Ports werden immer gescannt!

#16 @forge77: Das eine Software das besser können soll als eine Hardware kann ich ja nun garnicht glauben. Mir scheint du kennst keine gute Hardware oder kannst die nicht passend konfigurieren Als Hardware bezeichne ich jede nicht auf dem eigenem PC laufende Software. Schließlich ist das in den anderen Geräten ja immer eine Software die da läuft

Wenn die ganzen bekannten Trojaner von Windows hier laufen würden käme davon keiner hier durch meine Hardware durch. Schließlich läßt man die FW in in Richtung nach draußen ja nicht offen sondern begrenzt auch da zu welchen Zeiten auf welche Port verbunden werden darf. Und für den AIM/ICQ Port hab ich hier sogar die IP's festgelegt die erlaubt sind. Die einzige Möglichkeit wäre hier Daten über Port 80 rauszubekommen. Und dann müßten die auch erstmal durch den Contentfilter in der hardware durch was ziemlich schwer wird da dort alle wichtigen Keys,Passwörter etc. drinstehen und nicht rausgehen. Das einzige was man da klauen könnte wären Passwörter zu Foren wie diesem weil die natürlich durchgehen müssen.

Aber abgesehen davon warum Angst haben vor Trojanern die garnicht erst reinkommen können dank FW und NIDS Das eintige was hier als Software läuft ist eine HIDS als letze Instanz um alles was evtl. doch durchkommt abzufangen. Bisher aber noch nie der Fall gewesen. Selbst die NIDS ist erst 1x angesprungen. Der Rest wurde immer schon am Perimetergerät abgefangen.

Und jetzt zeig mir eine Software die da sicherer ist und all diese Überwachungs und Kontrollaufgaben auch noch ohne Leistungseinbuße schafft.

Das soll jetzt nicht heißen das eine Softwarelösung schlecht ist aber eine gute Hardware ist immer besser. Sonst zeig mir mal ein professionelles Netzwerk das auf ZoneAlarm anstatt auf teure Hardware setzt. Softwarelösungen sind nur für jemanden gedacht der sich nix besseres leisten kann. Klar reichen die für privat auch meist aus aber sicher würde ich die ganz sicher nicht nennen. Gibt genügent Beispiele wie man solche FW's umgehen kann. Ich habe hier auch gerade einen guten Praxistest durchgeführt bei einem gut gesichertem PC eines Kunden der eine Softwarelösung laufen hatte und auch verstand was die FW ihn fragte. Nur doof das mein Testprogramm die Daten einfach über den IE als Browserstartseite an ein Webformular übertragen hat. Mußte man nur warten bis er den IE startete. Und da ich ja wußte das er Google als Startseite drin hatte wurde er per redirect sogar sofort dorthingeschickt und hat nix bemerkt.

Er war auch etwas erstaunt wie einfach das war und das seine FW im nix genützt hat. Meine FW hier hätte das zwar auch nicht geblock aber wenigstens hätte der Contentfilter verhindert das wichtige Passwörter rausgehen.

Man sollte sich immer merken das der beste Schutz nichts bringt wenn jemand wirklich rein möchte. Ist das Netz extrem gesichert suche ich mir per "Social Engineering" eben einen Menschen als Sicherheitslücke.

Die beste Definition für "sicher" ist das der Aufwand fürs eindringen höher sein muß als der Gewinn der Informationen. Da man privat ja meist nicht soviel Gewinn anbietet muß natürlich auch der Schutz nicht so hoch sein. Allerdings gibt es auch immer wieder Leute die sowas nur aus "Spaß" probieren. man sollte also immer wissen das man nie sicher ist und ich persönlich finde man kann nie genug Schutz besitzen.

Das wichtigste ist doch meist nicht auf komischen Seiten surfen und niemals Mailanhänge starten. Und auch niemals Outlook benutzen. Ein Sicherheitsexperte vom DoD (ehemals CIA) hat vor nicht allzulanger Zeit gesagt das Outlook das gefährlichste Programm überhaupt ist wenn es um Sicherheit geht und da kann ich nur zustimmen. Wer die bekannten großen Programme benutzt hat meiner Meinung nach selber Schuld.

#17

Zitat

Wenn die ganzen bekannten Trojaner von Windows hier laufen würden käme davon keiner hier durch meine Hardware durch.

Mit welchen Trojanern hast du dies getestet? Oder ist das nur 'ne Vermutung?

Zitat

Die einzige Möglichkeit wäre hier Daten über Port 80 rauszubekommen.

Eben. Und genau das machen ja die Trojaner, die ich ansprach...
Bei einer Software-Firewall müssen dazu erstmal einen erlaubten Prozess "hijacken" (wogegen aktuelle Firewalls und Zusatztools wiederum durchaus Schutz bieten), während ein vorgeschaltetes Stück Hardware dagegen ziemlich machtlos ist.

Zitat

Und dann müßten die auch erstmal durch den Contentfilter in der hardware durch was ziemlich schwer wird da dort alle wichtigen Keys,Passwörter etc. drinstehen und nicht rausgehen.

1. Die eigentlich gefährlichen Trojaner, die RATs, würden sich demnach durch den Content-Filter nicht stoppen lassen (weil sie nicht in erster Linie Passwörter etc. verschicken).
2. Was macht der Content-Filter, wenn die Daten verschlüsselt verschickt werden...?
3. Auch Software-Firewalls können so einen Content-Filter haben (siehe z.B. NortonFW)

Zitat

Aber abgesehen davon warum Angst haben vor Trojanern die garnicht erst reinkommen können dank FW und NIDS

Äh, sorry, aber wovon sprichst du? Trojaner sind "böse" Programme, die du dir im Glauben installierst, sie seien gut. Wie sollen FW und NIDS dies verhindern?

Und nochmal: was bringt einem Normal-User (der ja in aller Regel keine Internet-Services anbietet; egal, ob er die Standard-Windows-Services nun deaktiviert oder per FW blockt) ein NIDS?

Zitat

Das soll jetzt nicht heißen das eine Softwarelösung schlecht ist aber eine gute Hardware ist immer besser.

Software-Lösungen können Dinge, die Hardware nicht kann und umgekehrt. Von daher ist deine Aussage so nicht richtig.

Zitat

Gibt genügent Beispiele wie man solche FW's umgehen kann. [...]
Meine FW hier hätte das zwar auch nicht geblock

Eben...
Und du wirst einige ähnlich Beispiele finden, wo Software-Firewalls inzwischen Schutz bieten (diverse Leaktests), Hardware-Lösungen dagegen grundsätzlich machtlos sind.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#18

Zitat

MacDefender postete
Ich würde persönlich generel immer zu einer vorgeschalteten Hardware FW (im Router z.B.) raten.

Tja, wenn Du ein Firmensystem absichern möchtest, oder ein Heimnetz in dem sich mehr als zwei PC's mit dem Internet verbinden können sollen, ist eine HW Firwewall im Router wohl ganz passabel.

Allerdings finde ich, daß sich sowas für eine kleines Heimnetzwerk, das in vielen Fällen aus nicht mehr als 2 PC's besteht, kaum rechnet. In den meisten Fällen geht es hier, also in diesem Forum, doch m.E. meistens um die Absicherung eines Einzelplatz-Rechners. Für so etwas dann einen Router mit Firewall anzuschaffen finde ich etwas übertrieben. Wie diverse Berichte zeigen, bieten auch Router mit integrierter Firewall nicht immer die gewünschte Sicherheit.

Ich bin nicht so ein absoluter Computerfreak, daß ich meinen PC so liebe wie mein Auto

Und überhaupt .... Hardware-Firewall .... der Begriff ist nicht ganz zutreffend, finde ich. Eine in in reiner Hardware realisierte Firewall, die jetzt und für alle Zeit einen Schutz gegen die große böse Welt da draußen bietet, halte ich für einen absoluten Wunschtraum. Meiner Meinung nach ist so etwas schlichtweg nicht möglich. Eine derartige HW-Firewall würde schon daran scheitern, daß sie sich nicht auf neue Viren, Trojaner und Würmer einstellen kann. Die in den Routern integrierten "HW"-Firewalls sind schließlich nicht derart mit dem PC-System veknüpft, daß sie sämtliche unerwünschen Aktionen auf dem PC verhindern könnten.

Meiner Meinung nach, ich kann mich aber auch irren, basiert eine HW-Firewall letztendlich auch nur auf Software. Diese Firewall-Software kann allerdings nicht so leicht ausgehebelt werden, da sie sich in einem Flash-Speicherbaustein befindet. Da es aber nun mal nur Software ist, muß sie auch laufend auf dem neuesten Stand gehalten werden, sonst könnte sie nicht gegen aktuelle Bedrohungen gewappnet sein.

Irre ich mich mit meiner Auffassung ?
Ich bin für jede Aufklärung dankbar, die Licht in's Dunkel bringt.

Zitat

Wenn man sich etwas Mühe macht kann man viele billige Firewalls mit fragmentierten Paketen "ausspielen". Entweder die Fragmente so kurz wählen das die Regeln garnicht greifen oder das erste Paket an einen erlaubten Port (wie 80) schicken und das nächste Fragment mit Offset 0 das ganze dann überschreiben lassen und auf einen beliebigen anderen Port gehen. Genau das wird auch öfters als FW "tunneln" bezeichnet und funktioniert oft einwandfrei

Also.... kannst Du das vielleicht etwas näher erläutern, so daß auch einfach Geister, wie ich zum Beispiel, das verstehen können ? Es führt vielleicht etwas weit, aber ... Du hast das Thema schließlich angeschnitten ... jetzt wollen wir's auch wissen
... oder zumindest .... wie kann man sich dagegen schützen ?
Wenn Du ein paar Beispiele für deiner Ansicht nach geeignete und ungeeignete Firewalls geben könntest (evtl. auch mit einer kurzen Begründung) fände ich das nicht schlecht.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#19 Also, als erstes zu den HW-Firewalls. Wie du richtig schreibst und ich ja auch selber schon in meinem Post erwähnt habe (überlesen?) ist eine HW Firewall selber natürlich auch immer mit einer "Software" bestückt.

Wie das mit dem FW "tunneln" geht werde ich hier jetzt sicher nicht als Anleitung etc. schreiben. Es muß ja nicht jeder gleich wissen wie das geht denn ich denke mal das auch hier ein gewisser Anteil damit sofort "rumspielen" würde. Und je weniger wissen wie so etwas geht um so besser. Aber machbar ist das ganze z.B. unter Unix (MacOS X) mit einem Shellscript und hping2 (Version 3 erscheint bald)

Sich gegen soetwas schützen ist im Endeffekt ganz einfach. Als erstes sollte man seiner Firewall befehlen alle zu kurzen Fragmente ohne Antwort zu verwerfen. Jeder bessere Router hat dafür entsprechende Befehle die im Handbuch stehen sollten. Desweiteren sollte sichergestellt sein das die Firewall die Fragmente erst komplett empfängt, zusammensetzt und dann erst mit den Regeln abgleicht. Damit ist sichergestellt das das komplette Paket auch so geprüft wird wie es dann weitergeschickt wird. Wird nur das erste Fragment überprüft und die restlichen so durchgereicht kann man die FW nicht als sicher ansehen. Sollte der Router z.B. die Fragmente vor dem weitersenden schon sammeln und rekombinieren muß die nachgestellte FW dies natürlich nicht mehr können. Hauptsache die Regeln werden am kompletten Paket geprüft. Infos ob die entsprechende Hard/Software die auch so erledigt sollte der hersteller liefern können wenn ein Selbsttest nicht durchgeführt werden kann.

Und wenn wir schon dabei sind sollte die FW auch alle internen IP's die von aussen kommen und entsprechnend nicht interne die von innen kommen sofort verwerfen ohne Antwort. Soetwas sollte zwar niemals vorkommen aber gerade deshalb sollte man soetwas auch bedenken und verwerfen. Ansonsten könne jemand von innen oder jemand beim ISP etc. böse Spoofingspielchen probieren. Und wenn nicht umbedingt benötigt kann man auch alle Broadcastadressen blocken

Mein Motto ist einfach alles was ich mir mit meiner Phantasie an bösen Ideen ausdenken kann und was nie normal passieren könnte als Regel eintragen und sofort zu blocken. Und dann bleibt nur hoffen das jemand nicht noch kreativer ist und etwas findet was man nicht bedacht hat.

Als Buchtip kann ich einmal "The Art of Deception" von Kevin D. Mitnick und das Buch "Inside Network Perimeter Security" von unter anderem Stephen Northcutt empfehlen.