Vorbemerkungen
Generell: Trotz aufgezeigter Lösung mag das Unterthema
"Unvermeidbare Schäden" anfangs als schockierend empfunden werden,
doch die Sachdarstellung ist real und das tägliche Erleben vieler im PC-Bereich
tätiger Administratoren und Systemverantwortlichen. Gleichzeitig wird mit
dieser schonungslosen Darstellung aber das generelle Ziel des Schwerpunktthemas
erkennbar - nämlich die Risiken grundlegend zu erörtern, mit denen der
Anwender sowieso über kurz oder lang konfrontiert wird, und was man rechtzeitig
dagegen tun kann.
Die Struktur von "PC-Abschottung-Benutzerabschottung" befasst
sich stark vereinfacht mit den Incoming-Risiken, die sich aus Datenflüssen
in den PC hinein ergeben - das sind im Wesentlichen installierte
Programme und Programmanweisungen aus geladenen Webseiten (Schäden=hoch).
Dabei ist auch die Frage zu erörtern, ob strikte Benutzerabschottung im
PC-Privatbereich (Administrator / restriktiv angelegter Normalanwender) die
Sicherheit verbessert.
Das nachfolgende Thema "Outgoing-Risiken" befasst sich im Wesentlichen
mit den Schädigungsmöglichkeiten, die sich aus dem Abfluss von Daten aus
dem PC heraus ergeben (Privat=hoch).
In der Praxis verlaufen die Trennlinien weniger scharf: Wenn mit dem Spyware-Prüfer
AdAware bereits beim Eingang kontrolliert wird, ob eine 'kostenlose' Software
werbefinanziert ist und dabei meist auch Anwenderdaten ausspioniert, wird damit
gleichzeitig auch das Outgoing-Risiko von persönlichen Daten minimiert. Ähnlich
ist es heute bei den Personal Firewalls, die sowohl eingehende als auch
ausgehende Datenpakete kontrollieren können (Ausnahme: die XP-eigene Firewall,
die diesen Namen aber ohnehin nicht verdient). Weil die Detailfunktionen der
Firewalls komplexer sind, werden sie als Exkurs am Ende exemplarisch
dargestellt. Soweit andere Lösungsinstrumente in diesem Unterthema nicht
vertieft werden, finden sich weitere Details in den Nachfolge-Themen bzw. unter
"Schlussbemerkungen / weiterführende Links und Informationen" mit
konkreteren Lösungsansätzen, Produkt-Tests und bei außergewöhnlichen Fragen
Spezial-Hilfeforen. Generell wird aber hier direkt geholfen.
Sachdarstellungen
Eingangskontrollen
Dazu zählen BIOS-Kennwort und Anmeldeschirm (Benutzerkontrolle), Virenprüfer,
Spyware-Prüfer, Firewalls, Dialer-Wächter, Scriptprüfer etc..
Sind Firewalls für Privatanwender überhaupt notwendig?
Diese immer wieder gern gestellte Frage soll anhand zweier Beispiele beantwortet
werden:
a) Ohne Firewall kann jederman aus dem Internet den ins Betriebssystem
"eingebauten" Server mit Kenntnis der IP-Nummer auf den TCP-Ports 135,
137-139 missbrauchen ('Fernsteuerung' u.a. über die Unterfunktion Telnet TCP23
möglich)
b) Mit Kenntnis nur der Telefonnummer und aktiviertem RAS (Dienst Remote Access
Service) ohne aktivierten Kenntwortschutz ist ein PC ebenfalls
fernsteuerbar.
Wie man solche ungeschützten PC's findet?
Mit http://www.google.de nach
Flashport (Shareware) suchen. Zum Beispiel T-Online-by-Call einwählen und die
aktuelle IP-Nummer mit TCP-View (Freeware) oder Winipcfg.exe (bis WindowsME)
ermitteln - eigene Muster-IP sei: 234.56.7x.xxx. Flashport starten, IP-Range von
234.56.70.000 bis 234.56.71.999 eingeben, Port TCP 23 und starten, mal sehen,
welche der 2000 gescannten PCs offen sind (Internet-Serviceprovider vergeben aus
einem weltweit festlegten Nummernkreis jeweils freie Adressen).
Telnet-Informationen (gefunden über Google) liegen schon bereit - ist doch
nicht schwer, oder? Mit dieser einfachen Methode habe ich mal vor zwei Jahren
gezählt, wieviel PCs BackOrifice-trojanerwillig waren - über ein Prozent!
Portscannen ist übrigens nach deutschem Recht nicht strafbar - also
sollte man seine Haustür auch verschließen.
Mehr Sicherheit durch Benutzerabschottung?
a) Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der selben Ebene
wie eine installierte Firewall, um mit dem Netzwerk zu kommunizieren (also
nebenher). Unter Windows NT (2000, XP) gilt das Gleiche, wenn man sich als
Administrator angemeldet hat; z.B. um Software im guten Glauben zu
installieren."
b) Im "Worst Case" (also wenn das böse Programm Administrator- bzw.
Root-Rechte auf dem Rechner hat), werden alle Desktop-Firewalls ziemlich
machtlos sein.
c) "Normale Benutzerrechte reichen bei den meisten Firewalls, um neue
Regeln einzufügen.
Beispiele:
der
Trojaner "Eurosol"
Programme
drücken den "Yes"-Button in ZoneAlarm
Kommentare:
zu a): Man könnte daraus ableiten: Zwei Firewalls sind deshalb sinnlos.
Widerspruch aus eigener Erfahrung: Sygate 4.2 hat mal einen Ausbruchsversuch von
ZAPro 2.6x über Port 80 blockiert, der wohl eine legitime Lizenz-Erneuerung per
'Vertrauen ist gut, Kontrolle ist besser' überprüfen sollte. Eine unbefugte
Datenübermittlung (ohne Einverständnis des Betroffenen) verstößt aber gegen
europäisches Datenschutzrecht.
Umgekehrt hat mir die Kontrolle durch eine zweite Firewall bisher nicht
geschadet. Dabei war das Hauptziel eigentlich nur, nach evtl. technischem
Ausfall einer Firewall eine Reserve zu haben.
Die obigen Punkte suggerieren, dass die Benutzung des Internets unter einem
einschränkten User sicherer wird. Die Ziffer c) belegt jedoch, dass dies eine
Fehleinschätzung ist.
Daraus ergibt sich eine klare Anforderung: Firewall-Regeländerungen müssen
durch Kennwort schützbar sein!
Viele Privatanwender werden der Benutzerabschottung ohnehin nicht folgen,
überwiegend aus mangelnder Information, ansonsten weil mehr als 30 Prozent der
bisherigen Spiele nur mit Administrator-Rechten funktionieren.
Es ist nach aktuellen Informationen nicht einmal möglich, alle Windows-NT/Win2k/XP-Systemverzeichnisse
auf 'nur Lesen' zu setzen, weil dorthin regelmäßig Windows-Zwischendateien
geschrieben werden.
Zu guter Letzt handelt es sich bei Personal-Firewalls (von ipchains/iptables mal
abgesehen) meist um closed-source Produkte, bei denen sich wieder die
Vertrauensfrage stellt. Das ist prinzipiell richtig, aber bei bekannten
Produkten eher unwahrscheinlich - hier wachen die Experten der
Internet-Community.
Bei EDV-Schulungen wird gerne der Sicherheits-Grundsatz eingetrichtert: 'Server
dürfen nur dezidiert laufen', oder auf deutsch: auf einem PC dürfen entweder
nur Anwendungen oder nur Server-Dienste laufen. Insoweit kein Problem, unter
ZAPro kann beispielsweise allen Anwendungen die Server-Funktion verboten werden.
Auch ohne Serverdienste sind alle benötigten 'normalen' Internet-Nutzungen möglich.
RISIKEN:
Privat = minimal
Schäden = hoch
Lösungsansätze
1. Möglichst nur Firewalls benutzen, die sicher eine Server-Nutzung pro
zuzulassender Anwendung blockieren können und Kennwortschutz für Regel-Änderungen
vorsieht (z.B. ZoneAlarmPro).
2. Hardware-mäßige Trennung zwischen Anwendungs-PC und eigenem Server-PC ist
eigentlich zwingend. Es gibt verschiedene Linux-Server-Lösungen, die auch mit
ausgemusterten PCs und damit ziemlich kostengünstig darstellbar sind.
Allerdings wird den meisten Anwendern mangels Zeit für die Aneignung des
entsprechenden KnowHows nur die Alternativlösung 'regelmässige Datensicherung
für evtl. Rückweg' bleiben.
