Tiny Firewall 2.014

#1 An die Experten,
Die verwendete Firewall blockt keine NETBIOS Attacken ab.
BETBIOS is OPEN!
Durch welche Einstellung kann ich das verhindern. Im LAN wird nur TCP/IP aber kein NETBIOS verwendet. Wo ist da der Denkfehler?
Danke für die Tips im Voraus.
j

#2 Bist Du Dir da sicher, dass in deinem LAN keine Netbios verwendet wird ?
(Die Angabe , welches BS Du verwendest, wäre sehr hilfreich.)
Dann in der Konfiguration von Tiny die Unterstützung von Microsoft-Networking deaktivieren. Kommunikation der LAN-Rechner muss dann im Ruleset selbst definiert werden.
JOsch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Wer sagt dir überhaupt, dass Netbios "open" ist? Ein Online-Scan, ein lokaler Scan...?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Warum soll Tiny keine Netbios attacken abblocken es springt lediglich kein
riesen popupfenster auf wie bei Norton
Tiny soll sogar Bruteforce attacken auf Netbios erkennen
Oder hab ich was falsch verstanden?
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 Betriebssystem: Win 98
Bei der Konfiguration stehe ich ziemlich im Dunkeln. Ich verfüge über keine Hilfe.
"Unterstützung von Microsoft-Networking deaktivieren. Kommunikation der LAN-Rechner muss dann im Ruleset selbst definiert werden." Wie und wo kann man das einstellen?
Ich habe einen online-scan über www.netmedia4you.de/communication.htm vorgenommen. Sieht vertrauenswürdig aus.
FTP, Telnet, SMTP, Finger... usw. waren in Ordnung.
Nur NETBIOS ist offen wie ein Scheunentor. Bei diesem Check wurden Rechnername und Arbeitsgruppe ausgelesen!!
Könnte mein Problem mit der Datei- und Druckerfreigabe zu tun haben?
Besten Dank
j

#6 Bei Microsoft Networking lässt du Netbios einzig und allein für
die Ip´s der rechner zu die in deinen Netzwerk stehen

Ansonsten benutzt doch www.Kerio.com falls die Tiny irgendeinen Fehler
haben sollte du kannst sogar dein altes Ruleset weiter benutzten

mach den scan mal bei pcflank.com
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7

Zitat

Könnte mein Problem mit der Datei- und Druckerfreigabe zu tun haben?

definitiv ja, wenn es aktiviert es und sonst keine Einschränkungen im IP-Adressbereich, der darauf zugreifen darf, bestehen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Der Test mit pcflank führt zu ähnlichen Ergebnissen.
Ich denke mal, daß es an der Datei- und Druckerfreigabe liegt. Bei Win98 sehe ich aber keine Möglichkeiten die pauschale Freigabe einzuschränken oder kann man in der Registry evtl. IP- Adressen für den erlaubten Zugriff vorgeben??
Gruß j

#9 Dazu kannst Du die Firewall verwenden . Falls Du Dir bei der Konfiguration der Firewall
grundsätzlich unsicher bist, solltest Du zuerst ma folgende Seiten lesen:
http://www.protecus.de/Firewall_Security/ruleset.html
http://www.protecus.de/Firewall_Security/do_rules.html
http://www.protecus.de/Firewall_Security/icmp.html
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#10 Hallo,
Deine Hinweise, Joschi, waren sehr nützlich.
Ich habe die Bindung der Datei- und Druckerfreigabe nur auf noch für die Netzkarte. Der Test(pcflank) verläuft aber nach wie vor negativ.
80, 139 - offene Ports/ 137, 138 - sichtbare Ports
Browser privacy - Check: negativ/ Troj. Pferde: o.k.
Bei Bluemerlin-security.de habe ich mich schon mal etwas belesen.
Aber wie ist die Grundstrategie:
Nur TCP/IP zulassen und wie behandelt man die diversen UDP- bzw. ICMP-Protokolle? Ich möchte am liebsten alle Regeln löschen und erst einmal einige notwendige Standard-Regeln vorgeben. Wie sieht es aber aus, wenn der Datenverkehr ins Internet über einen Proxy abgewickelt wird?
Ich habe unter pcflank ein interessantes Tool gefunden ( Secure Point SIDS ), das den Datenverkehr und die Attacken protokollieren kann. Ich bin mir nur nicht im klaren, ob es nicht zu Kollisionen mit meiner Virensoftware (Kaspersky)kommt. Vielleicht erhalte ich noch weitere nützl. Hinweise.
Besten Dank.
j

#11 Erstelle mal folgende Regel und platziere sie oben in deinem Ruleset.
Protocol TCP/UDP, loacl endpoint [range] 137-139.
any Application,
Remote adress [range oder single Adress] die Adresse[n] im LAN.
Remote ports "any". Das ganz auf die Rule af "incoming" und "allow""DENY" setzen.
Desweiteren sollte keine Rule existieren, die dieser widerspricht.
Und deaktiviere das "Microsoft Networking" auf einer der Konfigurationskarten.
Die Option "Running on an internet gateway" sollte deaktiviert sein, sofern dein PC nicht wirklich für andere Rechner als Gateway dient !
Kannst auch mal ein Screenshot deiner Rules hier posten.
Hast Du noch nen webserver laufen ? oder wieseo ist Port 80 offen ?

Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#12 Sorry, ich habe lange nichts von mir hören lassen!
Das Problem besteht noch.
Mein Rechner fungiert als Proxy. Zumindesten habe ich bei mir einen gemeinsamen Internetzugang über die Serversoftware Sambar 5.1 eingerichtet. Vorsichtshalber habe ich nur für einen 2. Rechner den Zugang ins Internet eingerichtet, weil mir das mit dem NETBIOS nicht geheuer war.
Joschi, ich habe Deine Filterregel editiert und man kann jetzt nicht mehr die Rechner-, User- und Arbeitsgruppennamen auslesen.
Allerdings sind die
Port 135 RPC (Remote Control Protocol) und
Port 139 NETBIOS noch offen!!
Langsam dämmert es bei mir. Die Datei- und Druckerfreigabe ist nach wie vor aktiv.
Fazit: Der Proxy darf also für die Datei- und Druckerfreigabe gar nicht eingerichtet werden!?
Ich würde Dir ganz gerne mal meine Filterregeln zur Begutachtung schicken, aber wo kann ich in dieser Mail eine Datei anhängen?
Ich hoffe, daß sich meine bescheidenen Kenntnisse durch euren Expertenrat etwas erweitern.
Deshalb besten Dank im Voraus.
jomed

#13 Meine E-mailadresse findest Du in meinem Profil, brauchst nur meinen Namen hier zu klicken.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 Die Regel habe ich auf Deny gesetzt und siehe da über Port 137...139 Netbios ist alles dicht. Beim Portcheck wird noch Port 80 HTTP angemeckert. Aber dieser Zugang muß doch offen sein (I-Explorer!!), oder??
Aber erst einmal besten Dank auch hinsichtlich "Gozilla". Werde ich gleich ändern.
Beste Grüße
j

#15 alles andere häte mich auch gewundert.....
nochmals pardon, sorry, entschuldigung. war etwas unachtsam. Habe den Post vom 21.11 korrigiert.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen