(Un-)Sinn einer HW-Firewall

    Es werden zwar zwei Ports geforwardet für PC-Anywhere, aber der Server wird nur gestartet, wenn sie einen Techniker am Draht hat.
    Ach ja, mein Techniker am Telefon hat noch laut darüber nachgedacht, auch noch den SQL-Port zu forwarden... Zum Glück hat er dann selbst gemerkt, dass dies wohl nicht die Beste Idee ist :applaus

    Zitat

    Original von Ganto
    wenn du via router und NAT ins netz gehst und du keine ports forwardest ist eine firewall ziemlich sinnlos. schliesslich wird ja gar nie offiziell auf euren router zugegriffen und selbst dann ist das netzwerk genügend durch den router geschützt. und wenn ihr ja noch eine desktop-firewall einsetzt, dann könnt ihr ja damit den ausgehenden verkehr überwachen.


    100% korrekt;
    habe selbst n FLi4L (SW Router inkl. FW bzw. blockt halt einfach ports, mehr kann der eigentlich nicht gross^^) und hatte nie probleme mit IRGENDwas von aussen... z.B. so Blaster zeuchs *g*.


    und alle anderen PCs haben keine Firewall (~5Stück am Netzwerk). easy, des is keen Problem hier(übrigens: hier = auch KMU^^)


    cya

    Marktplatz Bewertung
    Kiste 1: Sloti 800 TB
    Kiste 2: DLT3C @ 2.6GhZ
    ...
    Kiste 7 & Kiste 8: PhII 720BE, 8GB ram. 1x mit X25-m II 80GB & 4870, 1x mit indilinx MLC 32GB
    [SIZE=7]Dieser Beitrag, inkl. vorhandenen Anhängen, ist ungeschützt und könnte während der Übermittlung oder nachträglich von 3. verändert werden. Der Absender schliesst deshalb jede Haftung oder rechtliche Verbindlichkeit für elektronisch versandte Nachrichten aus. Weiter ist der Inhalt des Postings frei erfunden, eventuelle Annäherungen an die Realität sind höchstens unbeabsichtigt und zufällig entstanden. Zu all meinen PCs haben mehrere Leute Zugang und nutzen diesen auch.[/SIZE]

    Ziemlich das was ich denke. Das einzige, was mir noch Sinnvoll erscheint, ist, dass ich nur die Ports nach Aussen freischalten könnte, die für den Browser und Mail auch tatsächlich gebraucht werden und bei allem anderen einen Alarm in die Mailbox legen könnte. Softwarefirewalls sind ja ziemlich einfach zu umgehen und mit irgendwelchem Wurmgezeugs hat man sich auch schnell Mal beim Browsen infiziert. Aber da vertrau ich jetzt mal auf Feuerfuchs und AntiVirus. :D

    Zitat

    Original von Schelm
    [...] Das einzige, was mir noch Sinnvoll erscheint, ist, dass ich nur die Ports nach Aussen freischalten könnte, die für den Browser und Mail auch tatsächlich gebraucht werden und bei allem anderen einen Alarm in die Mailbox legen könnte. [...]


    für das kannst du ja die windows firewall einrichten. für ein paar sachen ist die auch gut... :)


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

    Man beachte den nächsten Satz ;)


    Ausserdem gefällt mir Kerio besser als diese aus Redmond.
    Allein schon, weil ich, wenn ich einen Wurm programmieren würde, als erstes die betreffenden Ports in der Windows-Firewall freischalten würde.

    Zitat

    Original von Schelm
    Allein schon, weil ich, wenn ich einen Wurm programmieren würde, als erstes die betreffenden Ports in der Windows-Firewall freischalten würde.


    was dir zweifellos innerhalb 10 minuten gelingen würde *ironie* ;)


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

    Naja, als erstes würde ich mir mal den eMule-Sourcecode anschauen. Speziell die Stelle, an der die Methode für den Button "Ports in der Windows-Firewall freischalten" definiert ist. Danach würde ich mich auf die Suche nach den Tasten Ctrl, C und V auf meiner Tastatur machen und überlegen, in welchen Kombinationen diese gedrückt werden könnten :p

    Zitat

    Original von Schelm
    Naja, als erstes würde ich mir mal den eMule-Sourcecode anschauen. Speziell die Stelle, an der die Methode für den Button "Ports in der Windows-Firewall freischalten" definiert ist. [...]


    jepp, aber dann hast du dieser applikation bereits das recht gegeben aufs internet zuzugreifen. und das wirst du bei einem wurm wohl nicht machen, oder?


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

    Wie gesagt, bei mir ist diese FW nicht aktiv, daher weiss ich nicht wie hier die Abhängigkeiten sind.
    Aber eine 2-Minütige Suche im Netz führt zu folgendem:

    Zitat

    Mitunter muss ein Schädlingsprogramm, das etwa eine Backdoor öffnen will, gar nicht die Firewall deaktivieren und dies anschließend verschleiern. Unter dem Schlüssel der Ausnahmeliste
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile\AuthorizedApplications\List
    lassen sich von jeder Applikation Einträge vornehmen, um fortan Verbindungen auf einem Server-Port entgegenzunehmen. Zusätzlich kann es auch die Firewall-API ohne Benutzernachfrage aufrufen, um sich den benötigten Port freizuschalten.


    Von dem her: Nein, Danke! ;)

    Zitat

    Original von traxxus
    Hier kannste die PCs einzeln testen:


    http://scan.sygatetech.com/
    [...]


    Habe Mal den Stealth-Test auf seinem Computer und hier zu Hause (mit einer Netgear Router-/Firewallkombination) laufen lassen. Wie es aussieht macht es tatsächlich einen Unterschied. Einige Ports konnten auf seinem Router im Webinterface explizit geblockt werden, diese wurden als "Blocked" angezeigt. Alle anderen hingegen lediglich als "Closed". Da stand dann so ungefähr: "Nicht verfügbar, aber über bekannte TCP/IP-Schwachstellen verwundbar". Hier zu Hause sind sämtliche Ports "Blocked" (mit Ausnahme der geforwardeten natürlich). Kann mir ehrlich gesagt keinen Reim darauf machen, welches Gerät da geantwortet hat (der Router selbst oder ein Gerät innerhalb des Netzes) macht für mich irgendwie beides keinen Sinn.


    Interessant finde ich vor allem den letzten Test:


    SOURCE PORT

    18802

    BLOCKED

    This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.


    Endlich einmal eines der Schlagworte (SPI) in Aktion :D

    Also ohne HW-Firewall würd' ich nie mehr ins Inet gehen!


    Vor paar Monaten hab' ich den Router mal abgehängt und direkt rein, Kiste ohne SW-FW (hab' nicht daran gedacht...) - PC lief, aber nicht gearbeitet.
    Als ich wieder zu Hause war, war die Kiste voll Viren - das war ein Heidenspass :schimpf

    "Höchstgeschwindigkeit und Beschleunigung von 0 auf 100 km/h sind interessante statistische Werte - Werte, die Sie allerdings kaum je verwenden werden. Unser Ansatz im Hinblick auf die Leistung basiert auf der täglichen Fahrpraxis. Eine schnelle Beschleunigung beim Überholen mit wenig Gangwechseln ist ein wichtiges Sicherheitsmerkmal. Sofort verfügbare Kraft bedeutet eine grössere Kontrolle. Und mehr Spass. Sie können sich auf die kultivierte Kraft von SAAB verlassen."

    Joa, aber dann bist du wohl auch ohne Router rein. Dann kannst du nach 5 Minuten ein eigenes Biolabor eröffnen. Aber sobald du keine INet-IP mehr sind diese Probleme im Normalfall Vergangenheit.

    Zitat

    Original von Schelm
    [...]


    Von dem her: Nein, Danke! ;)


    hehe, ok. aber auch das ist nur ausnutzbar, wenn du als Administrator angemeldet bist (?). ;) microsoft ist nicht ganz so blöd, wie viele immer denken. dass schädlinge die normalen desktop firewalls still legt, kennt man ja ebenfalls und da kann man nicht wirklich mehr vertrauen darin haben.


    Zitat

    Original von Sh@rky
    Also ohne HW-Firewall würd' ich nie mehr ins Inet gehen!


    Vor paar Monaten hab' ich den Router mal abgehängt und direkt rein, Kiste ohne SW-FW (hab' nicht daran gedacht...) - PC lief, aber nicht gearbeitet.
    Als ich wieder zu Hause war, war die Kiste voll Viren - das war ein Heidenspass :schimpf


    hehe. ohne NAT fängt der spass dann richtig an, jepp. ;)


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

    Einmal editiert, zuletzt von Ganto ()

    Zitat


    hehe, ok. aber auch das ist nur ausnutzbar, wenn du als Administrator angemeldet bist (?). ;) microsoft ist nicht ganz so blöd, wie viele immer denken. dass schädlinge die normalen desktop firewalls still legt, kennt man ja ebenfalls und da kann man nicht wirklich mehr vertrauen darin haben.


