Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

Verfolgung starten Optionen

Firewall-Rules erstellen ......... @Tyrfing

Artie / 15 Antworten / Flachansicht Nickles

Hallo,


ich habe jetzt mal @Tyrfing geschrieben, weil dieser sich anscheinend recht gut auskennt, zumindest gemäß Posting weiter unten in Bezug auf Sygate und mtask.exe.


Ich habe schon so einige Seiten im Netz betrachtet, aber so richtig ideal.


Ich bin jetzt von ZA auf eine andere Firewall umgestiegen, die man natürlich nicht nur so einfach installieren kann, sondern auch konfigurieren muß. Aber ZA ist seit Version 5 die Katastrophe, und so einiges habe ich schon über Ports gelernt, also warum nicht.


Auch wenn ich jetzt gemäß mehrerer Online Port-Scan-Tests diverser Firewallanbieter Stealth und momentan sicher erscheine, traue ich dem Braten noch nicht so ganz.


Am Anfang habe ich nämlich zu viele Ports geblockt, weil ich dachte nur lokal 80 u. 110 sowie remote 25 und remote 53 (für das einwählen) sollten für einige Anwendungen erlaubt sein. Nun aber habe ich gemerkt, das auf vielen Internetseiten remote 443 benötigt wird und auch viele lokale Ports zwischen 1070 und 1970 recht oft angesprochen werden, ohne die kein Surfen möglich ist, oder das AntiVirustool nicht updaten kann oder das Mailprogramm nicht raus kommt (also nicht nur 110). 


Was muß ich bei diesen lokalen Ports wirklich beachten? Gibt es da irgendwo eine gute Seite, die das auch für relative Anfänger wie mich erklärt? Habe zwar schon gute Ansätze gefunden und in den letzten Tagen auch dazugelernt, aber ich suche noch etwas "Optimales". Wer verrät mir da so seine bevorzugten Seiten mit guten Anleitungen, oder kann hier ein paar Tips geben.


Außerdem, wieviele Ports gibt es eigentlich. Der höchste, den ich bisher hatte war local port 61452. Bis wohin muß ich die Regel zum Blocken erstellen. 62000? oder noch mehr?


Danke für alle Tips im voraus


mfg


Artie


 


 


 


 

bei Antwort benachrichtigen
xafford Artie „Firewall-Rules erstellen ......... @Tyrfing“
Optionen

Auch wenn ich nicht Tyrifing bin, Du hast einen Denkfehler bezüglich lokaler und remote Ports. Lokal 80 und 110 frei zu geben macht wenig Sinn, sofern Du nicht auf deinem Rechner einen POP3 und einen HTTP Server betreibst, der von außen zugänglich sein soll, diese Ports sind nämlich Serverports.

Ist Dir das Konzept der statefull packet inspection bekannt? Falls nciht hier mal ien oberflächlicher Abriß.
Die statefull packet inspection ist ein intelligenterer Filteralgorithmus als Portfilter. Ein reiner Portfilter arbeitet anhand fester Regeln, die einen Port entweder offen halten, oder blockieren (eigentlich nicht den Port, sondern nur der Zugriff darauf). Ein statefull packet filter ist eigentlich ein dynamischer Portfilter, welcher anhand einer Initialverbindung erkennt, ob eine Verbindung erlaubt ist und dann zugehörig zu dieser verbindung die nötigen Ports dynamisch öffnet. Nehmen wir einmal das Beispiel des POP3. Ein POP3 SERVER erwartet eine Verbindung des Clients auf seinem Port 110 (weswegen es nichts bringt auf deinem eigenen Rechner Port 110 zuzulassen eingehend, es müßte ausgehend-remote sein). Nehmen wir jetzt einmal an, daß Du in deiner Firewall nur die eine Regel hättest (schematisch):

