[Security-Workshop Teil 3] PC-Abschottung-Benutzerabschottung

SilverSurfer99

gehört zum Inventar
PC-Abschottung-Benutzerabschottung

PC-Abschottung/Benutzerabschottung​



Vorbemerkungen

Generell: Trotz aufgezeigter Lösung mag das Unterthema "Unvermeidbare Schäden" anfangs als schockierend empfunden werden, doch die Sachdarstellung ist real und das tägliche Erleben vieler im PC-Bereich tätiger Administratoren und Systemverantwortlichen. Gleichzeitig wird mit dieser schonungslosen Darstellung aber das generelle Ziel des Schwerpunktthemas erkennbar - nämlich die Risiken grundlegend zu erörtern, mit denen der Anwender sowieso über kurz oder lang konfrontiert wird, und was man rechtzeitig dagegen tun kann.

Die Struktur von "PC-Abschottung-Benutzerabschottung" befasst sich stark vereinfacht mit den Incoming-Risiken, die sich aus Datenflüssen in den PC hinein ergeben - das sind im Wesentlichen installierte Programme und Programmanweisungen aus geladenen Webseiten (Schäden=hoch). Dabei ist auch die Frage zu erörtern, ob strikte Benutzerabschottung im PC-Privatbereich (Administrator / restriktiv angelegter Normalanwender) die Sicherheit verbessert.
Das nachfolgende Thema "Outgoing-Risiken" befasst sich im Wesentlichen mit den Schädigungsmöglichkeiten, die sich aus dem Abfluss von Daten aus dem PC heraus ergeben (Privat=hoch).

In der Praxis verlaufen die Trennlinien weniger scharf: Wenn mit dem Spyware-Prüfer AdAware bereits beim Eingang kontrolliert wird, ob eine 'kostenlose' Software werbefinanziert ist und dabei meist auch Anwenderdaten ausspioniert, wird damit gleichzeitig auch das Outgoing-Risiko von persönlichen Daten minimiert. Ähnlich ist es heute bei den Personal Firewalls, die sowohl eingehende als auch ausgehende Datenpakete kontrollieren können (Ausnahme: die XP-eigene Firewall, die diesen Namen aber ohnehin nicht verdient). Weil die Detailfunktionen der Firewalls komplexer sind, werden sie als Exkurs am Ende exemplarisch dargestellt. Soweit andere Lösungsinstrumente in diesem Unterthema nicht vertieft werden, finden sich weitere Details in den Nachfolge-Themen bzw. unter "Schlussbemerkungen / weiterführende Links und Informationen" mit konkreteren Lösungsansätzen, Produkt-Tests und bei außergewöhnlichen Fragen Spezial-Hilfeforen. Generell wird aber hier direkt geholfen.



Sachdarstellungen

Eingangskontrollen
Dazu zählen BIOS-Kennwort und Anmeldeschirm (Benutzerkontrolle), Virenprüfer, Spyware-Prüfer, Firewalls, Dialer-Wächter, Scriptprüfer etc..

Sind Firewalls für Privatanwender überhaupt notwendig?
Diese immer wieder gern gestellte Frage soll anhand zweier Beispiele beantwortet werden:
a) Ohne Firewall kann jederman aus dem Internet den ins Betriebssystem "eingebauten" Server mit Kenntnis der IP-Nummer auf den TCP-Ports 135, 137-139 missbrauchen ('Fernsteuerung' u.a. über die Unterfunktion Telnet TCP23 möglich)
b) Mit Kenntnis nur der Telefonnummer und aktiviertem RAS (Dienst Remote Access Service) ohne aktivierten Kenntwortschutz ist ein PC ebenfalls fernsteuerbar.

Wie man solche ungeschützten PC's findet?
Mit http://www.google.de nach Flashport (Shareware) suchen. Zum Beispiel T-Online-by-Call einwählen und die aktuelle IP-Nummer mit TCP-View (Freeware) oder Winipcfg.exe (bis WindowsME) ermitteln - eigene Muster-IP sei: 234.56.7x.xxx. Flashport starten, IP-Range von 234.56.70.000 bis 234.56.71.999 eingeben, Port TCP 23 und starten, mal sehen, welche der 2000 gescannten PCs offen sind (Internet-Serviceprovider vergeben aus einem weltweit festlegten Nummernkreis jeweils freie Adressen).
Telnet-Informationen (gefunden über Google) liegen schon bereit - ist doch nicht schwer, oder :devil ? Mit dieser einfachen Methode habe ich mal vor zwei Jahren gezählt, wieviel PCs BackOrifice-trojanerwillig waren - über ein Prozent!
Portscannen ist übrigens nach deutschem Recht nicht strafbar - also sollte man seine Haustür auch verschließen.




Mehr Sicherheit durch Benutzerabschottung?

a) Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der selben Ebene wie eine installierte Firewall, um mit dem Netzwerk zu kommunizieren (also nebenher). Unter Windows NT (2000, XP) gilt das Gleiche, wenn man sich als Administrator angemeldet hat; z.B. um Software im guten Glauben zu installieren."

b) Im "Worst Case" (also wenn das böse Programm Administrator- bzw. Root-Rechte auf dem Rechner hat), werden alle Desktop-Firewalls ziemlich machtlos sein.

c) "Normale Benutzerrechte reichen bei den meisten Firewalls, um neue Regeln einzufügen.
Beispiele:
der Trojaner "Eurosol"
Programme drücken den "Yes"-Button in ZoneAlarm

Kommentare:

zu a): Man könnte daraus ableiten: Zwei Firewalls sind deshalb sinnlos.
Widerspruch aus eigener Erfahrung: Sygate 4.2 hat mal einen Ausbruchsversuch von ZAPro 2.6x über Port 80 blockiert, der wohl eine legitime Lizenz-Erneuerung per 'Vertrauen ist gut, Kontrolle ist besser' überprüfen sollte. Eine unbefugte Datenübermittlung (ohne Einverständnis des Betroffenen) verstößt aber gegen europäisches Datenschutzrecht.
Umgekehrt hat mir die Kontrolle durch eine zweite Firewall bisher nicht geschadet. Dabei war das Hauptziel eigentlich nur, nach evtl. technischem Ausfall einer Firewall eine Reserve zu haben.

Die obigen Punkte suggerieren, dass die Benutzung des Internets unter einem einschränkten User sicherer wird. Die Ziffer c) belegt jedoch, dass dies eine Fehleinschätzung ist.
Daraus ergibt sich eine klare Anforderung: Firewall-Regeländerungen müssen durch Kennwort schützbar sein!

Viele Privatanwender werden der Benutzerabschottung ohnehin nicht folgen, überwiegend aus mangelnder Information, ansonsten weil mehr als 30 Prozent der bisherigen Spiele nur mit Administrator-Rechten funktionieren.

Es ist nach aktuellen Informationen nicht einmal möglich, alle Windows-NT/Win2k/XP-Systemverzeichnisse auf 'nur Lesen' zu setzen, weil dorthin regelmäßig Windows-Zwischendateien geschrieben werden.

Zu guter Letzt handelt es sich bei Personal-Firewalls (von ipchains/iptables mal abgesehen) meist um closed-source Produkte, bei denen sich wieder die Vertrauensfrage stellt. Das ist prinzipiell richtig, aber bei bekannten Produkten eher unwahrscheinlich - hier wachen die Experten der Internet-Community.

Bei EDV-Schulungen wird gerne der Sicherheits-Grundsatz eingetrichtert: 'Server dürfen nur dezidiert laufen', oder auf deutsch: auf einem PC dürfen entweder nur Anwendungen oder nur Server-Dienste laufen. Insoweit kein Problem, unter ZAPro kann beispielsweise allen Anwendungen die Server-Funktion verboten werden. Auch ohne Serverdienste sind alle benötigten 'normalen' Internet-Nutzungen möglich.


RISIKEN:
Privat = minimal
Schäden = hoch


Lösungsansätze

1. Möglichst nur Firewalls benutzen, die sicher eine Server-Nutzung pro zuzulassender Anwendung blockieren können und Kennwortschutz für Regel-Änderungen vorsieht (z.B. ZoneAlarmPro).
2. Hardware-mäßige Trennung zwischen Anwendungs-PC und eigenem Server-PC ist eigentlich zwingend. Es gibt verschiedene Linux-Server-Lösungen, die auch mit ausgemusterten PCs und damit ziemlich kostengünstig darstellbar sind. Allerdings wird den meisten Anwendern mangels Zeit für die Aneignung des entsprechenden KnowHows nur die Alternativlösung 'regelmässige Datensicherung für evtl. Rückweg' bleiben.



