Einleitung

Hallo,

weil ich immer wieder mit Sicherheitsfragen in Verbindung mit Internetnutzung konfrontiert werde hier eine kleine "Anleitung" damit ich in Zukunft einfach hierher linken kann .

Ich bin selber kein IT Experte, sicherlich gibt es bessere Lösungen und andere Meinungen, aber als Anhaltspunkt ist das hier geschriebene sicher nicht schlecht. Natürlich habe ich nicht alles selber geschrieben, sondern zusammengesammelt, vereinfacht etc.


Wichtige Grundbegriffe

Trojanisches Pferd
Ein trojanisches Pferd ist ein Programm, welches dem Nutzer im Vordergrund eine bestimmte Aktion vorgaukelt, während es unbemerkt andere (ungewollte) Aktionen ausfuehrt (dies kann z.B. sein, bestimmte Daten auf dem Rechner auszulesen und per Mail zu verschicken, auch, einen aus dem Internet erreichbaren Dienst anzubieten, der eine Fernsteuerung des kompromittierten Rechners ermoeglicht, ein angeblicher Virenscanner, der neben seiner Scanfunktion zufallsgesteuert in Excel-Tabellen Vorzeichen negiert, ist ebenfalls denkbar).

Virus
Bei Viren handelt es sich um einen Wirt (anderes Programm) benötigenden Code. Die Eigenschaften orientieren sich am biologischen Vorbild, Viren nisten sich in fremden Programmen und im Speicher des befallenen Computers ein, vornehmlich zum Zweck der Reproduktion (etwaige Schadensroutinen sind eigentlich nicht die Hauptaufgabe eines Virus). Dabei wird üblicherweise der Code des befallenen Programms derart verändert, dass es neben seinen eigenen Funktionen auch den Virus enthält. Ist der Virus aktiv (es wurde ein von einem Virus befallenes Programm gestartet), dann wird im folgenden jede Möglichkeit zur Reproduktion genutzt. Bis zu diesem Zeitpunkt "saubere" Software ist nach einem Start ebenfalls infiziert.

Wurm
Würmer sind Programmroutinen, die bestehende Netzwerkverbindungen zur Weiterverbreitung nutzen. Dabei sind sie auf homogene Systeme angewiesen, die eine Sicherheitslücke offenbaren. Bekanntesteste Beispiele: ILOVEYOU, NIMDA, CodeRed. Es handelt sich hierbei um Würmer, die Schwächen in weitverbreiteter Software (MS IIS, ein Webserver / Internet Explorer / Outlook Express) nutzen, um (bösartigen Code) auf der Zielmaschine zu plazieren. Das Adressbuch von OE wurde (uebrigens nicht nur von diesen Würmern), neben anderen Mechanismen, dazu genutzt, um den Wurm selbst an sämtliche vorhandenen Einträge zu versenden. Es sei der Vollständigkeit halber erwaehnt, dass OE in Vergangenheit unangenehm dadurch aufgefallen ist, dass Schadcode *ohne* explizite Bestätigung des Anwenders, nur durch blosse Betrachtung der Mail, ausgeführt werden konnte. Microsoft Windows ist i.a. wegen seiner weiten Verbreitung (über 80 Prozent aller PCs weltweit laufen unter einem Windows-Betriebssystem), gepaart mit ein paar konzeptionellen Schwächen, wie wir eh alle wissen, besonders gefährdet.

Port
Ports dienen der Zuordnung von in IP-Paketen enthaltenen Daten zu Applikationen (ansonsten ließe sich ja beispielsweise nicht bestimmen, ob das erhaltene Datenpaket nun zum Webbrowser oder zum Emailclient gehoert). TCP/UDP können jeweils 65.535 (2^16-1, da Port 0 aus konzeptionellen Gründen nicht verwendet werden darf) verschiedene Ports handhaben. Falls das zu technisch klingt: Ports sind sozusagen die Hausnummern, die die verschiedenen Applikationen zur Kommunikation nutzen. Die IP-Adresse könnte man in diesem Kontext als Strassenname bezeichnen. Sprich: wenn der Internet Explorer von www.irgendwer.com etwas haben moechte, dann sieht das so aus: Hallo $IP_von_irgendwer.com auf Port 80 (da laufen die meisten Webserver), hier ist der Rechner $meine_IP, ich hätte gerne Daten von Dir auf Port xyz (wird frei gewählt, liegt über 1024)...

Portscan
Unter einem Portscan wird die versuchte Verbindungsaufnahme auf mind. 1 Port verstanden. Es ist im Prinzip so, als ob man an eine Tür klopft mit der Absicht, herauszufinden, ob da jemand wohnt, der Kontakt mit der Aussenwelt wünscht. Wenn also jemand die Tür mit den Worten "sie wünschen?" oeffnet, dann weiss man zwar noch nicht, wer das ist, aber man weiss zumindest schonmal, dass er für die Öffentlichkeit gedacht ist. Und wenn derjenige in Hausnummer 80 wohnt, dann wird er mit grosser Wahrscheinlichkeit den Namen "Webserver" tragen. Es gibt auch Portscanabarten, die nicht wirklich eine Verbindungsaufnahme initiieren.

Dienst
I.a. versteht man unter einem Dienst einen Prozess, der anderen Prozessen eine bestimmte Funktionalität über eine definierte Schnittstelle zur Verfügung stellt. Hier ist unter Dienst ein Prozess zu verstehen, der diese Funktionalität für oder über das Netzwerk anbietet. Beispiel: der Windowsdienst "Datei- und Druckerfreigabe" ermöglicht es anderen Hosts (also meist Rechnern), auf definierte Ressourcen beim anbietenden Host (Drucker oder bestimmte Verzeichnisse) zuzugreifen. Der PC eines sich über einen Provider ins Internet einwählenden Privatnutzers sollte gewöhnlich ueberhaupt keine Dienste ins Internet stellen!

Bindung
Über eine Bindung werden bestimmte Dienste mit bestimmten Netzwerkkomponenten derart verkoppelt, dass über das entsprechende Netzwerkinterface der entsprechende Dienst verfügbar ist. Beispiel: Windows-PC mit ISDN-Karte und Netzwerkkarte fuer ein LAN (local area network, lokales Netzwerk), Windows-Freigaben fuer das LAN. Der "Datei- und Druckerfreigabedienst" von Windows sollte nun an die Netzwerkkarte (fuer das LAN) und nicht an die ISDN-Karte (die Freigaben haben im Internet nichts zu suchen) gebunden sein.

TCP/IP-stack
Unter dem TCP/IP-stack eines Betriebssystem wird die Komponente verstanden, die die Kommunikation zwischen Applikationen und dem Netzwerk (Internet, LAN) uebernimmt.

exploit
"to exploit" bedeutet übersetzt "jemanden ausbeuten". Im Computerjargon wird unter einem exploit ein Stück Softwarecode verstanden, das Designfehler eines Betriebssystems oder einer netzwerkfähigen Anwendungssoftware benutzt, um ungewollte Funktionalität bereitzustellen. Im schlimmsten Fall kann solch ein exploit dazu verwendet werden, um auf dem angegriffenen System Administratorrechte zu erlangen (der Angreifer darf alles).


Wie werde ich angegriffen?

Um Zugriff auf einen Rechner zu erlangen, ist man gezwungen, eine Lücke zu finden, durch die man eindringen kann. Daraus resultiert, dass man vor einem Angriffsversuch zuallererst Informationen ueber das zu kompromittierende System suchen muss. Betriebssystem, Dienste usw.

Mögliche Angriffspunkte sind zB.:

1) Fehlkonfigurationen

Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern auch an das Internet-Interface gebunden ist. Der Aufwand einer vernünftigen Konfiguration lohnt sich! Eine Übersicht über Konfigurationsanleitungen für die gängigen Betriebssysteme befindet sich weiter unten -> "Wie kann ich mich schützen".

Viele Fehlkonfigurationen spielen sich auch auf Anwendungs- ebene ab; zum Beispiel im Browser oder Mailprogramm. Leider sind solche Geschichten (z.B. automatisches Starten von Programmen) häufig die Standard-Einstellung, die man erst mehr oder weniger mühsam ändern muss.

Hier sieht es mit dem Schutz durch Personal Firewalls (siehe unten) sehr schlecht aus, da die PF nicht mitbekommt, wenn ein Programm ungewollt Daten verändert oder löscht. Und wenn das Mailprogramm plötzlich Mails senden will, dann wird die PF es nicht davon abhalten.

2) Bugs

Die zweite große Möglichkeit besteht in der Ausnutzung von Bugs. Ein häufiges Angriffsszenario entsteht, wenn ein Programm die Länge eines Speicherbereiches beim Kopieren/Einlesen nicht prüft und über das Ende seines Puffers hinausschreibt.