    Das war ja genau mein Ursprünglicher Kritikpunkt ;)

    Zitat

    [...]Softwarefirewalls sind ja ziemlich einfach zu umgehen[...]


    Die Lücke kann wahrscheinlich wirklich nur als Admin ausgenutzt werden, Einträge in die Registry sind bei normalen Nutzern afaik nicht möglich. Nichtsdestotrotz ist ein Admin für jeden Standarduser ja Quasi-Konzept bei Microsoft... :rolleyes


    Kerio hat mit Sicherheit auch irgendwelche Lücken, aber diese werden wohl bei einigen Prozenten weniger Schädlingen ausgenutzt.
    Aber wenn ich mich nicht arg täusche führt bereits das Austauschen von Winsock-Dateien zum Ausfall der meisten Desktop-Firewalls.


    Ich werde jetzt höchstwahrscheinlich doch eine Firewall (evtl. ein NETGEAR FR114P) installieren. Mal schauen ob ich darauf nur bestimmte Ports gegen aussen freischalte, aber auch sonst sind die Ports immerhin "Blocked" statt "Closed". Was auch immer das ausmachen sollte :)

    Zitat

    Original von Schelm
    [...]
    Die Lücke kann wahrscheinlich wirklich nur als Admin ausgenutzt werden, Einträge in die Registry sind bei normalen Nutzern afaik nicht möglich. Nichtsdestotrotz ist ein Admin für jeden Standarduser ja Quasi-Konzept bei Microsoft... :rolleyes


    Kerio hat mit Sicherheit auch irgendwelche Lücken, aber diese werden wohl bei einigen Prozenten weniger Schädlingen ausgenutzt.
    Aber wenn ich mich nicht arg täusche führt bereits das Austauschen von Winsock-Dateien zum Ausfall der meisten Desktop-Firewalls.


    Ich werde jetzt höchstwahrscheinlich doch eine Firewall (evtl. ein NETGEAR FR114P) installieren. Mal schauen ob ich darauf nur bestimmte Ports gegen aussen freischalte, aber auch sonst sind die Ports immerhin "Blocked" statt "Closed". Was auch immer das ausmachen sollte :)


    naja, wenn ein wurm unter administratoren rechten nur gerade die firewall frei schaltet, dann kann ich mich ja glücklich schätzen. er hätte ja auch format c: ausführen können und dagegen hilft die hardware-firewall auch nichts. man sollte lieber dort auf die sicherheit schauen, wo es auch wirklich sinn macht.


    der unterschied zwischen blocked und closed ist einfach, dass bei closed der tcp stack eine antwort sendet, dass nicht auf den port zugegriffen werden kann, während bei blocked die antwort ausbleibt. ist nicht wirklich von bedeutung, denn sobald ein port offen ist, ist ja klar, dass die maschine läuft und die anderen ports (auch wenn man keine antwort erhält) geschlossen sind.


    ganto


    "Computer games don't affect kids, I mean if Pacman affected us as kids, we'd all run around in a darkened room munching pills and listening to repetitive music."


    Kristian Wilson

    Einmal editiert, zuletzt von Ganto ()

    Nun ja, selbstverständlich könnte ein Wurm auch ein Format C: ausführen. Nur werden das die wenigsten machen, weil sie sich lieber selbst weiterversenden und sich des weiteren gerne als Spam-Relays, DoS-Bots oder sonst was Gewinnbringendes betätigen.
    Man sollte an vielen Orten auf die Sicherheit schauen und für den Format C:-Fall auch ein regelmässiges Backup bereithalten.


    Von wegen Blocked und Closed. Wer sendet denn hier eine Antwort? Die Hosts wohl kaum, da sie wegen dem NAT die Anfrage gar nicht erst erhalten sollten. Das würde auch die Gefahr schon einmal eliminieren, dass irgendwelcher Code auf dem Rechner ausgeführt wird.
    Wieso aber stellt der Router das schlichte Weglassen einer Antwort nur auf etwa 7 Ports zur Verfügung und macht nicht einfach alle zu? :gruebel Kann mir doch egal sein, wenn jemand deswegen auf ein Timeout wartet :D