 Ja, hallo zusammen und herzlich willkommen nochmal. Ist es immer noch ein Test, oder geht es jetzt hier los mit dem Vortrag? Nach dem Rhythmus der Musik. Also Igor wird uns eine Einführung in die Heimnetzwerksicherheit geben und ich hoffe, dass ich auch ein paar Tipps hier bekommen kann. Ich möchte mehr Geheimnisse über Emil hinausfinden, aber er sagt es uns nicht. Vielleicht müsst ihr ihn daran erinnern, was er letzte Nacht gemacht hat, aber damit fangen wir gar nicht erst an. Ja, Sicherung rein und los gehts. Ja, das war ein großartiger Anfang. Guten Abend, guten Nachmittag, was auch immer. Danke, dass ich hier vortragen darf. Danke für diese warme Willkommensrunde. Fragt sich überhaupt irgendjemand, warum da überhaupt Schokolade auf der Folie ist? Ich frage mich das auch. Es ist eine After Eight Minze, also harte Schale weiterkehren. Und warum ist sie da rauf? Naja, also wenn man sich das hier eine Weile schon angehört hat, ihr habt vielleicht vermutungen, warum ich das als Investation verwenden habe. Warum die After Eight Minze eine gute Vereinfachung von normaler Heimnetzwerksicherheit ist und was die Probleme mit diesem Modell sind. Worum will es in diesem Vortrag gehen? Ich muss hier nochmal eine Sache anklicken. Ja, wahrscheinlich mit deinem eigenen Heimnetzwerk. Ja, genau. Worüber werden wir sprechen? Ja, um die Grundlagen von Heimnetzwerksicherheit. Es wird jetzt nicht um High Level Sicherheit, um Tiefen gehen, sondern es ist wirklich eine Einführung. Wir können auch gar nicht in so viele Details reingehen bei 40 Minuten. Das Ziel ist, dass ihr am Ende der Sitzung eine gute Grundlage habt, um darüber nachzudenken, welche Aspekte könnt ihr für euch selber zu Hause umsetzen. Und warum sprich ich überhaupt auf so einem Camp über so Grundlagen? Also natürlich gibt es viele Experten bei so einem Camp, aber es gibt trotzdem einige Gründe, das zu machen. Nicht jeder ist ein Experte in Netzwerkangelegenheiten. Für viele Leute ist auch ein Netzwerk, oder ein Netzwerk erstellen, immer noch ein schwarzer Peter. Und es gibt sehr low-level GPU-based Coding. Sobald sie starten mit Networking, sind sie komplett in der Farbe. Ja, also viele, viele Leute haben total viel Ahnung von ihrem Bereich, weil sie nicht GPU-Programmierung, aber sobald man anfängt von Netzwerken zu sprechen, da steigen sie sofort aus. Also auch wenn jemand anders in einem anderen Bereich ein Experte ist, heißt das nicht, dass er auch ein Experte im Netzwerkbereich ist. Ja, als man auch mit seinen Kollegen, mit seinen Freunden über Netzwerksicherheit spricht und vielleicht das einige Sachen, die ich dir vorstellen werde, dann auch zu Umsetzungen kommen werden. Man bekommt auch allgemein den Eindruck, dass Netzwerksicherheit im Allgemeinen nicht bereit verstanden wird. Also wie werden wir das Ganze angehen? Also er möchte die Verwundbarkeit, Verwaltungstheorie verwenden, um diesen Vortrag zu führten. Okay, also da haben wir zum einen die Sachen, die wir benutzen, schützen wollen, unsere Assets, das können deine E-Mails sein, deine Dateien, die PDFs. Das können natürlich auch physikalische Sachen sein, deinen Telefon, deinen Tablet. Die Betrohung, das sind die Sachen, vor denen wir uns schützen wollen. Eigentlich selbst erklärt. Und dann gibt es natürlich noch die Verwundbarkeiten, und zwar dort, wo Leute oder Systeme Schwachstellen haben, dass die Betrohung ausnutzen könnte. Und das Risiko ist natürlich, das Aussetzen unserer Assets auf einen erfolgreichen Ausnützen von Schwachstellen. Wenn wir diese vier Sachen nehmen und auf Netzwerksicherheit anwenden, was ist denn Esset in einem Netzwerk? Das kann die physikalische Infrastruktur sein, die Fakabeln, die physikalischen Kabel, die Switches, die Router, alles das. Die verbundenen Endpunkte. Das könnte dein Laptop sein, dein Telefon, jedes andere Gerät, was du irgendwie zu Hause im Heimnetz integriert hast. Und die Daten natürlich an den Endpunkten, das ist wahrscheinlich das wertvollste Esset in deinem Netzwerk. Wenn jemand deinen Laptop klaut, und kannst ihn einfach ersetzen, aber wenn jemand deine Dateien klaut, und du hast keine andere Kopie davon, und die sind dann weg, dann hast du eine harte Zeit, das wieder herzustellen. Das ist wahrscheinlich schwierig. Okay, welche Betrohungen gibt es dann? Wir haben Denial of Service Attacken, Anrufe. Das Internet kommt über ein Kabel, und wenn jemand einfach das Kabel durchschneidet, dann habe ich kein Internet mehr. Für mich als Heimnutzer ist das natürlich irgendwie... Ja, okay, man kann jetzt reparieren, aber das ist natürlich nicht furchtbar. Wenn du allerdings in einem Business bist, ein Unternehmen, dann könnte das natürlich ernsthaft als Schwierigkeiten und Konsequenzen haben. Okay, Ransomware, Verschlüsselungssoftware. Es gibt ein Haufen großer, sehr gut aufgelegter Verschlüsselungsangriffe, die können natürlich sehr viel Schaden machen. Fishing ist eine der am meisten genutzten und auch sehr, sehr effektiven Angriffe auf Netzwerke, egal ob zu Hause oder in industriellen Umfeld. Es ist viel, viel leichter, Leute zu manipulieren als Technik. Datendiebstahl. Wenn jemand deine Daten stihlt, dann möchte, das möchte keiner haben, Tracking, also Nachvollziehen, Firmen, Regierungen, alles Mögliche, haben verschiedene Versuche unternommen, Leute zu verfolgen und zu beobachten, was sie machen. Aus Privatsferkunden natürlich etwas, wo wir uns Sorgen machen sollen. Und dann natürlich noch der Detailstiebstahl. Wenn man da einmal ein Opfer davon ist, dann kann es Wochen, Monate oder Jahre dauern, bis man den Schaden aufarbeiten kann. Und Botnetze sind natürlich auch noch ein Problem, wenn dein Gerät für so etwas missbraucht wird, dann wirst du halt zur Verantwortung gezogen für das, was das Botnetz macht. Und wenn jemand auch noch mitschnattet, dass der gefährliche Verkehr von deinen Geräten kam, dann hast du ein Problem. Es gibt Quellen für Betrohungen, dann gibt es natürlich irgendwie Individuen, Individuen, die böse Pläne haben, die als betrohende Entität auftreten können. Es gibt aber auch natürlich Gruppen, die von Nationen finanziert werden. Also große Mächte finanzieren, Hacker, um Systeme zu infiltrieren, das passiert. Und natürlich gibt es auch kommerzielle Organisationen. So viel von unseren Daten geben wir in irgendwelche kommerziellen Organisationen ohne darüber nachzudenken. Und vielleicht sollten wir darüber nachdenken, wie viel wir das machen sollen und wie viel davon vernünftig ist. So, Sources of Vulnerabilities. Ja, was können denn die Ursprünge von Verwundbarkeiten sein? Das Erste sind Designprobleme. Also irgendjemand entwirft eine Anwendung oder ein System, aber vielleicht gibt es auch ein fundamentales Problem überhaupt mit dem Entwurfsansatz. Dann kann es auch Implementationsfehler gehen. Also auch dann, wenn das Design, also die Entwurf gut ist, kann man natürlich immer noch dann, wenn man den Code schreibt, Fehler machen. Und dann kann da auch Probleme entstehen, die zu Schwachstellen führen. Ja, Konfigurationsprobleme, das ist auch sehr verbreitet, vermutlich das verbreiteste Problem, das ich bisher gesehen habe, weil Systeme unsicher sind, obwohl sie es eigentlich gar nicht sein müssten, weil irgendjemand nicht verstanden hat, wie man das System konfigurieren muss oder die Konfiguration hat sich über die Zeit verändert. Also irgendjemand hat irgendetwas gemacht und dann hat jemand anderes was gemacht und wenn viele Köche den Brei versalzen, dann kann es auch zu viel ankommen. Dabei geht vielleicht auch das Ziel verloren. Ja, und natürlich auch, wenn man es nicht schafft, die Sicherheits-Updates zu installieren, weil es gibt viele, viele, viele angefähltes Jahr, die nur deshalb erfolgreich sind, weil Leute irgendwelche Sicherheits-Updates nicht installiert haben. Das passiert jedes Jahr aufs Neue und trotzdem gibt es immer wieder Systeme, die dadurch verwundbar sind. Und natürlich auch die Annahme von Vertrauen. Wir sollten Leuten nicht vertrauen, Fremden nicht vertrauen. Also wenn jemand fragt, hey, kann ich das ja immer im Netzwerk ansteigen, dann sagen wir natürlich, ja, klar, wir wollen ja hilfreich sein, aber dann kann man sich auch fragen, das ist überhaupt das Richtige, was wir machen sollen. Vertrauen wir den Leuten, Vertrauen wir den Geräten, Vertrauen wir den Daten. Ja, Fishing-Attacken sind immer, sind sehr verbreitet, aber immer noch erfolgreich, weil Leute immer noch auf E-Mail-Attachments, also E-Mail-Anhänge vertrauen und die einfach aufmachen und dann wird irgendwie, ja, Charge-Soft ja ausgeführt. Oder halt eben auch in Unternehmen, wo jemand einen Helpdesk, eine Hotline anruft und sagt, hey, könnt ihr mir helfen? Ich habe mein Passwort vergessen, könnt ihr mir helfen? Und ja, wenn die Leute nicht darauf vorbereitet sind und hilfreich sein wollen, sagen sie dann, ja klar, wir können dir helfen und dann kann dadurch auch ein Sicherheitslücke entstehen. Verwundbarkeiten in einem normalen, ja, Heimnetzwerk, wie in Zuhause oder in einem kleinen Unternehmen, also man hat heutzutage eigentlich ein Gerät, was alles in einem ist, also Modem, Router, Fireball, alles in einem Gerät, genau. Also zum Beispiel hier, das gibt es das DSL Modem, was eben den Internetanschluss mit dem Internet verbindet, was einem halt irgendwie das Kabel-Internet gibt. Dann gibt es irgendwie Routing- und Firewall-Funktionalitäten, was uns einfach ermöglicht, Daten von innen nach draußen zu senden und doch wieder zu empfangen. Und dann hat man für mich noch eine interne Seite, zum Beispiel, ja, also WLAN-Empfänger, WLAN-Basistation oder halt eben auch Kabel-Netzwerkanschlüsse. Häufig haben diese Geräte auch noch irgendwie ein Web-Server laufen für die Konfigurationsseite. Und viele von denen haben auch noch irgendwie Datei- und Druckerserver, sodass man irgendwie dann seinen USB-Stick einstecken kann und dann seine ganzen Dateien vom ganzen Netzwerk aus abholen kann oder vielleicht auch seinen Drucker vom ganzen Netzwerk aus verwenden kann. Und dann schließen wir natürlich an die WLAN- oder Internetanschlüsse unsere Geräte an, zum Beispiel bei den PC, den Laptop oder auch Smartphones, Tablets natürlich auch. Und ja, der Gegenwart doch immer häufiger, auch in Zeiten vom Internet of Things, so Sicherheitsgeräte, also Heimnetzwerksicherheits wie Überwachungskameras oder Alarme, Sicherheitsschlösser, aber auch eben Sachen wie die Heizungssteuerung oder auch Lampen werden immer häufiger angeschlossen und auch eben Internet of Things Geräte wie Trockner, Waschmaschinen, Kühlschränke. Und in der Regel ist auf dem Router eine Close-Source, also eine geschlossene Firmware, die man nicht ansehen kann. Und die Unternehmen versuchen die so günstig wie möglich zu machen, weil sie wollen ja den Service verkaufen, nicht das Gerät, also das Gerät, also günstig wie möglich sein. Und dann haben sie auch häufig nicht das Interesse dann, die Geräte zu warten und zu aktualisieren, weil sie wollen halt die Kosten runterhalten. Und je mehr Features sie einbauen, desto teuer werden die Geräte auch. Deshalb werden auch Features eingespart, woüber auch nur geht. Und häufig sind sie auch von der Ferne aktualisierbar vom Service-Provider. Man kann natürlich sich das Gerät angucken und sehen, dass das okay ist, aber dann hat der ISP vielleicht trotzdem die Möglichkeit, eine Sicherheits- und Updates einzuspielen, was auch eine mögliche Schwachstelle sein kann. Web-Server sind häufig auch Schwachstellen, weil die Web-Server zum Einstellen der Konfiguration und so sind von draußen erreichbar und das ist natürlich ein großer Angriffsvektor, um die Geräte anzugreifen. Gleiches gilt für die Datei- und Druck-Server. Häufig ist dieser Code einmal geschrieben, aber wird nie aktualisiert, nicht gewartet, auch wenn er über Millionen von Gehitten ausgeliefert wird. Also wenn eine Verwundbarkeit ausgefunden wird in so einer File-Server, also Datei- oder Druck-Server Funktionalität, dann ist das sehr leicht auszunutzen und wahrscheinlich wird es auch nicht geschlossen werden. Und das letzte Problem ist, auf der Innenseite haben wir eine flache Hierarchie. Also das ist das, was wir vorhin mit dem After-8 verglichen haben. Wir haben eine feste Außenseite, das ist hier der Router oder die Firewall, die hier gelb in der Mitte zu sehen ist. Das schützt uns vor der Außenseite, aber alles auf der Innenseite ist eine große matschige Masse. Und wenn einer ein Gerät auf der Innenseite kompromittiert ist, dann können auch alle anderen Geräte auf der Innenseite angerufen und kompromittiert werden. Okay, jetzt schauen wir noch ein bisschen mehr an, wie so ein Netzwerk funktioniert, damit wir manche dieser Probleme angehen können. Ich habe hier dieses TCP-AP-Modell auf der rechten Seite. Das ist nur so eine Referenz, damit wir nachher da drauf gucken können. Ich werde da jetzt nicht in große Details eingehen. Es ist keine Zeit dafür. Aber im Wesentlichen ist unser Netzwerk irgendeine Form von Kommunikationsmöglichkeit. Das könnte ein Kabel sein, das kann aber auch WLAN sein. Es gibt also dieses Kommunikationsmedium. Dann gibt es jeden Klein, der hat irgendeine Schnittstelle dafür, ein Interface. Auf dieser Ebene ist das Netzwerk Zukunftslehr. Was wir haben ist lokale Übertragung von Daten in adressierten Framesrahmen. Wir bauen so einen Rahmen, wir setzen es aufs Netzwerk und dann wird es transportiert. Dann haben wir irgendwie etwas Digitales auf dem Kleingerät haben und das können wir auf ein elektronisches Signal umwandeln, dass wir über das Kabel zum Beispiel transportieren. Das übliche Protokoll würde hier dann Ethernet sein. Die nächste Ebene da drauf ist die logische Adressierung. Eine dieser Sachen, die das Interface nicht so gut kann, ist, wir können nur Rahmen auf andere Klienten übertragen, wenn wir die Adresse davon kennen. Oder wenn wir irgendwie Möglichkeiten haben, was Lokales zu finden, das skaliert nicht. Also im Internet können wir das so nicht machen. Wir brauchen da mehr als nur lokaladressierbare Rahmen und dafür gibt es dann logische Adressierung. Also Übertragungen hier werden dann Pakete sein. Wir haben hier mehrere, wir haben eine Menge Daten, die teilen wir in Pakete und die packen wir nacheinander aufs Kabel. Es gibt keine Garantie auf diesem Ebene, dass die Pakete überhaupt ankommen. Außerdem ist es nicht klar, in welcher Reihenvergessie ankommen. Das kann vielleicht die richtige sein, aber vielleicht auch nicht. Eine der Vorteile dieser Sache ist, dass wir ruten können. Wir können kleine Netzwerke hier und da haben und dazwischen können wir ruten. Wir können also skalieren. Da können wir da so richtig große Netzwerke, wie zum Beispiel das Internet bauen. Übliche Protokolle, die man hier sieht, wenn man später will, ist ein ICMP, das Internet-Kontroll-Messaging-Protokoll. Der Layer darüber ist die Transportschicht. Da haben wir dann End-to-End-Kommunikation und wir haben irgendwie eine Übertragungsmöglichkeit von Kleint A nach Kleint B. Wir haben hier das Konzept von Ports. Also wir können sagen, viele Anwendungen auf Kleint A laufen und die reden auch mit vielen Anwendungen auf Kleint B und das wird über die Ports auseinander klamisert. Die üblichen Protokolle hier sind dann TCP Transmission Control Protokoll und dann gibt es auch Best Effort Protokolle, wie zum Beispiel UDP. Und das schmeißt es aufs Kabel und guckt, ob es ankommt. Die letzte Schicht ist die Applikationsschicht. Also meistens HTTP, FDP, SSH. Da wird die Anwendung dann quasi mit der wir zu tun haben, mit dem Sekt darunter kommunizieren. Welche Verwundbarkeit haben wir da? Zum Beispiel den Zugriff unterhalb von Brechtigungen. Wenn wir jetzt irgendwie ein Wi-Fi-Laptop haben, der könnte eine SSH-Verbindung an einen PC machen, aufbauen und ist ja wirklich ein Grund, warum eine Wi-Fi-fähige Klühbirne SSH in deinen Desktop machen soll. Wahrscheinlich nicht. Eine andere Möglichkeit ist irgendwie, man hat Gästegeräte, kann jemand in dein Gast kommt und möchte in deinem WLAN teilnehmen und sagt, hier ist der Schlüssel. Und dann weiß man vielleicht überhaupt nicht, was sie für Sachen auf ihrer Maschine laufen lassen haben. Die könnte zum Beispiel eine kompromittierte Maschine haben, die dann auch Schaden in deinem Netzwerk verursacht. Üblicherweise werden deine Gästegeräte auch über WLAN angebunden sein. Und WLAN hat echt viele Schörstellen. Hast du die Hardware in der Hand? Kontrollierst du die Hardware? Wenn du in so einem Café sitzt und du möchtest da ins WLAN, da hast du keine Ahnung, was sie machen. Hast du die Software im Griff? Vielleicht gehört dir ja die Hardware. Vielleicht hast du deinen Router von deinem Internet-Service-Provider zuhause, aber du hast keine Ahnung, was für Software und Firmware da draufläuft, oder? Und sind vielleicht die Protokolle kaputt? WLAN zum Beispiel und alte Protokolle. Die PPA, die originelle Version, die sind kaputt. Die wurden auseinandergenommen, die sind kompromittiert. Man kann Sitzungen übernehmen, wenn sie darüber laufen. Wem hast du denn schon Zuggriff zum Netzwerk gegeben? Und haben diese Leute sichere Systeme? Und welche Netzwerke waren die, in denen du schon dabei warst? Hat dein Gerät vielleicht irgendwie etwas abgekriegt, was du mit nach Hause entnimmst und dann zu Hause deinen Netzwerk wieder kompromittieren könntest? WLAN gibt einen Angriffsvektor ohne physikalisches Kabel. Du kannst in einem Auto sitzen außerhalb von einem Netzwerk und du kannst also sitzen in deinem Auto neben einem Büro und kannst dort schon in das Netzwerk einkreifen. Ja, also die Risiken ist halt eben unsere Assets nach außen darzustellen was sind unsere Risiken? Im Prinzip haben wir zwei Möglichkeiten, entweder wir ignorieren es oder wir nehmen es so hin. Das klingt jetzt nicht verrückt, aber es ist eigentlich gar nicht so. Der Unterschied zwischen ignorieren und akzeptieren ist die Risikoanalyse. Wenn man eine Risiko einfach ignoriert, dann kann das echt, ja, harisch werden. Aber wenn man es akzeptiert, dann denkt man viel darüber nach, ja, was ist das Problem, wie könnte das passieren? Ja, was könnte, welche Probleme könnten daraus entstehen? Wie wahrscheinlich ist es, nicht sehr hoch, was wäre dann die Auswirkungen davon, wäre es gefährlich? Na ja, geht so. Und was würde es mich kosten oder was würde es für mich schaden? Das muss man sich, also man muss sich Zeit und Geld in die Hand nehmen, um halt eben sich das, um sich anzugucken oder einfach nur das Risiko zu akzeptieren. Die andere Option ist es, ja, eine Schadensbegrenzung zu machen. Da gibt es verschiedene, deshalb schauen wir jetzt die verschiedene mal an. Die Grundlagen dafür sind, es gibt keine magische Lösung. Eine Frage, die häufig kommt, ist, was muss ich benutzen, um wirklich perfekt sicher zu sein im Internet? Und die Antwort darauf ist, es gibt keine sichere, total sichere Lösung. Die bessere Frage ist, was ist dein akzeptiertes Level an Risiko? Wie viel Risiko ist für dich okay? Für mich, ja, welche Risiken sind da zu meinen Daten, zu meiner Privatsphäre, auf meinem Netzwerk? Und wenn ich irgendwas tun möchte, was möchte ich dagegen tun? Versuch nicht, alles auf einmal zu lösen. Wenn man alles auf einmal versucht, dann wird man verrückt und wahrscheinlich wird man gar nichts erreichen und gar keine Ahnung, wie man das alles zu konfigurieren. Besser ist es, eins nach dem anderen zu verbessern und einen inkrementellen Prozess da durchzusetzen. Und geh davon aus, dass du kompometiert wirst. Was passiert, wenn? Stell dir diese Frage. Und dann denk diese Kette runter und überlege, was würdest du tun und wie könnte man dagegen vorgehen und so. Man sollte sich auch eine Abfolger stellen, zuerst das eine, dann das andere, also wieder eins nach dem anderen machen und eben in jeder einzelnen Ebene die Sicherheit anwenden. Ich habe schon mit vielen Leuten gesprochen, die gesagt haben, ja, mein PC ist sicher, das reicht mir. Ist das genug? Na ja, wahrscheinlich nicht. Man könnte natürlich den besten Antivirenschuss auf seinem PC haben, aber wenn der Router oder die Firewall eingenen Verkehr einlässt, dann kann auch, wenn man ein super Antivirus hat, immer noch dem der PC kompometiert werden. Sicherheit ist ein iterativer Prozess. Man soll nicht alles auf einmal machen und das ist auch ein konstanter Fluss, das ist unterlich konstanter Veränderung. Man könnte es nicht einfach nur einmal machen und dann ignorieren. Man muss immer wieder zurückkommen und überlegen, was hat sich verändert im Sinne von der Sicherheit und auch welche Protokolle wurden mittlerweile vielleicht gehackt, die es bisher noch nicht waren und so. Und das Beste, was man tun kann, um sein Netzwerk Sicherheit zu halten, ist also eine gewisse Dosis an Skeptik und Kritik oder Kritikfähigkeit an den Tag zu legen und immer sich die Frage zu stellen, ist das eine gute Idee, sollte ich das tun, wieso, was könnte die Auswirkungen davon haben, was könnte das zufolge haben? Das bringt einen viel, viel weiter, als wenn man die ganze Zeit nur versucht, seinen Netzwerk perfekt Sicherheit zu machen. Risiko, also der zweite Ansatz ist die Kenntnis. Also du solltest wissen, was du in deinem Netzwerk hast, welche Geräte, hast du eine Ahnung, was das für Geräte sind und wie die funktionieren und nicht einfach nur die Bildungsanleitung lesen, sondern auch verstehen, welche Protokolle benutzen die und warum, mit welchen anderen Geräten sollen die verbunden sein und wieso. Man sollte regelmäßig seine Port auf und geöffneten Portscannen Portscannen ist vielleicht für viele Leute auch was, womit sie sich gar nicht auskennen, aber es ist eigentlich ziemlich einfach, man kann sich ein Programm installieren wie N-Map und das auf seinen Heimnetzwerk ansetzen und einfach mal sagen, such mal und dann gucken, was zurückkommt. Wenn man auch einfach gar nichts anderes damit macht, als sich das nur anzugucken und vielleicht ab und zu mal wiederholen und zu gucken, was sich verändert hat, das ist schon ein ziemlich guter Ansatz, weil es gibt einem schon eine ziemlich gute Grundlage, was überhaupt normal auf meinem Netzwerk und wenn sich irgendwas verändert, dann kann man sich die Frage stellen, warum. Wenn man nicht versucht, irgendwas zu implementieren oder was daraus zu ziehen, einfach nur zu beobachten, was sich verändert, ist schon ein sehr guter Ansatz. Ja, auch Logs zu erstellen, also Daten mitzuschreiben, zum Beispiel an der Firewall. Wenn die Firewall-Logs speichert, dann sollte man die ab und zu mal durchsehen und zu gucken, was ist da drin, sieht das überhaupt normal aus oder nicht normal? Und wenn man es halt regelmäßig immer mal wieder macht, dann kann man sich auch ein Bild davon machen, was ist überhaupt normal und dann kann man eben darauf reagieren. Und dann gibt es natürlich auch noch Monitoring und Erkennungssysteme, das ist natürlich ein bisschen fortgeschrittenes Zeug, aber wenn man so weit kommt, dann ist man wahrscheinlich schon über, ja, weit über den normalen Nutzer hinaus. Aber es gibt natürlich viele, viele Systeme, die man einsetzen kann um mehr Daten über das eigene Netzwerk zusammen. Auch ein Paket Capture, also Paketmitschnitte sind eine von diesen möglichen Lösungen, die kann man dann eben auch auswerten, zum Beispiel mit Wire Shark. Also man kann auch hier den ganzen Stack, die ganzen Ebenen durchgehen und man fängt an oben bei, ja, kennet deine Geräte und dann geht man weiter runter, weiter ins Detail, so lange wie man sich halt eben wohl fühlt. Und das Dritte ist Traffic Segregation, also Verkehrsauftrennung. Es ist ein ziemlicher Schlüsselbereich, um das Heimnetzwerk überhaupt irgendwie sicher zu kriegen. Also man sollte nach dem Prinzip des geringsten Zugriffs oder der geringsten Erlaubnis vorgehen. Welche Geräte haben überhaupt die Erlaubnis zu meinem PC-SSH-Verbindung aufzubauen? Und dann kann man eben auch Vorkehrungen treffen, um das halt zu verhindern. Man kann zum Beispiel der Einfachste an, das wäre, physikalische Abtrennung zu machen. Also man hat zwei getrennte Kabel und auf dem einen Kabel, das heißt auf dem anderen Kabel ist das, dann hat man die beiden Netzwerke komplett getrennt. Das ist natürlich nicht immer so einfach, wenn man eine festverlegte Kabel im Haus hat. Der bessere Ansatz wäre da wahrscheinlich eine virtuelle Abtrennung der Netzwerke über einem digitalen Netzwerk. Also wenn wir die Pakete ins Netzwerk schicken, dann können wir noch einen kleinen Header, einen kleinen Tech, also ein kleines Schild dranhängen, wo man sagen kann, dieses Paket gehört zu dem Netzwerk und dann kann man so den Netzwerkverkehr von den einzelnen Netzwerken auftreten. Normalerweise hat man nur einen, also einen Netzwerk, was einem der Internet-Service-Provider zur Verfügung steht, aber man kann innerhalb von seinem lokalen Netzwerk ja, und da könnte auch der Ansatz sein, sollte man vielleicht in einen besseren Router investieren, der mehr Möglichkeiten gibt, sodass man da auch innerhalb des lokalen Netzwerkes auftrennen kann. Okay, wie können wir jetzt mit Risiken in WLAN umgehen? Wie können wir da was dran arbeiten? Also als erstes, SSID-Verstecken hilft nicht. Man kann sie trotzdem die Netzwerke erkennen, auch wenn die nicht ihren Namen herumschreien. WEP ist kaputt, also wie die originale Version von WPA. Wenn du solche Geräte hast, dann schalt sie aus. Wenn sie sich diese Funktionalität nicht ausschalten, lässt es kaufen, neues Gerät. Dann benutzt keine SSIDs, die dich zum Ziel machen. Wenn du da zum Beispiel hinschreibst an Hackable, dann wirst du Leute darauf bringen, das auszuprobieren. Du solltest darüber nachdenken, deine SSIDs auszuschalten, wenn du nicht da bist. Zum Beispiel, wenn du verschiedene SSIDs für unterschiedliche Sachen hast, dann könntest du auch automatisch die SSIDs ausschalten, wenn sie nicht gebraucht werden. WPA 3 ist eine Sache, das ist vielleicht wert, mal drauf zu gucken. Ja. Man kann natürlich auch darüber nachdenken, wo man den Exist-Punkt hinsetzt. Wenn man es irgendwie an den Fensterbrett stellt, das ist es am nächsten zum Telefon, aber dann hat man natürlich auch maximale Reichweite auf der Straße. Wenn man es aber natürlich im Zentrum der