[Firewall] Ich hab mal ne Frage zum PFW

Ernst_42

schläft auf dem Boardsofa
Btw.
Systeme, die auf erkannte Angriffe reagieren/antworten, heißen u.a. auch IRS (Intrusion Response System)

Noch'n btw.
IRS, die mir (dauerhaft) in ein FW-Regelwerk pfuschen, kann ich nicht ab.
Sinnvoll ist es, wenn solche Regeln nur vorübergehend eingetragen werden, da man sich sonst sehr leicht selbst austrickst.
Bsp.: Ein Angreifer will mein System "nur" lahmlegen (DoS) und hat durch seine Untersuchungen im Vorfeld festgestellt, dass da irgendwo ein IDS/IRS am Werke ist, dass auch auf das Regelwerk der FW Zugriff hat.
Also wird ein leicht zu erkennender Angriff gefahren mit der gefälschten Absaenderadresse {meines Routers|der FW|eines wichtigen Servers (z.B. den MX oder den NS)...


Ich halte die Diskussion um die Sinnhaftigkeit von unvollkommenen Mechanismen (was sie alle sind, wenn man noch arbeiten können soll) nutzlos.
  1. Ein halber Schutz ist besser als kein Schutz.
  2. Wer meint, einen 100%-igen Schutz zu haben, hat keine Ahnung von Softwareentwicklung... (Stichwort unvollkommen, s.o.)
  3. Computer sind nicht marktreif für DAUs (auf die nämlich ganz schnell 2. zutrifft...).
  4. Der Aufwand (FW, IDS/IRS, ...) sollte im Verhältnis stehen zum Schutzbedarf (des Systems, der Daten)
    Dabei sollte man auch bedenken, dass durch eigene Fahrlässigkeit andere geschädigt werden können. Bei Unternehmen ist eine entsprechende Haftung per Gesetz vorgesehen, weshalb Firmennetze auch i.d.R. besser geschützt sind. Wieder eine Unterfütterung von 3.![/list=1]
    Grüße
 

Hinterwäldler

kennt sich schon aus
Hallo Leute
Original geschrieben von derPENGUIN
Und in diesem Punkt ist die Aufklaerungsarbeit von Hinterwaeldler durchaus nuetzlich, auch wenns mit der Didaktik nicht ganz so klappt.
und das hier auch
So, genug Grundlagenforschung betrieben, offen gestanden, mich ermuedet das Herbeten von allgemeinen Weisheiten... Ich bin, sry, wenn ich das so sage, zu lange im Geschaeft, als dass ich die Notwendigkeit einer Firewall beweisen muesste...

Mit der Didaktik gebe ich dir recht. Du wirst aber zugeben, das ich keinen Holzhammer wie viele andere benutze. In den Newsgroups und in anderen Foren wird das anders gehandhabt. :ROFLMAO: Das Bild1.gif zeigt aber sehr deutlich, das mein System derzeit von ausen nicht angreifbar ist. Der Angreifer kann nicht einmal erkennen, mit welchem OS ich ins Internet gehe. Was auf jeden einzelnen PrivatPC von innen nach außen vor sich geht, das kann nur der User selbst entscheiden. Bsw. muß ich, um iPhone mit Rufnummer oder über ICQ zu nutzen, drei Ports zur Verfügung stellen. Seltsamer Weise schrieb Freenet anfangs in der Hilfe und in unverständlicher Ausdrucksweise von 21 Ports. Das ist jetzt geändert und korrigiert.

Das beim Verwalten mehrerer Server mit fast unendlich vielen sicherheitsrelevanten Daten eine Hardware-Firewall benötigt wird, ist auch von mir unbestritten. Einen tunnelbaren Softigen sollte der Admin sich allerdings überlegen, denn eine Geldzurückgarantie gibt keiner der Hersteller. Diese sollten zuerst in den Seiten von BSI nachlesen. Zusätzlichen kostenlosen und meis sofortigen Rat kann sich diese Klientel dann noch in den NG holen. Was auf alle Fälle von mir empfohlen wird (ohne eure Sachkenntnis zu schmälern) .

