Sicherheit ohne Softwarefirewall möglich?

praegnanz

Hallo,

ich verwende gerade teamviewer im intranet und habe nun zu diesem Übertragungsprinzip eine Sicherheitsfrage.

Wenn man sich etwas einfangen würde könnte die aktivierte Firewall im Router mit deaktiviertem upnp Sicherheitseinstellungen den aktivierten Port unterdrücken?

Was passiert wenn sich ein Schädling gar nicht für die Firewall in der Hardware interessiert sondern den ganzen Datenverkehr einfach tls geschützt ...wie bei dem Prinzip Teamveawer überträgt?

Hier wäre doch die einzigste Möglichkeit permanent auf seine Sicherheitsvorkehrungen zu achten oder eine Software-Firewall zu installieren die bei einer ausgehenden Serververbindung eine Warnmeldung abgeben würde.

Könnte solch ein unsichtbarerschädling eigentlich von Verhaltensbasierten Lösungen wie von Threadfire erkannt werden?

Brummelchen

Jedes System ist nur so gut, wie der Anwender letztlich davon verstanden hat.
In diesem Fall - wenig bis nichts...

bugcatcher

Wenn er es wüsste würde er nicht fragen. Da du es ja offensichtlich besser weißt, warum hilfst Du ihm nicht? ; )

Brummelchen

Gegenfrage - woher sollte Threatfire (t - nicht d)
(alternativ Mamutu, DefenseWall, Malware Defender) wissen,
was richtig oder falsch ist?
Woher sollte ein Router wissen, ob jenes oder dieses Datenpaket iO ist?
Wenn 99 Trottel Virus_x-Aktivitäten gut heissen, und nur einer stutzig wird, ist es trotzdem richtig?

Zitat

Jedes System ist nur so gut, wie der Anwender letztlich davon verstanden hat.

Frage

Zitat

Sicherheit ohne Softwarefirewall möglich?

Antwort: ja - siehe oben!

bugcatcher

Schau, das ist doch gleich viel aussagekräftiger. Ich wusste das Du das kannst.

boardraider

Zitat

Wenn man sich etwas einfangen würde könnte die aktivierte Firewall im Router mit deaktiviertem upnp Sicherheitseinstellungen den aktivierten Port unterdrücken?

Ist die Frage theoretisch? Von welchem Router/welcher Firewall sprichst du hier? Nenne konkrete Modelle/Komponenten/Systemarchitekturen.
Theoretisch könnte ein Router Datenverkehr blockieren, dazu müssen aber entsprechende Regeln festgelegt werden, wobei wir wieder bei der Frage nach dem konkreten System wären und welchen Datenverkehr du blockiert haben willst.

Zitat

Was passiert wenn sich ein Schädling gar nicht für die Firewall in der Hardware interessiert

Wieso sollte sich ein Schädling für die Firewall interessieren? Höchstens vielleicht um deren Schwächen auszunutzen. Auch eine Firewall in einer Hardware-Komponente ist Software. Statt eines Routers von der Stange, kannst du genauso einen Rechner hinstellen und diesen als Router betreiben. Wie unterscheidet sich das in deinem Verständnis?

Zitat

sondern den ganzen Datenverkehr einfach tls geschützt ...wie bei dem Prinzip Teamveawer überträgt?

Wie machen das manche Gateways? Die machen eine eigene Verbindung nach außen auf und präsentieren nach innen ein eigenes Zertifikat. Die Frage dürfte sein, ob der Client dieses akzeptiert. :twisted:

Zitat

oder eine Software-Firewall zu installieren die bei einer ausgehenden Serververbindung eine Warnmeldung abgeben würde.

Moderne Malware braucht keine "Serververbindung" mehr. Die Fragen ihre C&C-Server selbst ab, sieht für deine Regelwerke wie normale "ausgehende" Anfragen aus. Als Antwort erhalten sie dann ihre Instruktionen.

Oliver222

prägnanz fragte u.A. Folgendes:

Zitat

[...]Wenn man sich etwas einfangen würde, könnte die aktivierte Firewall im Router mit deaktiviertem upnp Sicherheitseinstellungen den aktivierten Port unterdrücken?

Nein – sofern kein restriktives „Port-Blacklisting-Verfahren“ (also sequentielle Filterregelungen) auf so einem Router / Gateway bei Dir zum Einsatz kommt.

Die von Dir angestrebte dienstbezogene Zugriffskontrolle (Schicht „vier“ des OSI-Modells / Transportschicht) bedarf zusätzlich auch einer IP-Adressierung (Schicht „drei“ des OSI-Modells), um somit in Kombination aus diesen beiden Eingangs-Informationen eine Verbesserung der portbasierten (Ende-zu-Ende) Filterung zu erreichen.

UnpN sollte dagegen nicht deaktiviert werden, sofern auf ein dynamisches Port Mapping (also Aufteilung einer einzigen öffentlichen IP-Adresse an mehrere lokale Subsysteme) innerhalb Deines Netzwerkes zurückgegriffen werden muss.

prägnanz fragte darüberhinaus Folgendes:

Zitat

Was passiert, wenn sich ein Schädling gar nicht für die Firewall in der Hardware interessiert, sondern den ganzen Datenverkehr einfach tls geschützt, wie bei dem Prinzip Teamveawer überträgt?

Richtig. Das SSL-Protokoll kann nicht ohne weiteres mit Applikationsfilter-Firewalls betrieben werden. Ein dedizierter Proxy-Server so eines Applikationsfilters würde von so einem SSL-Verfahren als MITM-Angriff (Man in the Middle-Angriff) interpretiert werden, so dass der Verbindungsaufbau bereits im Vorfeld scheitern würde. Die einzige Möglichkeit ergäbe sich aus der Realisierung eines generischen Filter-Proxy (z.B. SOCKS) oder auch eines Paketfilters, der dabei die einzelnen Datenpakete nur an reservierte SSL-Ports weiterreichen würde.

prägnanz fragte zu guter Letzt Folgendes:

Zitat

Hier wäre doch die einzigste Möglichkeit permanent auf seine Sicherheitsvorkehrungen zu achten oder eine Software-Firewall zu installieren, die bei einer ausgehenden Serververbindung eine Warnmeldung abgeben würde.

Dein genanntes Verfahren ist – meiner Ansicht nach - nur auf solchen lokalen Systemen sinnvoll anwendbar, die bezüglich ihrer spezifizierten Anforderungen obendrein noch separat konfiguriert werden müssen. Eine einzige Hardware-Firewall zur Absicherung mehrerer Subnetzwerke kann sich bezüglich ihrer Funktion i.d.T. als zu trivial und grobgranular erweisen.

Oliver