Ich weiß, dass das Thema schon oft angesprochen wurde, aber hauptsächlich in Threads, die bloß indirekt damit zutun hatten. Deshalb will ich mit dem Thread alle ansprechen. Ich hoffe, dass ihr das Thema alle ohne Vorurteile angeht und verlinkt bitte nicht auf ältere Threads, denn genau das will ich vermeiden. Ihr sollt einfach noch mal ganz neu an die Sache heran gehen!
Hier meine Gedanken:
Die einfache Herangehensweise an Software-Firewalls:
Pro
Contra
"Ausgang- und Eingangskontrolle" für Anwendungen
Stealth-Mode
schließen der Ports
Verbrauch von Systemressourcen
Stealth-Mode funktioniert evtl. nicht richtig
einzelne Ports sind weiterhin geöffnet
kann umgangen werden oder gar ganz ausgeschaltet werden
es werden evtl. Fehlalarme gemeldet
bei "Easy"-Firewalls wie ZoneAlarm oder falscher Konfiguration
treten evtl. Probleme mit bestimmter Software auf
Wenn man diese Tabelle betrachtet überwiegt "Contra" gering und die Funktionen sind evtl. auschaltbar oder umgehbar, aber ist das ein Grund um gleich zu sagen SW-Firewalls sind "shit" und taugen nichts? Ganz klar ist das die falsche Herangehensweise! Weil bis auf den Verbrauch von Systemressourcen gibt es keine negativen Punkte, die System beeinträchtigen würden. Alle anderen Kriterien verbessern die Sicherheit, wenn auch eventuell nur gering. Aber wie sagt man: Wer den Pfennig nicht ehrt ist der Mark nicht wert (oder muss ich jetzt sagen "Wer den Cent nicht ehrt ist dem €uro nicht wert"?).
Ich denke die Hauptaufgabe von SW-Firewalls ist es so oder so den ausgehenden Verkehr je nach Anwendung anders zu zensieren oder gar ganz zu blocken. Deshalb ist es auch durchaus sinnvoll eine SW-Firewall in Kombination mit einer Hardware-Firewall, die den Traffic nur nach IPs und Ports filtern kann, einzusetzen, somal "doppelt gemoppelt" besser hält!
Danke für eure kritische, unterstützende oder ergänzende Beteiligung!
Eine gute Idee, aber du vergisst aber ein paar contra-Punkte:
-Stealth-Modus kann nicht funktionieren, da er logisch unsinnig ist (ob man jetzt keine Antwort erhält oder eine vom Rechner ist egal, um den Rechner unsichtbar zu machen müsste der letzte Router vor dem Rechner ein "destination unreachable" zurückschicken, und dass lässt sich nicht imitieren)
-"Firewall" erleichtert diverse Angriffstypen, man muss zum Bleistift nur eine größere Menge komplett sinnloser Pakete an den Rechner schicken und schon wird der die nächste Zeit ausgelastet sein, weil die PF jedes Paket einzeln prüft (steht der Absender/ Empfänger auf der Blacklist/Whitelist? wurde das Paket angefordert? Ist der Zielport als Standardport eines Trojaners bekannt?), Logdateien schreibt und evtl. noch eine Meldung ausgibt, wärend ein "ungeschützter" Rechner die Pakete einfach verwerfen würde
- zusätzliche Software = zusätzliche Bugs und Sicherheitslücken, SW wird auch nur von Menschen geschrieben (Na gut, ist bei jeder Software so, aber bei Produkten, die direkt am Netz hängen ein wichtiger Punkt)
-Ports können per Extra-Software (also PF) geschlossen werden, aber auch durch Deaktivierung des entsprechenden Programms
PS: Unterlasst doch bitte Posts Marke "ACK" oder "Schwachsinn", dass bringt keinen weiter...in der Hoffnung, dass der Thread nicht wieder zur Schlammschlacht ausartet
pro:
* user erlangt mehr kontrolle über traffic
* user erlangt mehr kontrolle über anwendungen, die netzwerktraffic verursachen
* user ist mehr in der lage berechtigungen für anwendungen (manche dpfw auch für user...)zu vergeben
* user ist mehr in der lage inbound/outbound traffic zu reglementieren
* potentiell unsichere (microsoft) betriebssysteme werden sicherer
* user muss sich mit dem thema beschäftigen und erlangt wissen
* ressourcenverbrauch spielt auf heutigen, aktuellen systemen kaum noch eine rolle
kontra:
* es gibt sicher bessere lösungen - aber keine ist perfekt.
ein fazit:
ein mehr an kontrolle über den eigenen pc und die darauf enthaltenen daten kann nur positiv sein - denn meine daten gehören mir.
Destrop Firewalls sind sinnvoll, um zu kontrollieren, was raus geht,
sicherlich sollte man die firewall an sich konfigurieren können,
tiny beispielsweise bietet da einiges mehr als zone alarm und ist ebenso
kostenlos, ich will beispielsweise nicht dass sich mein media player ständig zu MS linkt
also sperre ich ihn, das ist sinnvoll viel mehr aber auch nicht da du mit deinem privatrechner
sowieso keinen hackerangriffen unterliegst und für firmen andere möglichkeiten bereitstehen
(sollten)
... sinnvoll ist es, Software mit unakzeptablen Nutzungsbedingungen/Verhalten erst gar nicht nicht zu nutzen, statt ein auch nur halb funktionierendes "Verhüterli" davorzuschalten. Wenn den E.T.-Schrott keiner mehr installiert, produziert auch keiner mehr Software mit Heimweh ...
Der Ansatz, Blocker und anderen Müll zu installieren, macht das System eher noch anfälliger und unkontrollierbarer.
...Wenn die Blocker funktioneiren würden, wäre es ein sehr guter Ansatz, aber die Blocker funktionieren eben dummerweise nicht wie sie es sollten und solange man die Blocker auf dem Hostsystem hat, wo sie von jedem anderen Programm und selbst jedem Script auf einer Seite beeinflusst werden können, wird dies auch nie möglich sein.
Ausserdem haben Personal Firewalls den nachteil, dass man kein Stück des Quellcodes sehen kann, mit anderen Worten man hat keinerlei Kontrolle darüber, was dieses Programm macht und was nicht, was bei einem Programm, dass den kompletten Traffic überwacht, mehr als bedenklich ist (z.B. hat ZA die Eigenschaft, regelmäßig "nach Hause zu telefonieren")
Für mich ist unter diesen Gesichtspunkten die einzig akzeptable Lösung eine Open-Source-Lösung auf einem sepperaten System:
-geschützt vor Scripten und Programmen auf dem Rechner
-benutzt nicht die Resourcen des Rechners
-komplette Kontrolle über die Funktion des Programms
-Umgehung der Firewall sehr schwer
Natürlich hat man da auch Nachteile, z.B. den Administrationsaufwand und den sepperaten Rechner, die Frage des Kosten-Nutzen Verhältniss muss eben jeder für sich selbst beantworten
Tut mir leid, dass ich auf dein zweites Posting unten nicht eingegangen bin, aber es hat ziemlich lange gedauert es zu schreiben und ich war dabei Offline.
Deine Argumente sind schon richtig, würdest du dir aber die Zeit nehmen den ganzen Quellcode durchzugehen? Woher weißt du, dass die Open-Source-Software nicht genauso "nach Hause telefoniert"? Auf keinen Fall sollte man nach dem Motto "wird schon jemand gemacht haben" argumentieren!
Das, was du über ZA schreibst ist allerdings bedenklich. Das ist der einzigste Punkt der den ganzen Sinn einer FW zunichte macht. Wenn mir so etwas zu Ohren käme würde ich darauf verzichten. Im Moment ist das aber wohl bloß bei ZA so (höre ich aber auch zum ersten Mal) und von dem rate ich und wohl auch viele andere ab.
Erstmal Danke für die (schon jetzt) große Beteiligung.
Ich finde gut, dass jetzt auch mal positiv über PFWs geschrieben wird und das Thema nicht immer gleich mit "taugt nichts", "Schwachsinn"... abgetan wird.
Ich muss sagen, dass mir nach euren Posts auch noch weitere "Contra"- und "Pro"-Punkte aufgefallen sind (thx to Tyrfin & garftermy).
Zu Basil's Posting muss ich sagen, dass (zumindest ein funktionierender) Stealthmode schon zu den "Pros" einer Firewall gehört. Da aber die Funktion des Stealthmodes wohl bloß eingeschränkt bis garnicht funktioniert gehört er zumindest in Klammern. Aber auch wenn der Rechner trotzdem nicht "Stealth" ist, bietet dieser Modus immerhin noch den Vorteil, dass unnötiger Traffic vermiden wird, was ansonsten sehr häufig auftreten würde, da es nicht sonderlich unwahrscheinlich ist, das der Rechner / das Netzwerk, das vorher die IP hatte bei einer Tauschbörse angemeldet war, aber getrennt hat. Jetzt ist aber noch nicht bekannt, das an der IP garkein Tauschpartner mehr ist, was wiederrum viel unnötigen Traffic zurfolge hat. Auch wenn der Gewinn durch so einen eingeschränkten Stealthmode nur gering ist, sollte er trotzdem zu "Pro" gerechnet werden.
Was Attacken wie DoS, die den Rechner überlasten angeht kann es durchaus sein, dass der Vorgang durch Software-Firewalls beschleunigt wird, aber welcher Privat-Rechner wird mit sochen Attacken angegriffen. Viel wichtiger ist meines Erachtens was Heinz-Malcher angesprochen hat. Die Antwort von Zaphod darauf kann ich nicht unterstützen, da solche Software meistens Sinnvolle Funktionen enthält und warum dann darauf verzichten?