Wenn in einer der dahinterliegenden Speicherzellen ein Verweis auf eine Speicheradresse mit Programmcode liegt (Rücksprung- adresse bei Funktionen), dann kann diese überschrieben werden. Im simpelsten Fall steht dann dort Müll und es gibt einen "Fehler in Anwendungsprogramm". Mit etwas Mühe ist es in dieser Situation häufig möglich, in die eigenen Daten zu springen, die in Wirklichkeit Programm-Anweisungen in Maschinensprache sind.
Technische Hintergrundinformationen dazu: "Smashing The Stack For Fun And Profit" (Englisch)
oder ein deutscher Text: www.heise.de/ct/01/23/216/

Eine Personal Firewall (siehe unten) könnte theoretisch solche "zu langen" Daten erkennen und abfangen. Das geht allerdings nur, wenn sie weiß, wonach sie suchen muss. Bevor die Personal Firewall- Hersteller ihre Programme angepasst haben, hat MS (bzw. die Hersteller des fehlerhaften Programms) idR. ihre Sicherheitspatches schon längst veröffentlicht.

Da solche Fehler auch immer mal wieder in Personal Firewalls gefunden werden, kann der vermeintliche Schutz das Loch auch erst aufreißen: cert.uni-stuttgart.de/ticker/article.php?mid=888

3) "böse Programme"

Zu guter Letzt könntest du noch eine Fernwartungssoftware oder ein anderes böses Programm gestartet haben; wahrscheinlich im Glauben ein nützliches Programm zu installieren. Allerdings machte es neben den bunten Effekten auf der Webseite (ActiveX) im Hintergrund noch andere Sachen. Oder die Mail von deinem Bekannten ist in Wirklichkeit von dem Wurm verschickt worden, den er im gleichen Irrglauben gestartet hat.

Sollte wirklich ein Angriff stattfinden, könnte er nach folgendem, vereinfachten Schema ablaufen:

-) Identifikation des Betriebssystems

-) Identifikation der Dienste (Portscan)
Es sei der Vollständigkeit halber erwähnt, daß ein Portscan keinerlei (sic!!!) Indiz für einen eventuellen Angriff ist. Moeglicherweise hat man ihn selbst beim Surfen, P2P etc. verursacht, bei einer dynamischen Adresse (wie bei den meisten Providern ueblich) ist außerdem die Chance ziemlich hoch, dass eingehende Datenpakete jeglicher Art vom Vorbesitzer der Adresse stammen.

-) eventuelle Angriffspunkte ausnutzen
Die Möglichkeiten sind vielfältig. Eventuell hat sich der Besitzer des Rechners ein Fernwartungstool ("Trojaner") installiert, fehleranfällige oder ungewollte Dienste laufen oder der TCP/IP-stack des von ihm verwendeten Betriebssystems ist exploitanfällig. Usw.


Wie kann ich einen Angriff feststellen?

Leider gibt es dafür keine Faustregel. Spätestens wenn du unerklärlicherweise 30MB Pornos auf deiner Festplatte findest, oder dein Provider dir mitteilt, daß dein Rechner als Spam-Relay benutzt wird (also pausenlos Spam-Mails von deinem Rechner in alle Welt verschickt werden), etc. , kannst du dir sicher sein.
Für Microsoft-Betriebssysteme haben sich die Tools TDIMON www.sysinternals.com/ntw2k/freeware/tdimon.shtml (zeigt UDP/TCP-Aktivitäten, sprich, welche Applikation möchte auf welchem Port über welches Protokoll mit welchem Ziel kommunizieren) und ANALYZER netgroup-serv.polito.it/analyzer/ (Sniffer, schneidet den gesamten Netzverkehr mit, so dass die Inhalte der uebermittelten Pakete überprüft werden können) als sehr hilfreich erwiesen.

Wer wissen will, von wem ein Paket stammt, das auf dem Netzwerkinterface eintrifft (man sieht ja nur eine IP-Adresse), der kann dies mittels des WHOIS-Service erfahren. Es sei bemerkt, daß die eingetragene IP nicht notwendigerweise von echten Absender stammen muss, sie kann gefälscht sein (nennt sich IP spoofing).


Wie kann ich mich schützen?

Grundsätzlich: Nutzerverhalten

Stelle sicher, dass du niemals Binärdateien aus potentiell nicht vertrauenswürdigen Quellen auf deinem Rechner ausführst. Stelle sicher, daß auch die verwendete Software dies nicht tut. Ich weiß, das geht nicht immer. Wer weiß schon konkret was die Programme tun? Nichtmal die Entwickler.. Aber versuche es zumindest wo du kannst!

Das klingt zwar jetzt hochgestochen aber trotzdem: Vertraue nicht blindlings Marketing-Sprüchen. Informiere dich über tatsächliche Gefahren und Risiken. Schon eine kurze Recherche mit einer Suchmaschine wie zB www.google.at kann helfen. Wäge die Gefahren gegen die zu schützenden Werte auf deinem Rechner ab, lote deine technischen und ökonomischen Möglichkeiten aus, soll heißen: Leiste ich mir eine Hardware-Firewall, konfiguriere ich einen alten PC als Linux Router oder reicht es mein System mit Bordmitteln sicher zu konfigurieren? Gehe einmal alle deine Daten durch und checke was davon du benötigst. Es ist wahrscheinlich mehr als du denkst! Auch Backups alleine bedeuten keine Sicherheit. Oder überprüfst du den Inhalt jeder einzelnen Datei bevor du sie sicherst nach Fehlern? Wann bemerkst du zB. einen Trojaner, Wurm etc. der in deinen Daten nach dem Zufallsprinzip Bits ändert?

Schaffe dir ein persönliches "Konzept". Dieses "Konzept" oder einfach Verhaltensregeln sollte nicht nur auf deinen Rechner beschränkt sein, sondern auch für Registrierungen online oder im Supermarkt gelten, und ständig in Bezug auf Anforderungen und neue technische Gegebenheiten überprüft werden. Das Verwenden von sicheren Paßwörtern gehört hier ebenfalls dazu! Faustregel: Mind. 8 Zeichen, keine Wörter die irgendwas bedeuten könnten, möglichst Klein- Großbuchstaben gemischt mit Ziffern und Satzzeichen. Das ist natürlich schwierig zu merken, klar. Bitte trotzdem versuchen!

Was kannst du nun konkret an deinen Rechner(n) unternehmen? Da ist es ist wichtig zwischen Einzelrechner und Netzwerk zu unterscheiden:

-) Einzelrechner: Die benötigen kein NetBIOS und andere Dienste also nach der untenstehenden Anleitung alles deaktivieren, Virenscanner installieren und genauso wie die verwendete Software regelmäßig Updaten. Fertig.

-) Netzwerk: Hier wird es schwieriger. Für ein kleines Heimnetzwerk gibt es folgende Wege: Entweder einen Hardwarerouter mit Firewallfunktionalität kaufen und diese auch richtig konfigurieren. Also nicht das Standardpaßwort behalten, das jeder kennt, alle Ports und Funktionen offenhalten die irgendjemand irgendwann einmal benötigen könnte, und: HANDBUCH LESEN!!! Oder einen kleinen Linuxrouter aufstellen zB: www.fli4l.de

Vernünftige (saubere) Rechnerkonfiguration!!!!!!!

Eine "saubere" Konfiguration sollte so aussehen, dass keinerlei Dienste auf die Interneteinwahlhardware (z.B. ISDN-Karte oder Netzwerkkarte zum Modem) gebunden werden. Leider haben gängige Betriebssysteme (Windows, viele Linux-Distributionen) die unangenehme Angewohnheit, direkt nach der Installation Dienste ins Internet anzubieten. Diese sollten normalerweise deaktiviert werden! Die entsprechenden Einstellungen sind bei Windows in der Netzwerkumgebung (die TCP/IP-Bindungen der diversen Dienste müssen von der Internethardware gelöst werden) und bei Linux in /etc/inetd.conf (kann distributionsabhängig variieren) zu finden.

