Ergebnis 1 bis 8 von 8
  1. #1
    Super Moderator Avatar von georg
    Registriert seit
    2001-06-28
    Ort
    cold peoples valley
    Alter
    48
    Posts
    16.786

    Standard Sicherheit im Internet

    Einleitung

    Hallo,

    weil ich immer wieder mit Sicherheitsfragen in Verbindung mit Internetnutzung konfrontiert werde hier eine kleine "Anleitung" damit ich in Zukunft einfach hierher linken kann .

    Ich bin selber kein IT Experte, sicherlich gibt es bessere Lösungen und andere Meinungen, aber als Anhaltspunkt ist das hier geschriebene sicher nicht schlecht. Natürlich habe ich nicht alles selber geschrieben, sondern zusammengesammelt, vereinfacht etc.


    Wichtige Grundbegriffe

    Trojanisches Pferd
    Ein trojanisches Pferd ist ein Programm, welches dem Nutzer im Vordergrund eine bestimmte Aktion vorgaukelt, während es unbemerkt andere (ungewollte) Aktionen ausfuehrt (dies kann z.B. sein, bestimmte Daten auf dem Rechner auszulesen und per Mail zu verschicken, auch, einen aus dem Internet erreichbaren Dienst anzubieten, der eine Fernsteuerung des kompromittierten Rechners ermoeglicht, ein angeblicher Virenscanner, der neben seiner Scanfunktion zufallsgesteuert in Excel-Tabellen Vorzeichen negiert, ist ebenfalls denkbar).

    Virus
    Bei Viren handelt es sich um einen Wirt (anderes Programm) benötigenden Code. Die Eigenschaften orientieren sich am biologischen Vorbild, Viren nisten sich in fremden Programmen und im Speicher des befallenen Computers ein, vornehmlich zum Zweck der Reproduktion (etwaige Schadensroutinen sind eigentlich nicht die Hauptaufgabe eines Virus). Dabei wird üblicherweise der Code des befallenen Programms derart verändert, dass es neben seinen eigenen Funktionen auch den Virus enthält. Ist der Virus aktiv (es wurde ein von einem Virus befallenes Programm gestartet), dann wird im folgenden jede Möglichkeit zur Reproduktion genutzt. Bis zu diesem Zeitpunkt "saubere" Software ist nach einem Start ebenfalls infiziert.

    Wurm
    Würmer sind Programmroutinen, die bestehende Netzwerkverbindungen zur Weiterverbreitung nutzen. Dabei sind sie auf homogene Systeme angewiesen, die eine Sicherheitslücke offenbaren. Bekanntesteste Beispiele: ILOVEYOU, NIMDA, CodeRed. Es handelt sich hierbei um Würmer, die Schwächen in weitverbreiteter Software (MS IIS, ein Webserver / Internet Explorer / Outlook Express) nutzen, um (bösartigen Code) auf der Zielmaschine zu plazieren. Das Adressbuch von OE wurde (uebrigens nicht nur von diesen Würmern), neben anderen Mechanismen, dazu genutzt, um den Wurm selbst an sämtliche vorhandenen Einträge zu versenden. Es sei der Vollständigkeit halber erwaehnt, dass OE in Vergangenheit unangenehm dadurch aufgefallen ist, dass Schadcode *ohne* explizite Bestätigung des Anwenders, nur durch blosse Betrachtung der Mail, ausgeführt werden konnte. Microsoft Windows ist i.a. wegen seiner weiten Verbreitung (über 80 Prozent aller PCs weltweit laufen unter einem Windows-Betriebssystem), gepaart mit ein paar konzeptionellen Schwächen, wie wir eh alle wissen, besonders gefährdet.

    Port
    Ports dienen der Zuordnung von in IP-Paketen enthaltenen Daten zu Applikationen (ansonsten ließe sich ja beispielsweise nicht bestimmen, ob das erhaltene Datenpaket nun zum Webbrowser oder zum Emailclient gehoert). TCP/UDP können jeweils 65.535 (2^16-1, da Port 0 aus konzeptionellen Gründen nicht verwendet werden darf) verschiedene Ports handhaben. Falls das zu technisch klingt: Ports sind sozusagen die Hausnummern, die die verschiedenen Applikationen zur Kommunikation nutzen. Die IP-Adresse könnte man in diesem Kontext als Strassenname bezeichnen. Sprich: wenn der Internet Explorer von www.irgendwer.com etwas haben moechte, dann sieht das so aus: Hallo $IP_von_irgendwer.com auf Port 80 (da laufen die meisten Webserver), hier ist der Rechner $meine_IP, ich hätte gerne Daten von Dir auf Port xyz (wird frei gewählt, liegt über 1024)...

    Portscan
    Unter einem Portscan wird die versuchte Verbindungsaufnahme auf mind. 1 Port verstanden. Es ist im Prinzip so, als ob man an eine Tür klopft mit der Absicht, herauszufinden, ob da jemand wohnt, der Kontakt mit der Aussenwelt wünscht. Wenn also jemand die Tür mit den Worten "sie wünschen?" oeffnet, dann weiss man zwar noch nicht, wer das ist, aber man weiss zumindest schonmal, dass er für die Öffentlichkeit gedacht ist. Und wenn derjenige in Hausnummer 80 wohnt, dann wird er mit grosser Wahrscheinlichkeit den Namen "Webserver" tragen. Es gibt auch Portscanabarten, die nicht wirklich eine Verbindungsaufnahme initiieren.

    Dienst
    I.a. versteht man unter einem Dienst einen Prozess, der anderen Prozessen eine bestimmte Funktionalität über eine definierte Schnittstelle zur Verfügung stellt. Hier ist unter Dienst ein Prozess zu verstehen, der diese Funktionalität für oder über das Netzwerk anbietet. Beispiel: der Windowsdienst "Datei- und Druckerfreigabe" ermöglicht es anderen Hosts (also meist Rechnern), auf definierte Ressourcen beim anbietenden Host (Drucker oder bestimmte Verzeichnisse) zuzugreifen. Der PC eines sich über einen Provider ins Internet einwählenden Privatnutzers sollte gewöhnlich ueberhaupt keine Dienste ins Internet stellen!

    Bindung
    Über eine Bindung werden bestimmte Dienste mit bestimmten Netzwerkkomponenten derart verkoppelt, dass über das entsprechende Netzwerkinterface der entsprechende Dienst verfügbar ist. Beispiel: Windows-PC mit ISDN-Karte und Netzwerkkarte fuer ein LAN (local area network, lokales Netzwerk), Windows-Freigaben fuer das LAN. Der "Datei- und Druckerfreigabedienst" von Windows sollte nun an die Netzwerkkarte (fuer das LAN) und nicht an die ISDN-Karte (die Freigaben haben im Internet nichts zu suchen) gebunden sein.

    TCP/IP-stack
    Unter dem TCP/IP-stack eines Betriebssystem wird die Komponente verstanden, die die Kommunikation zwischen Applikationen und dem Netzwerk (Internet, LAN) uebernimmt.

    exploit
    "to exploit" bedeutet übersetzt "jemanden ausbeuten". Im Computerjargon wird unter einem exploit ein Stück Softwarecode verstanden, das Designfehler eines Betriebssystems oder einer netzwerkfähigen Anwendungssoftware benutzt, um ungewollte Funktionalität bereitzustellen. Im schlimmsten Fall kann solch ein exploit dazu verwendet werden, um auf dem angegriffenen System Administratorrechte zu erlangen (der Angreifer darf alles).


    Wie werde ich angegriffen?

    Um Zugriff auf einen Rechner zu erlangen, ist man gezwungen, eine Lücke zu finden, durch die man eindringen kann. Daraus resultiert, dass man vor einem Angriffsversuch zuallererst Informationen ueber das zu kompromittierende System suchen muss. Betriebssystem, Dienste usw.

    Mögliche Angriffspunkte sind zB.:

    1) Fehlkonfigurationen

    Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern auch an das Internet-Interface gebunden ist. Der Aufwand einer vernünftigen Konfiguration lohnt sich! Eine Übersicht über Konfigurationsanleitungen für die gängigen Betriebssysteme befindet sich weiter unten -> "Wie kann ich mich schützen".

    Viele Fehlkonfigurationen spielen sich auch auf Anwendungs- ebene ab; zum Beispiel im Browser oder Mailprogramm. Leider sind solche Geschichten (z.B. automatisches Starten von Programmen) häufig die Standard-Einstellung, die man erst mehr oder weniger mühsam ändern muss.

    Hier sieht es mit dem Schutz durch Personal Firewalls (siehe unten) sehr schlecht aus, da die PF nicht mitbekommt, wenn ein Programm ungewollt Daten verändert oder löscht. Und wenn das Mailprogramm plötzlich Mails senden will, dann wird die PF es nicht davon abhalten.

    2) Bugs

    Die zweite große Möglichkeit besteht in der Ausnutzung von Bugs. Ein häufiges Angriffsszenario entsteht, wenn ein Programm die Länge eines Speicherbereiches beim Kopieren/Einlesen nicht prüft und über das Ende seines Puffers hinausschreibt.

    Wenn in einer der dahinterliegenden Speicherzellen ein Verweis auf eine Speicheradresse mit Programmcode liegt (Rücksprung- adresse bei Funktionen), dann kann diese überschrieben werden. Im simpelsten Fall steht dann dort Müll und es gibt einen "Fehler in Anwendungsprogramm". Mit etwas Mühe ist es in dieser Situation häufig möglich, in die eigenen Daten zu springen, die in Wirklichkeit Programm-Anweisungen in Maschinensprache sind.
    Technische Hintergrundinformationen dazu: "Smashing The Stack For Fun And Profit" (Englisch)
    oder ein deutscher Text: www.heise.de/ct/01/23/216/

    Eine Personal Firewall (siehe unten) könnte theoretisch solche "zu langen" Daten erkennen und abfangen. Das geht allerdings nur, wenn sie weiß, wonach sie suchen muss. Bevor die Personal Firewall- Hersteller ihre Programme angepasst haben, hat MS (bzw. die Hersteller des fehlerhaften Programms) idR. ihre Sicherheitspatches schon längst veröffentlicht.

    Da solche Fehler auch immer mal wieder in Personal Firewalls gefunden werden, kann der vermeintliche Schutz das Loch auch erst aufreißen: cert.uni-stuttgart.de/ticker/article.php?mid=888

    3) "böse Programme"

    Zu guter Letzt könntest du noch eine Fernwartungssoftware oder ein anderes böses Programm gestartet haben; wahrscheinlich im Glauben ein nützliches Programm zu installieren. Allerdings machte es neben den bunten Effekten auf der Webseite (ActiveX) im Hintergrund noch andere Sachen. Oder die Mail von deinem Bekannten ist in Wirklichkeit von dem Wurm verschickt worden, den er im gleichen Irrglauben gestartet hat.

    Sollte wirklich ein Angriff stattfinden, könnte er nach folgendem, vereinfachten Schema ablaufen:

    -) Identifikation des Betriebssystems

    -) Identifikation der Dienste (Portscan)
    Es sei der Vollständigkeit halber erwähnt, daß ein Portscan keinerlei (sic!!!) Indiz für einen eventuellen Angriff ist. Moeglicherweise hat man ihn selbst beim Surfen, P2P etc. verursacht, bei einer dynamischen Adresse (wie bei den meisten Providern ueblich) ist außerdem die Chance ziemlich hoch, dass eingehende Datenpakete jeglicher Art vom Vorbesitzer der Adresse stammen.

    -) eventuelle Angriffspunkte ausnutzen
    Die Möglichkeiten sind vielfältig. Eventuell hat sich der Besitzer des Rechners ein Fernwartungstool ("Trojaner") installiert, fehleranfällige oder ungewollte Dienste laufen oder der TCP/IP-stack des von ihm verwendeten Betriebssystems ist exploitanfällig. Usw.


    Wie kann ich einen Angriff feststellen?

    Leider gibt es dafür keine Faustregel. Spätestens wenn du unerklärlicherweise 30MB Pornos auf deiner Festplatte findest, oder dein Provider dir mitteilt, daß dein Rechner als Spam-Relay benutzt wird (also pausenlos Spam-Mails von deinem Rechner in alle Welt verschickt werden), etc. , kannst du dir sicher sein.
    Für Microsoft-Betriebssysteme haben sich die Tools TDIMON www.sysinternals.com/ntw2k/freeware/tdimon.shtml (zeigt UDP/TCP-Aktivitäten, sprich, welche Applikation möchte auf welchem Port über welches Protokoll mit welchem Ziel kommunizieren) und ANALYZER netgroup-serv.polito.it/analyzer/ (Sniffer, schneidet den gesamten Netzverkehr mit, so dass die Inhalte der uebermittelten Pakete überprüft werden können) als sehr hilfreich erwiesen.

    Wer wissen will, von wem ein Paket stammt, das auf dem Netzwerkinterface eintrifft (man sieht ja nur eine IP-Adresse), der kann dies mittels des WHOIS-Service erfahren. Es sei bemerkt, daß die eingetragene IP nicht notwendigerweise von echten Absender stammen muss, sie kann gefälscht sein (nennt sich IP spoofing).


    Wie kann ich mich schützen?

    Grundsätzlich: Nutzerverhalten

    Stelle sicher, dass du niemals Binärdateien aus potentiell nicht vertrauenswürdigen Quellen auf deinem Rechner ausführst. Stelle sicher, daß auch die verwendete Software dies nicht tut. Ich weiß, das geht nicht immer. Wer weiß schon konkret was die Programme tun? Nichtmal die Entwickler.. Aber versuche es zumindest wo du kannst!

    Das klingt zwar jetzt hochgestochen aber trotzdem: Vertraue nicht blindlings Marketing-Sprüchen. Informiere dich über tatsächliche Gefahren und Risiken. Schon eine kurze Recherche mit einer Suchmaschine wie zB www.google.at kann helfen. Wäge die Gefahren gegen die zu schützenden Werte auf deinem Rechner ab, lote deine technischen und ökonomischen Möglichkeiten aus, soll heißen: Leiste ich mir eine Hardware-Firewall, konfiguriere ich einen alten PC als Linux Router oder reicht es mein System mit Bordmitteln sicher zu konfigurieren? Gehe einmal alle deine Daten durch und checke was davon du benötigst. Es ist wahrscheinlich mehr als du denkst! Auch Backups alleine bedeuten keine Sicherheit. Oder überprüfst du den Inhalt jeder einzelnen Datei bevor du sie sicherst nach Fehlern? Wann bemerkst du zB. einen Trojaner, Wurm etc. der in deinen Daten nach dem Zufallsprinzip Bits ändert?

    Schaffe dir ein persönliches "Konzept". Dieses "Konzept" oder einfach Verhaltensregeln sollte nicht nur auf deinen Rechner beschränkt sein, sondern auch für Registrierungen online oder im Supermarkt gelten, und ständig in Bezug auf Anforderungen und neue technische Gegebenheiten überprüft werden. Das Verwenden von sicheren Paßwörtern gehört hier ebenfalls dazu! Faustregel: Mind. 8 Zeichen, keine Wörter die irgendwas bedeuten könnten, möglichst Klein- Großbuchstaben gemischt mit Ziffern und Satzzeichen. Das ist natürlich schwierig zu merken, klar. Bitte trotzdem versuchen!

    Was kannst du nun konkret an deinen Rechner(n) unternehmen? Da ist es ist wichtig zwischen Einzelrechner und Netzwerk zu unterscheiden:

    -) Einzelrechner: Die benötigen kein NetBIOS und andere Dienste also nach der untenstehenden Anleitung alles deaktivieren, Virenscanner installieren und genauso wie die verwendete Software regelmäßig Updaten. Fertig.

    -) Netzwerk: Hier wird es schwieriger. Für ein kleines Heimnetzwerk gibt es folgende Wege: Entweder einen Hardwarerouter mit Firewallfunktionalität kaufen und diese auch richtig konfigurieren. Also nicht das Standardpaßwort behalten, das jeder kennt, alle Ports und Funktionen offenhalten die irgendjemand irgendwann einmal benötigen könnte, und: HANDBUCH LESEN!!! Oder einen kleinen Linuxrouter aufstellen zB: www.fli4l.de

    Vernünftige (saubere) Rechnerkonfiguration!!!!!!!

    Eine "saubere" Konfiguration sollte so aussehen, dass keinerlei Dienste auf die Interneteinwahlhardware (z.B. ISDN-Karte oder Netzwerkkarte zum Modem) gebunden werden. Leider haben gängige Betriebssysteme (Windows, viele Linux-Distributionen) die unangenehme Angewohnheit, direkt nach der Installation Dienste ins Internet anzubieten. Diese sollten normalerweise deaktiviert werden! Die entsprechenden Einstellungen sind bei Windows in der Netzwerkumgebung (die TCP/IP-Bindungen der diversen Dienste müssen von der Internethardware gelöst werden) und bei Linux in /etc/inetd.conf (kann distributionsabhängig variieren) zu finden.

    -) Windows 9x

    Im Prinzip kann man hier nicht viel falsch machen, da Windows 9x recht einfach gestrickt ist. Falls der "Datei- und Druckerfreigabe"-Dienst installiert sein sollte, muss man allerdings darauf achten, dass dieser Dienst nicht an die externe Hardware gebunden wird. Anmerkung: Port 139 (netbios) von Windows bleibt aus unerfindlichen Gründen offen, auch wenn man die Bindungen sämtlicher überflüssiger Dienste auf die Internethardware gelöst hat (zumindest deren Funktionalität ist tatsächlich deaktiviert). Eine Anleitung, wie man diesem vorbeugen kann (zumindest kenne ich nur diesen Weg aus dem Stegreif), gibt es auf Steve Gibsons Homepage. grc.com Ich kann mich nicht allen dort vertretenen Ansichten ("personal firewalls" sind toll) ruhigen Gewissens anschließen, siehe auch -> "Warum keine personal firewall"? Ich persönlich neige ja dazu, das "Netbios-Problem" einfach zu ignorieren, denn ob ein neugieriger Internetnutzer nun herausfindet, ob mein PC den Windowsnamen "Schwanzmeister" trägt oder ob ich ihm dieses verwehre, ist doch letztlich egal.

    -) Windows NT 4

    Meiner Erfahrung nach gilt dasselbe wie bei Windows 9x. Wenn etwaige Freigaben nicht auf die Internethardware gebunden sind, bleiben netbios (port 139 TCP) und der RPC endpoint mapper (port 135 TCP) offen, beides Dienste ohne (bisher natürlich, daher ist das Abonnieren einer Securitymailingliste essentiell) nennenswerte Schwächen. Was es bei NT 4 per default an möglichen (nicht zwingend aktiven) Diensten gibt, kann man sich hier www.plasma-online.de/english/..._services.html durchlesen. Ach ja, den letzten Service Pack (6a IIRC, irgendwo auf der Microsoftseite zu finden) sollte man schon installiert haben. Aber grundsätzlich ist NT4.0 kein sicheres System und wird außerdem von Microsoft nicht mehr unterstützt.

    -) Windows 2000
    Schicke Anleitung zum Diensteabstellen
    www.kssysteme.de/htdocs/docum...services1.html

    -) Windows XP
    Schicke Anleitung zum Diensteabstellen
    www.kssysteme.de/htdocs/docum...services1.html
    Wem seine Privatsphäre nicht wichtig ist, dem sei Windows XP wärmstens empfohlen.

    -) Linux

    Die meisten Dienste lassen sich in der /etc/inetd.conf (distributionsabhängig) deaktivieren. Damit es keine bösen Überraschungen gibt, so noch ein Posting von bugtraq empfohlen, Abhilfe entweder mit dem im Posting online.securityfocus.com/arch...0/2002-06-05/0 erwähnten Patch oder per Beschäftigung mit ipchains/iptables.


    Warum keine "personal firewall"?

    Früher hatte ich immer empfohlen, eine "Firewall" wie zB ZoneAlarm zu installieren. Mittlerweile bin ich davon abgekommen. Warum?

    -> Fragwürdige Funktionalität.

    Um den Unsinn einer "personal firewall" zu durchleuchten, ist es nötig, die einzelnen Teile, die eine handelsübliche (Windows) Personal Firewall meiner Meinung nach charakterisieren, einzeln abzuhandeln.

    "application control"-Funktionalität
    Das Versprechen, Applikationen per Software, die auf derselben Maschine wie die Applikation läuft, überwachen zu können, ist gelinde gesagt einfach unsinnig. Es ist gezeigt worden, dass eine personal firewall durchaus selbst Angriffspunkt sein kann, sie selbst ist also keineswegs sicher (auch wenn das Marketing das den Käufer dieser PF gerne glauben lassen möchte). Das Betriebssystem Windows 9x/ME besitzt eine Eigenschaft, das es als Grundlage für einen Paketfilter unbrauchbar werden läßt (dito NT, 2000 und XP unter Adminrechten bzw. als Poweruser) - jegliche Software läuft unter denselben Rechten. Eine personal firewall genauso wie das trojanische Pferd. Im Zweifelsfall beendet die "böse Software" die "personal firewall" einfach. Selbst Betriebssysteme, die Rechteverwaltungen kennen, sind gegen derartige Angriffe anfällig. Der einzig effektive Weg, sich gegen bösartige Software zu schützen, ist, sie nicht zu installieren. Respektive Ihnen den Weg zu verwehren, auf das System zu kommen.

