Re: [OT] Netzwerk Sicherheits Frage
Am Freitag 25 April 2008 07:58:17 schrieb Dirk Schleicher:
> Moin Jochen,
>
> Am Thu, 24 Apr 2008 21:08:23 +0200
>
> schrieb Jochen Schulz:
> > Dirk Schleicher:
> > > Da diese Kiste richtig uralt ist und W2k sich tot läd, ist dort
> > > nichts mit Firewall und Co.
> >
> > Was meinst Du mit "Firewall"? Eine Art Paketfilter wird W2k doch
> > haben? (Ich weiß das selbst nicht). Und der Rechner hängt doch hinter
> > einem (NAT-)Router?
>
> Paketfilter unter W2k?
Hab mal meine VBox mit W2K angeworfen.
Unter Eigenschaften der LAN-Verbindung -> TCP/IP-Protokoll -> Eigenschaften ->
Erweitert findest du auf dem letzten Register (Optionen) die Einstellungen
für den Paketfilter (TCP/IP-Filter). Dort kannst du einstellen, auf welchen
Ports dein Windows einen Verbindungsaufbau zulassen soll.
> Normalerweise knall ich dort eine Personal
> Firewall vor.
Die macht auch nichts anderes.
> Ja, der hängt hinter einem NAT-Router.
Wenn der NAT-Router schon entsprechende Port-Regeln eingestellt hat, ist das
IMHO ausreichend.
> > > Daraus resultiert aber dann, das jemand über
> > > diesen ungeschützten Rechner ins Netz eindringen kann.
> >
> > Wahrscheinlich aber nicht über einen Angriff über das Netz direkt,
> > sondern über kaputte Anwendungen (Office, Browser, Multimedia-Zeugs
> > etc.). Dagegen hilft auch kein iptables.
>
> Darum geht es mir ja. Irgend ein Loch in Win und ein unbedachter klick
> auf ne email...
... da hilft dir auch kein Paketfilter, weder der von Windows noch iptables
oder irgend eine PersonalFirewall.
> > > Im Prinzip müsste ich auf jeden Rechner im Netz iptables einrichten
> > > und Regeln erstellen, damit nur Ports rein dürfen, die benötigt
> > > werden.
> >
> > Nein, Du solltest Dich mit Netzwerkgrundlagen auseinandersetzen. Dann
> > weißt Du auch, wovor Du Dich wie schützen kannst. Und Du drückst Dich
> > genauer und verständlicher aus. Ports bleiben immer wo sie sind. ;-)
>
> Genau das wird den Nagel auf den Kopf treffen. Netzwerkgrundlagen. Dort
> fehlt es mir noch (und auf ein paar anderen Bereichen :-))
> Natürlich bleiben die Ports dort wo sie sollen. Denke Du hat mich
> trotzdem verstanden?
Über einen Port kann nur dann etwas in einen Rechner kommen, wenn:
A) jemand an diesem Port eine Verbindung aufbauen will
_und_
B) auf deinem Rechner genau an diesem Port ein Programm auf einen
Verbindungsaufbau wartet
_und_
C) dieses Programm den gewünschten Verbindungsaufbau auch realisiert (z.B.
bleibt ein HTTP-Request am Port 21 in der Regel unbeantwortet, selbst wenn
ein FTP-Server am Port 21 bereit steht, denn HTTP != FTP)
_oder_
wenn ein Programm auf deinem Rechner selbst eine Verbindung über einen Port
erfolgreich zu einem anderen Rechner herstellt (wenn das aber ein von dir
unerwünschtes Programm tut, hast du eh ein Problem, bis du das Programm
gefunden hast [1]).
------
[1] So ein schädliches Programm könnte z.B. eine eigene Verbindung über Port
80 aufbauen - dieser Port ist in der Regel immer nach außen offen, weil man
ja surfen will. Statt dem üblichen HTTP kann aber auch jedes beliebige andere
Protokoll darüber verwendet werden - es muss nur die Gegenseite darüber
Bescheid wissen. Über diesen "Trick" stellen z.B. manche eine ssh-Verbindung
zum heimischen PC durch eine Firmen-Firewall her (Stichwort: http-Tunnel),
die das eigentlich verhindern sollte, weil der für ssh übliche Port 22
gesperrt wurde. Durch diese getunnelte ssh-Verbindung kann man dann wieder
alles mögliche andere tunneln, was durch die Verschlüsselung sogar vor allen
anderen verborgen erfolgte.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: