was muss man bei einem Router einstellen um für sicherheit zu sorgen ? ich kenne mich mit netzwerk konfiguationen nicht aus bei meinem router kann man einiges einstellen (dhcp,nat,wan usw). im heft steht auch nicht beschrieben wofür diese sachen gut sind.
danke
Hi,
Mindestanforderungen für die absicherung eines privaten W-LAN:
-
Netzwerknamen (SSID) von der Voreinstellung auf einen anderen namen ändern, der möglichst keine Rückschlüsse auf Dich zulässt.
-
Die Übermittlung des Netzwerknamens (SSID Broadcast) abschalten.
-
WEP Verschlüsselung aktivieren (128 Bit)
-
MAC Adressenfilter aktivieren
-
DHCP abschalten und feste IP Adressen vergeben
Eine sehr umfassene Dokumentation, in der alles genau erklärt ist, kannst Du hier aus vertrauenswürdiger Quelle downloaden:
http://www.bsi.de/literat/doc/wlan/index.htm
Gruß
Achim
Hallo,
nachdem Achim Dir schon geschrieben hat was bei W-Lan wichtig
ist, schauen wir uns mal LAN an.
Also mal ein bisschen Stoff zum Schmökern :
http://www.nur-sicherheit.de/themen/firewall.htm
Achim hat dir einen Link zum BSI gegeben. Hier ist das
Grundschutzhandbuchh recht interessant, aber mit 2500 Seiten
ein wenig overload für Dich.
DHCP -> dynamic host control protokoll.
Das ist ein Serverdienst der unter anderem die dynamische
Adressenvergabe der im Netzwerk vorhandenen Rechner
ermöglicht. Ob ein oder aus - darüber kann man echt streiten.
In großen Netzen verhindert dieser Dienst jedenfalls die
Turnschuh-Administration. Um es Dir einfacher zu machen
schalte diesen Dienst ein und Trage in Deine Rechner
IP-Adressvergabe und DNS über DHCP in den TCP/IP einstellungen
ein.
NAT -> network address translation
Dieser Dienst leitet eine öffentliche IP-Adresse zu einer
privaten IP-Adresse um. Und zwar zu 100%. Fälschlicher Weise
wird dieser Dienst oft als Firewall angesehen. Völliger
Blödsinn.
Dieser Dienst hat einen Verwanten :
PAT -> port address translation
Mit diesem Dienst kannst Du einen einzelen Port einer
öffentlichen IP-Adresse auf eine private IP-Adresse umleiten.
WAN -> wide area network
Hier verbirgt sich die Konfiguration für die
Internetverbindung Deines Routers.
Protokoll = Dynamic PPPoE.
Benutzerdaten und Passwort eintragen.
Sollte ein Feld für die MTU (maximal transfer unit) vorhanden
sein, setze diesen wert auf maximal 1492. Warum ? ich glaube
das würde jetzt zu weit gehen, aber suche mal bei Google nach
MTU und lese das nach.
So ! und nun zu Deinem Router.
Viele Router haben für die Firewall einen einzigen Knopf.
Diesen aktivierst Du. NAT und PAT schalte aus. Diese Dinge
solltest Du erst benutzen wenn Du Plan von dem hast was Du
tust (entschuldige bitte).
So und nun noch einen kurzen Check der Sicherheit :
https://grc.com/x/ne.dll?bh0bkyd2
- klicke auf den Knopf „Proceed“.
- klicke auf den Knopf „Common Ports“.
Wenn alle Deine Ports auf „Stealth“ stehen hast Du es
geschaft. Aber nur die eine Hälfte !!!
Besorge Dir noch eine Software, die den Verkehr Deines Rechner
nach aussen regelt (z.B. Zona Alarm) und einen Virenscanner.
Gruß Martin
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Nachtrag
Wenn Dein Router eine möglichkeit für Remotekonfiguration hat,
schalte diese aus.
Sicher ist Sicher !!!
