warum Ports einschränken?

#0
21.07.2003, 13:10
...neu hier

Beiträge: 7
#1 Moin,

kann mir mal bitte jemand erklären, warum ich bei der Erstellung der Regeln für eine Firewall nur möglichst wenige Ports freigeben soll, wenn ich doch gleichzeitig ein spezielles (Empfänger)-Programm auswähle!?

Ein Programm benutzt doch irgendwelche Ports. Also bei FTP etwa 20 und 21. Ich "traue" diesem Programm - nur deswegen lasse ich es Kontakt mit der bösen weiten Welt aufnehmen. Verkehr auf anderen Ports wird mein FTP-Programm (oder was auch immer) nicht beachten. (oder sehe ich das falsch?)

So. Wenn ich diesem Prorgamm nun aber traue, warum soll ich es mir dann nicht einfach machen und bei Ports "any" zulassen?
Und selbst, wenn ich dem Programm fälschlicherweise traue - was sollte dessen Programmierer davon abhalten, für die "bösen" Verbindungen die selben Port-Nummern zu verwenden, die auch für die "guten" Verbindungen benutzt werden - eine ganze Arbeit also auszuhebeln?

Mache ich einen Denkfehler?
dede
Seitenanfang Seitenende
21.07.2003, 15:08
Member
Avatar Ajax

Beiträge: 890
#2 Du könntest so weitergrübeln und dich fragen,wozu brauche ich eigentlich meine Firewall?Brauche ich sie denn auch wirklich?
Nun wenn mann sich schon für den Einsatz einer Firewall entschieden hat(aus welche Gründe auch immer),dann ist es üblich,soweit wie möglich die Regeln je restriktiver zu setzen.
Wie restriktiv diese Regel ausfallen hängt vom Geschmack und Wissen des Einzelnen ab.
Als ich noch eine PFW benutzte hatte ich z.B. kein ICMP zugelassen.
Zumindest theoretisch hätte es zu einem Exploit ausgenutzt werden können.Heute kann ich darüber nur lächeln ;) UDP:53(DNS) nicht pauschal freigeben sondern nur die verwndeten DNS-Server zulassen(und nur für Programme die es wirklich brauchen)wäre ein anderes Beispiel das durchaus Sinn machen könnte.
Grundsätzlich hast Du mit deinem FTP Progy recht.Die Einschränkung der verwendeten Ports ist in diesem Falle bloß zusätzliche Sicherheit gegen eher theoretische Gefahren ;)

Gruß
Ajax
Seitenanfang Seitenende
21.07.2003, 16:10
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo Ajax,
genau um diese "theoretische Gefahren" geht es mir.
Sobald ich diese erkenne, bin ich gerne bereit, Aufwand und möglichen Schaden gegeneinander abzuwägen.

Aber nur weil etwas üblich ist, quäle ich mich nicht mit Port-Friemelein rum....und gebe sogar meinem Esel ganz unbekümmert die volle Port-Range.

btw: was macht denn ZoneAlarm?
Da konnte ich für jedes Programm nur "darf" oder "darf nicht" einstellen. Sowas klappt m.E. nur, wenn sich Port-Freigaben über die gesamte Range erstrecken.

nicht überzeugt,
Dede


PS: ich sehe es nicht so, das ich irgendwann zu dem Schluß kommen könnte, die Firewall nur aus rein philosophischen Gründen zu brauchen ;)
Zweck ist u.A. die Abschottung von Diensten, die ich zwar im LAN, nicht aber im WAN haben will (z.B. RPC/net send). Primär geht es mir aber um die andere Richtung: welches Programm wann ins Internet will - und ob ich das auch will.
Seitenanfang Seitenende
21.07.2003, 22:22
Member

Beiträge: 813
#4 Im Grunde ist die Port-Einschränkung in den meisten Fällen tatsächlich ein wenig übertrieben. Zumindest theoretisch ist es "gut programmierter" Malware immer möglich, selbst sehr restriktive Port-Einschränkungen irgendwie auszunutzen.
Anders sieht es logischerweise bei Remote-IPs aus (vgl. Ajax' DNS-Beispiel, oder auch Mail-Clients, die sich nur mit dem jeweiligen Mail-Server verbinden müssen.)

Man muss aber bedenken, dass die meiste Malware "schlecht" programmiert ist, so dass auch einfache Port-Beschränkungen manche Schädlinge "enttarnen" können.
Z.B. gibt es einen recht netten Keylogger, der sich in den Browser-Prozess 'injiziert', um über den Browser Mails (mit den Logs) zu verschicken. Da dies über Port 25 läuft, wird eine PFW, die dem Browser nur Port 80 erlaubt, den Mail-Versand melden und ggf. unterbinden (ZoneAlarm free meldet demnach nix... ;) )
Solche injizierenden, aber dennoch manchmal inkonsequent programmierten Trojaner werden immer häufiger...