    IDS-Funktionalität
    Unter IDS versteht man ein "intrusion detection tool", sprich, eine Software, die etwaige Angriffe erkennen und melden soll. Bei PFs hat sich gezeigt, dass normale Portscans bzw. Verbindungsanfragen mit einer entsprechend reißerischen Meldung honoriert werden: "hack attack auf Port xxx blocked!" - man darf sich zurecht fragen, welchen Sinn es haben soll, eine der normalsten Sachen, die einem im Internet begegnen können, derart zu umschreiben. Ich persönlich bin ja der Meinung, dem Nutzer soll schlicht und ergreifend suggeriert werden, die personal firewall hätte etwas getan, was ansonsten enormen Schaden angerichtet hätte. Dem ist aber nicht so. Keine Dienste = keine Angriffsfläche. IDS-Systeme sind für richtige Firewallsysteme interessant, aber nicht für Privatanwender, die üblicherweise ohnehin keine Dienste laufen lassen wollen. Man kann dementsprechend auch einfach seinen PC so konfigurieren, dass er keine Dienste anbietet, und die "Attacken" auf nichtvorhandene Dienste kann der TCP/IP-stack des Betriebssystems viel besser blocken, als es eine PF jemals könnte.

    Paketfilterfunktionalität
    Die Theorie sagt, dass ein Paketfilter niemals auf der Maschine zu laufen hat, die zum normalen Arbeiten genutzt wird, da er selbst zusätzliche Angriffsfläche bietet. Soll heißen: Software hat Fehler, mehr Software hat demzufolge mehr Fehler, das System wird angreifbarer bzw. instabiler (Ein Erfahrungswert). Man kann sich auch einfach fragen, wozu soll ich Software installieren, die mir nur Funktionalität bereitstellt, die ich auch mit Bordmitteln des Betriebssystems erreichen kann? Es gibt übrigens noch einen weiteren Nachteil in Sachen Paketfilter: Die derzeit erhältlichen "personal firewalls" können kein "stateful filtering", soll heissen, aktive Protokolle á la IRC-DCC / p2p-Software (kazaa, gnutella usw.) funktionieren nicht mehr, da hierbei ein besonderes Verfahren zum Verbindungsaufbau genutzt wird. Der eigene PC wird nämlich zum Server und bindet einen temporären Dienst auf einem der High Ports (>1024), wobei zu diesem Port von der Gegenseite (!) die Verbindung initiiert wird. Woher soll die "personal firewall" nun wissen, dass sie für genau diese Anwendung genau diesen Port, und auch nur für dieses eine Mal durchzulassen hat? Kann sie nicht, da sie die zugrundeliegenden Protokolle nicht analysieren kann.

    Was aber kann eine personal firewall? Eine ps kann einen falsch konfigurierten Rechner für PortScanner "unsichtbar" machen. Das ist alles und das ist nicht viel. Denn potentielle Angreifer wissen alleine durch deine Internetaktivität (zB. in Foren), daß du online bist. Weiters gelten die im Abschnitt "Wie werde ich angegriffen?" angeführten Punkte. Und einen PC richtig zu konfigurieren wird im Punkt "Wie kann ich mich schützen" abgehandelt.


    Paketfilter: Ist REJECT oder DENY sinnvoller?

    Als REJECT bezeichnet man die aktive Ablehnung einer Verbindungsanfrage mit einem ICMP Paket vom Inhalt "Der Admin hat's verboten" oder "Dienst nicht verfügbar".
    Als DENY bezeichnet man das kommentarlose Wegwerfen der Verbindungsanfrage. Damit läuft der Anfragende in einen Timeout.

    Admins, die sich über Script Kiddies ärgern, glauben oft, diese durch DENY aufhalten zu können. Dies ist jedoch falsch. Es ist problemlos möglich, viele tausend Scans gleichzeitig zu starten und so auf alle Timeout gleichzeitig zu warten. Ein Scanner wird so nicht gebremst. Andererseits bremst man mit DENY alle legitimen Nutzer und Server massiv aus. Das betrifft insbesondere die ident Anfragen.

    Ident dient dazu, dem Admin eines ordentlich gepflegten Systems eine Hilfestellung bei der Identifizierung seiner, sich daneben benehmenden Nutzer zu geben. DENY für ident bewirkt nur, daß diese Hilfestellungen bei anderen Servern nicht mehr aufgezeichnet werden. Wenn Du als Schutzpatron für Spammer und Scriptkiddies auftreten willst, nimm DENY.

    Sieh das Ganze doch so, wie in einer offenen Beziehung:
    Es ist besser seinem Partner direkt zu sagen, daß man über ein bestimmtes Thema nicht sprechen möchte (REJECT): Der Partner weiß sofort, was Sache ist und und kann dann ohne Zeitverzögerung seine Entscheidung darüber treffen, ob er die Beziehung fortsetzen möchte oder nicht.

    Geht man auf ein Thema allerdings gar nicht ein (DENY) und stellt die Ohren auf Durchzug, kostet das a) einem selber Zeit dem Geschwafel des Partners zuzuhören und b) dem Partner ebenfalls Zeit; er möchte nämlich ein für ihn wichtiges Thema/Problem loswerden, und hätte das dann ja wohl besser woanders getan.

    Ein anderes Beispiel aus dem Leben:
    Du gehst durch die Einkaufstraße deiner Stadt, und irgendein "Penner" quatscht dich an, und will 'nen Euro. Hier könnte man sagen "Habe selbst kein Geld" (REJECT) oder einfach die fortgesetzte Bettelei ertragen.

    Ob die Ports jetzt als "closed" markiert werden, oder scheinbar nicht da sind ist also unerheblich siehe auch: Was kann eine personal firewall.


    ICMP zB: ICMP Echo Request = Ping

    Bei ICMP scheiden sich die Geister: Die einen meinen, deaktivieren weil potentiell gefährlich. Ich bin der Meinung, alle Protokolle sind potentiell gefährlich, da aber nicht alles gesperrt werden kann, sollte man auch einzelne Typen von ICMP benutzen. Sonst müßte ich konsequenterweise meinen Computer vom Netz trennen.
    Daher: Man darf nicht planlos ICMP sperren. Der Hintergrund ist zu komplex. Aber: Wenn du nicht nur explizit Typ 0 = Echo Reply = Ping und das auch nur für eingehende Verdindungen (sonst kannst du nicht mehrs ins Inet pingen ) sperren kannst, dann ICMP nicht deaktivieren.


    Wie kann ich mich unsichtbar machen?

    Garnicht.

    Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse Deines nächsten Routers "ICMP - Host/Network unreachable" senden.
    Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Weil wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. Der steht bei Deinem Provider und dann hättest Du kein Internet. Daher sind meiner Meinung nach Ergebnisse von Portscans mit "Stealth" irreführend. Siehe auch Paketfilter.


    Zusammenfassung

    "Sicherheit im Internet" ist natürlich zu komplex um hier in einem Post abgehadelt zu werden. Sicherheit bedeutet das nicht nur die Sicherheit des eigenen Rechners vor Angriffen sondern auch die Sicherheit der eigenen Privatsphäre.

    Ich habe Grundbegriffe kurz erklärt und angedeutet wie ein System angegriffen werden könnte. Ich habe Links eingefügt wie man einen Windows und Linux Einzelplatzrechner mit Bordmitteln sichern kann, sowie einen Vorschlag für Heimnetzwerke gebracht. Ich habe dargelegt, daß, meiner Meinung nach, "personal firewall" Lösungen nur eine trügerische Sicherheit bieten. Im Anhang habe ich eine Linksammlung gepostet, die weiterführende Informationen enthält.


    Anhang

    Links:
    www.stud.tu-ilmenau.de/~traenk/dcsm.htm
    home.arcor.de/nhb/pf-austricksen.html
    www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
    www.heise.de
    www.wcm.at
    helpdesk.rus.uni-stuttgart.de...eme/index.html
    www.antivir.de
    grc.com


  2. #2
    Junior Member
    Registriert seit
    1970-01-01
    Posts
    0

    Standard Re: Sicherheit im Internet

    Es ist im Prinzip so, als ob man an eine Tür klopft mit der Absicht, herauszufinden, ob da jemand wohnt, der Kontakt mit der Aussenwelt wünscht. Wenn also jemand die Tür mit den Worten "sie wünschen?" oeffnet, dann weiss man zwar noch nicht, wer das ist, aber man weiss zumindest schonmal, dass er für die Öffentlichkeit gedacht ist. Und wenn derjenige in Hausnummer 80 wohnt, dann wird er mit grosser Wahrscheinlichkeit den Namen "Webserver" tragen


    Hast gut gemacht. Ich ziehe zwar aufgrund einiger Fakten andere Schlüsse und bin nicht überall genau Deiner Meinung.
    Aber es ist auf alle Fälle alles richtig, und ich kann nur jedem raten es sich wirklich durchzulesen.

    Grüße an den "Schwanzmeister"

  3. #3
    Super Moderator Avatar von georg
    Registriert seit
    2001-06-28
    Ort
    cold peoples valley
    Alter
    48
    Posts
    16.786

    Standard Re: Sicherheit im Internet

    Danke für das Lob!

    Eigentlich gehört da noch der Schutz der Privatsphäre dazugeschrieben. Aber ich ich kenne mich nicht aus in der Welt der Refferer-Header, Cookies, Web-Bugs etc.

    Wird aber Zeit dafür. Will so einen Schutz nämlich in meinen Linux-Router einbauen. Das müßte dann aber schon ein Proxy sein ..

    Und übrigens: Nein, ich leide nicht an Verfolgungswahn, glaube nicht an diverse Verschwörungstheorien etc. Vieles habe ich indirekt (zB. aus Erzählungen) erlebt, manches ist (leider) eigene Erfahrung.

  4. #4
    Administrator Avatar von noox
    Registriert seit
    2001-06-22
    Ort
    Anthering/Salzburg
    Alter
    49
    Posts
    22.204

    Standard Re: Sicherheit im Internet

    habe in letzter Zeit öfters negatives über Personal Firewalls gehört. Ich verwende trotzdem eine.

    Und zwar aus folgenden Gründen:

    - Ich sehe ungefähr was Verbindungsmäßig so los ist.
    - Unser "Router" Hat sich vor kurzem den Blaster Virus eingefangen (hat ja ewig keiner mehr draufgeschaut und schon gar keine Patches installiert). Durch die Personal-Firwall konnte er nicht nach draussen und Mails etc. versenden.
    - Ich kann bestimmte Microsoft- etc. Programme beschränken: Z.B. bei Outlook Express nur die Mail-Ports freigeben. Früher als man HTML-Mails nicht deaktivieren konnte, habe ich somit verhindert, dass in HTML-Mails Bilder über HTTP von einem Server geladen wurde - und daher der Server allein durch die Tatsache, dass ich das Mail anschaue weiß, dass ich das Mail gesehen habe (z.B. bei Spam-Mails).

    Aber sicher sind die Teile natürlich nicht.

    Wieder mal die Frage: Gibt es ein Virenprogramm, dass einfach zu bedienen ist - sich möglichst nirgends einnistet, sondern nur on Demand startet - und vorallem den Rechner nicht instabiler macht. Ich hatte bis jetzt mit Viren-Scannern nur schlechte Erfahrungen (egal ob McAfee, Norton oder BitDefender). Die machen alle den Rechner instabiler - ist zumindest meine Erfahrung. Außerdem muss man eine Zeitlang konfigurieren, damit sie sich nicht überall einmischen.

    Zum Thema Referer, WebBug und Cookies möchte ich noch was sagen:

    Aus Anwender-Sicht ist das natürlich ein Problem mit der Privatsphäre. Aus Sicht dese Seitenbetreibers ist es aber ziemlich scheiße, dass man User nicht vernünftig identifizieren kann. Z.B. beim Einblenden von Werbung. Man möchte z.B. nicht, dass einer 5 mal dasselbe Banner bekommt, sondern abwechselnd. Eine 100% sichere Methode gibt es nicht. Meisten müsste man mehrer Methoden kombinieren - Aufwändig, viele Daten, trotzdem nicht 100% sicher.

    Aber es geht nicht nur um Werbung - es ist schon bei einfachen Webanwendungen nicht einfach.

    Mehr dazu von meiner Diplomarbeit:
    www.schmiderer.cc/xmlwebapp/c...3_4.php#a3.4.7
    wird etwas lang werden - daher gleich zur Zwischenüberschrift Cookies runterscrollen. 3. Absatz: "Wieso haben Benutzer Cookies deaktiviert? ..."
    Und ein paar Absätze weiter unten: "Auch wenn es möglich ist, Cookies sicher einzusetzen..."

    Übrigens, wer vor hat dynamische Webseiten zu schreiben (PHP, Perl ASP, Java), dem sei folgendes Kapitel nahegelegt. DA habe ich mich am meisten reingesteigert. Dürfte a ganz gute Zusammenfassung sein, mit vielen guten weiterführenden Literaturangaben.


  5. #5
    Senior Member Avatar von Chris
    Registriert seit
    2001-06-28
    Alter
    43
    Posts
    8.000

    Standard Re: Sicherheit im Internet

    Norton Anti Virus macht bei mir überhaupt keine Probleme (hab grad erst wieder auf 2004 upgedatet). Der läßt sich auch (ganz easy) so konfigurieren, dass er nur on-demand arbeitet (zB über Rechtsklick-Kontextmenü). Der von On-Track geht AFAIK über nur on-demand.

  6. #6
    Super Moderator Avatar von georg
    Registriert seit
    2001-06-28
    Ort
    cold peoples valley
    Alter
    48
    Posts
    16.786

    Standard Re: Sicherheit im Internet

    Hallo noox,

    zu ps: Wenn das so rübergekommen ist, daß jeder jetzt seine ps deinstallieren soll, war das nicht so beabsichtigt.

    Ich wollte bloß darlegen, daß eine ps meiner meinung nach nur einen zweifelhaften Schutz bietet. In Verbindung mit: "Jetzt kann mir eh nix mehr passieren" ist das schlimm.

    Zu den von dir aufgeführten Punkten:

    ich sehe ungefähr was verbindungsmäßig los ist
    Das ist tatsächlich so. Das habe ich in meiner Auflistung vergessen.

    Unser "Router" Hat sich vor kurzem den Blaster Virus eingefangen (hat ja ewig keiner mehr draufgeschaut und schon gar keine Patches installiert). Durch die Personal-Firwall konnte er nicht nach draussen und Mails etc. versenden.
    Das ist nicht immer so. Ich hab ein Beispiel wo Programm sich trotz ps und virenscanner eingenistet hat, und den Rechner als Spam-Relax mißbraucht hat.

    Ich kann bestimmte Microsoft- etc. Programme beschränken: Z.B. bei Outlook Express nur die Mail-Ports freigeben. Früher als man HTML-Mails nicht deaktivieren konnte, habe ich somit verhindert, dass in HTML-Mails Bilder über HTTP von einem Server geladen wurde - und daher der Server allein durch die Tatsache, dass ich das Mail anschaue weiß, dass ich das Mail gesehen habe (z.B. bei Spam-Mails).
    Das können aber bei weitem nicht alle ps eher sehr wenige. Und damit bist du auch um einiges weiter als die meisten ps-User.. Und ich hab auch ein Beispiel wo sich ein beliebtes Programm trotz blocken mit der ps weiterhin seine Website kontaktieren konnte - Nur die Update-Funktion wurde geblockt.