Exkurs zu Firewalls - generell
Diese Anmerkungen beziehen sich auf die gängigen Firewalls, wie die für Privatanwender lizenzfreien Tiny/Kerio und Outpost, die beide besonders fein abgestufte Sicherheitsregeln zulassen, u.a. für eigene Server als auch für Heimnetzwerke; auf die lizenzpflichtigen ZoneAlarmPro, Norton PFW 2002 und Norman PFW 1.0 sowie die lizenzfreie Sygate 4.2, die alle vier noch eine gute Kontrolle der Internet-Unterfunktionen ermöglichen, ferner die normale ZoneAlarm, die zumindest gegen Incoming-Schäden einen soliden Grundschutz bietet. Sygate 4.2 beinhaltet zusätzlich wirksame IntrusionDetection-Komponenten, blockt also zB. an sich zulässigen Outgoing-Trafic, sofern er nicht vom Anwender ausgelöst wurde.
Zu allen genannten PFWs gibt es weiterführende Links.

Auf der Eingangsseite kontrollieren PFWs generell darauf, dass nur Datenpakete hereingelassen werden, die Antworten auf eigene Internet-Anforderungen darstellen. PFWs kontrollieren zusätzlich generell Anwendungen, die Internet-Zugang anfordern, so dass ein vom Virenwächter unerkannter Trojaner-Server dauerhaft geblockt werden kann.

ZoneAlarmPro kontrolliert wie ein Dialer-Wächter alle neu zuzulassenden Verbindungen zu Internet-Serviceprovidern. Alle PFWs außer der normalen ZoneAlarm können kontrollieren, welche Internet-Unterfunktionen (Protokolle / Ports) von der Gegenseite und welche auf dem eigenen PC benutzt werden dürfen. Tiny/Kerio und Outpost können auch vergleichsweise einfach bestimmte Internet-Unterfunktionen nur bestimmten Internet-Adressen (IP-Adressen) zulassen, z.B. als Verbindung zum eigenen Server. Einige PFWs verfügen über die Funktion VPN (Virtual Private Network), mit der der Netzwerk-Datenfluss besonders gesichert erfolgt.

Beispiel Sygate: Die normale ZoneAlarm ist nicht mehr meine erste Wahl - dazu ist auch das Risiko zu groß, dass die Schwächen des 40-Prozent-Marktführers ausgenutzt werden. Mein Favorit ist Sygate 4.2, ebenfalls kostenlos (http://www.sygate.com). Sie bietet den Schutz wichtiger Protokoll-Verfahren und ist einfach zu verstehen. In der Installations-Konfiguration werden die gängigen Ports zugelassen (Einträge bei Remote und Lokal sind dann leer), danach können die einzelnen Anwendungen von Einsteigern auch leicht Port-bezogen eingestellt werden (bis zu 24 Stellen pro Position; mehr kann die lizenzpflichtige PRO-Version). Ferner ist ein sehr informatives LOG vorhanden. Auch das Umstellen einer Anwendung auf "um Erlaubnis fragen" ist sehr angenehm, bekommt man doch so einen schnellen Überblick, welche zusätzlichen Ports benötigt werden bzw. was passiert, wenn diese nicht zugelassen werden. Etwas negativ ist der hohe Hauptspeicherbedarf und Durchsatzschwächen bei massiven Attacken, was aber die Ausnahme sein dürfte.

Sygate-Regelbeispiel für Normalanwender/InternetExplorer:
Remote Server Ports Numbers:
TCP 80,21,8000,443,113,8080 [HTTP,FTP,HTTP-alt,HTTPS,Ident,HTTP-alt]
UDP 1024-2999 [Bilder-Übertragung für Internet-Explorer]
Anm.: Diese weltweit normierten Internet-Unterdienste darf die fremde
Webseite nutzen, um mit Ihrem PC zu kommunizieren. Falls die Webseite nicht korrekt
erreicht werden kann, muss man im LOG nachsehen, welcher Port blockiert wurde,
und dann je nach Vertrauen zu dieser Webseite entscheiden, ob ein weiterer
Port zugelassen oder die Webseite gemieden wird.
Local Ports: TCP 1024-65535 - UDP 53,67,1024-65535 [DNS,DHCP]
Anm.: Damit ist es fremden Webseiten verwehrt, den HTTP- oder FTP-Sevice
zu nutzen [TCP80 /21], so dass von diesem PC im Normalfall keine Daten unbemerkt
heruntergeladen werden können.


weitere Erklärungen
HTTP=TCP 80: das HyperText Transfer Protocol wird von Webservern zur Übertragung von Webseiten eingesetzt. Es ist nicht notwendig, TCP 80 lokal (auf dem eigenen PC) zuzulassen. Für HTTP gibt es noch die älteren Funktionen auf den Ports TCP 8000 und 8080.
FTP=TCP 21: mit FTP können Daten vom Internet auf den eigenen PC transferiert werden. FTP ist leistungsfähiger als ein ebenfalls möglicher HTTP-Download. Ein lokales FTP muss nur zugelassen werden, wenn Daten vom eigenen PC z.B. zum eigenen Server gesendet werden.
HTTPS=TCP 443: HTTP-Secure verwendet verschlüsselte Datenübertragung, z.B. bei Einkäufen im Internet.
Ident=TCP 113 wird noch von manchen Webseiten benutzt, um Betriebssystem und Browsertyp des PC's abzufragen, obwohl es eine gleichwertige Funktion in HTTP gibt.
DNS=UDP 53: die Funktion Domain Name Service startet eine Anfrage an den nächstgelegenen Internet-Server, der den Namen einer Webseite in die allein gültige, numerische, 10stellige IP-Adresse umsetzt.
DHCP=UDP 67: ist eine gleichartige Internet-Unterfunktion wie DNS, nur eben für Breitband-Verbindungen ins Internet. Insbesondere bei WindowsXP werden DNS und DHCP (nur Outgoing=lokal zulassen) von XP-Systemprogrammen wahrgenommen.
SMTP=TCP 25 sowie POP3=TCP 110 und ggf. IMAP=TCP 143 muss man ggf. noch remote für die Benutzung durch den fremden Webserver zulassen, wenn EMails nicht übers Internet, sondern beim Provider genutzt werden. Fällt bei mir allerdings weg - GMX.de, MacNews.de, MailZone.ch und Co. sind für mich Internet-like wesentlich komfortabler nutzbar.

TCP=Transport Protocol Program: ein Datenübermittlungsverfahren mit Prüfsummen-abgesicherten, kleineren Datenpaketen, die auf dem lokalen PC in der richtigen Reihenfolge wieder zusammengesetzt werden.
UDP: ein nicht Prüfsummen-abgesichertes Übertragungsverfahren. Der InternetExplorer macht bei grafischen Elementen aus Geschwindigkeitsgründen ausgiebig Gebrauch davon. Wegen fehlender Prüfsummenabsicherung (und damit dem Risiko fehlerhafter Befehlsübermittlung durch den potentiellen Schadensstifter) ist das Missbrauchsrisiko bei Privatanwendern als minimal einzustufen.

Die Ports 1-1023 sind weltweit für alle Betriebssysteme normierte Internet-Unterfunktionen, d.h. man weiss bei entsprechender Kenntnis, welche Internet-Unterfunktionen man der Gegenseite zur Nutzung zulässt.
Das Zulassen der Nutzung von frei definierbaren Internet-Unterfunktionen (TCP-Ports 1024-65535) für die Gegenseite (remote) sollte nur erfolgen, wenn man uneingeschränktes Vertrauen zur angewählten Webseite hat.
Eine Liste gängiger Ports findet sich übrigens auf jedem Windows-PC. Man sucht nach der Datei "services" (ohne Endung) und öffnet diese mit einem Editor.

Wer noch tiefer einsteigen möchte, findet unter https://www.supernature-forum.de/tutorials/links/Sicherheit/ ein weiteres, sehr ausführliches Beispiel mit Bildschirm-Abdrucken für ZoneAlarmPro sowie genauere Nachweisungen zur Bedeutung der genormten Port-Nummern. Die Logik der Protokolle und Ports sind praktisch auf viele Firewalls übertragbar, auch wenn die Formen der Unterstützung (Regel-Assistenten) durch die PFWs leider sehr unterschiedlich ausfallen. Damit ist jedoch eine weitere Frage beantwortet - die beste Firewall ist diejenige, mit der man die Risiken intuitiv steuerbar am besten im Griff hat, bezogen auf den eigenen Lösungsbedarf.

Für Normalanwender sollten die Lösungen jetzt überschaubar sein, nur anfangen muss jeder selbst, damit er Herr im eigenen Haus wird.

Damit ist das Thema PersonalFirewalls aber noch längst nicht erschöpft - im 4. Teil des Workshops (Outgoing-Risiken) wird nochmals vertieft auch Details eingegangen.


Anmerkung: Dieser Beitrag ist nur ein Teil des Ganzen. Hier findest Du die Übersicht: Security-Workshop


Diesen Beitrag als gezippte HTML-Datei downloaden:
 

Anhänge

  • security-workshop teil 3.zip
    7,3 KB · Aufrufe: 506
Zuletzt bearbeitet von einem Moderator:
Aus der Diskussion im kleineren Kreis..