Von daher kann ein möglichst restriktives Ruleset im Einzelfall durchaus helfen... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 21.07.2003 um 22:24 Uhr von forge77 editiert.
Seitenanfang Seitenende
21.07.2003, 22:50
Member
Avatar Ajax

Beiträge: 890
#5 @dede67

Nun eine theoretische Gefahr wäre z.B. eine noch nicht entdeckte Sicherheitslücke in einer Software die Du verwendest oder eine eher unwahrscheinliche Angriffsmöglichkeit die aber sowohl theoretisch als auch praktisch möglich wäre.
Mit üblich meinte ich,im Sinne von mögliche Gefahren soweit wie möglich zu vermeiden.
Mit einem restriktiven Ruleset versucht mann mögliche Gefahren einzudämmen.
Die Einschätzung einer Gefahr sowie das Ruleset selber bestimmt der User selbst,soweit die Konfigurationsmöglichkeiten seiner Firewall es zulassen.
Manche PFW-Hersteller sind der Meinung daß eine Anwendung die ins I-Net darf,vom User als vertrauenswürdig eingestuft wird und daher eine restriktive Porteinstellung keinen Sinn macht.
Richtig,"sowas klappt nur wenn sich Port-Freigaben über die ganze Range erstrecken".
Andere Hersteller sehen das anders und ermöglichen demzufolge eine restriktivere Regelerstellung.So wie die Hersteller haben auch die User ihre eigene Vorstellungen(oder auch nicht).Sie wählen demnach die ihnen passende Firewall aus und konfigurieren sie nach ihre eigene Vorstellungen.
Der Einsatz einer PFW kann aus verschiedene Gründe erfolgen,mal abgesehen von philosophischen ;)
Ob alle sogenannte Gründe auch wirklich immer in der Tat auch begründet sind und ob die PFW auch alles hält was sie verspricht ist eine andere Sache ;)

Gruß
Ajax
Seitenanfang Seitenende
22.07.2003, 09:10
...neu hier

Themenstarter

Beiträge: 7
#6 Moin,
Erfolg! Ich sehe jetzt ein, das es in (seltenen) Einzelfällen durchaus Sinn machen kann, die Ports im Ruleset einzuschränken. Und zwar genau dann, wenn es sich um ein sehr populäres Programm handelt (nur die sind für die Bösen die Mühe wert) und es ausserdem im Normalbetrieb sehr wenige Port-Nummern verwendet (was also etwa den eDonkey ausschließt). Und vielleicht noch bei "Multi-Funktions-Programmen", bei denen man einige Funktionen abklemmen will (z.B. svchost.exe - auch wenn's da nicht wirklich Port-Nummern sind).

Jedenfalls werde ich mich dementsprechend nur in Einzelfällen mit Port-Nummern beschäftigen. Über zwei Jahre lang bin ich gut mit ZoneAlarm gefahren. Habe nur gewechselt, weil ZA nach spätestens 48h Online-Zeit im Donkey bei 80% CPU-Last auf diesem fiesen vsmon.exe (Komponente von ZA) angekommen war. Mit Kerio läuft die Kiste sozusagen im Idle durch ;)


@forge77: mit Keylogger meinst du doch das, was AdAware findet !?

Eure Begründungen für restriktive Rulesets laufen immer auf den Schutz vor diesen Keyloggern (oder wie man sie auch immer nennen will) hinaus. Ein Angriff von aussen wird nicht Thema.....erscheint mir wegen der üblichen Upload-Bandbreiten auch wenig interessant für Eindringlinge.
Wie kommen die Mistdinger eigentlich ins System (bei ausschließlicher Verwendung von Netscape 7 als Browser) ?

dede
Seitenanfang Seitenende
22.07.2003, 21:54
Member

Beiträge: 813
#7

Zitat

mit Keylogger meinst du doch das, was AdAware findet !?
Nicht unbedingt... AdAware mag zwar auch ein paar Keylogger finden (das sind Trojaner, die die Keyboard-Eingaben aufzeichnen und an ihren "Meister" schicken), aber i.d.R. muss da schon ein vernünftiger Viren- oder Trojanerscanner her... ;)
Der Keylogger war aber nur ein Beispiel - grundsätzlich kann es alle Malware-Arten betreffen, die eine andere 'erlaubte' Anwendung benutzen, um sich mit dem Internet zu verbinden.

Zitat

Ein Angriff von aussen wird nicht Thema...
Grundsätzlich könnten PFWs auch über eingehende Verbindungen getunnelt werden, so dass in dieser Richtung im Prinzip das gleiche gilt (sprich: eingehende Verbindungen auch nur für den/die benötigten Port(s) zulassen.)
Allerdings sind eingehende Verbindungen sehr selten bei Home-Usern, so dass Schädlinge, die das ausnutzen, noch nicht aufgetaucht sind...

Zitat

Wie kommen die Mistdinger eigentlich ins System (bei ausschließlicher Verwendung von Netscape 7 als Browser) ?
Och, da gibt's so einige theoretische Möglichkeiten: Surfen, Mail, ICQ, File-Sharing,... aber auch z.B. über eine "unsichere" Datei- und Druckerfreigabe (Netbios).
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: