Kerio richtig vor Hacker-Anfragen konfigurien

#1 Hallo!

Ich habe die Kerio 2.1.5 und möchte sie natürlich entsprechend sicher konfigurieren!

Nun, dies ist ja nun mal gar nicht so einfach! Bei meinen Recherchen bin ich, wie konnte es auch anders sein, auf das Thema „closed“ und „stealth“ gestoßen.

Ports auf "stealth" oder "close"?

http://www.rokop-security.de/main/article.php?sid=15

Da schneiden sich nun mal die Geister dran.

Was leistet ein gutes Firewallsystem

http://firewallinfo.de/index.php?option=displaypage&Itemid=354&op=page&SubMenu=

Ich wies ja nun wirklich nicht wer da recht hat, ich möchte zumindest meinen Rechner so konfiguriert haben das er auf Anfragen mit „closed“ antwortet.

Kann ich Kerio so konfigurieren das auf Anfragen immer mit „closed“ geantwortet wird und vor allem wie?

Rokop-Security haben da wohl recht wenn sie schreiben:
Entscheidend ist nicht ob der Rechner sich "totstellt" sondern vielmehr wie die Firewall auf Anfragen reagiert. Gut getarnt heißt: Der Rechner unterscheidet sich in seinem Verhalten nicht durch ungeschüzten Rechner.

Aber wie bekomme ich das alles richtig konfiguriert mit ICMP, Echo Reply usw. das mein Rechner genauso antwortet als wenn eben keine Personal-Firewall installiert ist und der Angreifer davon zieht.

Ich danke mal das der Angreifer doch nur vom „Stealth“-Modus provoziert wird und mir zeigen will wie leicht er doch meine Firewall ausknipst.

Hat hier einer eine genaue Anleitung oder einen Link?

Danke!

#2 Hallo PCFreak,

Als erste würde ich die Kerio deinstallieren und dann eine dichte Firewall installieren. Ganz ernsthaft, die Kerio schützt nicht wirklich. Heute Nachmittag hatte ich z.B. Besuch von irgendeinem Hacker, der nicht nur meine Windows-System-Konfiguration kaputt gemacht hat (d.h. irgendetwas in meine Registry geschrieben hat, so dass Windows nicht mehr starten konnte, sondern meine Conf-Datei vollständig mit Semikolons überschrieben hat. Dies war möglich, obwohl in unter Windows sämtliche Ressourcen-Freigaben gestoppt und einen Haufen Regeln definiert habe, die selbstverständlich auch die richtige Reihenfolge hatten (und auch Test wie PC Flank, die Konfiguration als sicher eingestuft haben).

Fröhliches Bellen
SoccerDog

#3 @SoccerDog

Äh, dir ist aber schon klar, dass eine Firewall dich nicht daran hindert, Viren/Würmer oder Trojaner zu installieren?
Genau das hast du aber wahrscheinlich (unwissentlich) gemacht...

Schon mal nach Viren gescannt?

Eine richtig konfigurierte Kerio ist _von außen_ jedenfalls nicht so einfach zu überwinden...

BTW: mich würde interessieren, welche Auswirkungen die Überschreibung der conf-Datei bei dir hatte... gab es einen Fehlermeldung von Kerio? Waren die Regeln alle einfach weg? Wurden die default-Regeln wieder geladen?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Heh das is cool hier besonders der Post von SoccerDog ist amüsant
Der arme Mensch den du als Hacker bezeichnest hat jetz bestimmt ein ganz schlechtes gewissen Hmm aber naja wenn man seine Tür offen stehen läßt ist es schonmal kein Einbruch
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Ich glaub nicht, das es möglich ist Kerio so einzustellen, dass die Ports closed sind.
Ich glaub die Tiny Firewall ab Version 3 bietet diese Einstellung. Bin mir aber nicht sicher.


Sämtlich Kommentare zu SoccerDog versuche ich mir mit Gewalt zu verkneifen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#6 @Forge77,

> Äh, dir ist aber schon klar, dass eine Firewall dich nicht daran hindert,
> Viren/Würmer oder Trojaner zu installieren?
> Genau das hast du aber wahrscheinlich (unwissentlich) gemacht...

Nein, ich habe keine Viren oder Trojaner (auch nicht unwissentlich installiert). Das habe ich natürlich als erstes überprüft. Ich habe aber in den letzten Tagen überhaupt keine Programme installiert und ich gehe mal davon aus, dass McAfee, Trojan Remover sowie Adaware und Spybot einen Trojaner gefunden hätten. Auch meine Sicherheitsupdates sind aktuell. Ich wüsste auch nicht wo ein Trojaner herkommen sollte.

> Eine richtig konfigurierte Kerio ist _von außen_ jedenfalls nicht so einfach zu überwinden...

Habe ich behauptet, das es einfach war? Ich setze die Kerio noch nicht lange ein und eigentlich auch nur testweise. Du kannst mir aber glauben, dass ich mittlerweile weiß, wie man Firewall-Regeln in Kerio schreibt und ordnet. Und was soll das für ein Virus oder Trojaner sein, der ausgerechnet die Firewall-Regeln mit Semikolons überschreibt? Ich weiß ja nicht, welche Manipulationen an der Registry vorgenommen wurde, nach dem Absturz startete Windows erstmal überhaupt nicht mehr, d.h. blieb nach ca. 20 Sekunden hängen.

Ich habe vorher mit McAfee, Sygate, ZoneAlarm und Outpost herunexperimentiert. ZoneAlarm lässt sich relativ leicht von draußen deaktivieren, aber weder bei McAfee noch bei Sygate hat es jemand geschafft, auf meinen Rechner zu kommen. Mit der Kerio (sowohl 2.15 als auch 4 ist es immer wieder zu Vorfällen gekommen, i.d.R. aber bisher nur zu Abstürzen.

Es ist auch schon seltsam, wenn man eine bestimmte IP-Adresse sperrt und Peerguardian einen Zugriff dieser Adresse aufzeichnet, im Kerio-Protokoll aber nichts zu finden ist, selbst dann nicht, wenn die Adresse hinter den Regeln für das System an erster Stelle steht und eindeutig ist. Von sicher würde ich deshalb bei der Kerio wirklich nicht reden. Ach ja, bevor der Einwand wieder kommt, sämtliche Microsoft Ressourcenfreigaben und unnötige Netzwerkdienste waren deaktiviert.

Ich habe nur geeselt und dabei 1 (!) Datei und zwar die Folge einer Fernsehserie (kein Film, Programm oder Musik) herunterlgeladen (es waren auch keine anderen Dateien freigegeben außer ein paar über 50 Jahre alte Cartoons für die das Copyright eigentlich abgelaufen sein sollte). Falls es jemanden interessiert, ich habe auch keine neuen Dateien in den letzten Tagen heruntergeladen.

Da ich nicht am Rechner war, als es passiert ist, lief außer dem Esel, Mcafee, Peerguardian und einem Spamfilter absolut nichts, rein garnichts. Keine anderen Programme waren aktiv, auch kein Browser oder E-Mail-Programm.

Die Liste von Peerguardian war aktuell und auch im Muli importiert. Meine Kerio Regelliste war recht umfangreich und umfasste neben installierten Programmen auch Ports und bestimmte IP-Adressen, etc. Der Angriff kam eindeutig von Draußen.

@Spunki,

> Sämtlich Kommentare zu SoccerDog versuche ich mir mit Gewalt zu verkneifen.

Warum? Vielleicht kann ich Unwissender noch etwas von dir lernen.

Im Grunde sollten bei der Kerio (wie jede anderen Firewall) keine Ports offen sein, die nicht durch irgendwelche Programme freigegeben sind, d.h. der Theorie nach darf eine Kommunikation nur über die entsprechenden Programme stattfinden für die die Ports freigegeben sind.

@Xeper,

Ach, welche Tür habe ich denn deiner Meinung nach offen gelassen?

Fröhliches Bellen
SoccerDog

#7 Hehe naja das war mehr ironisch gemeint aber vielleicht ists ja nicht ganz rüber gekommen - aber ich bitte dich verlang nicht soviel von Windows

btw.: der post ist mir viel zu lang
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 @pcfreak

Wenn ich mich noch recht erinnere werden bei der Option "Is Running on Internet Gateway" alle Anfragen mit closed beantwortet.(Da ich mir aber nicht mehr ganz sicher bin,mußt Du es halt ausprobieren) Eine direkte Option dafür gibt es leider nicht.

@SoccerDog

Nun daß sich Spunki sämtliche Kommentare bei dieser Darstellung lieber verkneift,kann ich verstehen.
Also der Besuch eines Hackers läßt schon mal aufhorchen
Den gefürchteten Hacker hat es diesmal aus Langweile auf einen NoName PC verschlagen.
Er verschafft sich auf geheimnisvolle Wege Zugang zu einen unbekannten Rechner um sein Unwesen zu treiben.Als er schließlich entdeckt daß ein paar alte Cartoons die ganze Mühe nicht Wert waren,überschreibt er (man könnte sich die naive Frage stellen warum gerade die confg. der FW geschändet wurde da der Zugang zum Rechner ohnehin schon frei war) aus Rache die confg. der FW mit Semikolons.Die hinterlassene Spur soll doch wenigstens den Unbekannten in Furcht und Bange versetzen.
--------------
Nun die wahrscheinlichste Möglichkeit eines Schädlings schließt Du aus.
Da bleiben noch 2 weitere Möglichkeiten offen.
Offene Freigabe die als Ursache eine schlechte Konfiguration hat(eine Anwendung oder die FW selbst).
Da Du dies auch ausschließt bleibt noch eine einzige Möglichkeit.
Ein Sicherheitsloch in der eingesetzten Software das ausgenutzt wurde.
Was es bei dir genau war kann ich dir auch nicht sagen,aber eines steht fest.Hacker bedienen sich keiner schwarzen Magie und einen Port verläßlich von außen zu blocken kann auch die KPF

Gruß
Ajax

#9

Zitat

Und was soll das für ein Virus oder Trojaner sein, der ausgerechnet die Firewall-Regeln mit Semikolons überschreibt?

Keine Ahnung, aber es ist ja nun nix neues, dass aktuelle Malware oft versucht, Schutzprogramme wie Virenscanner und Firewalls zu deaktivieren.
Eine gezielte Manipulation des Firewall-Konfig wie bei dir liegt da eigentlich recht nahe... allerdings kenne ich wie gesagt bisher noch keine Malware, die sowas macht (würde mich aber ernsthaft interessieren... )
Wie hat Kerio auf diese Konfig-Verhunzung reagiert?

Zitat

ZoneAlarm lässt sich relativ leicht von draußen deaktivieren, aber weder bei McAfee noch bei Sygate hat es jemand geschafft, auf meinen Rechner zu kommen.

Was bewegt dich zu deiner ersten Aussage?
Zur zweiten: glaub mir, es lag sicher nicht daran, dass du _ausgerechnet_ diese beiden PFWs installiert hattest, sondern daran, dass "echte Hacker-Angriffe von draußen" auf einen Home-Rechner praktisch nicht vorkommen...

Zitat

Es ist auch schon seltsam, wenn man eine bestimmte IP-Adresse sperrt und Peerguardian einen Zugriff dieser Adresse aufzeichnet, im Kerio-Protokoll aber nichts zu finden ist, selbst dann nicht, wenn die Adresse hinter den Regeln für das System an erster Stelle steht und eindeutig ist.