Hier nochmal die (erweiterte) Pro-Contra-Tabelle:
Pro
Contra
"Ausgangs- und Eingangskontrolle": Mehr Kontrolle über Traffic/Anwendungen
Mehr Möglichkeiten Berechtigungen zu vergeben
Ports können auch ohne Kontrolle der laufenden Anwendungen (-> netstat> geschlossen werden
[Stealthmode]-> in Klammern, da Funktion wohl bloß eingeschränkt (s. mein Posting)
Ressourcenverbrauch, ist aber vernachlässigbar gering auf modernen PCs
Manche Funktionen funktionieren evtl. nicht richtig
kann umgangen werden oder gar ganz deaktiviert werden
Man sollte Kenntnisse zur Thematik haben, da bei falscher Konfiguration (keine Fws wie ZoneAlarm) die Funktion eingeschränkt ist
Die Voreinstellungen oder die Stufen von Firewalls wie ZA sind nicht unbedingt Ideal, wenn man z.B. ein etwas größeres Heim-Netzwerk betreibt
Manche Software (z.B.Kazaa), die Internetzugriff benötigt macht evtl. Probleme
evtl. Fehlalarme
"es gibt sicher bessere Lösungen - aber keine ist perfekt" (garftermy)
Erweitertes Pro-Contra:
Pro
neutral
Contra
"Ausgangs- und Eingangskontrolle": Mehr Kontrolle über Traffic/Anwendungen
Mehr Möglichkeiten Berechtigungen zu vergeben
Ports können auch ohne Kontrolle der laufenden Anwendungen (-> netstat> geschlossen werden
[Stealthmode]-> in Klammern, da Funktion wohl bloß eingeschränkt (s. mein Posting)
Manche Funktionen funktionieren evtl. nicht richtig
kann umgangen werden oder gar ganz deaktiviert werden
Man sollte Kenntnisse zur Thematik haben, da bei falscher Konfiguration (keine Fws wie ZoneAlarm) die Funktion eingeschränkt ist
evtl. Fehlalarme
"es gibt sicher bessere Lösungen - aber keine ist perfekt" (garftermy)
Ressourcenverbrauch, ist aber vernachlässigbar gering auf modernen PCs
Die Voreinstellungen oder die Stufen von Firewalls wie ZA sind nicht unbedingt Ideal, wenn man z.B. ein etwas größeres Heim-Netzwerk betreibt
Manche Software (z.B.Kazaa), die Internetzugriff benötigt macht evtl. Probleme
Nach dieser zweiten Tabelle sollte man die Firewalls eigentlich betrachten!
Das ideale für den privaten Gebrauch ist meines Erachtens eine Software-Firewall + Hardware-Firewall (Router). Die einzige bessere Lösung sind 2 oder 3 Anlagen hintereinander und zwar solche, wie sie in Hochsicherheitsbereichen in Firmen eingesetzt werden. Die Kosten werden dann aber so hoch sein dass man sich gleich das halbe Haus neu einrichten könnte.
PS: Die großen Abstände vor den Tabellen sind keine Absicht, ich habe aber keine Möglichkeit gefunden wie ich sie entfernen kann! -> Vielleicht weis es ja jemand! Dafür sind die Tabellen diesmal sauber geworden!
Kurze Anmerkung noch. Meine Bemerkung bezog sich nicht darauf, ob Stealth funktioniert oder nicht. Stealth gibt es einfach nicht im TCP/IP Protokoll nach der RFC und somit ist jeder Rechner, der Pakete einfach dropped, sich also Stealth verhält eindeutig da. Wie oben schon von jemand anderem erwähnt wurde, so würde bei nicht vorhanden sein des Rechners der letzte Router ein "destination unreachable" zurück geben. Kommt allerdings nichts zurück, so reicht ein einfacher traceroute um festzustellen, daß dort ein Rechner ist, der die Pakete schluckt wie ein schwarzes Loch. Ein schwarzes Loch sieht man auch nicht direkt, aber seine "Nicht-Sichtbarkeit" weist es gerade eindeutig nach. Wozu dient also ein Stealth-Mode, wenn er genau das ermöglicht, was er verhindern will? Ich halte diesen Pseudomodus für einen peinlichen Werbeslogan. Ich will nicht den Nutzen einer Desktopfirewall per se leugnen, ein Heftpflaster auf einer Wunde hat ja auch seinen Sinn, es heilt die Wunde allerdings nicht. Was dein Argument mit dem Ressourcenverbauch angeht, so straft z.B. Norton dies manchmal Lügen. Im privaten Umfeld kann man aber meiner Meinung nach eine Desktopfirewall einsetzen, im Firmenumfeld scheiden sie aber komplett aus, diesen Anspruch erheben sie aber wohl auch nicht.
will man aber nur die ICMP-Antwort (die Antwort auf einen eingehenden Ping) im Internet verhindern, soll also nur die Fehlermeldung "Zeitüberschreitung der Anforderung" bei einem Ping ausgewiesen werden, genügt eine äußerst einfache Konfiguration der Firewall.
Mit der Verhinderung der ICMP-Antwort bei einem Computer mit direktem Internetzugang werden lästige Spam-Nachrichtendienst-Nachrichten besonders bei NT, W2000 und XP verhindert
(vergleiche http://www.nickles.de/static_cache/537388864.html).
Bei XP reicht die Aktivierung der hauseigenen Firewall für die DFÜ-Internetverbindung oder die Internet-Breitbandverbindung vollkommen aus.
Bei W95, 98, ME - falls der Nachrichtendienst installiert wurde - und W2000 sollte man eine einfache für diesen Zweck ausreichende Firewall installieren.
Installieren sowie für die DFÜ-Verbindung des Internetzugangs aktivieren und gut (für diesen o.g. Zweck).
Die Zunahme der Ressourcenbindung durch die XP-Firewall ist kaum feststellbar. Look 'n' Stop verursacht nur eine sehr geringfügige Erhöhung des Ressourcengebrauchs.
Der Windowsnachrichtendienst arbeitet nicht über ICMP, sondern über TCP Port 135 und alternativ 445. Außerdem ging es hier eigentlich nicht um ICMP-Response, sondern generell um eine DROP-Policy, die den Stealthmode ausmacht, also DROP für alle Pakte, nicht nur ICMP.
"Der Windowsnachrichtendienst arbeitet nicht über ICMP", das ist schon klar. Aber durch die Verhinderung der ausgehenden ICMP-Antwort (Reply) im Internet, bekomme ich letztenendes keine "Spam-Nachrichtendienst-Nachrichten" mehr.
Ausführlich dargestellt in dem oben angegeben Thread.
kurz nochmal:
Durch die Verhinderung (meinswegen drop) der ausgehenden ICMP-Antwort im Internet erkennt ein IP-Scan nicht die Internet-IP meines online befindlichen Computers.
Mit Sicherheit werden Spam-Nachrichtendienst-Nachrichten nur an online befindliche Computer mit bekannter Internet-IP-Nummer von commerzorientierten Einrichtungen gesandt und nicht an meinen Computer, der durch ausgehende ICMP-Internetantwort-Verhinderung nicht bekannt ist.
Darüber hinaus wird durch das Nichtbekanntsein ein vermeintlicher Port-Scan auf meinem Rechner unwahrscheinlich.
Die Verhinderung der ausgehenden ICMP-Antwort im Internet (ein Teil der Stealth-Einstellung für ICMP - der sprichwörtliche Ping) ist meiner Meinung das Wesen der Abwehr von Internetangriffen.
Das Verhindern der ausgehenden ICMP-Antwort im Internet sollte demnach für viele Fälle ausreichen, probiert es doch einfach aus!
Durch die Verhinderung (meinswegen drop) der ausgehenden ICMP-Antwort im Internet erkennt ein IP-Scan nicht die Internet-IP meines online befindlichen Computers.
Halte ich für ein Gerücht, beschäftige dich mal mit nmap. Schicke ich ein Paket an eine IP, die ich bestimme und es kommt überhaupt nichts zurück, dann weiß ich spätestens nach einem Traceroute, daß der Rechner online ist, es sei denn daß bereits ein Router auf dem Weg filtert, was ich dan aber auch weiß. Mit Sicherheit werden Spam-Nachrichtendienst-Nachrichten nur an online befindliche Computer mit bekannter Internet-IP-Nummer von commerzorientierten Einrichtungen gesandt und nicht an meinen Computer, der durch ausgehende ICMP-Internetantwort-Verhinderung nicht bekannt ist.
Mit Sicherheit kennst Du die entsprechenden Tools für Nachrichtendienst-Spamming nicht, diese senden die Nachrichten nämlich meist nicht an einzelne Rechner, sondern an ganze Subnets, ohne vorherige Prüfung welcher Rechner jetzt online ist und welcher nicht, wäre viel zu zeitaufwändig.
Das Unterdrücken von ICMP alleine nutzt nicht viel, wenn TCP/IP Ports offen sind und Dienste dahinter lauschen, welche bei einem Portscan mit einem Banner antworten. Mal ein (wenn auch etwas weit hergeholtes) Beispiel:
Du hast auf deinem Rechner einen Webserver laufen und ICMP gesperrt, nun macht jemand einen Portscan an deinen Rechner. Was nutzt es Dir, daß ICMP keine Fehlerpakete sendet, wenn dein Webserver bei der Anfrage eine Antowrt gibt? Das selbe bei offenen Ports 135-139,445 bei Windowsmaschinen. Standardantworte der Dienste interessieren ICMP nicht, aber ich vermute einmal, Du wolltest auf etwas anderes raus mit deiner Aussage.
Dein Posting hatte ich noch nicht gesehen, sollte aber stimmen was du schreibst (hört sich zumindest mal korrekt an) wäre der ganze Sinn wieder hinüber. Was WEbserver angeht ist es so oder so stuss ICMP zu deaktivieren.
Was den Nachrichtendienst angeht muss ich Teletom aber recht geben: Seit Ich ICMP wieder deaktiviert habe bekomme ich keine Spamnachrichten mehr (ihr wisst schon, die die direkt erscheinen, keine Mails).
Mit Sicherheit hast Du den oben angebenen Thread immer noch nicht gelesen.
Also hier nochmal (extra für Dich): "Du hast recht Spam-Nachrichten, die über den Nachrichtendienst abgesetzt werden, "könnten" "wahllos an ganze IP-Blöcke rausgeschickt werden".
Was aber spricht dagegen?
Es spricht dagegen, dass die Computer, auf denen ich die Firewall, wie oben beschrieben, eingerichtet habe, eben keine Spam-Nachichtendienst-Nachrichten mehr erhalten."
"Mit Sicherheit kennst Du die entsprechenden Tools für Nachrichtendienst-Spamming nicht". Du hast keinen Grund, mir was zu unterstellen (das mache ich auch nicht, also bleib einfach cool!).
Bei fast 255x255x255x255 (über 4 Milliarden) möglichen Internet IP Nummern ist es leicht einzusehen, dass ein ping-basierender IP-Scan sehr zeitaufwendig ist.
Durch die ausgehende ICMP-Antwort-Verhinderung kommt die Fehlerausschrift "Zeitüberschreitung der Anforderung", genauso als wenn die IP-Nummer nicht online ist.
Äußerst zeitaufwändig wäre es, wenn ich nach dem IP-Scan noch zusätzlich auf die IP-Nummern mit Fehlerausschrift eine Traceroute veranstalten würde. Das wäre sogar so zeitaufwändig, dass eine Traceroute auf Pings mit Fehlerausschrift sehr unwahrscheinlich ist.
Wenn die IP-Nummer nicht bekannt werden kann, können auch keine Portscans ablaufen (erst recht nicht bei den Ports 135-139 und 443, selbst wenn ein Webserver installiert und freigegeben ist).
Ich denke, hier ist Praxis gefragt. Darum hier nochmal meine Bitte:
Probiert es doch einfach aus!
Diesbezüglich habe ich jedenfalls äußerst positive Erfahrungen gemacht.
>>Durch die ausgehende ICMP-Antwort-Verhinderung kommt die Fehlerausschrift "Zeitüberschreitung der Anforderung", genauso als wenn die IP-Nummer nicht online ist. Wenn die IP nicht online wäre, würde der letzte Router vor dem Ziel ein "destination unreachable" zurückschicken, der Stealthmode macht dich nicht im geringsten unsichtbar.
Ich glaube eher dass deine positiven Erfahrungen dadurch zustande kommen, dass deine Firewall nicht angeforderte Pakete blockt.
Es spricht dagegen, dass die Computer, auf denen ich die Firewall, wie oben beschrieben, eingerichtet habe, eben keine Spam-Nachichtendienst-Nachrichten mehr erhalten
Du hattest geschrieben, daß abstellen von ICMP Nachrichtendienstmeldungen verhindern würde und das ist schlicht und einfach falsch. Tut mir leid falls das uncool rüberkam, es liegt nicht in meiner Absicht zu flamen, sondern zu diskutieren. Der Punkt ist auch, daß Nachrichtendienstspammer nicht 232 IP-Adressen (minus den reservierten) vornehmen, sondern gezielt z.B. die von T-Online. Wenn bei Dir das Abstellen von ICMP Nachrichtendienstmeldungen verhindert, dann Glückwunsch. Bei mir ist ICMP an den meisten Rechnern offen und ich habe auch noch keine Meldungen bekommen. Ein Beweis für irgendetwas ist beides nicht. Du hast keinen Grund, mir was zu unterstellen (das mache ich auch nicht, also bleib einfach cool!).
Nana, Du hast mir nichts unterstellt?!? *g* (s.u.) Mit Sicherheit hast Du den oben angebenen Thread immer noch nicht gelesen. (Und was ist das? *gg*)
wenn Du den Thread gelesen hättest, würdest Du meiner Meinung nach nicht mit der IP-Block-Verwendung bei der Spam-Nachrichten-Zusendung kommen.
Spam-Nachrichtendienst-Nachrichten werden unabhängig davon zugesendet, bei welchem Provider der Internetzugang erfolgt.
Das habe ich mehrfach getestet.
Voraussetzung ist, dass Du erstens über die Internet-IP-Nummer mit Hilfe des Nachrichtendiensts (also mit "net send") erreichbar bist und zweitens die ausgehende ICMP-Antwort (Echo reply Typ 0 - Out) bei der Internetverbindung nicht verhindert wird.
Mit anderen Worten PCs, die nicht direkt z.B. über einen Router in das Internet gelangen, haben das Problem nicht. XP-Computer beispielsweise, auf welchen die systemeigene Internetverbindungsfirewall mit den Standardeinstellungen aktiviert ist, haben dieses Problem ebenfalls nicht. Bei XP wird standardmäßig bei der Verwendung der Internetverbindungsfirewall jeglicher ICMP-Verkehr bei der Internetverbindung verhindert (vollständiger ICMP-Stealth-Mode).
Man kann es drehen und wenden, wie man will, die Praxis zeigt, dass die Verhinderung der ausgehenden ICMP-Antwort für die Internetverbindung, keine Spam-Nachrichtendienst-Nachrichten auftreten lässt, und das sogar, wenn ich direkt über DFÜ oder Breitbandverbindung in das Internet gelange und der Nachrichtendienst nicht deaktiviert ist.
Tut mir leid, aber deine Aussage stimmt so nicht. Wir haben hier Netzwerke mit zig Subnets, teilweise über Router verbunden, teilweise über Bridges, teilweise über Repeater. Der Windows Nachrichtendienst, den Du über Net Send kontraktierst läuft allein als Schnittstelle über TCP Port 135, dem RPC-Endpointmapper, oder alternativ als undokumentierte Schnittstelle in TCP Port 445 bei 2000/XP. Daß der Nachrichtendienst nicht an Rechnern funktioniert, die mit NAT oder Masquerading geschützt sind ist klar und wenn ohnehin eine Firewall auf dem System läuft, dann vermute ich eher, daß Sie ebenso die betroffenen TCP/IP Ports sperrt.
Was den Punkt mit dem Senden von Spam an Subnets angeht, so werde ich mich mal um ein paar Links zu den entsprechenden Tool bemühen, damit Du dir die Einstellung selbst ansehen kannst, allerdings hat sogar der ganz normale Net Send auf der Shell die Option an eine ganze Domäne zu senden, dann wäre es unsinnig, wenn ein Spam Tool, daß auf Massenverbreitung ausgelegt ist, nur an einzelne IPs senden würde.
Schönen Sonntag
Mir geht es nicht darum, den Nachrichtendienst in irgendeiner Hinsicht einzuschränken.
Mein Anliegen zielt darauf hin, eine Firewall auf einem Computer mit DFÜ-Internetverbindung oder Breitbandinternetverbindung einzurichten, nur mit dem alleinigen Zweck, keine Spam-Nachrichtendienst-Nachrchten aus dem Internet zu erhalten.
Mir ist bewußt, dass durch die ICMP-Einstellung "theoretisch" weiterhin SPAM-Nachrichten empfangen werden können, nur "praktisch" passiert das nicht
(hat mir auch Kabelsalat freundlicherweise bestätigt: Was den Nachrichtendienst angeht muss ich Teletom aber recht geben: Seit Ich ICMP wieder deaktiviert habe bekomme ich keine Spamnachrichten mehr (ihr wisst schon, die die direkt erscheinen, keine Mails).
Ich gehe nach wie vor davon aus, dass ich in jeder Beziehung recht habe.
Wenn Du ein Tool hast, kann ich das leicht nachprüfen.
Die Netzwerke, die ich betreue sind unterschiedlich, geht von Netzwerken mit mehreren Subnetzen und Routern, Proxyservern sowie Firewalls bis hin zu "einfachen" Netzen mit einem Internetzugangs-Computer mit Proxy oder Internetverbindungsfreigabe.
Also ist der "Stealthmode" doch zu etwas fähig! Hätte mich auch gewundert, wenn es sich dabei bloß um einen reinen Marketing-Gag handeln würde. Den "Stealthmode" kann man aber bei Hardware-Firewalls (ich habe den Vigor 2600) sehr detaillierter einstellen, auch wenn es da nicht "Stealthmode" heißt: Dort kann man das ganze für bestimmte IPs regeln und nicht gleich für alles, denn das ist bei SFWs (verwende Outpost) nur eingeschränkt bis garnicht möglich!
Eben so etwas ist es, was ich meinte: Man benutzt die Firewall, um eine Funktion zu blocken, die man ganz einfach deaktivieren kann, als würde man eine Lampe einmauern, wenn man das Licht nicht mehr sehen will, antatt sie einfach auszuschalten.
Um noch einmal auf den Stealth-Mode zurück zu kommen:
Dadurch verhindert man keinerlei Traffic, eher im Gegenteil, weil nach einem Timeout von Programmen, die wirklich eine Verbindung mit dem Rechner wollen (also z.B. Tauschbörsen) und nicht einfach nur die Ports scannen wollen, noch ein paar Anfragen hinterher geschickt werden, bis sich die Gegenseite sicher ist, dass der Rechner nicht antwortet...würde der Rechner einfach ein "destination unreachable" zurückschicken, wäre das Problem sofort gelöst.
Mit dem Stealthmode ist es wie mit einem Teich voll Piranhas:
Wenn man das jemanden reinschmeisst (--> eine Anfrage startet) ist es egal, ob der Kerl zurückkommt und dir sagt, da seinen Piranhas (--> destination unreachable) oder du nie wieder was von ihm hörst (Antwort von der "Firewall" unterbunden), du weisst, dass man da besser nicht mehr baden sollte.
>>Was Attacken wie DoS, die den Rechner überlasten angeht kann es durchaus sein, dass der Vorgang durch Software-Firewalls beschleunigt wird, aber welcher Privat-Rechner wird mit sochen Attacken angegriffen. Eine Attacke, wie ich sie beschrieben habe, kann durchaus Privatpersonen treffen, weil man dafür keinen großen Aufwand betreiben muss, wie für eine "richtige" DoS-Attacke, sondern nur ein Programm von ein paar kb Größe braucht, dass kann jedes Scriptkiddie.
>>Die Antwort von Zaphod darauf kann ich nicht unterstützen, da solche Software meistens Sinnvolle Funktionen enthält und warum dann darauf verzichten? Es gibt fast immer Open-Source Programme oder sontige Lösungen, die dasselbe können, und selbst wenn diese Alternativen nicht den kompletten Umfang erreichen können: würdest du für eine oder zwei Zusatzfunktionen deine Privatsphäre preisgeben? Das ist IMHO so, als würde man sich wegen der "Zusatzfunktionen" (Geldgewinn und Publicity) in einen gewissen Container stecken lassen ;)
Ich sehe das so, die Firewall sollte man verwenden, um eine Funktion für einen bestimmten Bereich (z.B. ip- Nummern-Bereich) zu blocken.
Wenn ich die Funktion für die Allgemeinheit blocke, ist es besser die Funktion zu deaktivieren oder zu deinstallieren. Und im letzteren Fall erübrigt sich der Einsatz einer Firewall. Mit anderen Worten: die Lampe auszuschalten, ist besser als die Lampe einzumauern. Den Lichteinfall der Lampe in eine Richtung zu verhindern, auf der das Lampenlicht nicht treffen soll, ist jedoch die beste Lösung.
Das bedeutet wiederrum, dass man eine Firewall gebrauchen kann.
Um auf mein obiges Anliegen zurückzukommen, ICMP-Antwort sollte man nicht ausschalten, sondern nur für den Bereich des Internets verhindern, in dem ich beispielsweise die Firewall-Funktion, wie oben beschrieben, nur für den Internetadapter aktiviere. Für das interne Netzwerk bleibt vor wie nach die ICMP-Antwort aktiv. Damit kann man prima Pings intern ausführen, einen IP-Scan im internen Netzwerk veranstalten und bei bekannter IP-Nummer prima im internen Netzwerk mit Hilfe von "net send" und dem Nachrichtendienst Nachrichten versenden.
Wohlgemerkt im internen Netzwerk - im Internet ist es besser, diese Möglichkeit nicht freizugeben, weil es im Internet commerzorientierte Einrichtungen gibt, die den Nachrichtendienst gern für aufdringliche Werbung missbrauchen möchten.
Im LAN gebe ich dir recht, aber wenn man schon ein LAN hat, mit dem man auch ins Internet geht, hat man eh einen Rechner als Router, auf dem dann auch die Firewall ist, da braucht es keine PF
In platzmäßig kleinen Außenstellen z.B. wäre es meines Erachtens fast unsinnig (zumindest aus Platzgründen, wenn nicht sogar aus Geldgründen) eine gesonderte Kiste mit Firewall, Router und evtl. Proxy aufzustellen. In diesen Fällen und auch im Homenet (z.B. wenn die LG-Partnerin bzw. der LG-Partner etwas dagegen hat, "noch" einen Computer aufzustellen) reicht die oben beschriebene Onboard-Installation zumindest für den dargestellten Anwendungsfall völlig aus.
Das Ganze hat noch dazu den Vorteil, dass man den administrativen Aufwand minimiert hat, und das sollte man möglichst immer tun.
Man sollte eben nie ein "laufendes System ändern" müssen.
Trotzdem hat die Software-Firewall den Vorteil gegenüber Hardware-Firewalls oder Firewalls auf seperaten Rechnern, dass sie den Traffic nach Anwendungen Regeln kann. Ohne SFW müsste man z.B. für alle Anwendungen die zahlreichen FTP-Ports öffnen, was durchaus ein Risiko bedeutet, auch wenn sie bloß eingehend geöffnet sind (Passives FTP)!
Welche "zahlreichen" FTP Ports bitte? Bei passivem FTP reicht Port 21, nur bei aktivem muß noch Port 20 und ein dynamischer zusätzlich geöffnet werden. Bei passivem FTP ist auch eingehend kein Port zu öffnen, es sei denn Du willst einen Server betreiben *g*. Ich denke da hast Du aktiven und passiven FTP gerade verwechselt. Im Übrigen stimmt es nicht, daß eine externe Firewall nicht ebenso nach Anwendungen filtern kann. Der ISA-Server z.B. arbeitet auch nach Anwednungs- und Benutzerrechten.
Hier kannst du die Ports für passives und aktives FTP nachlesen.
Ich habe aber noch eine Frage: Wie soll dieser "Isa-Server" zwischen verschiedenen Anwendungen unterscheiden? Dass er Benutzer unterscheiden kann leuchtet ja ein, da sich jeder anders anmeldet, aber Anwendungen?
Ich brauche die Ports für aktives FTP nicht nachlesen, ich hattes es von passivem FTP und Du offensichtlich auch und bei passivem FTP gibt es bei Clients keine eingehenden Ports, die zu öffnen, sind, nur ausgehende, deswegen "passiv", es gibt keinen Rückkanal vom Server zum Client. *g*
Der ISA Server erfährt über Active Directoy,welche Anwendung Zugang wünscht und entscheidet dann ob und was sie darf, denn auch für Anwendungen existieren ACLs die sich sehr granular einstellen lassen.
Ich hatte "[...], auch wenn sie bloß eingehend geöffnet sind (passives FTP)" geschrieben, was natürlich falsch ist, es sollte natürlich "[...], auch wenn sie bloß ausgehend geöffnet sind (passives FTP)". Tut mir leid, dass mir mein Schreibfehler erst jetzt aufgefallen ist! Ich wollte damit sagen, dass es natürlich ein zusätzliches Risiko ist, wenn man z.B. nicht nur Port 21 ausgehend freigeben muss sondern gleich noch alle Ports > 1024 dazu. Dadurch hätte, wenn keine Anwendungskontrolle vorhanden ist, ein Trojaner die Möglichkeit nach Hause zu telefonieren (was aber auch nichts nützt, wenn er sich als Browser o.ä. tarnt).
Zu dem "ISA"-Server: Active-Directory gibt es aber doch bloß bei 2000/XP, oder? Ausserdem kostet er bestimmt enorm, SFWs sind gratis!
Teil 2 hatte ich jetzt überlesen, aber ja, AD gibt es nativ nur unter den NT-Systemen, dies ist aber an sich irrelevant, da der ISA-Server ohnehin nur im professionellen Umfeld eingesetzt wird und dort NT Pficht ist. Mein Beispiel mit dem ISA-Server war jetzt auch eher Off Topic, nur weil Du erwähntest, daß Stand-Alone-Firewalls dies nicht könnten (oder hatte es jemand anderes erwähnt?). Insofern bezog sich die Nennung nicht auf das eigentich Thema "Schutz für Privatrechner", sondern es ging nur darum, zu erwähnen, daß es dies gibt. Ansonsten hat man aber im günstigeren Bereich auch noch die Möglichkeit mittels Proxies dafür zu sorgen, daß nicht einfach TrojanerX einfach über Port 80 sendet, um Sperren zu umgehen. Das ist aber mit einer nicht unerheblichen Einschränkung in der Usability verbunden.
Jetzt ist mir gleich zweimal der selbe Fehler unterlaufen: Den einen habe ich jetzt zwar verbessert, aber es steht immernoch öffnen und geöffnet statt freigeben und freigegeben! Worum es mir aber eigentlich geht habe ich hoffentlich in der letzten Antwort klar gemacht, also noch mal eine verbesserte Version:
Ich hatte "[...], auch wenn sie bloß eingehend geöffnet sind (passives FTP)" geschrieben, was natürlich falsch ist, es sollte natürlich "[...], auch wenn sie bloß ausgehend freigegeben sind (passives FTP)" heißen. Tut mir leid, dass mir mein Schreibfehler erst jetzt aufgefallen ist! Ich wollte damit sagen, dass es natürlich ein zusätzliches Risiko ist, wenn man z.B. nicht nur Port 21 ausgehend freigeben muss sondern gleich noch alle Ports > 1024 dazu. Dadurch hätte, wenn keine Anwendungskontrolle vorhanden ist, ein Trojaner die Möglichkeit nach Hause zu telefonieren (was aber auch nichts nützt, wenn er sich als Browser o.ä. tarnt).
PS: Ich hoffe jetzt habe ich alles richtig gemacht!
PS2: Das Dokument was ich erwähnt habe ist trotzdem sehr interessant, habe ich ja auch nochmal ganz unten im Thread erwähnt!
Kein Problem, dachte mir schon, daß es sich dabei um einen Flüchtigkeitsfehler handelte. Allerdings ist ein Punkt in meinen Augen noch unklar, worauf beziehst Du das it allen Ports über 1024 öffnen? Für passives FTP (eigentlich Standard in fast allen Clients) ist dies nicht nötig. ein geöffneter Port 21 bei einem Statefull Packet Filter reicht vollkommen zur Kommunikation mit einem FTP-Server aus, nur bei aktivem wird das Portmapping komplizierter und man benötigt dynamische Filterregeln, die die meisten Statefull Packet Filter (iptables usw.) beherrschen, ohne daß man ganze Portranges unkontrolliert öffnen muß. Problematisch sind eher solche Protokolle wie VDO, RealAudio, Netmeeting, etc, die streamende Inhalte haben.
Mit den vielen freizugebenden Prorts beziehe ich mich auf die PDF-Datei, die ich schon oben genannt habe und auf die Standard-Konfiguration von Outpost.
Application-Firewalling ist kein Vorteil, sondern macht die Firewall löchrig wie einen Schweizer Käse, weil man bei diesem Konzept noch nicht einmal die Firewall umgehen oder deaktivieren muss, sondern den Zugriff einfach nur als harmlosen Prozess (z.B. per BHO in den IE einklinken oder über die svchost.exe) tarnt und schon kann man mitten durch die Firewall und machen, was man will.
PS: Kabalsalat hat das ein wenig missverständlich formuliert, ich erlaube mir mal untertänigst eine Ergänzung ;-) : Man öffnet Ports nicht an einer Firewall, man gibt sie nur frei, ein Port ist nur dann offen, wenn ein entsprechendes Programm daran hängt
Da müsste ich auch noch etwas ergänzen. Da die meisten Firewalls Routing bieten macht man durchaus auch Ports darauf auf, z.B. für Postforwarding und vServer, allerdings hast Du grundsätzlich Recht, ich wollte nur auch mal was schreiben. *fg*
Um so etwas zu vermeiden hat Mozilla... (IE verwende ich nicht) auch bloß eingeschränkte Rechte und um dann noch ganz sicher zu gehen hängt bei mir dann noch der DrayTec Vigor 2600 Router mit HW-Firewall dahinter.
Wer sich näher mit der Thematik auseinandersetzten will sollte sich mal die PDF-Datei auf dieser Seite anschauen. Sie bezieht sich zwar in vielen Punkten auf den Draytek Vigor XXXX, aber die Thematik wird trotzdem sehr gelungen beschrieben! Es lohnt sich!
>>Um so etwas zu vermeiden hat Mozilla... (IE verwende ich nicht) auch bloß eingeschränkte Rechte und um dann noch ganz sicher zu gehen hängt bei mir dann noch der DrayTec Vigor 2600 Router mit HW-Firewall dahinter. Wenn man eh schon die HW-Firewall hat, um die Unzulänglichkeiten der SW-Firewall auszugleichen, könnte man doch eigentlich auch gleich alles von der HW-Firewall machen lassen...
Noch einmal Danke an alle die sich beteiligt haben! Ich denke jetzt sieht so mancher (einschließlich mir) klarer. Das einzige noch unklare Thema ist der Windows Nachrichtendienst, aber das klärt sich villeicht ja auch noch!
@ Tyrfin: Ich verwende die SW-Firewall immernoch, da ich keinen "ISA-Server" besitze und wohl auch nie mein Eigentum nennen werde. Die anderen Gründe sind doppelt gemoppelt... jetzt kannst du dir den Rest weiterdenken und alle anderen Gründe habe ich auch schon weiter oben erwähnt!