Firewall, Nur Welche?!?! Welche Firewall würdet Ihr weiterempfehl
#1
geschrieben 21. September 2004 - 20:02
jeder kennt das leidige Thema, die Firewall bzw. Schutz der geliebten PCs, aber welche ich die beste Möglichkeit Diesen zu schützen.
Ich beschäftige mich jetzt schon seit längeren mit Firewall, aber weiss einfach nicht welche ich nehmen soll. Einerseits denke ich, ein wenig Geld zu investieren lohnt sich, doch andererseits liest man wieder die Freeware-Firewalls reichen auch aus.
Jetzt möchte ich an dieser Stelle wissen, welche Erfahrungen Ihr gesammelt habt?
Vielen Dank für Eure Hilfe.
Gruss
Sascha
Anzeige
#2
geschrieben 21. September 2004 - 20:05
1.) wurd schon oft besprochen
2.) Ist unnötig
Dieser jemand wird bestimmt auftauchen, und mein Herz dadurch erfreuen ^^
Also ich bin der Meinung ein anständig konfigurierter PC, selbst ein WinXP-Rechner braucht keine Firewall!
Siehe: Klickediklick
#3
geschrieben 21. September 2004 - 20:12
http://www.soekris.com/net4501.htm, http://www.linuxfromscratch.org/, http://www.kernel.org/, http://www.netfilter.org/
Wie du siehst bevorzuge ich iptables über OpenBSD-pf, weil schlanker, feiner und einfacher zu konfigurieren. Auch nehme ich lieber 'nen selfmade-x86er als irgendwelche Fertig-Lösungen mit Linux-Flash, wobei ich mich aber für MIPS-basierende Geräte mit OpenBSD doch schon etwas begeistern könnte.
Aber ich glaube das wurde schon besprochen. Denn eine korrekte Konfiguration und ein wenig TCP/IP-Stack-Hardening machen ein System meist unanfälliger als so manche Firewall, sodaß es IMHO damit eigentlich ausreichen sollte.
Dieser Beitrag wurde von Rika bearbeitet: 21. September 2004 - 20:13
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
geschrieben 21. September 2004 - 22:43
#5
geschrieben 21. September 2004 - 22:53
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#6
geschrieben 21. September 2004 - 23:30
#7
geschrieben 21. September 2004 - 23:33
Zitat (TOMBIEST: 22.09.2004, 00:30)
Wie soll man das verstehen?
...Bisher hat das Universum gewonnen." - Autor mir unbekannt
Bad Angels - Pool Billard
#8
geschrieben 21. September 2004 - 23:38
Dieser Beitrag wurde von Rika bearbeitet: 21. September 2004 - 23:40
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
geschrieben 21. September 2004 - 23:42
Dämme gegen die SYN-Flut
Syn-Flood-Attacken abwehren
Viele der im Umlauf befindlichen Trojanischen Pferde bieten Funktionen für koordinierte SYN-Flood-Angriffe gegen Server. Die damit infizierten Rechner bilden sogenannte Bot-Netze, die sich jederzeit gegen beliebige Server einsetzen lassen. Wer sich nicht von Skript-Kiddies kalt erwischen lassen will, sollte Vorkehrungen gegen diese Attacken treffen, bevor er zu deren Ziel wird.
Denial-of-Service-Angriffe auf Server zielen darauf ab, legitimen Nutzern den Zugriff auf einen Dienst zu verwehren. Im einfachsten Fall überflutet der Angreifer den Server mit sinnlosen Paketen, um seine Leitung zu überlasten. Ein typisches Beispiel dafür ist ICMP-Flooding. Doch zum einen erfordert das eine große Bandbreite, zum anderen lassen sich die Pakete vergleichsweise einfach schon auf vorgelagerten Systemen ausfiltern. Alternativ kann er versuchen, beispielsweise einen Web-Server so mit Anfragen zuzuschütten, dass normale Anwender nicht mehr zum Zug kommen. Doch auch dafür ist eine große Bandbreite erforderlich und ist die IP-Adresse des Angreifers einmal ermittelt, ist er auch schnell ausgesperrt.
Deshalb verlegen sich immer mehr Angreifer auf sogenannte Syn-Flood-Attacken, die nicht darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers selbst blockieren. Dazu verschicken sie sogenannte SYN-Pakete an den TCP-Port des Dienstes, bei einem Web-Server also auf Port 80. Der Server registriert den Synchronisierungswunsch des Clients, legt einen Eintrag in seinen Tabellen dafür an und bestätigt die Anfrage mit einem eigenen Synchronisierungspaket (SYN/ACK). Bei einem normalen Verbindungsaufbau bestätigt der Client dieses ebenfalls mit einem ACK-Paket und komplettiert damit den sogenannten Drei-Weg-Handshake einer TCP-Verbindung.
Nicht so der SYN-Flood-Angreifer. Er lässt den Server mit seiner halboffenen Verbindung einfach hängen. Der wartet eine Zeitlang und wiederholt sein SYN/ACK-Paket, in der Annahme das erste sei verloren gegangen (Retransmission). Statt einer Antwort kommen jedoch nur weitere Verbindungsanfragen, die der Server ebenso behandelt. Er speichert all diese SYN-Anfragen in einem speziellen Puffer, der sogenannten Backlog-Queue. Ist diese voll, kann er auf diesem Port keine Verbindungen mehr annehmen und das Systen verwirft weitere SYN-Pakete -- der Dienst ist nicht mehr zu erreichen.
Bis der Server einen einmal angelegten Eintrag in der Backlog-Queue wieder löscht, weil er keine Antwort bekommt, können mehrere Minuten vergehen. Nach einem ersten Timeout, typischerweise nach 3 Sekunden, nimmt der Server an, sein SYN/ACK-Paket sei verloren gegangen und schickt es erneut auf die Reise. Dieser Vorgang wiederholt sich mit immer längeren Timeouts mehrfach (Linux: 5 Retransmissions). Auf einem Standard-Linux-System bietet die Backlog-Queue Platz für 256 solcher halboffenen Verbindungen. Der Angreifer hat also mehr als genug Zeit, diese mit seinen Einträgen zu füllen.
Durch die Wiederholungen dauert es oft mehrere Minuten bis der Server einen Eintrag in der Backlog-Queue wieder löscht
In den meisten Fällen verwendet der Angreifer gefälschte Absenderadressen für seine SYN-Anfragen. Damit bekommt er die Antwortpakete des Servers zwar nicht zu sehen, aber da er ohnehin nicht vorhat, ihren Erhalt zu bestätigen, stört ihn das nicht. Durch geschicktes Verteilen der Adressen kann er ein Filtern der Angriffspakete verhindern. Denn ein vorgeschalteter Router kann die gefälschten Pakete nicht von echten Verbindungswünschen unterscheiden.
Benutzt ein Rechner eine der für den Angriff genutzten Absenderadressen, erhält er vom angegriffenen Server plötzlich ein Bestätigungs-Paket (SYN/ACK), das er nicht angefordert hatte. Er reagiert auf das offensichtliche Missverständnis mit einer Aufforderung die Verbindung zu verwerfen (Reset, RST). Das führt dazu, dass der Server seinen Backlog-Eintrag löscht. Um das zu vermeiden, verwenden Syn-Flooder bevorzugt Adressen, die zum Zeitpunkt des Angriffs nicht belegt sind. So bekommt der Server keine Antwort auf sein SYN/ACK-Paket und wiederholt die volle Prozedur von Warten und erneutem Senden mehrfach, bevor er den Backlog-Eintrag freigibt.
#10
geschrieben 21. September 2004 - 23:49
Heise
Zitat
Hast du es auch verstanden?
Dieser Beitrag wurde von The_Nightflyer bearbeitet: 21. September 2004 - 23:49
...Bisher hat das Universum gewonnen." - Autor mir unbekannt
Bad Angels - Pool Billard
#11
geschrieben 21. September 2004 - 23:54
#12
geschrieben 21. September 2004 - 23:57
#13
geschrieben 22. September 2004 - 00:38
1. Muss das sein? Statt hier allen Müll voll durchzuquotet hätte es ein kitzekleiner Link auf die Quelle auch getan.
2. Du verwechselt nachwievor SYN-Flooding und Flooding en generale. Bandbreiten-Flooden kann man mit allem möglichen, natürlich auch mit SYN-Paketen. Das hat aber nix mit 'nem SYN-Flood zu tun.
3. Das hat nix mit Servern zu tun, sondern mit dem TCP/IP-Stack. Auch ein unschuldiger Client kann gesynfloodet werden. Und gerade bei Windows und BSD-Systemen braucht es dazu nicht mal einen Dienst.
4. Begreifst du es denn nicht? Deine "Firewall" macht dich doch gerade erst anfällig für ein DoS durch SYN-Flooding, weil sie so kaputt designt ist. Windows selbst implementiert zwar keine SYN-Cookies, wohl aber diverse Trigger-Mechanismen und Spezialmodi im TCP/IP-Stack, die seit WinXP sogar standardmäßig aktiviert sind - und ist damit nicht wirklich anfällig und kann sehr gut mit SYN-Floods umgehen. Mit der PFW hingegen gibt's Tod durch 100% CPU-Last. Sonst noch Fragen? Die fieseren Dinge habe ich ja mal noch außen vorgelassen...
5. Und nun erkläre mit mal was eine Firewall oder ein hostbasierender Paketfilter oder auch nur irgendeine beliebige lokale Maßnahme gegen Bandbreiten-Flooding bewirken soll.
Dieser Beitrag wurde von Rika bearbeitet: 22. September 2004 - 00:39
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#14
geschrieben 22. September 2004 - 11:32
#15
geschrieben 22. September 2004 - 11:49
Hardware Router für 30 Euro sollte der Privatanwender zu seinem eigenen Schutz investieren, denn das know How für die richtige Konfiguration einer Firewall und ihrer Funktionsweise haben selbst in diesem IT Forum nichtmal 1% der User.