ERLAUBE VERBINDUNG VON [lokaler Rechner] PORT ANY NACH 0.0.0.0/0 PORT 110

Willst Du jetzt Mails abrufen, so durchwandert das Paket den Netzwerkstapel und durchläuft auch den Filter, welcher das Paket untersucht und erkennt, daß der lokale Rechner eine erlaubte Verbindung zu einem POP3-Server herstellt. Er erzeugt einen Eintrag in seiner Verbindungstabelle für diesen "Socket", wobei der lokal Port für diese Verbindung ein beliebiger Port über 1024 ist.
Nun erreicht das Paket den POP3-Server, er antwortet darauf und verweist deinen Rechner auf einen Nebenport für die weitere Kommunikation, um seinen "Verbindungsport" für die nächsten Verbindungsanfragen wieder frei zu bekommen (dieser Serverport ist mehr oder weniger nur eine Türklingel). Diesen Vorgang erkennt ein Statefull Packet Filter selbst, Du mußt im Gegensatz zu einem "dummen" Portfilter jetzt nicht nachträglich diese Kommunikationsverbindung auch noch frei geben, damit der Datenaustausch klappt, der Filter erkennt die Verbindung von Server:[high port] zu Client:[high port] als zu der zugelassen Verbindung gehörend (RELATED) und erlaubt folglich die Kommunikation.
Nach diesem Vorgang wird relativ klar, daß Verbindungen immer dann klappen, wenn ein Server im Internet nur die antwoortende Funktion übernimmt, also auf eine vom Client bestehende Anfrage antwortet. Solche Protokolle sind z.B.
DNS, HTTP, HTTPS, SMTP, POP, Telnet, SSH, FTP (passiv), NNTP,...
Hier reicht es also, nur folgendes frei zu geben:

Ausgehend, jede Zielip, Serverport erlauben.
Anders sieht es bei Protokollen aus, bei denen das Protokoll vorsieht, daß der Server selbst eine Verbindung zum Client zusätzlich aufbaut. Das betrifft z.B. sämtliche Streamingprotokolle, Messengerprotokolle, P2P-Protokolle, VoIP, FTP (aktiv)...
Hier kann der Statefull Packet Filter nicht erkennen, daß diese Verbindung zu der bereits bestehenden gehört, da er das Protokoll nicht kennt (zumindest in den meisten Fällen), man muß ihm also eine Regel mitgeben, daß er solche Verbindungen erlaubt. Leider geht das bei vielen Protokollen nur mit der groben Kelle, also lokal alle benötigten Rückkanäle für alle entfernten Ziele freigeben.

Jetzt mal wieder zurück zu deinem eigentlichen Problem (sorry, daß ich so abgeschweift bin). Dein Problem mit POP3 liegt darin begründet, daß Du den Port wohl in der falschen Richtung freigegeben hast (eingehend als Zielport oder ausgehend als Quellport, statt ausgehend als Zielport).
Das zweite Problem bezüglich 443 besteht darin, daß Port 443 für HTTPS begraucht wird, also für SSL-Verschlüsselte Verbindungen zu HTTP-Servern, diese solltest Du ausgehend mit 443 als entfernten Zielport freigeben.
Das Problem mit den Anfragen an hohe Ports kann man so eindeutig nicht kategorisieren, da es abhängig davon ist, was Du schon an Regeln (und vor allem in welcher Reihenfolge, diese ist nämlich auch wichtig) angegeben hast. Erst dann kann man beurteilen, ob Du über eine ungeschickte Regel auch alle Antwortpakete gesperrt hast.
Du mußt übrigens nicht für alle Ports und alle Protokolle Regeln erstellen, sondern nur für die genutzten, alles andere sollte man standardmäßig erst einmal blockieren. Es gibt übrigens 65535 Ports, sowohl für TCP, als auch für UDP.

Noch eine Anmerkung zum Schluß: Stealth ist eine blödsinnige Marketingerfindung (wohl von Steve Gibson in die Runde geworfen) und sagt rein gar ncihts über die Sicherheit oder Unsicherheit eines Systems aus, es sagt nur aus, daß sich ein System nicht an die Protokollstandards im Internet hält.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Ach so, dann habe ich also alles vertauscht. Ich dachte ich müßte Port 80 ... Artie
Ich versuche mal das der Reihenfolge abzuarbeiten: Das heißt ich benötige ... xafford
Hallo Xafford, aha, jetzt habe ich schon zumindest die Grundbegriffe ... Artie
Was hälst du eigentlich zusätzlich zur firewall von diesen Anonym Surfen ... Max Payne
Hallo Max Payne, was du sagst, ist natürlich logisch. Beantwortet aber ... Artie
Meine Frage ist, ob diese Programme auch potentielle Angreifer verwirren ... Max Payne
Hallo nochmal, danke schon mal an Tyrfing, Xafford und auch InvisibleBot. ... Artie
Hi artie, Tyrfing hat weiter unten schon auf Deine Fragen geantwortet. Bis ... Max Payne
Hallo Max Payne, danke für Eure Mühe. Jetzt habe ich es endlich ... Artie
Unklar ist mir noch, welche Regeln ich für die lokalen Ports ab 1024 - ... InvisibleBot
Komischerweise wurde mein PC von diesem Security Check als sicher ... Tyrfing
Hallo tyrfing, dein Klick mich link ist eine Echte Bereicherung in meiner ... Artie
Daher bitte noch einmal für PC-Dummies. Warum sind diese Programme völlig ... Tyrfing
......... @Tyrfing Artie