Wer das Thema Firewalls anfasst, wird sich im Gegensatz zum Thema Virenprüfer sehr schwer tun, denn das Spannungsfeld ist RIESIG.

1. Die Wissens-Unterschiede bei den Anwendern und die Anzahl der Einstellmöglichkeiten bei Firewalls sind sehr groß: Einige werden die Zusammenhänge erst nach und nach verstehen oder sich fragen "muss denn dieser ganze Aufwand sein", andere werden das Thema für einen alten Hut halten oder mehr erwarten: Deshalb auch die weiterführenden Links im letzten Teil des Workshops.

Es ist ein schwieriger Spagat, die notwendigen Sachhintergründe kurzgefasst zu erklären und trotzdem einen bestimmten Wissenslevel nicht zu unterschreiten. Im Grunde ist es eine schwerwiegende Sicherheits-Lücke aller PFW-Anbieter, dass ein verständlicher Grundlagenkurs fehlt.

2. Die Argumentation der Sach-Experten ist teilweise extrem und verunsichernd - ein Beispiel:
"Gerade Firewalls sind an und für sich Systeme, die nicht von Laien verwendet werden sollten, weil sie falsch konfiguriert Außenstehenden Tür und Tor zum eigenem System öffnen und leichtsinniges Verhalten durch ein falsches Sicherheitsgefühl provozieren können."

Genau das halte ich NICHT für die Lösung, denn eine Standardsicherheit ist wesentlich mehr als gar keine - hier haben solche Super-Admins [die viele seltene Firmen-Risiken kennen, mit deren Ausnutzung GELD zu machen ist] einfach die falsche Brille auf. Nach Durchsicht vieler Beiträge auf einschlägigen Boards sind bei Privatanwendern DIE WENIGSTEN dieser Gefährdungen wahrscheinlich oder 'in the wild' aufgetreten. Wer mehr weiss, berichtige mich an dieser Stelle.

3. Die Auffassungen über die Gefährdungen werden sensationslüstern überzogen - Brummelchen hatte sinngemäß schon darauf hingewiesen.

Meine (lizenzfreien) Empfehlungen sind für Neueinsteiger oder Anwender mit wenig Zeit ZoneAlarm, ansonsten die Sygate 4.2 mit den intern vorhandenen Standard-Port-Freischaltungen installieren und dann die angegebenen Ports für Remote sowie Local einzugeben - eine Angelegenheit von kaum einer halben Stunde.

Nach Abwägen aller Argumente stand der Entschluss, diese Veröffentlichungen auf jeden Fall zu wagen.
 
Ich gebe zu bei Firewalls habe ich auch so meine Probleme, Habe NIS2001 laufen und zusätzlich noch
ZA. Jedes der beiden hat meiner Meinung nach seine Vor-und Nachteile. z.B.: wenn ich in ZA das
blockieren von POPUPS aktiviert habe, werden auch animierte Gifs als als solche behandelt und werden
garnicht angezeigt, oder bleiben nach einem Durchlauf hängen. Hatte auch mal von NIS die Version
2002 drauf, doch diese hatte sich trotz Einstellung, Regeln manuell festlegen mit der Zeit selbständig gemacht, und ohne mich zu fragen einen Port nach dem anderen geschlossen, sodaß ich nicht einmal
mehr irgend ein Server-Programm starten konnte. Selbst dieses Forum, wahrscheinlich weil es mit Cookies arbeitet wurde als nicht nicht vertrauenswürdig eingestuft und blockiert. Da sind aber wahrscheinlich die Hersteller dieser Software gefragt, die Kontrolle von Webseiten zu sensibilieseren und nicht alles gleich zu blocken.
 
Der von SilverSurfer beschriebene Scan ist ja schon für Fortgeschrittene.

Scannt doch mal mit Legion nach offenen Ports 139!

Es ist kaum zu glauben, wie viele man findet.

Da brauche ich gar keinen Trojaner, um Blödsinn zu machen.

Danach bei Start/Ausführen die gefundene IP eingeben und schon bin ich auf dem fremden Rechner und kann mir z.B. Cookies klauen, Adressbücher in Excel runterladen, etc. etc.

(Die richtige Syntax für die IP habe ich bewusst nicht genannt, wer´s also nicht weiss, der soll hier auch nicht ermutigt werden und spare sich den Versuch *g*)

Gruss
Tim
 
Oben