Dirk Schleicher:
> Am Thu, 24 Apr 2008 21:08:23 +0200 schrieb Jochen Schulz:
>> Dirk Schleicher:
>>>
>>> Da diese Kiste richtig uralt ist und W2k sich tot läd, ist dort
>>> nichts mit Firewall und Co.
>>
>> Was meinst Du mit "Firewall"? Eine Art Paketfilter wird W2k doch
>> haben? (Ich weiß das selbst nicht). Und der Rechner hängt doch hinter
>> einem (NAT-)Router?
>
> Paketfilter unter W2k? Normalerweise knall ich dort eine Personal
> Firewall vor.
Personal Firewalls sind prinzipbedingt so gut wie immer völliger Mist.
Sie laufen mit Administratorrechten auf dem Desktop eines möglicherweise
(bzw. hoffentlich) unprivilegierten Benutzers. Daher können sie meist
mit den Rechten eben dieses Benutzers auch ausgehebelt werden. Immer
dran denken: wenn der Schadcode schon auf Deinem Rechner läuft, kann er
auch für Dich die Meldung der PFW wegklicken. Das kann Dir mit den
bordeigenen Mitteln (bzw. iptables unter Linux) nicht passieren.
Weiteres Gegenargument: sie vergrößern die theoretische Angriffsfläche
und zeigen auch in der Praxis immer mal wieder selbst Sicherheitslücken.
Schöne Zusammenfassung mit weiterführenden Links (weiß allerdings nicht,
wie aktuell die beschriebenen Angriffsmöglichkeiten noch sind):
http://blog.copton.net/articles/pfw-versagen/
> Ja, der hängt hinter einem NAT-Router.
Dann kommen ja schon mal nur ausdrücklich erwünschte Pakete aus dem
Internet an und direkte Angriffe über das Netz sind kaum machbar.
>> Wahrscheinlich aber nicht über einen Angriff über das Netz direkt,
>> sondern über kaputte Anwendungen (Office, Browser, Multimedia-Zeugs
>> etc.). Dagegen hilft auch kein iptables.
>
> Darum geht es mir ja. Irgend ein Loch in Win und ein unbedachter klick
> auf ne email...
Davor schützen weder Paketfilter noch Personal Firewall. Du kannst
höchstens die Auswirkungen einer Übernahme des Rechners mildern, indem
Du *auf dem Router* die ausgehenden Verbindungen ebenfalls einschränkst.
Wenn $MALWARE aber seine Aktivitäten über Port 80 abwickelt, hilft das
auch nicht, weil Du HTTP ja ziemlich sicher haben willst.
So doof es ist: der beste Schutz sind da nur Wissen und bedächtiges
Handeln. Und natürlich: nur "vertrauenswürdige" Software einsetzen und
Updates zeitnah installieren, Nutzer mit minimalen Rechten ausstatten.
Gegen "Drive-by-Exploits" (à la: heise.de zeigt Werbung von einem
Anbieter, in dessen Server eingebrochen wurde und die jetzt Schadcode
auf heise.de einblenden können) ist man nie ganz gewappnet.
>>> Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten
>>> und Regeln erstellen, damit nur Ports rein dürfen, die benötigt
>>> werden.
>>
>> Nein, Du solltest Dich mit Netzwerkgrundlagen auseinandersetzen. Dann
>> weißt Du auch, wovor Du Dich wie schützen kannst. Und Du drückst Dich
>> genauer und verständlicher aus. Ports bleiben immer wo sie sind. ;-)
>
> Genau das wird den Nagel auf den Kopf treffen. Netzwerkgrundlagen. Dort
> fehlt es mir noch (und auf ein paar anderen Bereichen :-))
> Natürlich bleiben die Ports dort wo sie sollen. Denke Du hat mich
> trotzdem verstanden?
Ja, aber Du hast eben was durcheinandergebracht: Paketfilter helfen
nicht gegen Sicherheitslücken auf Anwendungsebene.
>>> Für den "schwachen Rechner" werde ich dann erst einmal ein Regel auf
>>> den Router erstellen müssen, das dieser nur ins Internet kann aber
>>> keinen Zugriff auf das lokale Netz hat.
>>
>> Wenn der Router auch Switch ist, wirst Du den Weg LAN<->LAN
>> wahrscheinlich gar nicht beeinflussen können.
>
> DOCH! Habe doch jetzt einen WRT54GL mit OpenWRT drauf. Da kann man
> so was :-) Deswegen kam mir doch die Idee.
Ok, dann geht das. Dann mußt Du an dem Bridging rumspielen und separate
Netze einrichten. Habe ich hier auch (um LAN und WLAN zu trennen) mal in
einer dunklen Stunde gemacht (mit OpenWRT Kamikaze). Frag mich aber bloß
nicht mehr, wie das genau geht. War mehr trial & error.
J.
--
In this bunker there are women and children. There are no weapons.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature