Jump to content
undoreal

Internet Security Firewall

Recommended Posts

du hast einen PC hinter einem Router gescannt. Wie sieht's denn bei einem Modemzugang aus (mit Lappi)???
Das Ergebnis hat nichts mit dem Router sondern nur mit dem Betriebssystem zu tun.

Die Ports werden von diesem geschlossen und geöffnet. Da hat der Router Aktien drann.

Der Router sorgt nur dafür, dass durch offene Ports nur Pakete gelangen die von innen heraus angefprdert wurden. So einen Paketfilter nennt man dann umgangssprachlich HardwareFirewall.

Leider haben die Schädlingsautoren einen Weg gefunden den Router zu umgehen. Sie nutzen eine Reverse-Connection deren Erläuterung an dieser Stelle nur für Verwirrung sorgen würde. ;)

Aber auch bei dieser Infizierungs-Variante muss der Angreifer erstmal in das System kommen und das geht nur über offene Ports. Diese werden von Windows automatisch geschlossen. Um der Sicherheit noch ein wenig unter die Arme zu greifen empfehle ich grundsätzlich eine Konfiguration nach http://www.dingens.org/

Share this post


Link to post

Router ist abgehakt. Wie sehen denn die Meldungen mit dem GRC-Postscan ohne Router aus? Interessant deshalb, da die Lappis meist keinen Router haben, sondern nur auf OS und IS angewiesen sind.

Share this post


Link to post
Wie sehen denn die Meldungen mit dem GRC-Postscan ohne Router aus?
:) Das wollte ich eigentlich grade erklärt haben.

 

-> Sie sehen genauso aus! Alle Ports CLOSED.

 

Da die Ports vom OS geschlossen werden.. ;)

Share this post


Link to post

Sind die rudimentären Ports wie z.B. Netbios auch in den neueren Windows-Versionen vorhanden, und schließt das OS diese von selbst? Soweit mir bekannt, geht das nicht, da muß erst die IS ran (hier: W2k). Kann man bei der Menge von (neueren) Diensten diese alle durch das OS 'closed' bekommen?

Share this post


Link to post
Vllt. kann ich's noch etwas deutlicher machen:

 

Der Scan auf GRC ist ein ganz klassischer Portscan so wie ihn jeder Schädling auch machen würde. Ich hab' jetzt nur den kleinen gemacht aber das gilt für einen Vollscan genauso.

@bender: nicht alle dieser Ports werden von einer Anwendung benötigt, tauchen aber natürlich trotzdem ganz normal auf!

 

Folgendes Ergebnis bekomme ich wenn Kis mit Stealth-Modus läuft:

Da versteckt sich kein Port ^^ sind alle 26 da! Ob da nun stealth steht oder nicht. Der Angreifer weiss, dass dort ein Port ist der evtl. sogar offen sein könnte. Also schickt er systematisch an alle Ports Angriffe und testet systematisch ob dort was zu holen ist..

 

Nun der Scan mit Kis ohne Stealth-Mode:

Ein Angreifer würde nun also zur nächsten IP übergehen da hier absolut nichts zu holen ist.

 

Und nun das Ganze komplett ohne Kis! Schutz deaktiviert, Kis komplett geschlossen!

Oh Wunder. Auch ohne Kis nichts zu holen. Ein aktuelles System hinter einem Router ist unangreifbar solange der User keinen Blödsinn macht. Das muss endlich mal in die Köpfe vieler User gehämmert werden. :)

 

Seite gewechselt undoreal.. !!?? ;):ph34r:

Share this post


Link to post
Seite gewechselt undoreal.. !!?? wink.gif ph34r.gif
:)

 

Antisthenes hat schon gesagt: " Man muß seine Feinde achten, denn diese bemerken zuerst unsere Fehler. " ;)

 

Sind die rudimentären Ports wie z.B. Netbios auch in den neueren Windows-Versionen vorhanden, und schließt das OS diese von selbst?
Also wenn du das dingens-Prog ausführst ist er auf jeden Fall zu!

Eigentlich sollte der ab XP-SP2 aber auch automatisch zu sein.. Das Problem ist ja schon ewig bekannt..

 

 

Share this post


Link to post
Antisthenes hat schon gesagt: " Man muß seine Feinde achten, denn diese bemerken zuerst unsere Fehler. " ;)

 

Also ich sehe das auch so, wir können getrost "heiteren Herzens" den Stealth-Modus kippen ;)

 

Btw. gut erklärt !

Share this post


Link to post
Eigentlich sollte der ab XP-SP2 aber auch automatisch zu sein.. Das Problem ist ja schon ewig bekannt..

Na unter Zuhilfenahme der Windows-FW keine bes. Leistung. Unter W2k geht's nur mit einer IS, m.E. auch nicht mit dem dingens-proggi (hatte ich mal probiert), insofern wäre der Test ohne jedwede FW durchaus interessant...

Share this post


Link to post
Na unter Zuhilfenahme der Windows-FW keine bes. Leistung.
-_- ein geschlossener Port hat nichts mit der Firewall zu tun! *Ich hier gleich von Vorschlaghammer auf Pressluft wechsel..* ^^

 

Der Port ist bei einem aktuellen OS (XP-SP2 bzw. bald SP3) geschlossen! Und um sicher zu gehen sollte man dingens kurz ausführen.

Auf der Seite findet sich zusätzlich der Hinweis:

Bei der Standardinstallation von Windows XP Prof. sind nicht wie bei den Vorgängern dieses Betriebssystems, die Netbios-Dienste per default an das DFÜ-Netzwerk gebunden!

Also selbst ohne Servie Packs überhaupt kein Problem! Bei W2K sieht das anders aus aber das ist halt auch kein aktuelles OS.

 

Nochmal zum mitschreiben^^: Bei einem vernünftig installierten XP-Prof SP2/3 sind alle Ports geschlossen! Zur Sicherheit sollte man dingens laufen lassen.

Sitzt dieser Rechner dann noch hinter einem Router kommt ohne User-Interaktion/Fehler nichts auf den Rechner geflogen!

 

PS:

Unter W2k geht's nur mit einer IS
Das stimmt auch nicht. Da musst du per Hand oder Skript die Dienste beenden für die die Ports offen gehalten werden und W2K schließt die Ports automatisch.

Diese Dienste sind:

epmap (Port TCP/UDP 135)

isakmp (Port UDP 500)

microsoft-ds (Port TCP/UDP 445)

netbios-ssn (Port TCP 139)

netbios-ns (Port UDP 137)

netbios-dgm (Port UDP 138)

 

Jeder der das ausprobieren möchte soll halt mal die Firewall die er nutzt ausschalten und dann in cmd: netstat-o > C:\netstat.txt eingeben und sich die Datei dann zu Gemüte führen..

Edited by undoreal

Share this post


Link to post

och nöööö, nich aufregen... werde das aber mal gleich probieren und bescheid geben...

danke für die detaillierten ausführungen, supi!

 

ps. das mit der os-fw stand i.ü. so auf der seite, also daß man nichts weiter tun braucht...

Share this post


Link to post
Guest Claudia

Und hier mit kann man das ganze überprüfen! :cb_punk:

post-9414-1209404082_thumb.jpg

Share this post


Link to post

Ich möchte mich bei alle entschuldigen (besonders bei redbull21 und Kilauea).

Ich habe ganz falsch gedacht.

Edited by User_kis

Share this post


Link to post

=) Das haben wir wohl alle mal..

 

Ist nur gut dan erstmal den alten Hasen wirklich genau zuzuhören.. ^^ Die haben meistens 'ne ganze Menge Ahnung.. ;)

Share this post


Link to post

Wenn Jemand will - probieren diese Tests.

Ich habe Interaktiver Schutz vom KIS (als Probe) eingeschaltet (es wird von manchen User benutzt).

 

P.S. Backup nicht vergessen.

 

Share this post


Link to post
Uii.. Sowas vertraust du??? :huh:

 

Aber vorher einen Datenschützer machen..

 

Natürlich muß ich, als auch mehrere Benutzer automatischen Modus von KIS8 vertrauen.

Deswegen teste ich erst immer in diesem Modus.

 

Share this post


Link to post
Und hier mit kann man das ganze überprüfen! :cb_punk:

 

Hallo zusammen.

 

Habe mit dem Local Port Scanner meine Ports überprüfen lassen.

Meldung Port 135 ist offen, wenn ich die bei grc scannen lasse, habe ich aber keine offenen Ports.

Habe es schon mit wwdc.exe versucht, aber es ändert sich nichts.

Was kann ich nun machen... oder ist das mit dem Port 135 egal?

 

Mein BS ist Vista 64 Ultimate mit SP1. KIS 7.0.1.325.

Edited by bruse

Share this post


Link to post
Meldung Port 135 ist offen, wenn ich die bei grc scannen lasse, habe ich aber keine offenen Ports.

Was kann ich nun machen... oder ist das mit dem Port 135 egal?

 

Port 135 wird normalerweise von NetBios verwendet. Bist du in einem Heimnetzwerk?

Edited by SebastianLE

Share this post


Link to post
Port 135 wird normalerweise von NetBios verwendet. Bist du in einem Heimnetzwerk?

 

Ich habe zuhause nur einen PC, wenn ich auf das Netzwerksymbol in der Taskleiste gehe, steht da: Verbunden mit Netzwerk 2 Zugriff: Lokal und Internet.

Hänge übrigens hinter einem Router falls das noch eine Rolle spielt.

Share this post


Link to post
In V8 werden nun zumindest in der Standardkonfiguration (ohne das "fragen" explizit bei der vertrauenswürdigen Gruppe von Benutzer verlangt wird) allen als vertrauenswürdig eingestuften Anwendungen umfangreichere Netzwerkrechte eingeräumt (eingeschränkt durch bestimmte allgemeine Paketregeln).

 

Abgesichert wird das Ganze v.a. über den proaktiven Schutz, so dass diese Anwendungen mitsamt ihrer Rechte nicht von anderen missbraucht werden können.

 

Nur:

Was ist nun wenn dieser versagt?

Oder wenn man eine Anwendung selbst aus Versehen als vertrauenswürdig einstuft (weil sie es z.B. zum Teil auch ist) aber es nicht merkt, dass sie durchaus unangenehme Nebeneffekte hat (z.B. in dem sie Daten sendet, Spyware nachlädt etc.).

Sie bekommt durch die Einstufung als vertrauenswürdig gleichzeitig umfangreiche Netzrechte.

 

In V7 konnte man an den Firewallabfragen zumindest tendenziell erkennen, dass hier diesmal ein scheinbar ungewöhlicher Port / oder eine vorher nicht dagewesene IP angesprochen werden sollte. Nur in V8 dürfte das bei den Firewalleinstellungen nicht auffallen.

Leider hatte ich die letzten Tage keine Zeit, habe aber deine Frage nicht übersehen.

 

Der Begriff "vertrauenswürdig" ist natürlich unterschiedlich interpretierbar. Wer es generell nicht mag, dass ein Programm nach Hause telefoniert (auch wenn gar nichts bösartiges damit bezweckt werden soll), der wird mit der FW von KIS 8 jedenfalls in der Standardeinstellung nicht zufrieden sein. Aber es ist natürlich nicht die Aufgabe von KIS, Anwendungen in ihrer regulären Tätigkeit einzuschränken, sondern nur, Böses zu verhindern. Wer jede Anwendung nur kontrolliert ins Netz lassen will, hat aber die Möglichkeit, auf "Fragen" umzustellen und Regeln zu definieren, wie bisher bei KIS 7 auch. Diese Umstellung geht ja ganz einfach und schnell mit einem Mausklick für die gesamte vertrauenswürdige Gruppe.

 

Wenn man eine Anwendung, die KIS als beschränkt oder nicht vertrauenswürdig einstuft, zu den Vertrauenswürdigen stellt, muss man sich seiner Sache natürlich sicher sein. Daran führt kein Weg vorbei. Aber um dein Beispiel mit dem Nachladen von Spyware zu nehmen: Das wiederum sollte KIS ja über den Web-/Datei-AV erkennen, auch wenn ein vertrauenswürdiges Programm das macht. Der Signaturencheck und die heuristische Analyse arbeiten ja davon unabhängig. Einer Anwendung den freien Zugang ins Netz zu gestatten, heißt noch lange nicht, auch die Untersuchung des Datenstroms aufzugeben.

 

Die Frage, was passiert, wenn der Proaktive Schutz "böse Aktivitäten" eines eigentlich vertrauenswürdigen Programms nicht erkennt, ist sicher dennoch berechtigt. Ich kann eigentlich nur annehmen, dass Kaspersky diese Schutzkomponente als höchst sicher ansieht, sonst hätte man das Konzept von KIS 8 wohl anders angelegt. Aber wie schon gesagt, könnten auch Netzwerkregeln einen bösartigen Datenaustausch nicht verhindern, solange er innerhalb der Regelgrenzen erfolgt. Und diese Grenzen sind ja oftmals nicht besonders eng definiert, weil sonst ein vernünftiges Arbeiten nicht möglich wäre. So lässt sich z. B. bei vielen Anwendungen nicht sinnvoll die Remote-IP definieren, d. h. über den erlaubten Port ist die Kommunikation mit jeder beliebigen Adresse möglich.

 

Für mich besteht die Hauptfunktion der FW darin, unerlaubte Eindringversuche zu verhindern. Der Weg nach draußen ist dagegen zwangsläufig erheblich löcheriger, was hierbei dem Proaktiven Schutz tatsächlich die Hauptrolle zuspielt. Das war eigentlich auch schon bisher so.

Share this post


Link to post

Danke Redbull für die Erläuterung.

 

Ja das entspricht auch meinem Verständnis. (ich habe auch die meisten "vertrauenswürdigen Anwendungen" eingestellt.)

Natürlich war das eine Extrembeispiel, da die Sachen eigentlich mehrfach geschützt sind (proaktiver Schutz, Signaturen bei WebAV und DateiAV), so dass das von mir geschilderte Szenario eigentlich nur eine sicher kaum eintretende Ausnahme darstellt.

 

Und die allermeisten User wären sicher eh überfordert herauszufinden, welcher Port und vor allem welche IP für die entsprechende Anwendung denn nun relevant ist und welche nicht (Whois Abfragen etc.) - und wer es doch will kann detaillierte Regeln erstellen.

 

So ist es in Sachen Benutzerfreundlichkeit eigentlich optimal gelöst - denn selbst der skeptische Benutzer, der alles auf Fragen stellt, wird in der Regl nur festlegen wollen ob eine Anwendung ins Internet soll/ darf oder eben nicht. Genaue Ports und IPs interessieren da die wenigsten.

 

Vielleicht ist man/bin ich da auch noch vom detaillierten aber für viele umständlichen Modus der früheren Firewallversionen geprägt, wo zuerst nur bestimmte IPs, Ports abgefragt wurden, und die allgemeine Erlaubnis "jede Netzaktivität" extra ausgewählt werden musste.

Edited by SebastianLE

Share this post


Link to post

*mal so blöd in die Runde frag*

wieso kann man nicht eigentlich im Stealth Modus ein "Destination Unreachable" zurücksenden anstatt einfach nicht zu antworten.

Dann sähe es doch wirklich so aus, als ob es den Rechner nicht gibt. Problem wäre gelöst!

mfg

Einste1n

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.