Raspberry Pi 2 B mit Firewall und AntiVir ausstatten?

Hallo,
ich bekomme folgenden Raspberry Pi 2 Model B heute zugesendet.
Darauf möchte ich IPS (Basic) an’s laufen bekommen…Meine Visu soll nur „lokal“ im heimischen Netzwerk funktionierern, trotzdem „funkt“ die IPS auch in das www in Form von Scripten (Text von Homepage parsen, API etc.) und natürlich durch IP-Updates etc.
Da ich in der Linux Welt komplett neu bin, wollte ich wissen, in wie weit ein zusätzlicher AntiVir und Firwallschutz dort nötig ist und welche sich da empfehlen lassen…?

Vielen Dank!

Moin!

Ich verstehe nicht, wie alle keine Ahnung von Linux haben können > aber dann meinen ihr IPS auf Linux laufen zu müssen :rolleyes:

Da sollte man sich doch vorher mit Linux Grundlagen befassen und dann sich erst überlegen, ob IPS auf Linux wirklich das richtige ist, oder vlt. eher nicht.

Zu deinen Fragen:
Wenn du auf dem Raspberry nur IPS am Laufen hast und dieser nur über eine Portfreigabe aus dem Internet erreichbar ist, dann brauchst du nicht zwingend eine Firewall/Virenschutz.
Willst du IPS gar nicht aus dem Internet erreichen, dann brauchst du auch keine Portfreigabe und damit ist dein Router die Firewall. Updates lädt der Raspberry zwar aus dem Internet, aber das sind nur Verbindungen von LAN zu WAN und nicht von WAN zu LAN und damit uninteressant für dein „Gefahrenbewusstsein“.

Eine Firewall macht außerdem nur Sinn, wenn du die VOR dein komplettes Netzwerk hängst (also z.B. ein extra Raspberry/Computer). Da gibt es pfSense und sonstige. Virenscanner gibt es z.B. clamAV als kostenlosen unter Linux.

Grüße,
Chris

Moin…

Der R-PI ist halt unschlagbar günstig und schlank gehalten, was u.a auch dem Stromverbrauch zu gute kommt… Ich hätte auch lieber einen Windoof PC genommen, aber irgendwann ist ja immer das erse mal!

Danke für deine Info bezüglich Firwall etc.

Aach, ich kann kann das schon verstehen!
Denn meine Linuxkenntnisse haben sich erst seit dem Einsatz des RasPi mit IPS gewaltig verbessert.
Ich bin zwar kein grosser Linux-Kenner, glaube aber, dass ich mitlerweile einiges gelernt habe, wenn ich auch ohne Nachschlagen im Internet verloren wäre.

Denn Linux ist ein tolles Betriebssystem.

Und… meine Fragen werden immer wieder größer.

Wenn man sagt „ich habe keine Ahnung von Linux, kaufe mir einen Raspberry und setze mich dann intensiv mit Linux auseinander und bin gewillt das zu lernen und Linux richtig zu benutzen/beherrschen“, dann ist das was anderes und in Ordnung :slight_smile:

Aber „ich habe keine Ahnung von Linux, kaufe mir einen Raspberry, will eine 24/7 SmartHome-Software darauf laufen lassen und beschränke mich mein Leben lang nur auf das Wissen anderer Leute und Copy&Paste“…dann ist das wohl eher keine gute Idee :wink:

Grüße,
Chris

Hallo Ihr Helden,

die Aussage, dass eine Firewall nur am Netzzugangspunkt Sinn macht ist komplett veraltet und absoluter Quatsch.
Es macht durchaus Sinn auch eine Hostbased Firewall aufzusetzen.

Wer sich mit Linux auskennt, der weiss, dass iptables (alternativ auch z.B. ipfilter) Bestandteil der Linuxdistributionen und des Kernels ist. Auch auf einem Raspbian ist per default iptables installiert. Die Konfig ist nicht trivial erlaubt aber alles was man für eine Hostbased Firewall braucht. Anleitungen gibts zu Hauf im Netz.

Virenchecker für Linux existieren, machen aber auf einem Raspbian das nur für Homeautomation genutzt wird und keine Shares für andere Systeme zur Verfügung stellt eher keinen Sinn.

Aber ja, die Aussage kann ich nur unterstützen, macht das Zeug auf ein Raspbian, wenn Ihr Euch wenigstens grundlegend mit Linux auskennt, sonst Windows oder die fertige SymBox.

Hallo mein Held :slight_smile:

iptables???..noch nie gehört :smiley: :wink: Wenn jemand keine Ahnung von Linux hat, werde ich einen Teufel tun und ihm iptables anraten :smiley: Und eine Host based Firewall macht nur Sinn, wenn man sich „Fremde“ ins Netz holt über WLAN oder sonstiges und/oder allgemein eine begründete Angst um sein SmartHome hat, aber auch dann macht das nur Sinn, wenn man weiß was man macht und allgemein Ahnung von Netzwerk und Co hat. Weil nur den Raspberry mit iptables sichern und auf anderen Rechner dann frei lesbar die SSH Passwörter speichern oder sowas in der Richtung… Ich denke du weißt was ich meine :slight_smile:

Die Leute haben teilweise so schon kaum Ahnung von dem was sie da so machen und dann noch mit zusätzlichen Sachen verwirren…naja…ich persönlich lasse es lieber und beschränke mich auf Antworten die der Fragesteller „begreifen“ kann.

