[Rika]

1. Viele von diesen Sicherheitsfunktionen sind Hannebücher Unsinn. Nur der gegen SYN-Flood muß man was unternehmen, alles andere ist so harmlos wie Taubenkacke. Und eigentlich sollte man SYN-Floods nicht mit Triggering, sondern mit ordentlich implementierten SYN-Cookies begegnen - das kann dein Router aber scheinbar nicht.
2. Nichts ist wirklich sicher. Aber bei allen Optionen bis auf das SYN-Flooding ist das vollkommen egal.
3. Umgehen: Definition Router & NAT
4. Ja, ist besser. Das muß aber gar nichts heißen. Ganz unabhängig von deiner Auffassung von Desktop Firewalls - also nicht wieder rumtrollen...!

Dieser Beitrag wurde von Rika bearbeitet: 20. März 2004 - 00:43

[Rika]

Das andere sind alles Einträge gegen mögliche Attacken, die ein ungepatches Windows 95 oder 98-nonSE oder eine ohnehin total vermurkste Netzwerkkonfiguration erfordern, und allesamt voraussetzen, daß du deinen Router so lausig konfigurieren kannst, daß er absolut alles explizit forwardet und er ferner als transparaente Bridge konfiguriert ist - was natürlich auch voraussetzt, daß er überhaupt diesen Modus unterstützt und du zudem nur einen einzigen Client dranhängst.

Sprich: Diese Einträge beweisen, daß dein Hersteller keine Ahnung, wie das, wovor er schützen möchte, überhaupt funktioniert.

ICMP- und UDP-Flood sind reine Verschwendung der Bandbreite durch einen massenhaften Datenversand - egal, ob der Router das erkennt oder nicht, er kann nichts daran ändern, daß jemand deine Leitung mit Datenmüll verstopft, der Router hängt doch an der Empfangsseite. Wenn ich dich mit 20000 Ziegeln bewerfe, ist es egal, ob du die Ziegl frisst, zurückwirst oder dich umdrehst und sagst "Ich bin nicht da." - dein Luftraum ist immer voll.

Selbst der SYN-Flood kann höchstens den Router, nicht aber einen der Clients betreffen und ich empfehle einen Schwellwert von 50 Paketen über einen Zeitraum von 5 Sekunden.

Und gerade mit sowas mit nichterlaubtem ICMP, Verwerfen von fragmentierten Paketen oder Erkennung von angeblichen Portscans gewinnt man kein bissl Sicherheit, versaut sich aber viele Netzwerkfunktionen, sorgt für unnötigen Traffic und bremst sich selber aus.

Die WEP-Optionen solltest du auf jeden Fall setzen und dir den Schlüssel irgendwo fein säuberlich und für niemanden zugänglich notieren (also nicht auf dem Rechner). Glaub aber nicht, daß WEP oder halt auch WPA sicher seien (das haben wir auf dem letzten Chaostreff gar kunstvoll widerlegt), sondern konfiguriere mal ordentlich IPSEC.

Das Verbergen der SSID hilft nur was gegen dumme Kiddies mit dummen WaveLAN-Karten - es ist nahezu trivial zu zeigen, daß ein Funknetzwerk auch ohne Kenntnis der SSID sichtbar und zugänglich ist, das Abfangen der SSID von einem legitimen Client ist ein Kinderspiel. Mit meinem Läppi passiert mir das sogar manchmal rein zufällig, wenn so ein Netz in der Nähe ist... hch, ich liebe diese Karten mit Prism2-Chipsatz.

Dieser Beitrag wurde von Rika bearbeitet: 20. März 2004 - 01:08

[Rika]

1. Das Ding muß ziemlich lausig sein, wenn es sich durch ein paar harmlose UDP-Pakete aus dem Tritt bringen liesse. Ernsthaft, bei DSL-SPeed ist das ganz gewiss nicht zu befürchten.
2. Dito für ICMP.
3. Portscans an einem NAT-Router sind sinnfrei.
4. "IP Optionen" sind 100%ig ungefährlich und zudem ntowendig für's ordentlich Funktionieren.
5. Das Prinzip der LAND-Attacke ist seit Jahren tot. Der Router ist ganz gewiss dafür nicht anfällig.
6. Dito für Smurf.
7. Attacken mit Traceroute sind ja wohl absolut sinnfrei.
8. Ohne fragmentierte TCP-Pakete, was auch für SYNs gilt, funktionieren manche Seiten nicht mehr. Außerdem ist es ungefährlich, es sei denn, der Hersteller hat ein 6 Jahre altes Gerät ausgegraben und verbaut.
9. Fraggle ist sinnfrei.
10. Sinnfrei. Es gibt keine Flag-Kombination, die regelwidrig ist.
11. Teardrop + Smurf + Land = 8.
12. Da glauben noch welche an den Ping of Death. Siehe 5.
13. siehe 8.
14. Toll, nur daß diese reserierten Protokolle sehr wohl zu guten Zwecken verwendet werden.

Fazit: Viele dieser Attacken funktionieren schon seit Ewigkeiten nicht mehr, weil kein System dafür mehr anfällig ist. Der Rest ist manchmal vielleicht überflüssig, manchmal aber aber auch sinnvoll und keinswegs gefährlich.

Naja, wenn man keine Ahnung von TCP/IP hat, hört sich vieles lgosch an - z.B. daß das Blockieren einer Antwort dafür sorgen würde, daß man im Netz unsichtbar sei...

WEP=Verschlüsselung - im Gegensatz zu einem Ethernet kann im Wave-LAN jeder sämtliche Kommunikation mitlesen.

Das mit dem SYN-Flood-Trigger dürfte hinkommen. Selbst bei Powerusern wären nämlich schon 50 SYNs/Sekunden wirklich unverhältnismäßig viel und mit ziemlicher Sicherheit keine legitimen Verbindungsversuche.

[Ich]

Zitat

WEP=Verschlüsselung - im Gegensatz zu einem Ethernet kann im Wave-LAN jeder sämtliche Kommunikation mitlesen.

Und darum isses nur ergänzend erwähnt auch recht schlau, wenn man ein WLan vor einer Firewall positioniert, bzw. das WLan Netz in eine andere DMZ auslagert und nen Router dazwischen klemmt... sowas ist allerdings für den privaten Gebrauch leicht overkill... Also wenn man seiner Nachbarschaft vertrauen kann... sollte man meine Worte schnell vergessen

[Rika]

IPSEC ist soweit sicher, alsdaß es den Netzwerkverkehr zuverlässig verschlüsseln und authentifizieren kann. Den IPSEC-Schlüssel mußt du sowohl im Router als auch in der IPSEC-Konfiguration von Windows eintragen - was selbst für Admins die Hölle ist, daher empfehle ich dir wirklich eine Beratung durch deinen Provider; man kann halt viel falchs machen, und dann funktioniert gar nix mehr. Als Verschlüsselungsverfahren kommen nur 3DES oder AES in Frage, aber letzteres, was eigentlich das vertrauenswürdigere ist, unterstützt Windows leider nicht (vielleicht ab XP SP2? Billy, bitte...!), DES aber definitiv nicht. Mittlere Sicherhiets (keine Verschlüsselung) solltest du definitiv nicht verwenden, nur hohe Verschlüsselung mit ESP kommt in Frage. Tipp: Dazu musst du, weil ich ja weiß, daß du etwas namens Personal Firewall einsetzst, Port 500 UDP freigeben. Richtig konfiguriert darf dann dort und NUR NOCH DORT Kommunikation stattfinden.

@Ich: IPSEC ist die Lösung für alle Sicherheitsprobleme im WaveLAN. WEP ist nur dafür da, Script-Kiddies sinnlos das Netzwerk scannen zu lassen, damit sie dann feststellen, daß eh alles mit IPSEC geschützt ist. Wenn WEP am Router zu Leistungseinbußen führt, kann man es dann auch ganz abschalten. Mit IPSEC hat man schließlich nix zu verbergen, eben weil das Protokoll sicher ist.

Dieser Beitrag wurde von Rika bearbeitet: 20. März 2004 - 01:41

[Ich]

Zitat

Man weiß ja nie, wer hier mal alles vorbeigeht und nach nem WLan sucht

Wie gut, dass ich so weit weg vom Schuß wohne, dass ich mir um sowas keine Sorgen mache... Also wer sich mit nem Laptop bei mir vors Haus setzt wird zumindest ins erste Netz und an meinen offenen Fileserver ohne verschlüsselung rankommen... Das ist zwar unsicher, aber auf Sessions ungeheuer praktisch, oder wenn ein Kunde kommt und sein Notebook dabei hat ist er gleich online... In diesem Falle steht useability vor Sicherheit

[Rika]

Ähm... Definiton Router & NAT. Beides ist weder dafür entworfen noch darin verlässlich, daß es das Netzwerk schützt. NAT kann man immer umgehen, auf wenn es etwas Aufwand erfordert. Insbesondere schützt es nicht vor ungewollte Kommunkation über legitime Kommunikationskanäle - Exploits für den IE kommen ohne Hürde durch.

[Rika]

Wenn IPSEC läuft, geht alles nur noch über UDP 500 und ESP, welches keine Portnummern hat. Jegliche Paketfilter auf deinem Rechner werden damit sinnfrei, ebenso die Application Control, weil eine Personal Firewall prinzipbedingt kein ESP nach der Verkapselung analysieren kann - und diese findet bereits im Kernelmode-Treiber statt. Popup-Blocker usw. ist dann auch passe.