem WAN erreichbar sind.
Ich habe bisher noch keinen Absturz erlebt, der auf zu viele Login-Versuche per SSH zurueckzufuehren war. Zumal ja auch nach x Versuchen der Zugang gesperrt wird.
Es ist halt eher nervig, dass in dem Fall der Zugang permanent gesperrt ist. Da gehe ich dann meist hin und aendere den Port. Danach ist Ruhe.
Ciao
LoUiS
Ich habe bisher noch keinen Absturz erlebt, der auf zu viele Login-Versuche per SSH zurueckzufuehren war. Zumal ja auch nach x Versuchen der Zugang gesperrt wird.
Es ist halt eher nervig, dass in dem Fall der Zugang permanent gesperrt ist. Da gehe ich dann meist hin und aendere den Port. Danach ist Ruhe.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: BSI Router
Hallo zusammen,
Ich hab's leider seitdem nicht geschafft, das auszuprobieren
TLS 1.2 muss man da unter Einstellungen -> Erweitert -> Sicherheit -> Sicherheitsprotokolle aktivieren.
Gut dann wäre noch VPN, aber gerade für den Fall, dass das mal nicht funktioniert, muss man ja eine Ausweichmöglichkeit haben, insofern man keinen Ausflug unternehmen möchte...
Vielen Dank und viele Grüße,
Jirka
PS: HTTPS ist jetzt bei mir schon mal testweise nur noch über VPN erlaubt.
PPS: Der neue Public Spot dann auch mit Anmeldung über SSH?
Ich denke das ist schon implementiert?! Siehe: http://www.lancom-systems.de/produkte/l ... 0-release/backslash hat geschrieben:solange es noch Browser gibt, die kein TLS 1.2 sprechen [...], macht es keinen Sinn es im LANCOM zu implementieren - es würde eh nicht genutzt...
Ich hab's leider seitdem nicht geschafft, das auszuprobieren
Jo, mein Lieblings-Browseralf29 hat geschrieben:Opera wäre noch ein Kandidat
TLS 1.2 muss man da unter Einstellungen -> Erweitert -> Sicherheit -> Sicherheitsprotokolle aktivieren.
Leider, falls es jemanden interessiert: http://www.heise.de/ct/artikel/Verloren ... 17521.htmlalf29 hat geschrieben:die stampfen ihre Brower-Engine gerade ein
Ich schick Dir den Link auf die Watchdogs per PN. Hatte da noch mehrere von. Port geändert (mache ich eigentlich immer, aber das sind nicht meine Geräte) und es gab keine Watchdogs mehr...alf29 hat geschrieben:Wenn's da Probleme gibt, sollten die gelöst werden. Sind die Watchdogs gemeldet?
Nun ja, wie LoUiS auch schon schrieb sollte man das wirklich machen, wenn man denn im Fall der Fälle wirklich Zugriff aufs Gerät haben will. Mache ich ja auch wie gesagt eigentlich immer...alf29 hat geschrieben:Verschieben des SSH-Ports
Nun gut. Aber dann könnte man auch die Haus-/Wohnungstür zumauern, damit darüber keiner mehr einbrichtalf29 hat geschrieben:das Verbieten von Paßwort-Anmeldung auf der WAN-Seite
Gut dann wäre noch VPN, aber gerade für den Fall, dass das mal nicht funktioniert, muss man ja eine Ausweichmöglichkeit haben, insofern man keinen Ausflug unternehmen möchte...
Vielen Dank und viele Grüße,
Jirka
PS: HTTPS ist jetzt bei mir schon mal testweise nur noch über VPN erlaubt.
PPS: Der neue Public Spot dann auch mit Anmeldung über SSH?
Re: BSI Router
Moin,
Gruß Alfred
Danke. Schaue ich morgen rein.Ich schick Dir den Link auf die Watchdogs per PN.
Der Vergleich hinkt ein bisserl. Mit Abschalten des Zugangs per Paßwort meinte ich, nur noch Einloggen per Public Key zuzulassen. Wenn man regelmäßig SSH nutzt, richtet man sich das früher oder später ein und Angreifer können dann Paßwörter ausprobieren, soviel sie wollen - falls sie an der Antwort des SSH-Servers nicht erkennen, daß es so oder so nicht tun wird.Nun gut. Aber dann könnte man auch die Haus-/Wohnungstür zumauern, damit darüber keiner mehr einbricht
Keine Ahnung, mit dem Thema befasse ich mich nicht mehr. Mir wär's recht, aber mich fragt ja keinerPPS: Der neue Public Spot dann auch mit Anmeldung über SSH?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: BSI Router
Hallo Alfred,
Danke für die Klarstellung.
Viele Grüße,
Jirka
oh, das hatte ich tatsächlich falsch verstanden...alf29 hat geschrieben:Der Vergleich hinkt ein bisserl. Mit Abschalten des Zugangs per Paßwort meinte ich, nur noch Einloggen per Public Key zuzulassen.
Danke für die Klarstellung.
Viele Grüße,
Jirka
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: BSI Router
Hatte mich vielleicht etwas ungünstig ausgedrückt - wenn die unverschlüsselte Kommunikation wegfällt, wäre ich nicht unglücklich - nur bisher war die einzige einigermaßen sichere Möglichkeit, LANconfig über SSL zu konfigurieren, was leider nicht funktioniert, wenn man auf den Geräten nur TLS 1.2 aktiviert.
Zwar kann LCOS schon lange TLS 1.2, aber es scheint bisher niemand in der Lage gewesen zu sein, eine aktuelle OpenSSL Version in LANconfig zu integrieren, damit die Konfiguration darüber auch funktioniert.
Was wird denn dann aus dem LANmonitor? SNMPv1 wird doch wohl kaum vom BSI zertifiziert...
Zwar kann LCOS schon lange TLS 1.2, aber es scheint bisher niemand in der Lage gewesen zu sein, eine aktuelle OpenSSL Version in LANconfig zu integrieren, damit die Konfiguration darüber auch funktioniert.
Was wird denn dann aus dem LANmonitor? SNMPv1 wird doch wohl kaum vom BSI zertifiziert...
Re: BSI Router
Für den "CC-konformen" Betrieb auf absehbare Zeit erstmal gar nichts. SNMPv3 ist im LCOS in der Mache, wird aber frühestens mit LCOS 8.90 kommen und dann müßte auch jemand erstmal dem LANmonitor SNMPv3 beibringen. Und man müßte eine Neu-Zertifizierung dieser LCOS-Version anstoßen, die nicht unter einem Jahr zu haben sein dürfte. Und auch dann ist noch die Frage, ob sich das BSI auf SNMPv3 einläßt. Wie man am Beispiel SSL/TLS sieht, ist für das BSI verschlüsselt nicht gleich verschlüsselt...Was wird denn dann aus dem LANmonitor? SNMPv1 wird doch wohl kaum vom BSI zertifiziert...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: BSI Router
Mit TLS 1.2 (für LANconfig, Web und E-Mail), SSH und SNMPv3 bin ich glücklich, dann ist mir auch die CC Zertifizierung egal.
Hauptsache es geht nichts unverschlüsselt über das Netz...
Hauptsache es geht nichts unverschlüsselt über das Netz...
Re: BSI Router
Hi Christoph,
Ist also alles eine Frage des Aufbaus und der Planung. SNMPv3 ist bestimmt eine gute Sache, aber es geht auch ohne.
Viele Grüße,
Jirka
Wenn Du SNMP (v1/v2) oder auch z. B. Syslog über VPN machst, ist das auch verschlüsselt...Christoph_vW hat geschrieben:Hauptsache es geht nichts unverschlüsselt über das Netz...
Ist also alles eine Frage des Aufbaus und der Planung. SNMPv3 ist bestimmt eine gute Sache, aber es geht auch ohne.
Viele Grüße,
Jirka
-
Christoph_vW
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: BSI Router
Dann geht es trotzdem unverschlüsselt durch das lokale Netz...