Sinn und Unsinn von "Desktop-Firewalls"

thebrain

Waas Lothar, :shock:
Du liest gerne, na denn mal los. (falls Dir noch nicht bekannt?) da gibt es einiges...
http://www.firewallinfo.de/index.php?opti…2787&Itemid=788und wie immer mit 2 Augen :wink:
und noch eine (im Aufbau befindliche !)
http://www.incosec.de/content/securi…vor_malware.htm
Leider nur "Amateure", bzw. Fachportal oder Mod./AV-Forum, denn...

Zitat

der sogenannte "Stealth-Modus" verschiedener Software-"Firewalls" ist ein Witz und Ärgernis für Profis.

desweiteren...

Zitat

Das heist, die unter diesen Ports laufenden Dienste zu beenden...

Jo, hab ich...

Zitat

Sicherheit beginnt im Kopf!

Logisch, bin ich voll dabei...

Zitat

Raik und vielleicht nicht jedes programm, das einem über den weg läuft, aus purer sammelleidenschaft ausprobieren.

sowieso, immer und "der" war echt gut !...Mhmm, warum soll ich denn meinen Rechner mit einem externen script "automatisch sicher konfigurieren" lassen...?
Beginnt die Sicherheit doch nicht im Kopf, sondern irgendwie wieder im "Finger" ? weil ich auch keine Lust habe immer doppelt zu schreiben
Raik
http://firefox.uni-duisburg.de/forum/viewtopi…b200c9f2#103687
manuell ist der richtige Weg...zu den "Risiken und Nebenwirkungen" ist genug zu lesen...muß doch aber dieses berühmte "dingens.org" mal zitieren und weil auch gerade so aktuell !

Zitat

Microsoft hat einen sehr guten Kundenservice, sobald Fehler ausgebessert sind!
Windows kann so eingestellt werden, dass es automatisch die aktuellen Verbesserungen von Microsoft installiert, die neue Sicherheitslöcher stopfen. Es ist eine gute Idee, diesen Service von Microsoft auch zu nutzen!
Verwenden Sie eine ältere Version von Microsoft Windows, oder möchten Sie diesen Service aus irgendeinem Grund nicht nutzen, denken Sie bitte daran: niemand wäre durch Sasser geschädigt worden, hätte er den Patch von Microsoft eingespielt, den Microsoft vor Erscheinen des Virus kostenlos zur Verfügung gestellt hat! Nutzen Sie regelmäßig Windows Update, es lohnt sich!

natürlich nicht automatisch inst., aber die Info erhalten ! Tja keine Dienste mehr ?

und noch der Kalauer: PvW mit der Pfw und wir lassen uns die ZA nicht nehmen, denn wir arbeiten ja mit Kopf ! :roll: -ENTE-

Lothar Hacker

thebrain.
Danke für die Links.
Sehr gute Seiten die mich angesprochen haben.
Das bestärkt mich in meiner Meinung über PFW.
Zu meinem Rechner.Ich habe Nod32 laufen und Anti-Hacker1,7 von Kaspersky.
Und ob Ihr es glaubt oder nicht ich habe noch nie richtige Probleme mit Viren oder ähnlichem Zeug gehabt.
Aber es liegt ja sicherlich auch daran -wie man sich im Internet bewegt-.
ein schönes Virenfreies Wochenende wünscht ein HALBWISSENDER in Sachen PC.
Lothar.

Raik

thebrain

ich bin aus deinem posting nicht so ganz schlau geworden. was wolltest du denn eigentlich sagen?

zu den verlinkten seiten:
die betrachtungen über den stealth-modus laufen in sofern ins leere, dass damit nicht das verstecken der offenen ports gemeint ist, sondern das unterdrücken des anwortsignals auf einen ping, wie es das tcp/it-protokoll vorschreibt.
auf dieses, im sogenannten stealth-modus von pfw's unterdrückte signal wird dort aber garnicht eingegangen.

hier jetzt mal meine anleitung zum nachvollziehen der schritte, die ein "hacker" unternehmen würde:

Zitat

start -> ausführen -> "cmd"

am prompt dann eingeben:

Zitat

ping google.de

die antwort könnte dann so aussehen:

Zitat

Ping-Statistik für 216.239.57.104:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 220ms, Maximum = 370ms, Mittelwert = 307ms

im durchschnitt hat das antwortsignal auf den ping an google also 307ms gebraucht, um beim versender des ping anzukommen.

da die ip-bereiche bekannt sind, die den einzelnen providern zur vergabe an ihre kunden (uns :wink: ) zur verfügung stehen, kann jemand also mit einem tool einen ping an ganze gruppen von diesen ip's schicken. ist eine ip gerade nicht vergeben, antwortet lauf tcp/ip-protokoll der zuständige router des providers aud diesen ping mit dem antwortsignal.
erhält der "hacker" trotz mehrerer versuche keine antwort von einer ip, weis er damit, dass dort ein rechner steht, auf dem irgend eine sortware die protokollgerechte beantwortung des ping unterdrückt.

will er sichergehen, dass nicht gerade die technik des providers durch einen ausfall dafür verantwortlich ist, gibt er folgendes am prompt ein:

Zitat

tracert google.de

Zitat

die antwort sieht so aus:
Routenverfolgung zu google.de [216.239.57.104] über maximal 30 Abschnitte:
1 60 ms 151 ms 210 ms 217.5.98.178
2 160 ms 60 ms 161 ms 217.237.157.134
3 160 ms 201 ms 270 ms f-ea1.F.DE.net.DTAG.DE [62.154.18.22]
4 130 ms 201 ms 70 ms 62.156.139.130
5 151 ms 160 ms 70 ms P6-0.AUVCR2.Aubervilliers.opentransit.net [193.251.132.74]
6 150 ms 200 ms 230 ms P13-0.AUVCR1.Aubervilliers.opentransit.net [193.251.243.217]
7 180 ms 210 ms 221 ms P14-0.OAKCR1.Oakhill.opentransit.net [193.251.243.170]
8 270 ms 231 ms 340 ms P8-0.PALCR2.Palo-alto.opentransit.net [193.251.243.213]
9 361 ms 220 ms 230 ms Google-EU-Customers.GW.opentransit.net [193.251.249.18]
10 240 ms 361 ms 230 ms 66.249.94.10
11 381 ms 230 ms 231 ms 216.239.49.170
12 331 ms 230 ms 220 ms 216.239.49.97
13 280 ms 220 ms 220 ms 216.239.57.104
Ablaufverfolgung beendet.

Alles anzeigen

damit kann er also erkennen, wo die übertragung endet. mit einem dienst, wie diesem: http://www.zoneedit.com/lookup.html kann er auch den zugehörigen domainnamen erfahren. er kann also feststellen, ob er beim provider gelandet ist, oder bei einem dahinter angeschlossenen kundenrechner.

der nächste schritt (so er einen rechner gefunden hat, der das antwortsignal unterdrückt) wäre, verschiedene speziell präparierte datenpakete an diese ip zu senden, mit denen man auf bekannte sicherheitslücken der verschiedenen pfw's testen kann. die antworten einiger pfw's auf solche pakete unterscheiden sich auch einfach nur von denen, die das betriebssystem geben würde, woran man sie dann erkennen kann.

auf diese art erhält der "hacker" die nötigen informationen über die installierte pfw, um sie dann ganz gezielt angreifen zu können.
wie in dem video vom ccc schön zu sehen ist, kann man die rechner mit norton pfw's z,b, ganz einfach von der nutzung des internet ausschliessen, weil diese pfw auf bestimmte datenpakete hin einfach den vermeindlichen absender blacklistet. und wenn der "hacker" die absendeadresse dieser pakete manipuliert, sperrt die pfw damit statt des "hackers" z.b. den dns-server des providers, womit die namensauflösung der domains in die zugehörige ip nicht mehr geht und der norton-"geschützte" user keine seiten mehr aufrufen kann.

übrigens ist ja auch jede pfw eine externe sortware :wink: . und sicherheitsbewusstes handelt heist nicht, alles von hand zu machen (zumal das (vertipp-)fehleranfällig ist), sondern sich bewusst zu sein, dass kein noch so sicher konfiguriertes system, keine noch so tolle software jeden blödsinn verhindern kann, den der user anstellt. wer sich halt trojanerverseuchte software auf den rechner läd, dem nützt keine pfw etwas.

zu der bemerkung auf der zweiten, verlinkten seite, dass das deaktivieren des rpc-dienstes schaden würde:
konfiguration von diensten heist nicht in jedem fall deaktivieren, sondern den dienst so einzurichten, dass er nur lokal erreichbar ist. für die funktionsfähigkeit der systemwiederherstellung z.b. ist es nicht nötig, dass dieser dienst einen port zum internet offen hält.
bei mir funktioniert das windows-update übrigens trotz einsatz des scriptes immer noch.

und weil für die sichere konfiguration des systems sehr viele einstellungen vorgenommen werden müssen, ist es durchaus sinnvoll (sowohl aus zeitgründen, wie auch wegen der fehleranfälligkeit von handeingaben), solche hilfsmittel, wie das script zu benutzen.