Firewall

Dieses Thema im Forum "Kneipe" wurde erstellt von Pascal12, 24 Dezember 2005.

  1. Pascal12

    Pascal12 ______

    Beiträge:
    2.200
    Likes:
    2
    Ich bin gerade am überlegen mir ne neue Firewall zu holen.
    Die Frage die sich mir jetzt stellt ist: Welche Firewall? :zwinker:

    Könnt ihr mir irgendeinen Empfehlen?
    Welche Firewall verwendet ihr?
     
  2. Anzeige für Gäste


    um diese Anzeige auszublenden!.
  3. Ilai

    Ilai Well-Known Member

    Beiträge:
    1.362
    Likes:
    1
    Für die Firewalls gibt es da einen schönen Vergleich:

    Man stelle sich eien 8-spurige Autbahn vor - das ist die Netzwerkverbindung zum PC.

    Dann stelle man sich vor, über die 4. und 5. Überholspur sei eine Kreidelinie gezogen, an der unten dran steht: bitte nicht die Linie übertreten - das ist der Paketfilter - auch fälschlicherweise gerne als Firewall bezeichnet (reine Verarschung des MArketings) .

    Die einzig sinnvolle Variante wäre, die Autobahn in diesem Beispiel abzubauen.

    Dabei kann man auf http://dingens.org ein kleines Open Source Tool runter laden, welches die meisten der unnötigen Dienste im Windoes deaktiviert, und damit das Sicherheitsrisiko bereits erheblich reduziert.

    Pflichtlektüre zum Thema 'Personal Firewalls' (wohlgemerkt: Personal Firewall sind etwas_völlig_anderes als Firewalls! - das Zeug a la Zonealarm und Konsorten sind alle Personal Firewalls, oder fachlich korrekt Paketfilter) ist:

    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

    so wie weiterhin sehr genaue Kenntnis von Netzwerken und Protokollen.

    Die sogenannten 'Angriffe' die diese 'Personal Firewall's melden, sind zu 99.999% normaler, üblicher Netzwerktraffic, udn dienen lediglic hdem Selbstzweck der Verkäufer der Presonal Firewalls selber: zu beweisen, wie wichtig es ist, sie installiert zu haben, udn unter den Usern Panik zu verbreiten.

    BTW: sehr viele Rechenr sind überhaupt deswegen erst angreifbar, weil so eine Personal Firewall instaliert ist.

    Reine Augenwischerei - ein anständig konfiguriertes System ist um Welten sinnvoller.
     
  4. Tiger

    Tiger Lunc

    Beiträge:
    85
    Likes:
    0

    Wie konfiguriert man ein System das es anständig ist?


    Gruss Tiger
     
  5. Pascal12

    Pascal12 ______

    Beiträge:
    2.200
    Likes:
    2
    Ich hab mir das Tool jetzt mal gezogen. Da kommt jetzt so ne Meldung,dass es besser is n Router zu haben anstatt alle Dienste zu deaktivier,weil der den recher "abschirmt". Also ich hab n Router die Frage is jetzt wie stell ich das an, dass der meinen rechner abschirmt ?

    @Ilai
    also hälst du Personal Firewall komplett für unnötig?

    ansonsten hät ich noch die gleiche Frage wie Tiger: Wie konfigurier ich ein System richtig?bzw. woher weiß ich ob ichs richtig konfiguriert hab ?
     
  6. Ilai

    Ilai Well-Known Member

    Beiträge:
    1.362
    Likes:
    1
    Nein, für komplett unnötig nicht, es gibt durchaus Fälle, wo man sie sinnvoll einsetzen kann. Aber zur Absicherung eines verbuggten und offfenen Systems sind sie einfach weder konzipiert, noch geeignet.

    Und in etwa 99% der Fälle, in denen sie eingesetzt werden, schaden sie nur, ohne irgend einen Vorteil zu bringen.

    Zu den Grundlagen:
    Ein Rechner hat 65535 TCP Ports, und genau so viele UDP Ports, auf denen er kontaktiert werden kann.
    Das an sich ist völlig harmlos, aber genau an der Stelle setzt der Paketfilter (aka Personal Firewall) ein, und sperrt den Zugang zu den Ports selber - daher auch Portfilter genannt.

    Ein Rechner lässt sich aber grundsätzlich nur über diejenigen Ports angreifen, welche 'offen' sind. Das sind zum einen die Ports, die von Verbindungen herrühren, welche vom Rechner selber heraus geöffnet wurden.
    Diese Verbindungen wie z.B. ICQ, FTP, HTTP, IMAP, POP, ... usw. lassen sich nur von dem Server aus ausnutzen, den man selber kontaktiert hat, und auch dann nur, wenn das Programm, welches man dafür einsetzt, Sicherheitslücken hat.
    Davor kann dich eine Personal Firewall sowieso nicht schützen, denn du musst den Zugriff deines Rechners auf den Server ja ohnehin manuel initiiieren.
    Würdest du dem Server nicht vertrauen, würdest du ihn gar nicht erst kontaktieren.
    Sollte eine derartige Sicherheitslücke ausgenutzt werden, dann hat der angreifer genau die selben Rechte auf dem Rechner wie derjenige, der das Programm ausführt. Ist das ein Nutzer mit Administratorrechten unter Windoes, kann der Angreifer alles mit dem Rechenr machen, was immer er will.
    Hätte man so einfach mit einem normalen User Account verhindern können.

    Zum anderen sind das diejenigen Ports auf deinem Rechner, an denen Serverdienste aktiv sind. An statt nun die Ports per Server zu öffnen, und dann per Portfilter wieder zu schliessen, ist die einzig sinnvolle Variante nun mal einfach, die Serverdienste abzuschalten, und den Port damit zu schliessen.
    Ein Port, an dem kein Serverdienst läuft, ist nicht angreifbar.
    Genau bei diesen Ports bzw. den Diensten, die zur Öffnung dieser Ports führen, können mit dem Tool abgestellt werden.
    Kann man auch von Hand machen, wenn einem das lieber ist.
    Die Serverdienste laufen übrigens fast immer mit den Privilegien eines Administrators. Ein Exploiten dieser Dienste iermöglicht damit dem Angreifer so ziemlich alles mit dem Rechner anstellen zu können, was ein Benutzer der Administratoren Gruppe direkt am Rechner auch kann und darf.

    Die Wirkungsweise eines Routers ist generell erst mal, zwei unterschiedliche Netzbereiche bidirektional miteinander zu verbinden. Das alleine bringt erst mal noch keinerlei Erhöhung der Sicherheit eines Rechners, sondern erst in Verbindung mit einem Subnetz aus dem Privaten Adressbereich (gemäß RFC1918) und einer NAT funktionalität (Network Adress Translation).

    Dabei werden Verbindungsanfragen vom Rechenr in das Netz hinter dem Router (aus dem Standpunkt des Rechners aus gesehen) vom Router in eine Verbindung vom Router aus zum selben Ziel übersetzt, und die Verbindungsdaten gespeichert. Die Antwort wird an Hand der Verbindungsdaten erkannt, und entsprechend zurück übersetzt (Siehe Grafik).
    [​IMG]
    Eine Verbindung, die von ausserhalb an den Router gerichtet ist - nur der Router ist über das INet erreichbar - kann vom Router keiner Verbindung von deinem Rechner aus zugeordnet werden, udn wird daher verworfen.
    Es können also nur Rechner mit deinem Rechenr kommunizieren, welche du selber kontaktiert hast. Damit wären wir ebenfalls wieder bei dem Punkt von oben, bei dem dir dein Paketfilter nicht helfen kann.

    Manche Router bieten noch eine Portforwarding Funktion an. Damit kann man ein riesiges Loch in den NAT Routing Schutz reisen, und man sollte das nur aktivieren und verwenden, wenn man_sehr_genau_weiß, was man da tut.
     

    Anhänge:

  7. Tiger

    Tiger Lunc

    Beiträge:
    85
    Likes:
    0
    Also das Sicherste ist dann einfach einen Benutzer Acc verwenden ohne Adminrechte und die Dienste ausschalten. :fress:

    Schönes Fachwissen. :top:
     
  8. Ilai

    Ilai Well-Known Member

    Beiträge:
    1.362
    Likes:
    1
    Richtig. Ohne die Dienste ist der Dechner von einem Remote nach Local Connect nicht exploitable (Verbindung kann nicht aufgebaut werden, weil sie vom System sofort resettet wird).
    Und ohne Admin Rechte kann bei einem Local to Remote Connect nur der geringstmögliche Schaden angerichtet werden. Das kann immer noch fatal sein, also trotzdem nicht unterschätzen, aber solche Dinge wie Backdoors installieren und vor'm System verstecken oder Rootkits in's System einzubringen, ist damit nicht möglich.
    Auch sehr viele der aktuellen Würmer lassen sich damit nicht mehr 'von Hand' über Exploit der OSI Layer 8 :lach: in's System einbringen.