Exkurs zu Firewalls - generell
Diese Anmerkungen beziehen sich auf die gängigen Firewalls, wie die für
Privatanwender lizenzfreien Tiny/Kerio und Outpost, die beide besonders fein
abgestufte Sicherheitsregeln zulassen, u.a. für eigene Server als auch für
Heimnetzwerke; auf die lizenzpflichtigen ZoneAlarmPro, Norton PFW 2002 und
Norman PFW 1.0 sowie die lizenzfreie Sygate 4.2, die alle vier noch eine gute
Kontrolle der Internet-Unterfunktionen ermöglichen, ferner die normale
ZoneAlarm, die zumindest gegen Incoming-Schäden einen soliden Grundschutz
bietet. Sygate 4.2 beinhaltet zusätzlich wirksame
IntrusionDetection-Komponenten, blockt also zB. an sich zulässigen
Outgoing-Trafic, sofern er nicht vom Anwender ausgelöst wurde.
Zu allen genannten PFWs gibt es weiterführende Links.
Auf der Eingangsseite kontrollieren PFWs generell darauf, dass nur Datenpakete
hereingelassen werden, die Antworten auf eigene Internet-Anforderungen
darstellen. PFWs kontrollieren zusätzlich generell Anwendungen, die
Internet-Zugang anfordern, so dass ein vom Virenwächter unerkannter
Trojaner-Server dauerhaft geblockt werden kann.
ZoneAlarmPro kontrolliert wie ein Dialer-Wächter alle neu zuzulassenden
Verbindungen zu Internet-Serviceprovidern. Alle PFWs außer der normalen
ZoneAlarm können kontrollieren, welche Internet-Unterfunktionen (Protokolle /
Ports) von der Gegenseite und welche auf dem eigenen PC benutzt werden dürfen.
Tiny/Kerio und Outpost können auch vergleichsweise einfach bestimmte
Internet-Unterfunktionen nur bestimmten Internet-Adressen (IP-Adressen)
zulassen, z.B. als Verbindung zum eigenen Server. Einige PFWs verfügen über
die Funktion VPN (Virtual Private Network), mit der der Netzwerk-Datenfluss
besonders gesichert erfolgt.
Beispiel Sygate: Die normale ZoneAlarm ist nicht mehr meine erste Wahl -
dazu ist auch das Risiko zu groß, dass die Schwächen des 40-Prozent-Marktführers
ausgenutzt werden. Mein Favorit ist Sygate 4.2, ebenfalls kostenlos (http://www.sygate.com).
Sie bietet den Schutz wichtiger Protokoll-Verfahren und ist einfach zu
verstehen. In der Installations-Konfiguration werden die gängigen Ports
zugelassen (Einträge bei Remote und Lokal sind dann leer), danach können die
einzelnen Anwendungen von Einsteigern auch leicht Port-bezogen eingestellt
werden (bis zu 24 Stellen pro Position; mehr kann die lizenzpflichtige
PRO-Version). Ferner ist ein sehr informatives LOG vorhanden. Auch das Umstellen
einer Anwendung auf "um Erlaubnis fragen" ist sehr angenehm, bekommt
man doch so einen schnellen Überblick, welche zusätzlichen Ports benötigt
werden bzw. was passiert, wenn diese nicht zugelassen werden. Etwas negativ ist
der hohe Hauptspeicherbedarf und Durchsatzschwächen bei massiven Attacken, was
aber die Ausnahme sein dürfte.
Sygate-Regelbeispiel für Normalanwender/InternetExplorer:
Remote Server Ports Numbers:
TCP 80,21,8000,443,113,8080 [HTTP,FTP,HTTP-alt,HTTPS,Ident,HTTP-alt]
UDP 1024-2999 [Bilder-Übertragung für Internet-Explorer]
Anm.: Diese weltweit normierten Internet-Unterdienste darf die fremde
Webseite nutzen, um mit Ihrem PC zu kommunizieren. Falls die Webseite nicht
korrekt
erreicht werden kann, muss man im LOG nachsehen, welcher Port blockiert wurde,
und dann je nach Vertrauen zu dieser Webseite entscheiden, ob ein weiterer
Port zugelassen oder die Webseite gemieden wird.
Local Ports: TCP 1024-65535 - UDP 53,67,1024-65535 [DNS,DHCP]
Anm.: Damit ist es fremden Webseiten verwehrt, den HTTP- oder FTP-Sevice
zu nutzen [TCP80 /21], so dass von diesem PC im Normalfall keine Daten unbemerkt
heruntergeladen werden können.
weitere Erklärungen
HTTP=TCP 80: das HyperText Transfer Protocol wird von Webservern zur Übertragung
von Webseiten eingesetzt. Es ist nicht notwendig, TCP 80 lokal
(auf dem eigenen PC) zuzulassen. Für HTTP gibt es noch die älteren Funktionen
auf den Ports TCP 8000 und 8080.