Hier auf dem Board fragen aber zu 95% (vorsichtige Schätzung) nur HomeUser oder solche, die mit ihnen gleichgesetzt werden können. Sie haben also ähnliche Bedingungen wie Onkel Erwin, der den Werbungen seines Lebensmitteldiscounters erlegen ist und sich seine Freizeit sinnvoll gestalten möchte. Das ist ein gewaltiger Unterschied. Diese Menschen benötigen Hilfe ohne ihnen lang und breit die Innerreien von WindowsXP zu erläutern. Wer dann noch versucht die Funktionsweise eines PFW zu erläutern, wird mit Sicherheit einen Error im Brain von Onkel und Tante erzeugen. Mit diesem Tool ist aber möglich und ihr habt es ja gesehen, mit ein paar ganz wenigen Mausklicks ein Optimum (nicht Maximum) an Sicherheit zu erreichen.

Wenn dann noch ein paar wichtige Verhaltensregeln mit bekommt und sich danach auch richtet, wird kaum noch solche Fragen wie Theo bei w-w-w oder PapaSchlumpf bei Freenet stellen, wobei der Erste schon einen Eintrag ins Guinessbuch der Rekorde wert ist.
 

derPENGUIN

fühlt sich hier wohl
Moin.
@ernst:
eine wunderschoene Zusammenfassung. Glueckwunsch! Dass der Betrieb eines IRS auch Gefahren birgt, ist mir klar. Ein DoS-angriff mit einer gespooften IP kann schon ganz schoen Aerger machen. Aus diesem Grunde sperrt das von mir verwendete guardian (ich nehme an, andere Systeme arbeiten aehnlich) die Angreifer-IP nur fuer eine einstellbare Zeit (im kongreten Fall 5 Minuten). Das reicht fuer die meisten echten Angriffe und ist fuer gezielte DoS vertretbar. Zusaetzlich koennte man, faellt mir gerade so ein, die MAC-adressen der legitimierten Server in eine Whitelist eintragen. Ich werd mir das guardian diesbezueglich mal anschauen...

@Hinterwaeldler
Du hast natuerlich recht. Die PC-Kaeufer vom Lebensmitteldiscounter benoetigen eine einfache und klare Handhabe. Wenn Du Dich mit Deiner Ansicht ("alle Ports schliessen") an diese Zielgruppe wendest, ist das wohl voellig ok. (sofern diese Leute wissen, worum es bei den Ports geht) In diesem Zusammenhang werden sie natuerlich verwirrt, weil die Fachpresse und Zeitschriften, die sich gern als solche bezeichnen, lieber die PFWs loben... Da ist noch ne Menge Aufklaerungsarbeit noetig. Du bist dabei auf dem richtigen Weg und hast meinen Segen.

Das Bild1.gif zeigt aber sehr deutlich, das mein System derzeit von ausen nicht angreifbar ist.
Das wuerde ich nicht ganz so interpretieren. Das Bild zeigt lediglich, das der secure-check keinen Test erfolgreich durchgefuehrt hat, mit dem Dein system leicht angreifbar ist. Da jedoch die Betreiber der Seite 1. nicht taeglich die neu bekannt gewordenen Sicherheitsluecken implementieren und abchecken koennen (und wohl auch nicht duerfen) und 2. der Check in einem vertretbaren Zeitrahmen durchgefuehrt werden soll, ist das Ergebnis nur als erster Anhaltsspunkt fuer weitere Untersuchungen zu bewerten. Sonst landest Du ganz schnell in der von Dir selbst angesprochenen truegerischen Sicherheit... Einen wesentlich tiefgreifenderen Sicherheits-check bietet das Tool nessus , welches aber, soweit ich weiss, nur fuer Linux verfuegbar ist (als Hostmaschine, der Zielrechner kann natuerlich sehr wohl Windows sein) Die Vermutung, Du betreibst ein Windows-system, entnehme ich mal dem "Social Engnieuring" oder wie man das schreibt. Wir koennen uns, falls Du das willst, gern mal per PM verstaendigen und ich unterziehe Dein System mal dem Test.

So, genug gepinselt, ich muss mal noch bissel arbeiten.

LG, peng
 

Ernst_42

schläft auf dem Boardsofa
Original geschrieben von derPENGUIN
@ernst:
[...] Zusaetzlich koennte man, faellt mir gerade so ein, die MAC-adressen der legitimierten Server in eine Whitelist eintragen. Ich werd mir das guardian diesbezueglich mal anschauen...
Wenn ich mich recht erinnere, wird die MAC-Adresse nur jeweils im (lokalen) Segment benutzt (siehe ARP), sobald geroutet wird, dürfte dabei wenig rumkommen; es sollte im Paket auf OSI-Ebene 2 dann eigentlich "nur" die MAC des vorgelagerten Routers auftauchen... (müsst ich bei Gelegenheit mal nachprüfen)

Nachsatz: MAC-Adressen lassen sich auch fälschen...

So, genug gepinselt, ich muss mal noch bissel arbeiten.
:ROFLMAO:

Grüße
 

Hinterwäldler

kennt sich schon aus
Hallo Peng
(ist nich eilig, mach erst mal für richtiges Geld)
Original geschrieben von derPENGUIN
Du hast natuerlich recht. Die PC-Kaeufer vom Lebensmitteldiscounter benoetigen eine einfache und klare Handhabe. Wenn Du Dich mit Deiner Ansicht ("alle Ports schliessen") an diese Zielgruppe wendest, ist das wohl voellig ok. (sofern diese Leute wissen, worum es bei den Ports geht) In diesem Zusammenhang werden sie natuerlich verwirrt, weil die Fachpresse und Zeitschriften, die sich gern als solche bezeichnen, lieber die PFWs loben... Da ist noch ne Menge Aufklaerungsarbeit noetig. Du bist dabei auf dem richtigen Weg und hast meinen Segen.
Genau dies ist meine Zielgruppe. Da gibt es bsw. in unserer Nachbargemeinde so eine Art Selbsthilfegruppe für Senioren im PC-Raum der Werkrealschule, welche sich in regelmäßigen Abständen dort trifft. :eek: Du glaubst nicht, wer da wirklich alles diesem Hobby fröhnt. Aber genau diese Leute sind es doch, die aus (ich bezeichne es mal so) ängstlicher Unwissenheit sich als Malwareschleudern betätigen. Liest man die "Fachpresse", kann man den Herrschaften nicht einmal einen Vorwurf machen. Dazu kommt noch das Unverständnis vieler "qualifizierter, manchmal sogar zertifizierter" User, welche das nicht differenzieren wollen. Siehe dazu auch mein vorheriges Posting bezüglich PapaSchlumpf. Genau hier muss angesetzt werden. Das ist meine ehrlich Überzeugung.

Ich habe vor, für diese Zielgruppe in den nächsten Monaten eine FAQ zu schreiben (Winterarbeit), die exakt das beinhaltet und ich erwarte eure Hilfe. Nicht im Schreiben, das mach ich schon selbst, aber in der Kritik und glaube nun, ein paar gute Partner gefunden zu haben (falls ich obiges Zitat richtig interpretiere).
Das Bild zeigt lediglich, das der secure-check keinen Test erfolgreich durchgefuehrt hat, mit dem Dein system leicht angreifbar ist.
Ewiger Pessimist!
Wenn du dir die Startseite dieses Intensivtestes richtig ansiehst, so kannst du feststellen, das zusätzlich zur allgemeinen Prüfung noch mal 1024 spezielle, frei wählbare Portadressen als Liste (Copy&Paste) eingetragen werden können. Haste welche aus dem Bulletin, dann kannste zusätzlich testen.

Richtig, es handelt sich nur um eine Seite. In diesem Posting habe ich noch vier andere deutschsprachige Seiten angegeben. Selbst solche von Herstellern gelber Kartons sind dabei. Keine sagt in meinem Fall etwas anderes. Ich habs natürlich auch mit PFW's, meist mit niederschmetternden Ergebnissen, probiert. Bei manchen Seiten (besonders ausländische) frage ich mich, woher die wußten, welche Firewall in welcher Version ich benutzte??? Also doch nur ein schwumerischer Vorhang, die Leute vom CCC haben schon recht.

Es bleibt also dabei, nur ein umfassendes Sicherheitskonzept in einem exakt konfiguriertem System bietet optimale Sicherheit für einen Einzelplatzcomputer.

Auf Grund deines Hinweises nessus habe ich mich auch noch mal kundig gemacht. Es stimmt, es ist nur für Linux erhältlich. Aber auf der Startseite wird für Windows auf Tenable NeWT 2.1 von http://tenablesecurity.com verwiesen. Falls dies für dich interessant sein sollte. Entsprechen der Beschreibung dürfte es ihm sehr ähnlich sein, ist Freeware und besitzt ein ausführliches Handbuch. Leider hat dieses Tool bei mir außer localhost keinen weiteren Server gefunden hahahah und konnte damit nichts anfangen.
Wir koennen uns, falls Du das willst, gern mal per PM verstaendigen und ich unterziehe Dein System mal dem Test.
Dieses Angebot nehme ich sehr gern an. Schreibe also, wenn du Zeit hast. Zusätzlich würde ich für diesen Zeitraum iPhone scharf machen.
Ich darf nicht mehr arbeiten (Gesundheit) und habe darum auch ein wenig mehr Zeit. Ich richte mich ganz nach dir.

Zum Schluß noch mal was Lustiges zum Thema PFW. Da habe ein paar pfiffige Leute sogar bildlich darstellen können, wie so ein Ding seine Aufgaben erfüllt. So http://www.nibbler.de/pics/unischranke.jpg und so http://www.ircm.de/pics/fun/win98_with_firewall.jpg funktioniert er.
 

derPENGUIN

fühlt sich hier wohl
@hinterwaeldler
Zeitplan: ok, koennten wir fuer naechste Woche mal planen, momentan bin ich auch recht ausgelastet. iPhone: ich hab skype online, notfalls koennen wir uns aber auch auf einem (ggfs. meinem) TeamSpeak-server treffen.

Das mit Deiner Winterarbeit ist ne gute Sache. Ich lese gern Korrektur, wenn Du willst.

LG, peng
 

donar73

treuer Stammgast
Hier ist mal ein Beitrag aus dem dt. Sygate-Forum, der schön veranschaulicht, was passieren kann, wenn man sich bei der Absicherung seines Rechners ausschließlich auf Software von Drittherstellern verläßt.
Finde, daß paßt ganz gut zu dieser Diskussion.
 

Hinterwäldler

kennt sich schon aus
Hallo Donar73

Dein Linkziel sieht ja ganz lustig aus.
Schleierhaft ist mir nur, welche Teile des PC überhaupt noch funktionsfähig waren? Konnte der PC denn seine ursprüngliche Aufgabe als M$-Kommunikationszentrum noch erfüllen.

Meiner Ansicht nach, war der Prozessor nur noch damit beschäftigt, jede Aktivität der Programme zu blockieren, aber das was er plockieren sollte, hat er glattweg übersehen oder vergessen.

Wie kann man nur Rechenkapazität derartig verpulvern oder wurden die neuen 64Byte Prozessoren nur dafür gebaut, um solchem Unfug zu ermöglichen?

Ich mache bei meinem Duron 800 dann doch lieber alle Türen außer der 80er dicht.
 
Zuletzt bearbeitet:

donar73

treuer Stammgast
Keine Ahnung, wozu sein Rechner noch in der Lage war, bin auch eher zufällig auf den Beitrag gestoßen.
Was ich mit dem Link zeigen will, ist einfach, daß man nicht blindlings auf die Versprechen von PFW- oder Antivirensoftwareherstellern vertrauen, sondern sich bei der Absicherung seines Rechners auch selbst ein paar Gedanken machen sollte! Schätze, da wirst du mir sicher zustimmen ;)
 

MaXg

assimiliert
Habe mir grade die Beiträge in diesem Usenet angetan.

Durch falsch interpretierte Antworten ist dort auch vollkommener stuss zusammengekommen.

Niemand hier hat behauptet, das dieses Script unsicher ist!

Ne Tatsache, die auch in der Anleitung steht, ist das dieses Script nicht vor ausgehendem Datenverkehr schützt!

Dann mein Beispiel aus nem anderen Thread:

ftp maxg.ath.cx ( und der bösartige code )

Nachdenken! :wand :wand

Logisch das ne Welcomemessage keinen schaden anrichtet!
Aber:
Wenn man ne Welcomemessage bekommt, kann genausogut bösartiger Code nachgeladen werden.

Unter Windows gibt es noch ein paar Dutzend weitere Programme die ungefragt ins I-Net connecten können.

Ich bitte drum das in diesem Usenet klarzustellen. ( hab kein acc )
 
Oben