    Ein ganz wichtiger Punkt ist natürlich, die aktuellen Patches für System und sonstige Software einzuspielen.

    'ne gute Quelle für Vulnerabilities ist z.B. Bugtraq (Mailingliste, zu finden unter http://www.securityfocus.com/)

    Viele externe Seiten bieten die Möglichkeit an, den eigenen Rechner nach offenen Ports scannen zu lassen. Da kann man dann sehen, was alles offen ist.
    Man sollte sich allerdings nicht darauf verlassen, dass wenn die nichts finden, alles in bester Ordnugn ist.
    Aber wenn sie etwas finden weiß man, dass noch Arbeit auf einen wartet.
     
  9. Tiger

    Tiger Lunc

    Beiträge:
    85
    Likes:
    0
    OSI Layer 8? :eek:0:

    Hab das prog was die Dienste abschaltet mal gezoggen. Bin mal gespannt welche Dienste es noch abschaltet, hab nämlich ein paar von Hand deaktiviert.


    Gruss Tiger
     
  10. Pascal12

    Pascal12 ______

    Beiträge:
    2.200
    Likes:
    2
    So hab mich jetzt mal mit meinem Router beschäftigt...

    Noch eine Frage zu dem NAT´, also im Benutzerhandbuch steht überall was von "wenn NAT aktiviert ist" allerdings steht nirgendwo wie man das aktiviert :0o: .

    Aber das NAT muss ich schon beim Router aktiviern?

    Edit: handelt sich dabei um SMC7004VBR V2
     
  11. Ilai

    Ilai Well-Known Member

    Beiträge:
    1.362
    Likes:
    1
    Also wie man das bei speziell diesem Router aktiviert, kann ich dir so auf die Schnelle nicht sagen, aber wenn du beim Rechner selber 'ne IP aus dem 192.168.0.0/16 Netzblock verwendest, muss es aktiv sein, sonst kann (darf!) es nicht funktionieren.
    An sich sollte es bereits aktiv sein.

    Zum Prüfen der IP gibst du beim Start unter Ausfüren
    Code:
    cmd
    ein, und in das Konsolenfenster schreibst du dann:
    Code:
     ipconfig /all 
    Dan nwerden für alle Netzwerk Interfaces u.A. die aktuell verwendeten IPs angezeig.
     
  12. Pascal12

    Pascal12 ______

    Beiträge:
    2.200
    Likes:
    2
    Ok danke dann is es wohl aktiviert :)
     
  13. CannonFodder

    CannonFodder FEAR U21

    Beiträge:
    25
    Likes:
    0
    Also vereinfachend und kurzgefasst würde ich mal Unterteilen:

    Desktop-Firewall zB Zonealarm:
    Schutz des PC`s von aussen & Schutz der Verbindungen nach aussen
    (zB Programme die "nach Hause" telefonieren. Angenommen Du nutzt ein gecracktes Programm, so kann (muss nicht) der verbindungsaufbau von der DesktopFirewall abgefangen werden)

    Hardware-Firewall:
    Externe Box, die den Zugriff von aussen eindämmt. Reine Firewalls sind ziemlich nutzlos geworden, wie hier schon gesagt, kann man mit einem Router, oder einer Firewall wie sie bei XP-SP2 dabei ist, dass gleiche erreichen.

    Hardware-Firewalls & Antivirus:
    Hier wird schädliche Software schon beim eintreffen abgefangen. Einfachste Ausführungen für Homeuser ist zB der Gatelock X200 von Trendmicro.

    Hardware-Firewalls & Antivirus & Internet Applicance, Proxi etc
    Gleiches wie vorher, nur kann man den Datenstrom genauer Analsysieren und konfigurieren, auch den Datenstrom von innen nach aussen. Hier gibts leider keine günstige und einfache "Home-User" Lösung mehr, wird im Business Umfeld eingesetzt.

    Allgemein zu Firewall+AV+Proxi Lösungen

    Firewalls sind im grösseren Rahmen richtige Computer in einer Box - oder auch als "Programm" oder auch als eigenes Betriebssystem - auf einem normalen PC.

    In Zeiten der OpenSource Bewegung gibt es natürlich auch schon einige Programme, die sich auch auf älteren PC`s installieren lassen, und die Funktionalität erfüllen - würde ich aber nur bastlern empfehlen (die auch den notwendigen security-skill haben)

    Denke mal mal dass gibt auch einem laien eine gewisse übersicht ^^