    Chris hat das so schön formuliert, ich zitiere mal: "Ich bin der Meinung, dass eine Desktop Firewall immer noch mehr Schutz bietet als keine Desktop Firewall.
    Klar, sie bietet keinen 100% Schutz, und sie kann Angriffspunkt für Attacken sein. Aber wenn man sich über das Restrisiko im Klaren ist, so find ich sie nicht schlecht."

    Das würde ich mal als kleinsten gemeinsamen Nenner stehenlassen..Ich wollte eigentlich nur das Risiko das trotz und wegen der ps da ist einmal darlegen..

    Gibt es ein Virenprogramm, dass einfach zu bedienen ist - sich möglichst nirgends einnistet, sondern nur on Demand startet - und vorallem den Rechner nicht instabiler macht.
    www.antivir.de

    Damit haben wir sehr gute Erfahrungen gemacht. Weder bei CD/DVD-Brennen, Videobearbeitung, CAD oder diversen Siemens, Sigmatek etc. Programmiermodulen gibt es Probleme. Bei der Kaufversion ist der Support einmalig. (Rückruf nach Mail innerhalb vonn 5min!!!) Auch die kostenlose Version steht der Kaufversion nicht nach, allerdings halt ohne Support mit manuellen Updates.

    Natürlich nistet sich der OnlineScanner ein.. den müßtest du manuell deaktivieren -> Dienste. Was wahrscheinlich nach jedem Update zu machen ist. Ausprobieren. Oder nach jedem Neustart über Rechtsklick Kontextmenü deaktivieren. Eher öde. Oder Programm laufen lassen, und die zu durchsuchenden Dateien über die Endungen einschränken.....

    Zum Thema Referer, WebBug und Cookies möchte ich noch was sagen:

    Aus Anwender-Sicht ist das natürlich ein Problem mit der Privatsphäre. Aus Sicht dese Seitenbetreibers ist es aber ziemlich scheiße, dass man User nicht vernünftig identifizieren kann. Z.B. beim Einblenden von Werbung. Man möchte z.B. nicht, dass einer 5 mal dasselbe Banner bekommt, sondern abwechselnd. Eine 100% sichere Methode gibt es nicht. Meisten müsste man mehrer Methoden kombinieren - Aufwändig, viele Daten, trotzdem nicht 100% sicher.

    Aber es geht nicht nur um Werbung - es ist schon bei einfachen Webanwendungen nicht einfach.
    Im Zweifel bin ich aber auf der Seite der Privatanwender. Das das auch für den Anwender Nachteile hat, ist mir schon klar.

    Ich habe damit aber nicht solche "normale" Steuerungen gemeint, sondern den Mißbrauch. Aber da ich mich da nicht auskenne, kann ich da jetzt nix sinnvolles dazu sagen.

    Vielleicht kann mal wer Links posten oder selber was tippen?

  7. #7
    Administrator Avatar von noox
    Registriert seit
    2001-06-22
    Ort
    Anthering/Salzburg
    Alter
    49
    Posts
    22.204

    Standard Re: Sicherheit im Internet

    das antivir hatte ich mal ziemlich lange (die kostenlose version).

    Aber das manuelle Updaten (Neuinstallation) war doch sehr mühsam.

    Seither mach ich's so: Wenn ich Verdacht auf Virus habe => www.hoaxinfo.de. Aktuelle Viruswarnungen - und dort dann die kostenlosen Virenremover-Tools (meist von Bitdefender) ausprobieren.

  8. #8
    Super Moderator Avatar von georg
    Registriert seit
    2001-06-28
    Ort
    cold peoples valley
    Alter
    48
    Posts
    16.786

    Standard Re: Sicherheit im Internet

    Aber das manuelle Updaten (Neuinstallation) war doch sehr mühsam.
    Mittlerweile haben die die Huhninstallation aber abgeschafft, soweit ich das mitbekommen habe. Dh. manuell starten, aber dann läuft nach dem Dwonload alles automatisiert ab. Haut mich nicht, wenn ich jetzt was falsches sage..

Ähnliche Threads

  1. Mein Pc.... Kein Internet/ Netzwerk mehr.......
    Von Rx_Bandit im Forum Ranger's Talk Corner & Off-Topic
    Antworten: 8
    Letzter Post: 2005-08-18, 11:03
  2. Internet funktioniert nicht
    Von Bad_Moon im Forum Ranger's Talk Corner & Off-Topic
    Antworten: 1
    Letzter Post: 2005-07-28, 14:54
  3. internet treibt mich in den wahnsinn, bitte hilfe
    Von Wastl im Forum Ranger's Talk Corner & Off-Topic
    Antworten: 0
    Letzter Post: 2005-04-09, 20:54
  4. Internet Sicherheit Teil2
    Von georg im Forum Ranger's Talk Corner & Off-Topic
    Antworten: 6
    Letzter Post: 2003-11-03, 13:59
  5. Videos aufs internet...
    Von Fünsee im Forum Ranger's Talk Corner & Off-Topic
    Antworten: 17
    Letzter Post: 2003-03-17, 16:54

Berechtigungen

  • Neue Threads erstellen: Nein
  • Threads beantworten: Nein
  • Anhänge hochladen: Nein
  • Posts bearbeiten: Nein
  •