Aber wenn wir jetzt schon dabei sein, können wir gerne diskutieren, ob eine Host based Firewall wie z.B. „iptables“ im LAN für einen IPS-Raspberry oder IPS-VM Sinn macht. Ich bin gespannt auf eure Meinungen :slight_smile:

Grüße,
Chris

Du bist ja wieder in Höchstform heute, Chris! :smiley:

Eine „host based“ Firewall macht, meiner Meinung nach, IMMER Sinn. Man lässt ja auch nicht die Fenster/Türen zum Garten hin offen, „nur“ weil einem der Garten gehört. :wink:
Aber Du hast vollkommen Recht für den aktuellen Fall - als „Einstieg“ mit iptables zu spielen ist einen Tick zu ambitioniert. Sollte man dann beim „OSI-Modell“ eher an Schichttorte und bei Route an den Nikolaus denken wird es Zeit sich vorher die Grundlagen anzueignen.
Reinfuxxen kann man sich natürlich überall und der Raspi ist ja ideal für solche Spielereien :wink:

Beste Grüße
/Jens

:smiley: :smiley: Hallo Jens!

Der Vergleich mit dem Garten hinkt ein wenig, aber ok :smiley: Außer der Garten ist von einer 5m hohen Mauer umgeben und mit einer Alarmanlage extra abgesichert (im Vergleich zum normalen Router mit Firewall) :slight_smile:

Ich persönlich habe viele Jahre nur meinen Router gehabt mit Portweiterleitungen, das ist wohl für viele ein ausreichender Schutz. Wer gerne etwas mehr hat kann (wie ich) eine extra Firewall zwischen Router und LAN/WLAN setzen (Sophos, pfSense, …). Aber im privaten Bereich dann noch mal für eine Windows- oder Unix-Maschine eine extra Firewall…hmmm…finde ich persönlich etwas übertrieben. Glaube da ist es leichter einfach bei mir ins Haus einzubrechen und sich direkt an einen Computer zu setzen und diesen zu knacken :smiley:
Aber ich bin gespannt auf weitere Meinungen und lasse mich gerne eines besseren belehren :slight_smile:

Grüße,
Chris

100% Zustimmung. Noch schlimmer ist das für viele einfach nur der Preis zählt. Das beobachte ich nicht nur hier, sondern zieht sich durch viele Foren.

Ist nur eine Frage der Zeit bis die Malware Programmierer diese Lücken nutzen und dann ist X schlimmer verseucht als WIN.
Denn Hand aufs Herz: In den Händen vom Otto-Nomal-User ist X viel risikoreicher als Win.

Ich bleib bei MS, und verbringe die gesparte Admin-Zeit mit Dingen die Freude bringen.

gruß
bb

@Chris

Aber selbst bei einer 5-Meter-Wand + Alarmanlage sind die Läden doch unten wenn Du im Urlaub bist, oder (und das nicht nur aus versicherungstechnischer Sicht)?

Na, im Falle Windows ist die Sache doch easy und tut nicht weh - die FW ist per default doch sowieso aktiv. Aus gutem Grund - hat aber nichts damit zu tun das Windows, wie so mancher „Crack“ fälschlicherweise behauptet, „löchriger“ sein soll als andere Systeme - haters gonna hate! :smiley:
Wenn man iptables verstanden hat ist das nun auch kein Thema und der Sicherheitsgewinn ist erheblich, alleine schon aus dem Grunde, dass man ja nicht unfehlbar ist und auch die Router-Konfig u.U. mal versauen könnte.

Cheers
/Jens

Ergänzend …

Auch jede kleinste Maßnahme die zu mehr Sicherheit beiträgt, und wenn es nur das um ein Zeichen längere Passwort ist, ist doch für den privaten Bereich heutzutage ein Fortschritt. Beim Großteil der „Einbrüche“ ist es doch wie im richtigen Leben - es geht um Zeit - wenn das Script-Kiddie nicht gleich 'nen offenen SMB-Share findet oder der Einbrecher erst einmal 15 Minuten an der gesicherten Balkontür hebeln muss ist es beiden doch schon wieder zu anstrengend und viel zu langweilig :smiley:
Klar, wie bb das auch bestätigt hat, Vorsicht bei gefährlichem Halbwissen - das geht dann mit an Sicherheit grenzender Wahrscheinlichkeit nach hinten los.

Cheers
/Jens

Hallo zusammen,

meiner Meinung nach ist iptables in dieser Konstellation mit Kanonen auf Spatzen geschossen. Ein ordentlich installiertes Linux hat - abgesehen vom ssh-Zugang - garkeine Ports offen. Das wäre ja wie Gitter an die Fenster machen die sowieso schon zugemauert sind.