[Tarnatos]

Hallo,

gibt es eine Möglichkeit, Funktionen einer Firewall auch ohne diese zu nutzen?

Wichtig wäre für mich:

- Möglichst alle Ports auf stealth
- ICMP echo request block
- block solicited packets (Was ist das?)
- block unsolicited packets (Was ist das?)
- Rechnername verstecken
- IP ohne Proxy verschleiern

Ich nutze WindowsXP (mitlerweile nach etlichem fummeln) SP2. Ohne Firewall!
Internetverbindung über AVM Fritz ISDN!

Alle Ports sind dicht oder stealth, schön ware es aber wenn alle stealth wären.

Ein Security Scan mit Shields UP! ergab:
- Solicited TCP Packets: RECEIVED (FAILED)
- Unsolicited Packets: RECEIVED (FAILED)
- Ping Reply: RECEIVED (FAILED)

Da ich möglichst keine Firewall mehr nutzen möchte wäre es schon zu erfahren, wie ich die o.g. Firewallfunktionen auch ohne diese nutze könnte!

##EDIT
Es muss aber noch möglich sein, LAN sowie DFÜ zu nutzen, da ich mit einem weiteren XP Rechner im Netzwerk verbunden bin, über den Daten ausgetauscht werden und gedruckt wird.
##/EDIT

Dafür danke im Voraus!

Dieser Beitrag wurde von Tarnatos bearbeitet: 09. März 2005 - 14:58

[G.I.Joe]

Sorry, aber nehm dir erst mal ein paar Stunden Zeit und eigne dir die wichtigsten technischen Kenntnisse an... Schon allein die Idee seine IP im Internet zu verschleiern zeugt von völligem Unverständniss...

[Tarnatos]

Ähm das war nicht gefragt!

Und diese mach dich erstmal schlau Postings ... naja

Ips werden z.B. durch Proxys "verschleiert". Und bitte hängt euch jetzt nicht wieder an den Worten auf wie Viren sind nicht gleich Viren etc. Das führt nur wieder dazu, dass es unzählige Topics und Views gibt, in denen aber inhaltlich nichts steht!

Eigentlich sollte klar sein, das ich mit Ip Verscheicrung meine, dass meine IP nicht sofort auf da auftaucht wo ich gewesen bin, sondern nur die IP des Proxys.

Und meine Frage war, ob dies auch ohne Proxy möglich ist.

Hier wird sooft darüber geredet, das man Firewalls besser weglassen sollte, gleichzeitig wird aber nicht erklärt, was man machen kann um die Funktionen eine Firewall auch ohne diese zu bekommen.

Daher habe ich dieses Topic gestartet.

[Iso]

http://www.ntsvcfg.d..._xp/kss_xp.html
verschiedene Widnwos Dienste abstellen. ( ein Tool ist auch unter www.dingens.org zu finden )

Mehr zum Thema sicherheit:
www.linkblock.de

Deinen Rechnernamen kann man nie 100 % verstecken, man kann ihn nur verschleiern, sodass es länger dauert, ihn herauszufinden.

[Rika]

Zitat

- Möglichst alle Ports auf stealth

Dumme Idee.

Zitat

- ICMP echo request block

Sehr dumme Idee.

Zitat

- Rechnername verstecken

NetBIOS wieder von global erreichbarem Interface entbinden. Warum machst du sowas?

Zitat

- IP ohne Proxy verschleiern

man IP

Zitat

Alle Ports sind dicht oder stealth, schön ware es aber wenn alle stealth wären.

Schön wäre dies nicht, eher ein Pain in the Ass.

Zitat

Ein Security Scan mit Shields UP! ergab:

Ein Security Scan von Shieldsup ergab:
http://www.jluster.o...ldsup-analyzed/
http://grcsucks.com/shieldsup.html
http://grcsucks.com/nanoprobes.htm
http://grcsucks.com/shieldsupscan.htm
http://grcsucks.com/grcrebutal.htm

Zitat

Da ich möglichst keine Firewall mehr nutzen möchte wäre es schon zu erfahren, wie ich die o.g. Firewallfunktionen auch ohne diese nutze könnte!

Nun ja, zunächst einmal sollte du dir mal ernsthafte Maßnahmen überlegen und keine Verkrüppelung. Indes, mit wipw existiert ein Port von ipfw, das gut als hostbasierender Paketfilter geeignet ist und mit qtfw auch gut managebar sei.