-) Windows 9x

Im Prinzip kann man hier nicht viel falsch machen, da Windows 9x recht einfach gestrickt ist. Falls der "Datei- und Druckerfreigabe"-Dienst installiert sein sollte, muss man allerdings darauf achten, dass dieser Dienst nicht an die externe Hardware gebunden wird. Anmerkung: Port 139 (netbios) von Windows bleibt aus unerfindlichen Gründen offen, auch wenn man die Bindungen sämtlicher überflüssiger Dienste auf die Internethardware gelöst hat (zumindest deren Funktionalität ist tatsächlich deaktiviert). Eine Anleitung, wie man diesem vorbeugen kann (zumindest kenne ich nur diesen Weg aus dem Stegreif), gibt es auf Steve Gibsons Homepage. grc.com Ich kann mich nicht allen dort vertretenen Ansichten ("personal firewalls" sind toll) ruhigen Gewissens anschließen, siehe auch -> "Warum keine personal firewall"? Ich persönlich neige ja dazu, das "Netbios-Problem" einfach zu ignorieren, denn ob ein neugieriger Internetnutzer nun herausfindet, ob mein PC den Windowsnamen "Schwanzmeister" trägt oder ob ich ihm dieses verwehre, ist doch letztlich egal.

-) Windows NT 4

Meiner Erfahrung nach gilt dasselbe wie bei Windows 9x. Wenn etwaige Freigaben nicht auf die Internethardware gebunden sind, bleiben netbios (port 139 TCP) und der RPC endpoint mapper (port 135 TCP) offen, beides Dienste ohne (bisher natürlich, daher ist das Abonnieren einer Securitymailingliste essentiell) nennenswerte Schwächen. Was es bei NT 4 per default an möglichen (nicht zwingend aktiven) Diensten gibt, kann man sich hier www.plasma-online.de/english/..._services.html durchlesen. Ach ja, den letzten Service Pack (6a IIRC, irgendwo auf der Microsoftseite zu finden) sollte man schon installiert haben. Aber grundsätzlich ist NT4.0 kein sicheres System und wird außerdem von Microsoft nicht mehr unterstützt.

-) Windows 2000
Schicke Anleitung zum Diensteabstellen
www.kssysteme.de/htdocs/docum...services1.html

-) Windows XP
Schicke Anleitung zum Diensteabstellen
www.kssysteme.de/htdocs/docum...services1.html
Wem seine Privatsphäre nicht wichtig ist, dem sei Windows XP wärmstens empfohlen.

-) Linux

Die meisten Dienste lassen sich in der /etc/inetd.conf (distributionsabhängig) deaktivieren. Damit es keine bösen Überraschungen gibt, so noch ein Posting von bugtraq empfohlen, Abhilfe entweder mit dem im Posting online.securityfocus.com/arch...0/2002-06-05/0 erwähnten Patch oder per Beschäftigung mit ipchains/iptables.


Warum keine "personal firewall"?

Früher hatte ich immer empfohlen, eine "Firewall" wie zB ZoneAlarm zu installieren. Mittlerweile bin ich davon abgekommen. Warum?

-> Fragwürdige Funktionalität.

Um den Unsinn einer "personal firewall" zu durchleuchten, ist es nötig, die einzelnen Teile, die eine handelsübliche (Windows) Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.

"application control"-Funktionalität
Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation läuft, überwachen zu können, ist gelinde gesagt einfach unsinnig. Es ist gezeigt worden, dass eine personal firewall durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Käufer dieser PF gerne glauben lassen möchte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage für einen Paketfilter unbrauchbar werden läßt (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software läuft unter denselben Rechten. Eine personal firewall genauso wie das trojanische Pferd. Im Zweifelsfall beendet die "böse Software" die "personal firewall" einfach. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfällig. Der einzig effektive Weg, sich gegen bösartige Software zu schützen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.

IDS-Funktionalität
Unter IDS versteht man ein "intrusion detection tool", sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reißerischen Meldung honoriert werden: "hack attack auf Port xxx blocked!" - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen können, derart zu umschreiben. Ich persönlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall hätte etwas getan, was ansonsten enormen Schaden angerichtet hätte. Dem ist aber nicht so. Keine Dienste = keine Angriffsfläche. IDS-Systeme sind für richtige Firewallsysteme interessant, aber nicht für Privatanwender, die üblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die "Attacken" auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine PF jemals könnte.

Paketfilterfunktionalität
Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusätzliche Angriffsfläche bietet. Soll heißen: Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (Ein Erfahrungswert). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalität bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt übrigens noch einen weiteren Nachteil in Sachen Paketfilter: Die derzeit erhältlichen "personal firewalls" können kein "stateful filtering", soll heissen, aktive Protokolle á la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird nämlich zum Server und bindet einen temporären Dienst auf einem der High Ports (>1024), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die "personal firewall" nun wissen, dass sie für genau diese Anwendung genau diesen Port, und auch nur für dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.

Was aber kann eine personal firewall? Eine ps kann einen falsch konfigurierten Rechner für PortScanner "unsichtbar" machen. Das ist alles und das ist nicht viel. Denn potentielle Angreifer wissen alleine durch deine Internetaktivität (zB. in Foren), daß du online bist. Weiters gelten die im Abschnitt "Wie werde ich angegriffen?" angeführten Punkte. Und einen PC richtig zu konfigurieren wird im Punkt "Wie kann ich mich schützen" abgehandelt.


Paketfilter: Ist REJECT oder DENY sinnvoller?

Als REJECT bezeichnet man die aktive Ablehnung einer Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's verboten" oder "Dienst nicht verfügbar".
Als DENY bezeichnet man das kommentarlose Wegwerfen der Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.

Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos möglich, viele tausend Scans gleichzeitig zu starten und so auf alle Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst. Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen.

Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine Hilfestellung bei der Identifizierung seiner, sich daneben benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden. Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY.

Sieh das Ganze doch so, wie in einer offenen Beziehung:
Es ist besser seinem Partner direkt zu sagen, daß man über ein bestimmtes Thema nicht sprechen möchte (REJECT): Der Partner weiß sofort, was Sache ist und und kann dann ohne Zeitverzögerung seine Entscheidung darüber treffen, ob er die Beziehung fortsetzen möchte oder nicht.

Geht man auf ein Thema allerdings gar nicht ein (DENY) und stellt die Ohren auf Durchzug, kostet das a) einem selber Zeit dem Geschwafel des Partners zuzuhören und b) dem Partner ebenfalls Zeit; er möchte nämlich ein für ihn wichtiges Thema/Problem loswerden, und hätte das dann ja wohl besser woanders getan.

Ein anderes Beispiel aus dem Leben:
Du gehst durch die Einkaufstraße deiner Stadt, und irgendein "Penner" quatscht dich an, und will 'nen Euro. Hier könnte man sagen "Habe selbst kein Geld" (REJECT) oder einfach die fortgesetzte Bettelei ertragen.

Ob die Ports jetzt als "closed" markiert werden, oder scheinbar nicht da sind ist also unerheblich siehe auch: Was kann eine personal firewall.


ICMP zB: ICMP Echo Request = Ping

Bei ICMP scheiden sich die Geister: Die einen meinen, deaktivieren weil potentiell gefährlich. Ich bin der Meinung, alle Protokolle sind potentiell gefährlich, da aber nicht alles gesperrt werden kann, sollte man auch einzelne Typen von ICMP benutzen. Sonst müßte ich konsequenterweise meinen Computer vom Netz trennen.
Daher: Man darf nicht planlos ICMP sperren. Der Hintergrund ist zu komplex. Aber: Wenn du nicht nur explizit Typ 0 = Echo Reply = Ping und das auch nur für eingehende Verdindungen (sonst kannst du nicht mehrs ins Inet pingen ) sperren kannst, dann ICMP nicht deaktivieren.


Wie kann ich mich unsichtbar machen?

Garnicht.

Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. Der steht bei Deinem Provider und dann hättest Du kein Internet. Daher sind meiner Meinung nach Ergebnisse von Portscans mit "Stealth" irreführend. Siehe auch Paketfilter.


Zusammenfassung

"Sicherheit im Internet" ist natürlich zu komplex um hier in einem Post abgehadelt zu werden. Sicherheit bedeutet das nicht nur die Sicherheit des eigenen Rechners vor Angriffen sondern auch die Sicherheit der eigenen Privatsphäre.

Ich habe Grundbegriffe kurz erklärt und angedeutet wie ein System angegriffen werden könnte. Ich habe Links eingefügt wie man einen Windows und Linux Einzelplatzrechner mit Bordmitteln sichern kann, sowie einen Vorschlag für Heimnetzwerke gebracht. Ich habe dargelegt, daß, meiner Meinung nach, "personal firewall" Lösungen nur eine trügerische Sicherheit bieten. Im Anhang habe ich eine Linksammlung gepostet, die weiterführende Informationen enthält.


Anhang

Links:
www.stud.tu-ilmenau.de/~traenk/dcsm.htm
home.arcor.de/nhb/pf-austricksen.html
www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
www.heise.de
www.wcm.at
helpdesk.rus.uni-stuttgart.de...eme/index.html
www.antivir.de
grc.com