Solange du nicht selber die Dokumentation von RouterOS bemühst.
Na selbstverständlich, wenn mir klar ist, wonach ich suchen muss.
Bist du sicher, dass damit nicht einfach nur
die Trennung zwischen WAN und LAN gemeint ist?
Könnte sein, ich lese nur immer wieder, dass man das nicht verändern soll. Ok, kein Problem. Bin bei OpenWRT und VLAN schon ein wenig weiter, muss mir nur noch überlegen, wie ich am besten ein Testszenario aufbaue.
Das ist der große Trugschluss. Nur weil du glaubst, es gäbe keine Angriffsvektoren
Missverständnis, ich sehe durchaus Angriffsmöglichkeiten, deswegen gibt es ja diesen Thread. Ich meinte das Netzwerk funktioniert grundsätzlich, wie angreifbar auch immer.
Wenn du Angst vor VLANs hast,
Keine Angst, aber ich bin der Meinung "never change a running system". In diesem Fall ist das aber Illusion und ich beschäftige mich zur Zeit mit OpenWRT, die OpenWRT-Router sind ja die Basis für alles weitere.
Das ist ein sehr guter Ansatz. Erst mit den neuen Sachen vertraut machen, dann umsteigen!
Ja klar, anders geht das nicht, Ich sehe das ein Projekt über mehrere Wochen und überlege schon mir einen eigenen Router zum Testen zu kaufen, nur fällt mir nicht ein, was ich mit dem danach mache.
Wo ist das Problem mit der Verbindung zum Server, wenn sich die Endgeräte mit Benutzername und Passwort authentifizieren und die Verbindung verschlüsselt ist? Das Handy muss ja nicht gleich Root Zugriff auf den Server haben, nur um ein paar Daten zu synchronisieren.
Das Handy hat überhaupt
keinen Zugriff auf den Server, nur der Server hat Zugriff auf die Handys.
user@sv:~/ scp root@$handy_ip/$dir $serververzeichnis
oder umgekehrt
user@sv:~/ scp $serververzeichnis root@$handy_ip/$dir
Am Handy ist der user immer "root", Identifikation via Keys,
scp -r -P2222 ~/.ssh/id_rsa.pub root@$handy_ip:/data/data/com.arachnoid.sshelper/home/.ssh/authorized_keys
Das Problem sehe ich dann, wenn das WLAN gehackt und übernommen ist. Da ist dann viel möglich und die FW-Regeln nutzen nur mehr wenig.
und sich natürlich auch als ein Gerät von dir ausgeben, was dein bisheriges "
Security through obscurity" Konzept unterläuft.
Genau das will ich vermeiden. Primär geht es mir darum, dass meine Daten unversehrt bleiben. Die Daten selber na ja, viel Spaß beim Urlaubsfotos ansehen, TV-Aufnahmen ansehen, etc. Kritische Dinge, sind am PC sowieso wieder verschlüsselt. Eine TV-Aufnahme kann mir zB persönlich sehr wichtig sein, hat aber für den Angreifer kaum wert. Ähnlich ist es, wenn ich Bedienungsanleitungen zum Handy synchronisiere, für micht wichtig, die greifbar zu haben, aber man findet sie auch im Netz, manchmal aber eher schwierig.
Aber mit einer "Authentifizierung" per IP-Adresse ist halt einfach kein Blumentopf zu gewinnen, egal wie man es dreht und wendet.
Genau das ist das Problem.
Ich denke über eine organisatorische Änderung nach. Ich synchronisiere die Daten, die über WLAN ausgetauscht werden auf einem eigenen PC, dann ikann ch die Verbindung WLAN-Server verbieten.
Also Server synchronisert die Daten zum 2. PC, da steht sowieso ein alter ungenutzt neben dem Server, der einspringt, falls der Server ausfällt.
2. PC tauscht sich mit Handy und Enigma-Boxen aus.
Die Aufnahmen von der Enigma-Box werden zum 2. PC via WLAN synchronisiert und bei Bedarf zum Server. Der 2. PC ist sowieso meistens down, somit bleibt nur dann eine Angreifsmöglichkeit, wenn alles hochgefahren ist und das ist nur kurz alle paar Monate.