[Tarnatos]

Zitat (Iso: 09.03.2005, 15:32)

http://www.ntsvcfg.d..._xp/kss_xp.html
verschiedene Widnwos Dienste abstellen. ( ein Tool ist auch unter www.dingens.org zu finden )

Mehr zum Thema sicherheit:
www.linkblock.de
<{POST_SNAPBACK}>

Das hab ich natürlich schon alles durch sonst würde ich ja hier niemanden beläßtigen.

Zitat (Iso: 09.03.2005, 15:32)

Deinen Rechnernamen kann man nie 100 % verstecken, man kann ihn nur verschleiern, sodass es länger dauert, ihn herauszufinden.
<{POST_SNAPBACK}>

Und wie?

@Rika:

Zitat

Dumme Idee.

Warum? Wenn ein Port stealth ist, so werden Anfragen auf diesem port doch in leere geleitet, und nicht wie bei closed mit einer Fehlermeldung beglückt?!

Zitat

Sehr dumme Idee.

Warum? Somit konnen doch Ping of Death etc vermiden werden, was wäre denn besser und wie ist es realisierbar?

Zitat

NetBIOS wieder von global erreichbarem Interface entbinden. Warum machst du sowas?

Netbios wird doch zwingend benötigt, um mit Windows internen mitteln, eine Netzwerkverbindung herzustellen?!

Gehe ich hin und deaktive Netbios (bekannter Gerätemanager "Trick") wars das mit dem Netzwerk.

Wie kann mans besser machen?

Zitat

man IP

Schon klar was du meinst, aber wenn man sich doch um etwas bessere Sicherheit bemüht gehört das nicht dazu?! Oder ist das nur ein Mythos?

Zitat

Schön wäre dies nicht, eher ein Pain in the Ass.

Tolle Aussage!

...

Ok soviel zum Thema grc

Zitat

Nun ja, zunächst einmal sollte du dir mal ernsthafte Maßnahmen überlegen und keine Verkrüppelung. Indes, mit wipw existiert ein Port von ipfw, das gut als hostbasierender Paketfilter geeignet ist und mit qtfw auch gut managebar sei.

Dazu werde ich jetzt mal das Googl'o'rakel befragen, da ich noch nicht ganz verstehe was du damit sagen möchtest, aber ich habe da so eine Ahnung.

Dieser Beitrag wurde von Tarnatos bearbeitet: 09. März 2005 - 15:59

[Rika]

Zitat

Warum? Wenn ein Port stealth ist, so werden Anfragen auf diesem port doch in leere geleitet, und nicht wie bei closed mit einer Fehlermeldung beglückt?!

Jep, netzwerktechnisch das dümmste, was man machen kann. Wiederholter Traffic, Timeouts, kein Load Balancing, MTU-Probleme, schwere Diagnose... unter Umständen ist es für Privileged Ports (mit entsprechenden Ausnahmen) sowie Ports diverser P2P-Applikationen sinnvoll, mehr aber auch nicht.

Zitat

Warum? Somit konnen doch Ping of Death etc vermiden werden, was wäre denn besser und wie ist es realisierbar?

Ping of Death ist seit Jahren gegessen, in welcher Zeit lebst du denn? Ohne ICMP-Ping hast du jedenfalls kein funktionierendes Load Balancing bei diversen Diensten mehr; wenn du ICMP komplett sperrst wird's noch viel schlimmer.

Zitat

Netbios wird doch zwingend benötigt, um mit Windows internen mitteln, eine Netzwerkverbindung herzustellen?!

Nein, es ist nur für Datei- und Druckerfreigaben notwendig. Deshalb gehört es nur an lokale Interfaces gebunden.

Zitat

Gehe ich hin und deaktive Netbios (bekannter Gerätemanager "Trick") wars das mit dem Netzwerk.

Huh? Dann ist dein Windows extrem kaputt. Oder dein Begriff von Netzwerk. Auf jeden Fall dein Begriff von Bindung an Netzadapter.

Zitat

Wie kann mans besser machen?

Indem man's richtig macht. Standardmäßig wird Windows sogar so ausgeliefert, und das seit Win98!

Zitat

Schon klar was du meinst, aber wenn man sich doch um etwas bessere Sicherheit bemüht gehört das nicht dazu?! Oder ist das nur ein Mythos?

Es ist bestenfalls datenschutztechnisch relevant, geht aber auch mit entsprechenden Problemen einher.

Zitat

Dazu werde ich jetzt mal das Googl'o'rakel befragen, da ich noch nicht ganz verstehe was du damit sagen möchtest, aber ich habe da so eine Ahnung.

man FreeBSD::ipfw

[Tarnatos]

Zitat

Jep, netzwerktechnisch das dümmste, was man machen kann. Wiederholter Traffic, Timeouts, kein Load Balancing, MTU-Probleme, schwere Diagnose... unter Umständen ist es für Privileged Ports (mit entsprechenden Ausnahmen) sowie Ports diverser P2P-Applikationen sinnvoll, mehr aber auch nicht.

Ergo, Ports dicht machen?!

Zitat

Ping of Death ist seit Jahren gegessen, in welcher Zeit lebst du denn? Ohne ICMP-Ping hast du jedenfalls kein funktionierendes Load Balancing bei diversen Diensten mehr; wenn du ICMP komplett sperrst wird's noch viel schlimmer.

Man ließt aber immernoch davon wenn man nach ICMP Typen sucht.
Bitte immer bedenken, das ich farge, weil ich nicht über einen Wissenstand verfüge, der all dies umfaßt!

Also Thema ICMP auch gegessen?!

Zitat

Nein, es ist nur für Datei- und Druckerfreigaben notwendig. Deshalb gehört es nur an lokale Interfaces gebunden.

Zu überprüfen in den Eigenschaften einer DFÜ/LAN Verbindung... hier nur TCP/IP binden, korrekt?!

Zitat

Huh? Dann ist dein Windows extrem kaputt. Oder dein Begriff von Netzwerk. Auf jeden Fall dein Begriff von Bindung an Netzadapter.

Definitv nicht! ist gerade frisch aufgesetzt! Sobald ich Netbios über TCP/IP abschallte, ist eine Netzwerkverbindung nicht mehr möglich, nochnichteinmal ein Ping!

Was kann ich tun um dies zu ändern?

Zitat

Indem man's richtig macht. Standardmäßig wird Windows sogar so ausgeliefert, und das seit Win98!

Tut mir leid, das ist aber leider so eine Aussage in der inhaltlich nichts steht!
Was sollte man konkret tun?! Bitte bendenke das das hier eine WS und kein Server ist!

Zitat

Es ist bestenfalls datenschutztechnisch relevant, geht aber auch mit entsprechenden Problemen einher.

Ok, reicht für mich als Grund! Ist es möglich die IP ohne Proxy zu verschleiern?! Ja/Nein?!

Zitat

man FreeBSD::ipfw

Wie gesagt, ich weiß vieles aber nicht alles.

Und das Ding scheint ganz schön mächtig zu sein, mal schaun ob ich da durchsteige.

Gibt es da nen Guide, auf deutsch?! Oder orienttiert sich das an der standard Unix manier, friss oder stirb?!

Ach ja Danke für deine Antworten!!!

Dieser Beitrag wurde von Tarnatos bearbeitet: 09. März 2005 - 16:37

[G.I.Joe]

Zitat (Tarnatos: 09.03.2005, 16:26)

Ist es möglich die IP ohne Proxy zu verschleiern?! Ja/Nein?!

Nein... Wo sollen denn die Datenpakete z.B. wenn du eine Webseite besuchst hingeschickt werden, wenn nicht an deine IP (bei Proxys halt über Umwege)?

[Rika]

Zitat

Ergo, Ports dicht machen?!

Ja, nichts anderes. Paketfilterung macht nur dann Sinn, wenn du besonders sinnvoll mit Traffic haushalten möchtest.

Zitat

Man ließt aber immernoch davon wenn man nach ICMP Typen sucht.

Und man wird in 10 Jahren noch davon lesen, dadurch wird sich aber nix daran ändern daß es Patches für Win95 und Win98-nonSE gibt und alle späteren Windosen nicht betroffen sind, ebensowenig wie 2.4er-Linuxe oder 4.x+er BSDen.

Zitat

Zu überprüfen in den Eigenschaften einer DFÜ/LAN Verbindung... hier nur TCP/IP binden, korrekt?!

Richtig. Die Leitung zum Internet braucht nur TCP/IP, im internen Netz kannst du soviel rumNETBIOSen wie du willst.

Zitat

Definitv nicht! ist gerade frisch aufgesetzt! Sobald ich Netbios über TCP/IP abschallte, ist eine Netzwerkverbindung nicht mehr möglich, nochnichteinmal ein Ping!

Wenn du unter Netzwerkverbindung nur NetBIOS-Dienste a la Windows-Freigabe verstehst, dann ist das normal. Daß ein Ping nicht mehr geht ist jedoch definitiv kaputt.

Zitat

Was kann ich tun um dies zu ändern?

Netzwerktreiber neuinstallieren.

Zitat

Tut mir leid, das ist aber leider so eine Aussage in der inhaltlich nichts steht!
Was sollte man konkret tun?! Bitte bendenke das das hier eine WS und kein Server ist!

NetBIOS nur ans interne LAN binden, aber nicht an die DFÜ-Verbindung zum Inet == Standardeinstellung ab Win98.

Zitat

Ok, reicht für mich als Grund! Ist es möglich die IP ohne Proxy zu verschleiern?!

Wenn du selber einen Zwiebelrouter aufsetzt, dann ja. Ein SOCKS-Proxy als Gateway in ein Zwiebelrouternetz wäre hingegen doch sinnvoller.

Zitat

Gibt es da nen Guide, auf deutsch?! Oder orienttiert sich das an der standard Unix manier, friss oder stirb?!

Es gibt gute programm-interdisziplinäre Tutorials zu netfilter/iptables.

[Tarnatos]

Zitat (zuzuwewe: 09.03.2005, 16:38)

Nein... Wo sollen denn die Datenpakete z.B. wenn du eine Webseite besuchst hingeschickt werden, wenn nicht an deine IP (bei Proxys halt über Umwege)?
<{POST_SNAPBACK}>

Na das ist ja mal ne klare Aussage, danke dir!

[Tarnatos]

Zitat

Richtig. Die Leitung zum Internet braucht nur TCP/IP, im internen Netz kannst du soviel rumNETBIOSen wie du willst.

Netbios ist auch nur ans LAn gebunden, wollte nur sicherstellen, das wir beide von der gleichen Sache reden.

Zitat

Wenn du unter Netzwerkverbindung nur NetBIOS-Dienste a la Windows-Freigabe verstehst, dann ist das normal. Daß ein Ping nicht mehr geht ist jedoch definitiv kaputt.

Ja nur File/Printer Sharing.

Hm komische Sache die treiber sind aktuell und gerade erst installiert, und es klappt auch alles.

Was bewirkt dieser Netbios über TCP/IP Treiber denn genau?

Zitat

Wenn du selber einen Zwiebelrouter aufsetzt, dann ja. Ein SOCKS-Proxy als Gateway in ein Zwiebelrouternetz wäre hingegen doch sinnvoller.

Dann hab ich hier ja noch ne Kiste rumstehen, dafür ist leider kein Platz, um ehrlich zu sein ist mir das auch zu unkomfortabel.

Eine Lösung mit VMware wie es z.B. in der C'T 02/05 (Server im bauch) beschreiben ist kann ich auch nicht einstzen, da ich ja via ISDN Karte und nicht über einen Router ins Netz gehe. Ich somit die gemeinsame Internet Nutzung aktivieren, oder einen Proxy Server allá Jana installieren müßte.

Und das wäre dann etwas übertrieben..

[Rika]

Zitat

Was bewirkt dieser Netbios über TCP/IP Treiber denn genau?

Er sorgt dafür daß NetBIOS über TCP/IP transportiert wird.
Indes, Ping basiert nicht auf NetBIOS, sondern nur auf (TCP/)IP.

Zitat

Zitat

Wenn du selber einen Zwiebelrouter aufsetzt, dann ja. Ein SOCKS-Proxy als Gateway in ein Zwiebelrouternetz wäre hingegen doch sinnvoller.

[...]
Ich somit die gemeinsame Internet Nutzung aktivieren, oder einen Proxy Server allá Jana installieren müßte.

Und das wäre dann etwas übertrieben..

Im Vergleich zu Zwiebelrouting ist das wohl eher untertrieben.

[Mr_Maniac]

Nochmal was zu grc.com...

Zitat

The presence of this secure web port in your system implies that this system is establishing secure connections with web browsers. The number one reason for doing this is the transmission of credit card information. This implies that the successful intruder could access the web server's credit card database and score bigtime. This is a VERY bad port to have open unless you are actually conducting secure web commerce!

Ich lach' mich schlapp...
Behauptet der allen ernstes, dass man die Kredit-Karten Informationen von einem herausbekommen kann, nur weil man einen WebServer laufen hat, der auch SSL-Verschlüsselung beherrscht?
Oder habe ich das jetzt falsch verstanden?

[Tarnatos]

Hmm, dann ist mir & Google nicht klar was du mit Zwiebelrouter meinst.