Wohnung aufbaut, dann würde man weniger Reichweite außerhalb der Wohnung haben und den Angriffsvektor verringern. Dein WLAN ist übrigens sowieso nur so sicher wie das schwächste Gerät in deinem Netzwerk. Also, denk darüber nach, was du darin anbindest. Wenn du dort Geräte hast, die vielleicht nicht besonders sicher sind, dann denk darüber nach, ein virtuelles Netzwerk aufzubauen und eine eigene SSID dafür auszubauen, dass dieses Gerät dann abgetrennt ist und wenn es komprimitiert wird, dann eben nur in seinem Netzbereich und hat keinen Einfluss auf die anderen Geräte. Genau das, was ich gerade gesagt habe, Verkehr aufteilen. Und man sollte natürlich da Konfigurationsmöglichkeiten über WLAN ausschalten, wenn möglich. Wenn dein WLAN-Router dein Routing macht, dann haben sie meistens auch Web-Konfigurationen und das möchte man nicht wirklich, man möchte nicht vom Netz aus, von einer WLAN-Verbindung aus, das konfigurieren können. Also, man sollte da schon ein Kabel dafür brauchen, dann kann nicht jemand, der einfach in deinem WLAN ist, plötzlich anfangen, dein Netzwerk zu übernehmen, indem man den Access-Point umkonfiguriert. Ja, Wi-Fi-Protected-Setup sollte man ausschalten, das ist leichter und gemütlicher, aber man kann einfach in jedes Netzwerk Rein-Proof-Forcing einfach ausschalten und dann nicht mehr benutzen. Man sollte darüber im Klaren sein, was es für Verwundbarkeiten gibt und Patches. Und man sollte natürlich Patches dann auch anwenden. Es gibt Alarmsysteme, wo man sich darauf eintragen kann und dann werden sie ein Benachrichtigen, wenn in etwas entdeckt ist. Oder Zwischenlösungen, Workarounds. Eine der üblichen Angriffsvektors ist, Leute greifen Verwundbarheiten an, die schon ganz lange da sind, aber die immer mal wieder nicht gepatched wurden. Man sollte darüber nachdenken, Locking und Alarme so zu konfigurieren und auch zu benutzen. Es gibt natürlich starke Passwörter und mehr Faktor-Authentifikationen. Das ist natürlich, wenn du ein kleines Unternehmen bist, mit Netzwerkeräten, für die du versorgen musst, aber du kannst es nicht entscheiden, dann mach mindestens ein großes Passwort und wenn du Multifaktor-Authentifizierung hast, umso besser. WPR2 Enterprise zu benutzen, statt WPR2 Personal. Das hat zwei Vorteile. WPR2 benutzt jeder zu Hause. Man hat vorgefertigte Passwörter. Man sieht die SSID, man gibt den Passwort 1 und fertig. Bei der Enterprise-Version macht man die Authentifikation auf einen Extra-Server und man hat Benutzer, die sich dort verbinden können. Einige kleine Unternehmen sollten auf jeden Fall darüber nachdenken. Jedes Business-Netzwerk sollte Enterprise benutzen und nicht Personal. Und ich kenne auch Leute, die das zu Hause so machen, aus guten Gründen. 802.1x ist eine Möglichkeit, ein Gerät an das Netzwerk anzulernen. Wenn du jetzt ein Business-Netzwerk machst, dann auf jeden Fall 802.1x nehmen. Dein WLAN ist nur so sicher wie deine Firewall. Wenn die schlecht ist, dann kann dein WLAN noch so sicher sein. Und du solltest darüber nachdenken, ob UPNP nicht vielleicht deaktiviert werden kann. Es ist natürlich dafür gemacht worden, Leuten Sachen leicht zu machen, aber die Konfiguration erlauben viele Fehler und dann versteht man gar nicht mehr, was passiert und warum. Und Auto-Connect bei anderer Leute-Netzwerk, vielleicht lieber nicht. Es kommt darauf an, wie gut du ihn vertraust. Wenn du nicht sicher bist, wenn du dort mal wieder bist, dann wirst du nicht automatisch dort hin verbunden, selbst wenn du einmal unbedingt das Netzwerk nutzen musstest. Okay. Du solltest deine Daten nicht überall mit rum tragen, weil wenn du dann mal kompromittiert bist, dann verlierst du diese Daten vielleicht nicht. Domain-Name-Service. Der Talk hier vor, wenn du nicht da warst, schauen an, dass es im Prinzip was ich zu sagen hätte. DNS kann Sachen von dir verraten, Informationen über das, was du tust. VPN, denk darüber nach, VPNs zu benutzen. Wenn du einen Kunden hast, einen lokalen ESP nicht zu vertrauen, dann kannst du einen VPN benutzen auf eine vertrauenswürdige dritte Partei und dort einen ganzen Verkehr durchleiten. Das kann auf jeden Fall Sicherheit und Privatsphäre bieten. Antivirus, na klar. Immer eine gute Idee. Geräte und Services, die du nicht brauchst, nehmen sie einfach aus dem Netzwerk. Lass sie einfach nicht da. Rauch ich wirklich alle Features, die das Gerät bietet. Und wenn nicht, dann kann ich dieses Feature auch ausschalten, weil wenn dann, wenn dieses Feature, wenn diese Funktionalität irgendwie kompromittiert werden könnte, dann bin ich nicht verwundbar, weil es bei mir ausgeschalten ist. Ist deine Hardware physikalisch sicher? Wenn deine Hardware außerhalb deines Hauses hängt, kann jemand einfach die Schale aufbringen und sich da irgendwie draufklemmen, wo ist deine Hardware und ist sie sicher, wo sie dort ist oder nicht? Man sollte überlegen, welche Geräte man nach zu dritten Netzwerken mitnimmt und verbindet. Denk darüber nach, was wäre, wenn, bevor man anfängt, Services von dritten Parteien zu kaufen, wenn du was zum Beispiel macht Google mit deinen Daten, das ist ein Gedanke, den du übernachten kannst. Brauchst du wirklich JavaScript in deinem Webbrowser oder kannst du es vielleicht deaktivieren? Sei vorsichtig mit Links in E-Mail und natürlich auch mit Anhängen. Es ist sehr, sehr üblich, dort gefischt zu werden und Netzwerke zu kompromittieren, sowohl zu Hause als auch in Unternehmen. Stärker Passwörter, Passwörter unterschiedliche Services sollten unterschiedliche Passwörter haben. Wenn du einen Passwortmanager benutzt, dann kannst du richtig komplizierte, lange, verrückte Passwörter für jeden Service benutzen. Und wenn einer dieser Services kompromittiert ist, dann können sie immer nur noch diesen Service angreifen, weil sie nicht deine Passwörter für alle anderen Services haben. Sei vorsichtig, was du installiert. Nicht alle freie Software ist kostenlos. Nicht alle kostenlose Software ist frei. Wenn du Geräte in deinem Netzwerk laufen hast, die Mails senden wollen oder Namen nachschauen wollen, dann überlegt darüber nach, denkt darüber nach, ob da vielleicht ein Proxy-Gerät das tun kann als Gateway anstatt, dass sie alle selbst in das Netz gehen. Das ist wahrscheinlich mehr für Unternehmen als für Zuhause, aber... Es ist auf jeden Fall wert, darüber nachzudenken, welche Browser zu benutzen. Was ist, wenn die Webbrowser in Containern laufen und dann wird ein Prozess kompromittiert, dann ist nur dieser Container betroffen und der Rest nicht. Das ist sozusagen das hohe Ende der Container. Ja, man kann auch virtuelle Maschinen verwenden, indem man die einzelnen Anwendungen laufen lassen kann. Auch wenn man Länder oder Orte besucht, die interessant sind, zum Beispiel China oder so, dann sollte man davon ausgehen, dass die Geräte infiltriert werden. Deshalb sollte man nackte Geräte mitnehmen, auf die nicht so viele Daten sind und die Geräte generell auch einfach verschlüsseln. Wenn die Geräte verschlüsselt sind, ja, das ist einigermaßen okay, aber wenn nicht, dann hat es für mich jemand anders in der Hand. Und Updates zu installieren oder Updates einzufliegen, bringt nichts, wenn die Konfiguration ist und nichts wert. Also auch die Konfiguration muss wichtig sein. Und natürlich auch Backups erstellen. Ich habe mich schon mit so vielen Leuten gesprochen, die gesagt haben, ich habe dieses eine Problem mit dieser Festplatte und ich kriege die Daten nicht mehr runter und die eine Frage, die ich stelle, ist, hast du davon ein Backup? Und die sagen, nein. Also Zusammenfassung, die Netzwerkssicherheit beginnt mit Kenntnis. Also der Nutzer muss verstehen, was sind die Implikationen, was sind die möglichen Folgen von dem, was ich auf meinem Netzwerk tue. Und diese Kenntnis ist die Grundlage für Risikomanagement oder Risikoanalyse. Man kann sich dann eben überlegen, ob man informierte Entscheidungen treffen, ob man dieses eine Gerät in seinem Netzwerk hat oder nicht und ob man das, wie man das konfigurieren muss. Und eben abzielen auf, ja, inkrementelle Fortschritte, also eins nach dem anderen und nicht alles auf einmal. Ja, vielen, vielen Dank, dass ihr hier zugehört habt. Wenn ihr irgendwie Feedback habt, gerne, ich würde mich freuen, das zu hören. Vielen, vielen Dank auch für die Engel, die mich mit diesem Talk unterstützt haben. Und ja, fröhliches Hecken und einen habt eine großartige Konferenz. Ja, vielen, vielen Dank. Und danke für die Hilfe, auch bei mir zu Hause, die Sachen in Ordnung zu bringen. Gibt es Fragen in diesem Raum? Nein, wir haben hier diese Engel mit den Mikrofonen. Okay, wenn es keine Fragen gibt, dann lasst uns ein Getränk nehmen und feiern gehen. Vielen Dank noch mal, bis bald. Viel Spaß, alle zusammen.