FTP=TCP 21: mit FTP können Daten vom Internet auf den eigenen PC transferiert
werden. FTP ist leistungsfähiger als ein ebenfalls möglicher HTTP-Download.
Ein lokales FTP muss nur zugelassen werden, wenn Daten vom eigenen PC z.B. zum
eigenen Server gesendet werden.
HTTPS=TCP 443: HTTP-Secure verwendet verschlüsselte Datenübertragung, z.B. bei
Einkäufen im Internet.
Ident=TCP 113 wird noch von manchen Webseiten benutzt, um Betriebssystem und
Browsertyp des PC's abzufragen, obwohl es eine gleichwertige Funktion in HTTP
gibt.
DNS=UDP 53: die Funktion Domain Name Service startet eine Anfrage an den nächstgelegenen
Internet-Server, der den Namen einer Webseite in die allein gültige,
numerische, 10stellige IP-Adresse umsetzt.
DHCP=UDP 67: ist eine gleichartige Internet-Unterfunktion wie DNS, nur eben für
Breitband-Verbindungen ins Internet. Insbesondere bei WindowsXP werden DNS und
DHCP (nur Outgoing=lokal zulassen) von XP-Systemprogrammen wahrgenommen.
SMTP=TCP 25 sowie POP3=TCP 110 und ggf. IMAP=TCP 143 muss man ggf. noch remote
für die Benutzung durch den fremden Webserver zulassen, wenn EMails nicht übers
Internet, sondern beim Provider genutzt werden. Fällt bei mir allerdings weg -
GMX.de, MacNews.de, MailZone.ch und Co. sind für mich Internet-like wesentlich
komfortabler nutzbar.
TCP=Transport Protocol Program: ein Datenübermittlungsverfahren mit Prüfsummen-abgesicherten,
kleineren Datenpaketen, die auf dem lokalen PC in der richtigen Reihenfolge
wieder zusammengesetzt werden.
UDP: ein nicht Prüfsummen-abgesichertes Übertragungsverfahren. Der
InternetExplorer macht bei grafischen Elementen aus Geschwindigkeitsgründen
ausgiebig Gebrauch davon. Wegen fehlender Prüfsummenabsicherung (und damit dem
Risiko fehlerhafter Befehlsübermittlung durch den potentiellen Schadensstifter)
ist das Missbrauchsrisiko bei Privatanwendern als minimal einzustufen.
Die Ports 1-1023 sind weltweit für alle Betriebssysteme normierte
Internet-Unterfunktionen, d.h. man weiss bei entsprechender Kenntnis, welche
Internet-Unterfunktionen man der Gegenseite zur Nutzung zulässt.
Das Zulassen der Nutzung von frei definierbaren Internet-Unterfunktionen (TCP-Ports
1024-65535) für die Gegenseite (remote) sollte nur erfolgen, wenn man
uneingeschränktes Vertrauen zur angewählten Webseite hat.
Eine Liste gängiger Ports findet sich übrigens auf jedem Windows-PC. Man sucht
nach der Datei "services" (ohne Endung) und öffnet diese mit einem
Editor.
Wer noch tiefer einsteigen möchte, findet unter http://www.supernature-forum.de/tuts/#SI
ein weiteres, sehr ausführliches Beispiel mit Bildschirm-Abdrucken für
ZoneAlarmPro sowie genauere Nachweisungen zur Bedeutung der genormten
Port-Nummern. Die Logik der Protokolle und Ports sind praktisch auf viele
Firewalls übertragbar, auch wenn die Formen der Unterstützung
(Regel-Assistenten) durch die PFWs leider sehr unterschiedlich ausfallen. Damit
ist jedoch eine weitere Frage beantwortet - die beste Firewall ist diejenige,
mit der man die Risiken intuitiv steuerbar am besten im Griff hat, bezogen auf
den eigenen Lösungsbedarf.
Für Normalanwender sollten die Lösungen jetzt überschaubar sein, nur anfangen
muss jeder selbst, damit er Herr im eigenen Haus wird.
Damit ist das Thema PersonalFirewalls aber noch längst nicht erschöpft - im 4.
Teil des Workshops (Outgoing-Risiken) wird nochmals vertieft auch Details
eingegangen.
Anmerkung: Dieser Beitrag ist nur ein Teil des Ganzen. Hier findest Du die Übersicht:
Security-Workshop