Wenn ich Peerguardian richtig verstehe, ist es eine Art "Peer2Peer-Firewall" für spezielle 'gefährliche' Adressen, die deren Zugriffe abblockt. Das hieße, sie macht praktisch das gleiche wie Kerio (bzw. andere PFWs.)
Wenn nun also Peerguardian Zugriffsversuche bemerkt und abblockt, ist es doch völlig normal und logisch, dass Kerio nix mehr davon mitkriegt - sonst hätte Peerguardian versagt!
Außerdem sind bei so einer Kombination irgendwelche Software-Konflikte nicht ausgeschlossen (die primär nix mit der Qualität der Software zu tun haben.)

Zitat

Ich habe nur geeselt

Dir ist bewusst, dass eMule in letzter Zeit mehrere Sicherheitslücken hatte, die zu einem "hack" des Systems führen konnten? Wenn der Esel "freigegeben" ist, kann daran auch eine Firewall nix ändern... wenn's wirklich kein Virus/Trojaner war, könnte es also der verwundbare Esel gewesen sein...

Zitat

Im Grunde sollten bei der Kerio (wie jede anderen Firewall) keine Ports offen sein, die nicht durch irgendwelche Programme freigegeben sind, d.h. der Theorie nach darf eine Kommunikation nur über die entsprechenden Programme stattfinden für die die Ports freigegeben sind.

Ja, so ungefähr. Und?
Kerio gilt in dieser Hinsicht als sehr zuverlässig, wogegen bei manch anderer PFWs aufgrund undurchsichtiger Konfig eher mal was 'offen' bleiben kann...

Zitat

Wenn ich mich noch recht erinnere werden bei der Option "Is Running on Internet Gateway" alle Anfragen mit closed beantwortet.

AFAIK werden mit dieser Option nur unangeforderte ACK-Pakete mit "closed" beantwortet, da ansonsten jeglicher NAT-Verkehr der Clients blockiert werden würde... also leider keine Lösung für das Stealth/Closed-Problem...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Nunja Ajax hat scho genau das gesagt was es da zusagen gibt.

"Hacker bedienen sich keiner schwarzen Magie" <-- bor ja das gefällt mir gut warscheinlich tuen sie das nicht oder sie tuen das nicht-wissend(unwissend), haaha

@pcfreak

mir würde es ja gar nicht darum gehn das der Rechner sich tot stellt und ein Hacker evntl. (was für ein Hacker?) sich profoziert fühlt. Mir würde es eher um die sauberkeit/konformität gehen.

Natürlich kann ich zu Kerio nicht viel sagen aber letztendlich geht es hier um einen einfachen Anwendungsfehler denn wer eine Firewall richtig konfigurieren will braucht auch Hintergrund Informationen zu IP(v4) usw. Das macht sich schließlich nicht alleine und es geht hier nicht um Hacker und auch nicht um schwarze Magie.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 Hallo!

Ich danke Euch erstmal für die Antworten! Ich denke mal das es grundsätzlich möglich sein sollte Kerio so auf Anfragen zu konfigurieren wie ich es meinte.

Dies würde aber genaue Kenntnisse der Netzwerktechnik und von Kerio selber voraussetzen, worüber ich wahrlich nicht verfüge! Es war auch nur so eine Idee und ein Vorschlag Kerio und das Surfen so sicherer zu machen. Ist ja vielleicht eine Herausforderung an die Mods hier!

Ich bin auf dem Gebiet Firewalls Anfänger und bisher auch gut ohne Personal-Firewall ausgekommen! Da man über den Sinn und Unsinn von Personal-Firewalls ja eh lange streiten kann und ich eine solche auch nicht wirklich brauche, lasse ich es wahrscheinlich wohl besser bleiben. Zumindest erstmal...

Ohne entsprechende Kenntnisse ist es einfach zu schwer und eine falsch konfigurierte Firewall kann ich lieber gleich in die Tonne kloppen. Damit hätte ich nicht mehr Sicherheit, sondern garantiert weniger Sicherheit und würde mich nur in Scheinsicherheit wiegen...

Gruß
PcFreak