Joa, aber dann bist du wohl auch ohne Router rein. Dann kannst du nach 5 Minuten ein eigenes Biolabor eröffnen. Aber sobald du keine INet-IP mehr sind diese Probleme im Normalfall Vergangenheit.
Beiträge von Schelm
-
-
Zitat
Habe Mal den Stealth-Test auf seinem Computer und hier zu Hause (mit einer Netgear Router-/Firewallkombination) laufen lassen. Wie es aussieht macht es tatsächlich einen Unterschied. Einige Ports konnten auf seinem Router im Webinterface explizit geblockt werden, diese wurden als "Blocked" angezeigt. Alle anderen hingegen lediglich als "Closed". Da stand dann so ungefähr: "Nicht verfügbar, aber über bekannte TCP/IP-Schwachstellen verwundbar". Hier zu Hause sind sämtliche Ports "Blocked" (mit Ausnahme der geforwardeten natürlich). Kann mir ehrlich gesagt keinen Reim darauf machen, welches Gerät da geantwortet hat (der Router selbst oder ein Gerät innerhalb des Netzes) macht für mich irgendwie beides keinen Sinn.Interessant finde ich vor allem den letzten Test:
SOURCE PORT
18802
BLOCKED
This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.Endlich einmal eines der Schlagworte (SPI) in Aktion
-
Übers LAN oder übers Internet?
Und falls zweiteres: ist der Port 21 geforwardet? -
Wie gesagt, bei mir ist diese FW nicht aktiv, daher weiss ich nicht wie hier die Abhängigkeiten sind.
Aber eine 2-Minütige Suche im Netz führt zu folgendem:ZitatMitunter muss ein Schädlingsprogramm, das etwa eine Backdoor öffnen will, gar nicht die Firewall deaktivieren und dies anschließend verschleiern. Unter dem Schlüssel der Ausnahmeliste
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
lassen sich von jeder Applikation Einträge vornehmen, um fortan Verbindungen auf einem Server-Port entgegenzunehmen. Zusätzlich kann es auch die Firewall-API ohne Benutzernachfrage aufrufen, um sich den benötigten Port freizuschalten.
Von dem her: Nein, Danke! -
Naja, als erstes würde ich mir mal den eMule-Sourcecode anschauen. Speziell die Stelle, an der die Methode für den Button "Ports in der Windows-Firewall freischalten" definiert ist. Danach würde ich mich auf die Suche nach den Tasten Ctrl, C und V auf meiner Tastatur machen und überlegen, in welchen Kombinationen diese gedrückt werden könnten :p
-
Man beachte den nächsten Satz
Ausserdem gefällt mir Kerio besser als diese aus Redmond.
Allein schon, weil ich, wenn ich einen Wurm programmieren würde, als erstes die betreffenden Ports in der Windows-Firewall freischalten würde. -
Ziemlich das was ich denke. Das einzige, was mir noch Sinnvoll erscheint, ist, dass ich nur die Ports nach Aussen freischalten könnte, die für den Browser und Mail auch tatsächlich gebraucht werden und bei allem anderen einen Alarm in die Mailbox legen könnte. Softwarefirewalls sind ja ziemlich einfach zu umgehen und mit irgendwelchem Wurmgezeugs hat man sich auch schnell Mal beim Browsen infiziert. Aber da vertrau ich jetzt mal auf Feuerfuchs und AntiVirus.
-
Es werden zwar zwei Ports geforwardet für PC-Anywhere, aber der Server wird nur gestartet, wenn sie einen Techniker am Draht hat.
Ach ja, mein Techniker am Telefon hat noch laut darüber nachgedacht, auch noch den SQL-Port zu forwarden... Zum Glück hat er dann selbst gemerkt, dass dies wohl nicht die Beste Idee ist -
Ist IPCop nicht eine Firewall?
-
Scheisse. Ich meinte natürlich nicht im Router, sondern in der damit angeschriebenen Firewall.
Dazu passend:
(Zusammenfassung: ein pseudo-IDS in der Firewall ist hauptsächlich da, damits im Katalog steht :gap)Zitat1.4.3 Dient denn Ihre Firewall nicht als IDS?
Nein! Nachdem diese Aussage mit Nachdruck erfolgte, sollten Sie Firewall-Administratoren,
die diesbezüglich anders denken, nicht verspotten. Zugegebenermaßen
kann eine Firewall zur Erkennung bestimmter Intrusion-Typen wie beispielsweise
einen Versuch, auf den Port 27374 des Trojanischen Backdoors SubSeven
zuzugreifen, erkennen. Darüber hinaus kann eine Firewall so konfiguriert werden,
dass sie bei jedem Einbruchsversuch in Ihr Netzwerk einen Alarm generiert. Im
strengsten Sinne wäre dies eine IDS-Funktion. Die Technologie einer Firewall
beschränkt sich jedoch auf das Erkennen von Dingen, die in das Netzwerk eingehen
bzw. dieses verlassen. Sie können nicht erwarten, dass sie in der Lage ist, die
internen Inhalte jedes einzelnen Pakets zu analysieren. Selbst eine Proxy-Firewall
ist nicht dazu angelegt, die Inhalte jedes Pakets zu untersuchen; die Funktion
würde die CPU sehr stark belasten. Nichtsdestotrotz sollte eine Firewall aber integraler
Teil einer wirkungsvollen Abwehr sein, die als Hauptfunktion die Rolle eines
Torwächters (Gatekeeper) übernimmt. -
Hab mich mal ein bisschen schlau gemacht.
http://www.mitp.de/imperia/md/content/vmi/1304/3.pdf
ZitatWie Firewalls können Intrusion Detection Systems softwarebasierend
sein oder aus einer Kombination von Hard- und Software-Komponenten
(in Form von vorinstallierten und vorkonfigurierten Standalone-Systemen) bestehen.
Häufig wird die IDS-Software auf denselben Systemen oder Servern ausgeführt,
auf denen Firewalls, Proxies oder andere Peripherie-Services arbeiten. Ein
IDS, das nicht auf denselben Systemen oder Servern abläuft, auf denen eine Firewall
oder andere Dienste installiert sind, wird solche Systeme genauestens und
sorgfältig überwachen.Sieht so aus, als ob so ein System erst Sinn macht, wenn hier ein dauerhaft verfügbarer Server im System steht . Und ich vermute, dass so etwas nur vor dedizierten Angriffen schützen soll, und nicht vor Würmern etc.
Hash-Werte erstellt übrigens bereits Kerio und fragt nach, wenn eine geänderte .exe auf das Netz zugreifen will.
Ich werde die Lösung hier posten, wenn ich noch genauere Infos erhalte. Alles was ich weiss ist, dass sie dann zwei Mal pro Jahr vorbeigekommen wären um alles zu überprüfen.
/edit:
Noch ein intressanter QuoteZitatIDSs, die Netzwerk-Backbones
überwachen und nach Angriffssignaturen suchen, werden als netzwerk-basierende
IDSs (NIDSs) bezeichnet, während jene, die auf Hosts operieren und das
Betriebs- und Dateisystem auf Anzeichen von Einbrüchen überwachen und verteidigen,
als host-basierende IDSs (HIDSs) bezeichnet werden. Gruppen von IDSs, die
als Remote-Sensoren fungieren und einer zentralen Management-Station Bericht
erstatten, werden als distributed (verteilte) IDSs (DIDSs) bezeichnet.Im Router wird demzufolge wohl ein NIDS hocken.
-
Klar, aber ein böses IP-Päckchen kommt an den Router, der merkt, dass er ja keinen Plan hat, welchen der beiden PC's im Netz er nun mit dem bösen Päckchen überraschen will und schickt es in die ewigen Jagdgründe.
Firewalls sind jeweils angeschrieben mit IDS (Intrusion Detection System), SPI (Stateful Pacet Inspection) u.Ä.
Hab zwar einige Erklärungen dazu gelesen, aber ob das ohne öffentlich verfügbare Services im Netz überhaupt Sinn macht habe ich nicht begriffen./edit: oops, da ging mir doch noch eine Frage durch die Lappen. Die Firma heisst VitoData und ist der grösste Anbieter für Praxisverwaltungssoftware in der Schweiz. Haben auch Kunden wie den Spital Winterthur unter Vertrag.
-
Aber wenn er doch keine Argumente hat
Er hat mir aber erzählt, sie hätten eine ganze Abteilung, die sich mit der Problematik beschäftige, darum habe ich ihn dann gebeten, sie mögen mir doch etwas Infomaterial zukommen lassen. Mal schauen was rauskommt.
Aber dieser Laden hat mich eh schon ein paar Mal zum Kopfkratzen gebracht.
Als sie den Computer eingerichtet haben waren sie nicht fähig, auf Bitte hin die Auflösung herunterzustellen.
Ausserdem haben sie zur damaligen Analogverbindung keine Firewall installiert. Als ich dies dann gemacht habe, als ich da war hat der nächstbeste Techi, der im Haus war das Ding wieder deinstalliert
Wen wunderts also, dass dann plötzlich einmal der gute alte Blaster dem Netz einen Besuch abgestattet hat, für dessen exekution sie locker auch noch 300 Mäuse eingesteckt haben...
Nur so am Rande... -
Der Techi hat's auch probiert mit "Ich habe gemeint sie sind Informatiker!"
Aber KONKRETE Gefahrenquellen, die nicht durch ein Router (Resp. dessen NAT) bereits eliminiert werden konnte er mir nicht nennen.
Naja... Aber in Shops sind die Geräte meist getrennt nach "Router" und "Firewall/Router" von dem her ist es keine Firewall. Aber Zeugs wie URL-Filtering kann ich mir eh schenken.
-
Moin,
Die Computerbude, von der mein Vater sein System (Ein Desktop, ein Notebook, ein Switch und zwei Lankabel) im Geschäft hat, wollen ihm momentan eine Firewall andrehen (Natürlich nach Möglichkeiten mit dickem Extraservicevertrag)
Nun habe ich ihm gesagt, er solle vorerst einmal abwarten, sein Router (Zyxel irgendwas, im ADSL-Abo inklusive) schütze ihn bereits vor dem Meisten. Eine Software-Firewall ist auch noch auf den Systemen.
Heute Morgen hat mich also einer dieser Techniker angerufen und mich versucht zu überzeugen, dass dies doch Sinnvoll sei. Konkret konnte er mir aber keine Gefahren nennen (ausser dass immer Portscans im Internet aktiv seien, aber das spielt ja mit einem Router auch keine Rolle mehr, solange sie nicht geforwardet sind)
Nun Frage ich mich, was denn eigentlich der grosse Vorteil einer Firewall ist, wenn es nicht darum geht, den Benutzern im LAN gewisse Aktivitäten im Netz zu verbieten, und auch keine zum Web offenen Server im Netz stehen.
Wollen die Jungs einfach Kohle machen mit der momentanen Verunsicherung aller DAUs oder ist gibt es tatsächlich konkrete Sicherheitsrisiken ohne Firewall? -
... fragt man sich welche Praktiken mit einer Hängematte man noch nicht kennt, obwohl man bereits seit Jahren eine im Zimmer hängen hat.
/edit:
Das kann ich leider nicht selbst probieren -
... setze ich meine Fragezeichen bei der Selbsteinschätzung und der Gastfreundlichkeit gewisser "Alteingesessener".
-
Nö, bis jetzt noch nicht. Werde ich heute Abend nachholen.
-
Habe gestern Abend die Sache da Mal ein bisschen näher Analysiert.
Zwei Computer im Netz an einem Router. Bei einem funktioniert alles Problemlos, der andere hat Probleme mit der Namensauflösung im Internet. DNS-Server sind gesetzt und können angepingt werden. Wenn ich einen Ping auf google.ch starte kommt eine Meldung wie "Zielhost konnte nicht gefunden werden" o.Ä. Das komische daran ist aber, wenn ich diesen Vorgang mitsniffe, kommt der Request an sowie die Antwort vom Nameserver.
Die darin enthaltene IP kann ich anpingen oder im Browser eingeben,und das funktioniert Problemlos. Werde jetzt Mal noch einen Schuss ins Blaue wagen, ein SP2 installieren und hoffen dass damit das Problem verschwindet, aber erklären kann ich es mir nicht...
Bin Dankbar für alle Ideen. -
Bei der Freigabe bei Berechtigungen und bei Sicherheit mal "Jeder" hinzufügen.