Gruß Martin
Hallo,
NAT -> network address translation
[…] Fälschlicher Weise
wird dieser Dienst oft als Firewall angesehen. Völliger
Blödsinn.
Sehe ich auch so, aber …
Viele Router haben für die Firewall einen einzigen Knopf.
Was eigentlich ist eine Firewall?
So und nun noch einen kurzen Check der Sicherheit :
https://grc.com/x/ne.dll?bh0bkyd2
- klicke auf den Knopf „Proceed“.
- klicke auf den Knopf „Common Ports“.
Wenn alle Deine Ports auf „Stealth“ stehen hast Du es
geschaft.
Was? Den Router kaputt gemacht. Ich persönlich kenne kaum einen (Home) Router, der so Schrott wie „Stealth mode“ ermöglicht, schließlich wurde dieser Begrigg der Marketingabteilung von Schlangenölverkäufern wie von :
Software, die den Verkehr Deines Rechner
nach aussen regelt (z.B. Zona Alarm)
Erfunden. Über denn Sinn oder vielmehr Unsinn von Personal firewalls ist ja vermutlich schon genug bekannt. Oder?
Gruß,
Sebastian
Hallo Sebastian,
Wenn alle Deine Ports auf „Stealth“ stehen hast Du es
geschaft.Was? Den Router kaputt gemacht. Ich persönlich kenne kaum
einen (Home) Router, der so Schrott wie „Stealth mode“
ohne Dir zu nahe treten zu wollen - Stealth bedeutet in diesem Zusammenhang normalerweise, dass sich der Port nicht meldet - also auch nicht ruft: „ich bin gesperrt“. Dies hat den Vorteil, dass ein potentieller Angreifer gar nicht weiss, dass der Port überhaupt da ist und somit weitere Angriffe unterlassen werden. Ein gesperrten Port kann man ja immer noch irgenwie piesacken (schreibt man das so?).
Und in der Welt der Profis wird schon darauf geachtet, dass nur die notwendigsten Ports als offen gezeigt werden und alls anderen sich halt nicht melden - Stealth.
Welcher Router das jetzt unterstützt oder nicht ist natürlich eine andere Frage. Aber das ändert nichts am dem Grundlegenden.
Somit denke ich, ist die Antwort des Vorredners gar nicht so schlecht.
ermöglicht, schließlich wurde dieser Begrigg der
Marketingabteilung von Schlangenölverkäufern wie von :Software, die den Verkehr Deines Rechner
nach aussen regelt (z.B. Zona Alarm)Erfunden. Über denn Sinn oder vielmehr Unsinn von Personal
firewalls ist ja vermutlich schon genug bekannt. Oder?
Und was die PF anbelangt - ich nutze sie sehr gerne, da eine PF auf einfachste Weise meldet, wenn ein Programm eine Internetverbindung herstellen will, und das ist nicht schlecht. Die weitergehenden philosophischen Betrachtungen sind mir gelinde gesagt ziemlich egal, solange mir kein „PF-Ablehnungsexperte“ eine genauso einfache Lösung nennen kann, diesen Punkt zu überwachen.
Ciao
Hi,
Dies hat den
Vorteil, dass ein potentieller Angreifer gar nicht weiss, dass
der Port überhaupt da ist und somit weitere Angriffe
unterlassen werden.
Ich glaube, da irrst Du.
Ein gesperrten Port kann man ja immer noch
irgenwie piesacken (schreibt man das so?).
Kann man?
Und in der Welt der Profis wird schon darauf geachtet, dass
nur die notwendigsten Ports als offen gezeigt werden und alls
anderen sich halt nicht melden - Stealth.
Welche Profis? Die, die ich kenne, sehen das nicht unbedingt so.
Und was die PF anbelangt - ich nutze sie sehr gerne, da eine
PF auf einfachste Weise meldet, wenn ein Programm eine
Internetverbindung herstellen will, und das ist nicht
schlecht.
„Internet Explorer want’s to access the internet!“
Hm, könnte es sein, daß da jemand einen Trojaner einfach „Internet Explorer“ genannt hat?
Ansonsten gibt’s ja auch noch Browser Plugins…
Die weitergehenden philosophischen Betrachtungen
sind mir gelinde gesagt ziemlich egal, solange mir kein
„PF-Ablehnungsexperte“ eine genauso einfache Lösung nennen
kann, diesen Punkt zu überwachen.
Brain 1.0 - PFs überwachen das nämlich nicht zuverlässig.
Gruß,
Malte.
Hi,
[„Stealth“]
Was? Den Router kaputt gemacht. Ich persönlich kenne kaum
einen (Home) Router, der so Schrott wie „Stealth mode“
Ich auch nicht.
ohne Dir zu nahe treten zu wollen - Stealth bedeutet in diesem
Zusammenhang normalerweise, dass sich der Port nicht meldet -
also auch nicht ruft: „ich bin gesperrt“.
Sowas ruft er nicht. Er ruft eher sowas wie „Du bist hier falsch.“
Dies hat den Vorteil, dass ein potentieller Angreifer gar
nicht weiss, dass der Port überhaupt da
Der port ist da (genau wie 65535 andere), ob Du nun auf Anfragen daran antwortest oder nicht.
ist und somit weitere Angriffe unterlassen werden. Ein
gesperrten Port kann man ja immer noch irgenwie piesacken
(schreibt man das so?).
Dann antwortet er auf das Piesacken immer noch sowas wie „Du bist hier falsch.“
Und in der Welt der Profis wird schon darauf geachtet, dass
nur die notwendigsten Ports als offen gezeigt werden und alls
anderen sich halt nicht melden - Stealth.
Dann kennst Du andere Profis als ich. Und mich interessiert auch nur meine persoenliche Erfahrung, dass ich ungern $TIMEOUT warte, weil irgendein daemlicher host kaputtkonfiguriert ist.
Somit denke ich, ist die Antwort des Vorredners gar nicht so
schlecht.
Wenn man auf Schmerzen steht…
[…] solange mir kein „PF-Ablehnungsexperte“ eine genauso
einfache Lösung nennen kann, diesen Punkt zu überwachen.
Software verwenden, ueber deren Funktion man Bescheid weisz? Im Zweifelsfall ist mir ein tcpdump auf einem gateway auch lieber, da ich sicher sein kann, dass das vom host selbst nicht (bis sehr schwer) manipuliert werden kann.
YMMV,
Gruss vom Frank.
Hallo,
ohne Dir zu nahe treten zu wollen - Stealth bedeutet in diesem
Zusammenhang normalerweise, dass sich der Port nicht meldet -
also auch nicht ruft: „ich bin gesperrt“.Sowas ruft er nicht. Er ruft eher sowas wie „Du bist hier
falsch.“
OK, das kann sein.
Dies hat den Vorteil, dass ein potentieller Angreifer gar
nicht weiss, dass der Port überhaupt da
Der port ist da (genau wie 65535 andere), ob Du nun auf
Anfragen daran antwortest oder nicht.
OK, blöd ausgedrückt. Natürlich sind alle Ports da, aber wenn ich einen ganz speziellen anrufe ist es halt berser, er gibt keine Antwort, als eine Verbotsmeldung.
Dann antwortet er auf das Piesacken immer noch sowas wie „Du
bist hier falsch.“
Und mir ging´s eben um genau diese Antwort.
Und in der Welt der Profis wird schon darauf geachtet, dass
nur die notwendigsten Ports als offen gezeigt werden und alls
anderen sich halt nicht melden - Stealth.Dann kennst Du andere Profis als ich. Und mich interessiert
auch nur meine persoenliche Erfahrung, dass ich ungern
$TIMEOUT warte, weil irgendein daemlicher host
kaputtkonfiguriert ist.Somit denke ich, ist die Antwort des Vorredners gar nicht so
schlecht.Wenn man auf Schmerzen steht…
Auch hier sehe ich Diskussionspotential.
