[Chrno]

Naja... ich fürchte (nachdem ich die Videos gesehen habe ) ist die sicherste Firewall immer noch ein Hardware-Router mit eingebauter Firewall bzw. ein Linux-Rechner zwischen Router und PC mit der default policy auf "block" und mit nur ein paar einzelnen freigegeben Ports.

Denn:
1. Eine PFW lässt sich von innen (und evtl auch von außen) abschalten.
2. Da auf einer "richtigen" Firewall der Port 80 freigegeben sein sollte, hat man aber im Endeffekt eh keinen Schutz vor Malware, die genau diesen Port nutzt.
3. Alle anderen Ports, die man nicht explizit freigibt, bleiben geschlossen (was evtl auch diese ganzen Backdoor-Programme alt aussehen lässt)
4. Der Rest ist eh Sache des Brain (nicht jeden Sch.... installieren, sichere Browser als den Internet Exploiter verwenden, usw. usf.)

Zum Thema Punt 3:
Konnte man bei Sub7 nicht den Port einstellen, auf dem er operieren sollte?



Ist jetzt zwar ein wenig OT, aber... sind Hardware-Router von außen eigentlich angreifbar? Ich meine SO angreifbar, dass sie Pakete ungefragt und ungebeten durchlassen, obwohl die eingetragenen Sicherheitsregeln dies verbieten?

[flo]

Hallo und Willkommen im Winfuture Forum


Zu deiner Frage:

Alles ist Angreifbar, auch Hardware Router, denn auch auf denen läuft eine Software!

Das ist zwar schwerer als bei reiner Software, aber dennoch möglich!

Der Vorteil liegt darin, das sich die Firewall vor dem zu schützenden system befindet, das heist wenn jemand es schafft die zu knacken, ist er im Router, aber nicht auf deinem PC!

Ausserdem ist eine Firewall nur ein Teil eines Sicherheitskonzeptes, wie du es schon sagstest, nicht alles installieren, nicht alles runterladen usw

[The_Nightflyer]

Zitat (max: 25.08.2005, 17:25)

Ich sehe darin keinen Unterschied, ob Maleware über den Port 80 über eine Hardware-Firewall oder über eine PFW kommt. Der Port 80 ist bei beiden geöffnet, das heißt, der Rechner wird sowieso infiziert.
<{POST_SNAPBACK}>

Du verstehst anscheinend den Sinn und die Funktion von Ports nicht!
Ports sind an sich harmlos, entscheidend ist ob ein Dienst/Programm über den
Port anfällig ist!

Und wenn kein anfälliger Dienst läuft brauch ich auch keine PFW um den
Port zu verdecken!

Aber anscheinend hörst du nur zu gerne auf die Werbung der Hersteller
"Ports sind böse"

[puppet]

Zitat (max: 25.08.2005, 17:25)

Ich sehe darin keinen Unterschied, ob Maleware über den Port 80 über eine Hardware-Firewall oder über eine PFW kommt. Der Port 80 ist bei beiden geöffnet, das heißt, der Rechner wird sowieso infiziert.

Bis auf das "Hardware-Firewalls" i.d.R. den Traffic verstehen können, und somit auf einer höheren Schicht als "Ports" filtern können. Wobei es bei HTTP keine "Hardware-Firewall" benötigt, einfache ACLs auf HTTP anzuwenden (z.B. urlfilter domain deny all, urlfilter domain allow *.winfuture.de, blablablabla oder urlfilter filetype deny executables, urlfilter filetype deny archives, urlfilter filetype deny audio/video oder urlfilter import blacklist.cvs oder oder oder), das können mittlerweile viele Router,auch mein Steinalter c800 und sogar mit dem Tux ist soetwas ohne Probleme (und völlig transparent für den User) möglich.

Hast du nun mal geschaut ob nun der Microsoft-DS eigentlich mit in der default config von iSafer gedroppt wird oder nicht?

@The_Nightflyer: Er meinte nicht die eingehende Filterung mit Port-ACLs sondern die ausgehende Filterung mit Port-ACLs. Und um (normal) im Web zu surfen musst du ausgehend Port 80 erlauben (und für HTTP over SSL eben noch 443), und wenn du diesen ausgehend filterst kannst du ja auch nicht mehr im Web surfen bzw solltest es nicht mehr können.

Dieser Beitrag wurde von puppet bearbeitet: 25. August 2005 - 17:04

[puppet]

Zitat (max: 25.08.2005, 18:07)

Können eigentlich alle Hardware-Firewalls auf diese Art filtern? Oder wie nennt sich die Option, die man beim Kauf einer beachten sollte?

Layer 7 Switching/Filtering, einige implementieren aber keinen kompletten Layer 7 Filter (ist auch wesentlich komplexer und somit teurer), sondern nur einen HTTP-Filter (manchmal (HTTP-)Content-Filter oder beim L7 Switch auch Web-Switch genannt). Einige PFWs probieren auch soetwas zu implementieren, allerdings sind die Konfigurationsmöglichkeiten da meist sehr bescheiden und eben auch wieder nur lokal.

Zitat (max: 25.08.2005, 18:07)

MS-DS habe ich nicht in iSafer gefunden.

Wenn dies stimmt ist das aber sehr nachlässig wenn man mal an einige CVEs wie CAN-2003-352 -> Blaster, Nachi usw, CAN-2003-528, CAN-2003-533, CAN-2003-715, CAN-2003-813, CAN-2003-818 usw denkt.

Dieser Beitrag wurde von puppet bearbeitet: 25. August 2005 - 17:38

[Rika]

Zitat

Ich sehe darin keinen Unterschied, ob Maleware über den Port 80 über eine Hardware-Firewall oder über eine PFW kommt. Der Port 80 ist bei beiden geöffnet, das heißt, der Rechner wird sowieso infiziert.

Du betreibst also einen Webserver? Oder hast es vielleicht doch nicht verstanden?

[AlienSearcher]

Zitat (max: 27.08.2005, 19:21)

Ich betreibe keinen Webserver aber ich surfe.
<{POST_SNAPBACK}>

Der Port 80 wird aber nur von einem Server/Dienst geöffnet und dann eingehende Verbindungen darauf angenommen.

Wenn du nur surfst, wird erstens der Port 80 nicht geöffnet und zweitens werden logischerweise auch keine eingehenden Verbindungen darauf angenommen. Dein Webbrowser öffnet einen beliebigen Port und verbindet mittels diesem auf den Port 80 des Webserver.

Somit können über deinen Webbrowser nur eine beschränkte Anzahl von Angriffen durchgeführt werden, wie JavaScript, Exploits im HTML-Renderer, Exploits durch Bilder, usw. Diese sind aber in den allermeisten Fällen durch Updates, eine ordentliche Browser-Wahl (also kein IE) und eine einigermasen sinnvolle Konfiguration zu verhindern.

[jerrison]

konkret habe ich neulich mit der DesktopFirewall 8.5 (Firmen Version!!!!) von McAfee gesehen wie der Buffer Overflow Schutz auch ungepatchte XP Versionen vor allerlei Exploits schützte. Namentlich Zotob und Varianten. Ferner habe ich bisher auch noch keinen schlechten Report über besagtes Produkt gelesen, aber ich bin sicher, da wird mich jemand an die richtige Stelle verweisen können :).
Installieren sich eigentlich alle PFW´s vor/in den Kernel, also ähnlich wie Process Guard?

[puppet]

Zitat (jerrison: 29.08.2005, 14:15)

DesktopFirewall 8.5 (Firmen Version!!!!) von McAfee

Juhu, soll sich jetzt jeder eine "Firmen Version!!!!" kaufen damit er dann bei Problemen ein "ich hab aber ne Firmen Version!!!!" hinterher plenken kann?

Zitat (jerrison: 29.08.2005, 14:15)

Namentlich Zotob und Varianten.

Also wenn ich es im MS05-039 richtig gelesen habe, kommt dieser wieder über das altbekannte MS-DS und NetBIOS rein, was also mit der Windows XP IFVW kein Problem wäre, genausowenig wie für den seit NT4 vorhanden TCP/IP Filter (du hast was von Firma geschrieben, da ist es naheliegend das es sich um einen Server handelt).
Oer würde man wie in Firmen i.d.R. üblich IPSec Regeln (oder simple IPsec Filter) verwenden oder sich um aktuelle Hotfixes kümmern (bzw dies automatisch machen lassen) würden solche Probleme nie entstehen, damit wäre auch zusätzliche teure Software in "Firmen Version!!!!" überflüssig.
Mal ganz davon abgesehen, dass auch wie schon bei anderen, auch bei Zotob der Patch schon eher verfügbar war.

Zitat (jerrison: 29.08.2005, 14:15)

Installieren sich eigentlich alle PFW´s vor/in den Kernel, also ähnlich wie Process Guard?

Das kann doch jeder Hersteller machen wie er will, wobei ich noch keinen gesehen habe der etwas in den Kernel installiert, i.d.R. installieren sie (mehr oder wenig gut funktionierende) seperate Filtertreiber die auf Kernel-Ebene laufen. Das dies nicht jeden Angriff abwehren kann ist ja logisch (z.B. wenn die Sicherheitslücke in einem Filtertreiber ist der auf der selben Ebene oder eine Ebene davor liegt), mal ganz zu schweigen davon das viele Hersteller es immer noch nicht handlen können wenn man den Filtertreiber einfach zum löschen markiert (was ja mit einem Befehl bei XP Pro getan ist).
Und an die "geblockten" oder "gefilterten" Daten zu kommen ist in Windows fast genauso einfach wie unter Linux, da ist das ja seit SilentDoor auch gut verbreitet, nur das man bei Windows mit Admin Rechten nichteinmalmehr einen pcap-artigen Filter benötigt, da geht das ganze ja ganz einfach über LLDA (das kann man in einem Programm mit 9kB unterbringen). Wobei die pcap Variante besser ist, da man dies auch mit eingeschränkten Rechten machen kann. Bei gelegenheit werde ich das mal testen ob dies auch mit dem Windows eigenen NetMon Treiber funktioniert.

[jerrison]

Zitat

Juhu, soll sich jetzt jeder eine "Firmen Version!!!!" kaufen damit er dann bei Problemen ein "ich hab aber ne Firmen Version!!!!" hinterher plenken kann?

erstmal entspannen..so, dann zur klärung: es gibt verschiedene versionen von mcafee die sich alle irgendwas mit firewall und security bezeichnen, das mal zur klärung :).

ich weiss nicht wie das in deiner firma ist, aber bei uns können nicht einfach patches reingeknallt werden, das muss erstmal getestet, abgenickt und dann ausgerollt werden.
braucht leider zeit, weil es immer zu wenig tester gibt.
wie schnell kam eigentlich nochmal zotob raus nach bekanntmachung der pnp-lücke?

punkt ist aber auch, dass ich bisher mit keinem mehr oder weniger bekannten pen-test "einfach" ans system kam. und leider hab ich auch noch keinen bericht gesehen der besagte PFW niedermacht...und das bei allen PFW-Verächtern gab mir zu denken :).

[puppet]

Zitat (jerrison: 29.08.2005, 19:41)

erstmal entspannen..so, dann zur klärung: es gibt verschiedene versionen von mcafee die sich alle irgendwas mit firewall und security bezeichnen, das mal zur klärung .

Und?

Zitat (jerrison: 29.08.2005, 19:41)

ich weiss nicht wie das in deiner firma ist, aber bei uns können nicht einfach patches reingeknallt werden, das muss erstmal getestet, abgenickt und dann ausgerollt werden.

Meine Firma?

Zitat (jerrison: 29.08.2005, 19:41)

braucht leider zeit, weil es immer zu wenig tester gibt.

Zitat (jerrison: 29.08.2005, 19:41)

wie schnell kam eigentlich nochmal zotob raus nach bekanntmachung der pnp-lücke?

Eine Woche glaube, aber:

Zitat (][size=1][...]While not the current target of these attacks, it’s important to note that on Windows XP Service Pack 2 and Windows Server 2003 an attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability. The vulnerability could not be exploited remotely by anonymous users or by users who have standard user accounts on Windows XP Service Pack 2 or Windows Server 2003.[...]While not the current target of these attacks, it’s important to note that on Windows XP Service Pack 1 an attacker must have valid logon credentials to try to exploit this vulnerability. The vulnerability could not be exploited remotely by anonymous users. However, the affected component is available remotely to users who have standard user accounts on Windows XP Service Pack 1. The existing attacks are not designed to provide the authentication required to exploit this issue on these operating systems.[....][/size][/quote]Und wer seinen nicht mehr aktuellen Windows 2000 Server nicht absichert (Server mit Anbindung an öffentliche Netzwerke sind bei Firmen mit halbwegs vernünftigen EDV Menschen sowieso immer durch eine Firewall gegen Angriffe auf unerwünschte Dienste (falls nicht am Server deaktiviert) geschützt) hat halt Pech gehabt. Und kritische Sicherheitsupdates die Dienste betreffen die man mit seinen Server in einem öffentlichen Netzwerk anbietet sollten sowieso sofort installiert werden, oder man sollte den Dienst temporär nicht mehr anbieten oder anderweitig (mit VPN oder IPsec) absichern. Zumal ich mich frage ob der Admin nicht ernsthaft einen Schaden hat MS-DS und NetBIOS im Internet anzubieten. Selbst wenn er es muss (wofür es ja nicht wirklich viele Gründe gibt) ist es ja seit Windows 2000 kein Problem mehr eine IPsec Regel dafür zu erstellen um dies u.a. gegen Angriffe und unbefugtem Zugriff abzusichern.[quote name=: 29.08.2005, 19:41)

punkt ist aber auch, dass ich bisher mit keinem mehr oder weniger bekannten pen-test "einfach" ans system kam. und leider hab ich auch noch keinen bericht gesehen der besagte PFW niedermacht...und das bei allen PFW-Verächtern gab mir zu denken .

Aber kaum eine Personal Firewall kann die eingehende Kommunikation unterbinden wenn schon Schadsoftware vorhanden ist, geschweige denn das verlassen von Informationen wie gespeicherten Passwörtern o.ä. vom PC, gerade das ist ja etwas womit die Hersteller werben. Und das verhindern unerwünschter eingehender Kommunikation auf diversen Ports ist ja seit Windows 2000 gut möglich, und seit Windows XP sowieso kein Thema mehr, da benötigt es keine zusätzliche (und im Netzwerk meist nur schwer zu verwaltende - es sei denn sie kostet gleich mal nen dicken Batzen Ois) Software.

Dieser Beitrag wurde von puppet bearbeitet: 29. August 2005 - 19:29