[Master Joda]

Auf dingens.org steht folgendes :

Zitat : "Wenn Sie Windows XP SP2 haben, brauchen Sie "Windows-Dienste abschalten" nicht unbedingt. Schalten Sie die Windows-Firewall an, das genügt. "Windows-Dienste abschalten" ist primär für Windows 2000 und für Windows XP vor SP2 gedacht."

Die Windows Firewall schaltet ja aber keine Dienste ab. Weshalb sollte dann die Windows Firewall genügen ?

[Graumagier]

Master Joda sagte:

Die Windows Firewall schaltet ja aber keine Dienste ab. Weshalb sollte dann die Windows Firewall genügen ?

Weil die Windows-Firewall in der Lage ist, die Kommunikation der Dienste nach Außen zuverlässig zu unterbinden. Das löst natürlich nicht die zugrunde liegenden Probleme und ist keine sonderlich intelligente Empfehlung.

[Master Joda]

Okay, so in etwa habe ich mir das schon gedacht.

Zumal ich mal annehme dass findige Programmierer die Windows-Firewall ausschalten können werde ich trotzdem nicht auf das Deaktivieren verzichten.

Hat mich nur überrascht so etwas an einer solchen Stelle zu lesen. Okay ist vielleicht nur unglücklich formuliert.

[Lofote]

Zitat

Weil die Windows-Firewall in der Lage ist, die Kommunikation der Dienste nach Außen zuverlässig zu unterbinden.

Sehr gewagte These (durch das Wort "Zuverlässig").

Zitat

Zumal ich mal annehme dass findige Programmierer die Windows-Firewall ausschalten können werde ich trotzdem nicht auf das Deaktivieren verzichten.

Das ist mehr als vernünftig. Es ist auch Schwachsinn, eine Sicherheitstür zu blocken, wenn sie nicht gebraucht wird, sollte sie zugemacht werden. Ein findiger Programmierer kann auf einem infizierten Rechner natürlich trotzdem den Dienst per "net start" aktivieren, aber die Angriffsfläche von aussen ist kleiner.

[Graumagier]

Lofote sagte:

Sehr gewagte These (durch das Wort "Zuverlässig").

Ich bin davon überzeugt dass die Windows-Firewall in der Lage ist, die Kommunikation der windowseigenen Dienste zu unterbinden.

[valeron]

da das aber auch jeder anständige router kann, brauch man die sp2 firewall eh nicht zu nutzen!

[Rika]

Zitat

da das aber auch jeder anständige router kann,

Jeder anständige Router würde bei 1:1-NAT ein rigoroses Forwarding machen, also überhaupt nix unterbinden.

Zitat

Ich bin davon überzeugt dass die Windows-Firewall in der Lage ist, die Kommunikation der windowseigenen Dienste zu unterbinden.

Es gibt aber nicht nur Windows-eigene Dienste. Und ein Dienst, der Raw Sockets verwendet (z.B. NPF/WinPCap), der bleibt ungefiltert.

[valeron]

Zitat

Jeder anständige Router würde bei 1:1-NAT ein rigoroses Forwarding machen, also überhaupt nix unterbinden.

also ich habe mich selber gescannt und bei mir war kein port offen, heißt das mein router is schlecht?

[Graumagier]

Rika sagte:

Es gibt aber nicht nur Windows-eigene Dienste. Und ein Dienst, der Raw Sockets verwendet (z.B. NPF/WinPCap), der bleibt ungefiltert.

Nicht-windowseigene-Dienste schaltet das Skript von Dingens.org aber auch nicht ab.

valeron sagte:

also ich habe mich selber gescannt und bei mir war kein port offen, heißt das mein router is schlecht?

Er ist eher nicht ordentlich konfiguriert. Vorausgesetzt dass du überhaupt Dienste nach draußen anbietest.

Dieser Beitrag wurde von Graumagier bearbeitet: 08. Mai 2006 - 16:11

[Rika]

Zitat

heißt das mein router is schlecht?

Nein, es heißt nur, daß er entweder kein 1:1-NAT direkt erkennt (z.B. via DHCP) bzw. es sich nicht einstellen lässt bzw. du es nicht eingestellt hast.
Es stellt sich natürlich meistens die Frage, ob man da überhaupt einen Router braucht/will.

In jedem Falle ignorierst du aber NAT-Helper (z.B. für FTP) sowie andere diverse Heuristiken und Session Hijacking.

Zitat

Nicht-windowseigene-Dienste schaltet das Skript von Dingens.org aber auch nicht ab.

Aber nicht-windowseigene Dienste sollte man trotzdem konfigurieren.

[Lofote]

Zitat

Jeder anständige Router würde bei 1:1-NAT ein rigoroses Forwarding machen, also überhaupt nix unterbinden.

Jeder anständige Router macht bei "incoming NAT" gar nix, solange es nicht konfiguriert ist. Schon allein: Woher soll er wissen, wer der "Master"-Rechner ist, wo das Zeux hinsoll? Nein, Pakete, für die er keine Regel hat, müssen verworfen werden von einem anständigen Router. Auf "Automatisch lernende Router" kann ich verzichten.

Dieser Beitrag wurde von Lofote bearbeitet: 08. Mai 2006 - 16:32

[Rika]

Zitat

Woher soll er wissen, wer der "Master"-Rechner ist, wo das Zeux hinsoll?

Wenn er nur IPs per DHCP vergibt und daher weiß, daß es genau einen Client gibt, dann weiß er das ganz genau.
Und wenn nicht, dann müsste man es eigentlich konfigurieren.

Zitat

Auf "Automatisch lernende Router" kann ich verzichten.

1. NAT ist eine Art "automatisches Lernen", nämlich Connection Tracking.
2. Die meisten Router haben nun einmal beschissene Heuristiken.
3. Eigentlich ist das, wenn richtig implementiert, gut so, denn NAT soll ja gerade Konnektivität fördern und nicht behindern.

[ShadowHunter]

@Rika: Wie ist es bei den alternativen Firmwares zum Linksys im bezug auf das, was du angesprochen hast im Bezug auf NAT etc. (die letzten paar Posts)?

[Graumagier]

Rika sagte:

Aber nicht-windowseigene Dienste sollte man trotzdem konfigurieren.

Das stand ja nie zur Diskussion, ich bezog mich einzig und alleine auf die Aussage von der Dingens.org-Website.

Lofote sagte:

Jeder anständige Router macht bei "incoming NAT" gar nix, solange es nicht konfiguriert ist.

Was bitte ist "incoming NAT"? Im Übrigen wurde das ja bereits gesagt, wenn eine entsprechende Regel vorhanden ist soll immer weitergeleitet werden, das Droppen von Paketen ist ja nicht im Sinne von NAT.

Dieser Beitrag wurde von Graumagier bearbeitet: 08. Mai 2006 - 16:48

[Lofote]

Zitat

Wenn er nur IPs per DHCP vergibt und daher weiß, daß es genau einen Client gibt, dann weiß er das ganz genau.

Dann macht aber der Einsatz eines Routers nicht wirklich Sinn ...