[…] solange mir kein „PF-Ablehnungsexperte“ eine genauso
einfache Lösung nennen kann, diesen Punkt zu überwachen.Software verwenden, ueber deren Funktion man Bescheid weisz?
Im Zweifelsfall ist mir ein tcpdump auf einem gateway auch
lieber, da ich sicher sein kann, dass das vom host selbst
nicht (bis sehr schwer) manipuliert werden kann.
Ich gehe mal von einem „normalen“ User mit einem Rechner aus (so wie es bei mir zu Hause ist). Ist tcpdump nicht ausschließlich ein Unix-Teil? Verzeihung falls ich da falsch liegen sollte. Und da ich Windows-User bin, installiere ich einfach Outpost und schaue auf die Meldungen der ungewollten Verbindungsaufbauten.
Ich denke vieles ist an einem solchen Punkt auch ansichtssache. Ich verwahre mich halt nur gegen den „Absolutismus“, der manchmal so an den Tag gelegt wird.
Ohne das ich das jetzt hier einem unterstellten möchte.
Ciao
Hallo,
Vorteil, dass ein potentieller Angreifer gar nicht weiss, dass
der Port überhaupt da ist und somit weitere Angriffe
unterlassen werden.Ich glaube, da irrst Du.
Warum?
Und in der Welt der Profis wird schon darauf geachtet, dass
nur die notwendigsten Ports als offen gezeigt werden und alls
anderen sich halt nicht melden - Stealth.
Welche Profis? Die, die ich kenne, sehen das nicht unbedingt
Uups, die die ich meine sind die absoluten Cracks in der Netzwerkwelt. Möchtest Du Namen hören? Die drei, die den Sicherheitskurs bei uns geleitet haben, werden Europaweit gerufen, wenn die Topadmins der jeweiligen Firmen (u.a. Deutsche Bank und ähnlich große Firmen) nicht mehr weiter wissen.
Und was die PF anbelangt - ich nutze sie sehr gerne, da eine
PF auf einfachste Weise meldet, wenn ein Programm eine
Internetverbindung herstellen will, und das ist nicht
schlecht.„Internet Explorer want’s to access the internet!“
Hm, könnte es sein, daß da jemand einen Trojaner einfach
„Internet Explorer“ genannt hat?
Na das ist ja ein lausiges Argument - Entschuldige. Wenn ich der PF einmal gesagt habe der IE darf, dann ist es OK. Kommt die Meldung nochmal, ob er darf und ich denke mir nichs dabei, ist es sowieso egal, was ich ansonsten am Laufen hätte.
Ansonsten gibt’s ja auch noch Browser Plugins…
Na klar, aber die kleine Outpost-FW meldet dennoch sehr viele SW, die ich mal teste und die sich dann selbstständig machen will.
Brain 1.0 - PFs überwachen das nämlich nicht
zuverlässig.
Entschuldige, aber das verstehe ich jetzt nicht. Schreibfehler?
Aber im Gegensatz zu anderen diskutiere ich gerne weiter darüber und bin für jedes sachliche Argument offen.
Ciao
Hallo,
Der port ist da (genau wie 65535 andere), ob Du nun auf
Anfragen daran antwortest oder nicht.
OK, blöd ausgedrückt. Natürlich sind alle Ports da, aber wenn
ich einen ganz speziellen anrufe ist es halt berser, er gibt
keine Antwort, als eine Verbotsmeldung.
Warum eigentlich?
Etwa deshalb, weil dann IRC von hinter der Router komplet zur Qual wird genauso wier das Mail-Versenden und das Webseiten-Abrugen von einigen Providern (es soll solche geben, die eine Anfrage per identd stellen)
Dann antwortet er auf das Piesacken immer noch sowas wie „Du
bist hier falsch.“
Und mir ging´s eben um genau diese Antwort.
Nein. Du unterdrückst kede Antwort auf die Gefahr hin, daß die Frage nach einer Wartezeit wiederholt wird. Und Zeit verplempert wird.
Ich gehe mal von einem „normalen“ User mit einem Rechner aus
(so wie es bei mir zu Hause ist). Ist tcpdump nicht
ausschließlich ein Unix-Teil?
Keine Ahnung. Ist bei Windows nichts adäquates in der Distribution enthalten? Armes Seattle …
Verzeihung falls ich da falsch
liegen sollte. Und da ich Windows-User bin, installiere ich
einfach Outpost und schaue auf die Meldungen der ungewollten
Verbindungsaufbauten.
Deren Du dann auch einige haben dürftest http://www.heise.de/newsticker/meldung/43763
Personal Firewalls sind schon geil. Erstens bringen sie Geld, zweitens geben sie kuscheliges Gefühl, drittens bieten sie neue Angriffsflächen, viertens machen sie den sinnvollen und standardmäßigen Kommunikationssableuf kaputt.
Ich persönlich würde unter Windows die Personal Firewall bevorzugen, die den TCP/IP-Stack komplett deinstalliert.
YMMV,
Sebastian
OK, blöd ausgedrückt. Natürlich sind alle Ports da, aber wenn
ich einen ganz speziellen anrufe ist es halt berser, er gibt
keine Antwort, als eine Verbotsmeldung.
Welchen Vorteil hat es, wenn du gezielt auf dich aufmerksam machst? In dem Moment, in dem auf den Scan weder ein ‚destination unreachable‘ noch ein ‚Service not available‘ zurückgeliefert wird, weiss ich als Hacker, dass du einen Portfilter laufen hast. Du hast mir also einen ganz konkreten Anhaltspunkt geliefert, den ich versuchen kann, mit diversen Exploits auf PFs auszunutzen.
‚Service not available‘ gibt mir eine Information zurück - dein Rechner ist im Netz.
‚Keine Antwort‘ gibt mir eine Zusatzinfo: Dein Rechner ist im Netz, und er benutzt einen Portfilter.
Besser?
Gruss,
Schorsch
Hallo,
Welche Profis? Die, die ich kenne, sehen das nicht unbedingt
Uups, die die ich meine sind die absoluten Cracks in der
Netzwerkwelt. Möchtest Du Namen hören?
Ja.
Und jetzt bitte nicht sowas wie „Steve Gibson“, denn dann landet wieder der ganze Kaffee auf der Tastatur.
Die drei, die den
Sicherheitskurs bei uns geleitet haben, werden Europaweit
gerufen, wenn die Topadmins der jeweiligen Firmen (u.a.
Deutsche Bank und ähnlich große Firmen) nicht mehr weiter
wissen.
Die ampfehlen dann eine (Personal) Firewall mit „Stealth Mode“?
„Internet Explorer want’s to access the internet!“
Hm, könnte es sein, daß da jemand einen Trojaner einfach
„Internet Explorer“ genannt hat?
Na das ist ja ein lausiges Argument - Entschuldige. Wenn ich
der PF einmal gesagt habe der IE darf, dann ist es OK. Kommt
die Meldung nochmal, ob er darf und ich denke mir nichs dabei,
ist es sowieso egal, was ich ansonsten am Laufen hätte.
Na, wollen wir hoffen, daß Neuinstallationen nicht nötig werden …
Brain 1.0 - PFs überwachen das nämlich nicht
zuverlässig.
Entschuldige, aber das verstehe ich jetzt nicht.
Schreibfehler?
Nein.
Fehler in der genannten Software.
Gruß,
Sebastian
Hallo,
Netzwerkwelt. Möchtest Du Namen hören?
Ja.
Martinidez (wobei dieser eigentlich der Datenbank-Crack war), Thomas, Rös??? (den vollständigen Namen werde ich aus meinen Unterlagen heraussuchen - er hatte aber das Angebot der TU Berlin eine Doktorarbeit im Bereich Netzwerk anzufertigen, da er letztes Jahr dort sehr Erfolgeich Forschung darin betrieben hat…).
Die ampfehlen dann eine (Personal) Firewall mit „Stealth
Mode“?
Nein, und das habe ich so auch nicht geschrieben. Aber im Gegesatz zu vielen anderen Absolutexperten kann diese Art noch differenzieren - wahrscheinlich weil sie den globaleren Überblick haben (bei mir auf der Uni waren die offensten Professoren auch die, die die absoluten Cracks waren und die, die nachweislich früher kleine Lichter waren, hatten die engstirnigste Einstellung). Und wenn ich manche Experten höre, die in Ihrer superprofessionellen Welt leben und dann einem „kleinen Frager“ die Topempfehlungen um die Ohren hauen, obwohl er nur so was in der Art wie ich es beschrieben hatte - PF als Kontrollprogramm — so ein Scheiß braucht man nicht— suchte… Unterm Strich sollten diese Leute dann die Onlineleitung kappen, da sie absolut keine Ahnung haben von dem was sie tun… wirklich sehr hilfreich.
„Internet Explorer want’s to access the internet!“
Hm, könnte es sein, daß da jemand einen Trojaner einfach
„Internet Explorer“ genannt hat?Na das ist ja ein lausiges Argument - Entschuldige. Wenn ich
der PF einmal gesagt habe der IE darf, dann ist es OK. Kommt
die Meldung nochmal, ob er darf und ich denke mir nichs dabei,
ist es sowieso egal, was ich ansonsten am Laufen hätte.Na, wollen wir hoffen, daß Neuinstallationen nicht nötig
werden …
Manchmal unvermeidbar, wenn man sich auf unseriösen Sites herumtreibt oder nicht sonderlich verrauensvolle SW installiert. Aber das muß jeder selbst entscheiden.
Brain 1.0 - PFs überwachen das nämlich nicht
zuverlässig.Entschuldige, aber das verstehe ich jetzt nicht.
Schreibfehler?Nein.
Fehler in der genannten Software.
Was is „Brain 1.0“ ?
Verzeihung wenn ich zu weit abgeschweift bin, aber ich finde es keine Hilfe für Fragesteller, wenn undifferenziert geantwortet wird. Als Beispiel die gar nicht so seltene Antwort, dass man von Windows nach Linux wechseln soll, damit es besser läuft. Diese Migration macht bei operativen Systemen in der professionellen Welt schon Probleme und dann kommt so ein - nochmals Verzeihung - dämlicher Vorschlag an jemanden, der keine Linuxerfahrung hat. Na toll…
Zur Eindeutigen Klarstellung - ich greife hiermit niemanden an, sondern äußere nur meine persönliche Meinung gemixt mit meinen Erfahrungen im Alltag.
Aber wie gesagt, ich bin für alles offen, sofern der Blick für die aktuelle Problemumgebung nicht außer acht gelassen wird.
Als kleines Beispiel für den erfolgreichen Einsatz einer PF:
User meldet, daß unmotiviert das DFÜ-Fenster erscheint und eine Verbindung aufbauen will. User reiner Word-Mensch konnte nicht sagen was er geändert hat, bzw. ob er überhaupt was gemacht hatte.
Ca. 1 Minute Outpost installiert. Ca. 30 Sekunden gewartet und schon kam die Meldung, dass Programm xy versucht auf das Internet zuzugreifen. Ca. 1 Minute Deinstalltion. Wie hättest Du es gemacht. Ich finde, hier einen Sniffer mitlaufen zu lassen wäre nach meiner Ansicht etwas oversized.
Und auch hier ging es nicht um eine Highendumgebung, sondern nur um einen Einzelplatzrechner einer Sekretärin einer kleinen Praxis.
Nenne mir bitte ein _sachliches_ Argument dagegen. Keine philosophischen der Art, das macht man anders.
Gruß,
Sebastian
Ciao
Hallo,
Hi,
Sowas ruft er nicht. Er ruft eher sowas wie „Du bist hier
falsch.“OK, das kann sein.
[snip]
OK, blöd ausgedrückt. Natürlich sind alle Ports da, aber wenn
ich einen ganz speziellen anrufe ist es halt berser, er gibt
keine Antwort, als eine Verbotsmeldung.
Das ist aber keine Verbotsmeldung, sondern eine Fehlermeldung. Sie weist den Gegenueber darauf hin, dass er etwas falsch gemacht hat. Und das ist nicht gefaehrlich, sondern gehoert in Netzwerken zum ‚guten Ton‘.
Somit denke ich, ist die Antwort des Vorredners gar nicht so
schlecht.Wenn man auf Schmerzen steht…
Auch hier sehe ich Diskussionspotential.
Okay, wo genau siehst Du den Vorteil, Anfragen an einen Rechner einfach zu verwerfen? Koenntest Du die Vorgehensweise, wie man einen geschlossenen (!= stealthed) port miszbrauchen kann, naeher erlaeutern?
[Brain, tcpdump auf einem gateway]
Ich gehe mal von einem „normalen“ User mit einem Rechner aus
(so wie es bei mir zu Hause ist).
Ich auch.
Ist tcpdump nicht ausschließlich ein Unix-Teil? Verzeihung
falls ich da falsch liegen sollte.
Tust Du nicht. Es gibt entsprechende software auch fuer alternative Betriebssysteme.
Und da ich Windows-User bin, installiere ich einfach
Outpost und schaue auf die Meldungen der ungewollten
Verbindungsaufbauten.
Es mag ganz nuetzlich als ‚Sensor‘ sein, um einige Verbindungsversuche von Programmen zu entdecken. Als Sicherungsmasznahme ist es gaenzlich ungeeignet.
Gruss vom Frank.
Hallo,
ich bin kein Hacker, aber wenn ich alles abschalte und auch kein ICMP zulasse, wie bekommst Du dann was aderes als höchstens „Not reachable“ und das sagt doch gar nichts aus.
Welchen Vorteil hat es, wenn du gezielt auf dich aufmerksam
machst? In dem Moment, in dem auf den Scan weder ein
‚destination unreachable‘ noch ein ‚Service not available‘
zurückgeliefert wird, weiss ich als Hacker, dass du einen
Portfilter laufen hast. Du hast mir also einen ganz konkreten
Aber doch nur wenn Du weißt, daß es mich überhaupt gibt, oder verstehe ich da was grundlegend falsch?
Anhaltspunkt geliefert, den ich versuchen kann, mit diversen
Exploits auf PFs auszunutzen.‚Service not available‘ gibt mir eine Information zurück -
dein Rechner ist im Netz.‚Keine Antwort‘ gibt mir eine Zusatzinfo: Dein Rechner ist im
Netz, und er benutzt einen Portfilter.Besser?
So wie Du es beschrieben hast, natürlich nicht.
Gruss,
Schorsch
Ciao
Hallo,
Das ist aber keine Verbotsmeldung, sondern eine Fehlermeldung.
Sie weist den Gegenueber darauf hin, dass er etwas falsch
gemacht hat. Und das ist nicht gefaehrlich, sondern gehoert
in Netzwerken zum ‚guten Ton‘.
Nach meiner Erfahrung nicht. Wobei ich hier pofessionelle FW und PF verschieden sehe - Stichwort Checkpoint…
Okay, wo genau siehst Du den Vorteil, Anfragen an einen
Rechner einfach zu verwerfen? Koenntest Du die
Vorgehensweise, wie man einen geschlossenen (!= stealthed)
port miszbrauchen kann, naeher erlaeutern?
Ich glaube hier wird meine anfängliche Intension etwas verdreht. Ich gehe davon aus, dass per se nicht bekannt ist, dass es ich überheupt gibt. Und unter dieser Prämisse sollte weiter disktiert werden.
Und da ich Windows-User bin, installiere ich einfach
Outpost und schaue auf die Meldungen der ungewollten
Verbindungsaufbauten.Es mag ganz nuetzlich als ‚Sensor‘ sein, um einige
Verbindungsversuche von Programmen zu entdecken. Als
Sicherungsmasznahme ist es gaenzlich ungeeignet.
Sehr schön, so verstehe ich es eigentlich auch. Wobei ich hier auch „gänzlich“ nicht so ohne weiteres stehenlassen würde.
Gruss vom Frank.
Ciao
Hallo,
Hi,
ich bin kein Hacker, aber wenn ich alles abschalte und auch
kein ICMP zulasse, wie bekommst Du dann was aderes als
höchstens „Not reachable“ und das sagt doch gar nichts aus.
Das ‚host unreachable‘ kommt aber vom gateway bei Deinem provider (dort kannst Du i. A. ICMP nicht abstellen). Dein Rechner wuerde (waere er anstaendig konfiguriert) mit einem ‚port unreachable‘ antworten, falls auf einen port zugegriffen wird, an dem kein Dienst laeuft. Keine Antwort bedeutet: „Da ist was kaputt.“ (BTW: das steht alles in der FAQ vom Brett IT-Sicherheit.)
Aber doch nur wenn Du weißt, daß es mich überhaupt gibt, oder
verstehe ich da was grundlegend falsch?
Ja. Ich weisz, dass es Dich gibt. Waerst Du tatsaechlich offline wuerde mir das Dein provider sagen.
Besser?
So wie Du es beschrieben hast, natürlich nicht.
Schoen, dass wir uns einig sind.
Gruss vom Frank.
Nach meiner Erfahrung nicht. Wobei ich hier pofessionelle FW
und PF verschieden sehe - Stichwort Checkpoint…
Checkpoint ist ein Konfigurationswerkzeug fuer verschiedene Paketfilter, keine firewall. Natuerlich kann man auch damit DROPen. ‚In des Narren Hand ist das beste Werkzeug Tand.‘
Ich gehe davon aus, dass per se nicht bekannt ist, dass
es ich überheupt gibt.
Das geht nicht: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.h…
Und unter dieser Prämisse sollte weiter disktiert werden.
Gerne.
Es mag ganz nuetzlich als ‚Sensor‘ sein, um einige
Verbindungsversuche von Programmen zu entdecken. Als
Sicherungsmasznahme ist es gaenzlich ungeeignet.Sehr schön, so verstehe ich es eigentlich auch. Wobei ich hier
auch „gänzlich“ nicht so ohne weiteres stehenlassen würde.
Dir reicht eine Sicherheitsmasznahme, die manchmal, vielleicht, evtl. schuetzt? Und ansonsten fuer den ONU eine ganze Menge Probleme verursacht.
Gruss vom Frank.
Hallo,
Das ‚host unreachable‘ kommt aber vom gateway bei Deinem
provider (dort kannst Du i. A. ICMP nicht abstellen). Dein
Rechner wuerde (waere er anstaendig konfiguriert) mit einem
‚port unreachable‘ antworten, falls auf einen port zugegriffen
Zwei der größten Hersteller absolut professioneller FW (echte…) propagieren extrem die Variante, bei der dann der Rechner unanständig konfiguriert ist.
So wie Du es beschrieben hast, natürlich nicht.
Schoen, dass wir uns einig sind.
Nur wenn man die beschriebenen Punkte sieht.
Und wieder mal was schlimmes… oder?:
Alle diejenigen, die NIS drauf hatten (das sich ja bekanntermaßen selbstständig aktualisiert) wurden vom Blaster verschont (ich weiß, die hätten ja auch die Patches laden können…).
Auch wenn die Teile noch so schlecht sind, sie ohne umfassende Erklärung einfach so zu verteufeln finde ich halt nicht in Ordnung.
Und damit wir uns gleich verstehen, ich habe weder Aktien, noch bekomme ich Geld für ein positives Statement. Mir geht es nur um das Problem an sich.
Gruss vom Frank.
Gute Nacht…