Router und logs

#0
03.01.2007, 20:12
Member

Beiträge: 896
#1 Hallo


Nur eine theoretische Frage.
ich will mir in den nächsten Monaten einen eigenen Router auf wrap Basis bauen.

Da dort beim Betrieb auf Cf? card (1GB) der Platz für logs knapp wird, jetzt meine Frage:

Wenn ich die logs vom router auf eine client im LAN "umbiege" , stellt dies eine Sicherheistlücke dar, über die ein hacker dirkekt ins LAN gelangen kann, bzw. über
diesen Weg rootkits einschleusen kann ?

ansonsten würde ich folgendermaßen vorgehen
1. den Router z.B. alle 2-4 tage vom Netz trnnen, dann die logs überpielen und wieder online gehen.

2. Die logs falls vom wrap unterstütz auf USb-Stciok speichern und dann später auf den client überspielen.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
03.01.2007, 22:07
Member

Beiträge: 647
#2 Wie willst du denn das umbiegen bewerkstelligen? Wirst ja auf jeden Fall eine Netzwerkfreigabe auf dem besagten Client setzen müssen, um dort deine logs zu speichern - ist imho ein Sicherheitsrisiko, aber wenn schon jemand durch deinen Router durchkommt ist es eh egal, ob da noch eine Netzwerkfreigabe mehr ist oder nicht.
Womit willst denn die CF-Card bespielen? monowall? Hardwareseitig denke ich mal wird es keine Lücken geben, die ein umbiegen der logs unsicher werden lässt, softwaremässig vielleicht, aber alles in allem unwahrscheinlich.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
03.01.2007, 22:59
Member

Themenstarter

Beiträge: 896
#3 Hallo

Zitat

Wie willst du denn das umbiegen bewerkstelligen? Wirst ja auf jeden Fall eine Netzwerkfreigabe auf dem besagten Client setzen müssen, um dort deine logs zu speichern -
Man könnte ja auch z.B. einen cron-job definieren.

Die logs landen ja wohl auf dem rouert irgendwo unter /var/log , also enteder
1. die logs per rsync + ssh auf eine IP im Lan kopieren
2. die logs per fstab + nfs auf eien client legen

Zitat

Womit willst denn die CF-Card bespielen? monowall?
Hab mich nocht entschieden, es kommen
monowall
ipcop
pfsense

in Frage
__________
Mfg
schwedenmann
Seitenanfang Seitenende
03.01.2007, 23:02
Member

Beiträge: 371
#4

Zitat

schwedenmann postete
ansonsten würde ich folgendermaßen vorgehen
1. den Router z.B. alle 2-4 tage vom Netz trnnen, dann die logs überpielen und wieder online gehen.

2. Die logs falls vom wrap unterstütz auf USb-Stciok speichern und dann später auf den client überspielen.
Ich weiß nicht welche Distri Du installieren willst, aber eigentlich sollte es nicht nur beim IPCOP (den kenne ich) möglich sein sich per PUTTY oder WinSCP mit dem Router zu verbinden und die LOGS darüber anzusehen oder auf einen anderen Rechner zu kopieren (im laufenden Betrieb!)
Seitenanfang Seitenende
03.01.2007, 23:16
Member

Themenstarter

Beiträge: 896
#5 Hallo

@PerryRhodan

Zitat

ch weiß nicht welche Distri Du installieren willst, aber eigentlich sollte es nicht nur beim IPCOP (den kenne ich) möglich sein sich per PUTTY oder WinSCP mit dem Router zu verbinden und die LOGS darüber anzusehen oder auf einen anderen Rechner zu kopieren (im laufenden Betrieb!)
das ist mir klar
per cron-job
das Verzeichnis per nfs auf einen anderen Rechner legen
oder ev. die logs per fstab auf eine usb-stcik auslagern


Es geht mir bei der Frage, ob ich, wenn ich per nfs oder per cron mein LAN sozusagen für Angriffe öffne, oder ob das egal ist (wer erstmal den Router übernommen hat, für den ist es dann aj auch nicht schwerer ins LAn vorzudringen).

Es geht mir nur um die Risikoabschätzung, ob das fürs LAn gefährlich ist, die logs ins lAN (egal jetzt wie) zu verlagern, oder ob es ungefaärlich ist.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
03.01.2007, 23:54
Member

Beiträge: 371
#6 ich sprach nicht von einer Automatik per Cron-Job,, sondern von einem manuellen transferieren. Da Du ja den Router administrieren musst, wird es wohl auch eine Möglichkeit per SSH geben, um auf den Router zu kommen.

imho
Aber bei dem wie du das schreibst öffnest Du ja wohl auch nur eine Verbindung vom Router ins LAN, und nicht durch den Router ins LAN. Also müsste jemand schon den Router übernommen, sprich kompromitiert haben, und dann wäre er eh schon in Deinem LAN.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: