Re: [OT] Netzwerk Sicherheits Frage
Am Samstag 26 April 2008 13:44:40 schrieb Jochen Schulz:
> M. Houdek:
> > [1] So ein schädliches Programm könnte z.B. eine eigene Verbindung über
> > Port 80 aufbauen - dieser Port ist in der Regel immer nach außen offen,
> > weil man ja surfen will. Statt dem üblichen HTTP kann aber auch jedes
> > beliebige andere Protokoll darüber verwendet werden - es muss nur die
> > Gegenseite darüber Bescheid wissen. Über diesen "Trick" stellen z.B.
> > manche eine ssh-Verbindung zum heimischen PC durch eine Firmen-Firewall
> > her (Stichwort: http-Tunnel),
>
> Ein Tunnel wäre das erst, wenn man SSH over HTTP macht.
Richtig. Ich wollte nur ein Stichwort angeben, unter dem man entsprechende
Hinweise dazu findet. Das Umleiten von ssh über Port 80 ist dabei die
einfachste, ist ein Proxy dazwischen, muss man tunneln. Am besten klappt das
über https, weil da der Proxy die Inhalte nicht mitbekommt.
> Das kenne ich höchstens in Form von Webinterfaces, die ein Terminal in den
> Browser zaubern.
Es gibt auch andere Varianten, z.B. Stichwort: proxytunnel
Aber es ging mir vorrangig darum aufzuzeigen, dass eine nur auf Paketfiltern
basierende Firewall nicht mehr viel Sicherheit bietet, wenn erst einmal ein
entsprechendes Schadprogramm läuft. Selbst ein Proxy als Bestandteil der
Firewall lässt sich leicht aushebeln - durch gewiefte User genau so wie durch
ein Schadprogramm. Der wichtigste Schutz ist also immer noch die Wachsamkeit
der User selbst, eben _nicht_ sorglos Mailanhänge zu öffnen oder Programme
herunterzuladen.
Ein für mich gravierendes Beispiel ist übrigens die Anmeldung bei
Elster-Online. Diese erfolgt über ein Java-Applet, welches uneingeschränkte
Schreibrechte auf den gesamten Userbereich anfordert. Gibt man dem statt,
könnte dieses Applet beliebige Software auf meinem Rechner platzieren, die
(da mit dem gleichen Zertifikat autorisiert) letztlich auch wieder in meinem
Userbereich alles machen darf. Gibt man dem nicht statt, kann man sich nicht
anmelden.
Und da das Finanzamt Steuererklärungen möglichst online haben möchte ... - bei
mir läuft sowas jedenfalls nur noch in einer VBox, die kann ich danach
löschen und den Schlüssel vorher fürs nächste Jahr woanders sichern (oder ich
melde mich eben neu an).
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: