Einstellung beim Router

Hallo,

Zwei der größten Hersteller absolut professioneller FW
(echte…) propagieren extrem die Variante, bei der dann der
Rechner unanständig konfiguriert ist.

Ja, leider. Diesen Hirnis ist es zu verdanken, dass man bei so harmlosen Sachen wie ein ICMP Ping (sehr wichtig zur Netzwerkdiagnose) ewig auf einen Timeout warten muss. Warum für einen infinitesimal kleinen Gewinn an Sicherheit die Unwartbarkeit von Netzwerkverbindungen in Kauf genommen wird, ist mir schleierhaft.

Ich verstehe die ganze Diskussion ohnehin nicht. Wenn ein Rechner keine Dienste gestartet hat, dann ist er auch nicht angreifbar. Wenn ein Rechner Dienste anbietet, dann soll doch wohl auch darauf zugegriffen werden. Ergo sollten die Ports tunlichst offen sein.

Alle diejenigen, die NIS drauf hatten (das sich ja
bekanntermaßen selbstständig aktualisiert) wurden vom Blaster
verschont (ich weiß, die hätten ja auch die Patches laden
können…).

Was hat denn der NIS-Dienst mit dem Blaster Wurm zu tun??

Gute Nacht auch

Fritze

Zwei der größten Hersteller absolut professioneller FW
(echte…) propagieren extrem die Variante, bei der dann der
Rechner unanständig konfiguriert ist.

Ich will eine grössere Firma XY angreifen. Da dieses Unternehmen keine Dienste nach aussen anbietet und nicht über eine feste IP-Adresse verfügt, habe ich zunächst ein Problem. Um an eine temporäre Adresse der Firma zu gelangen, muss ich dafür sorgen, dass dieses Unternehmen eine Verbindung zu mir aufbaut. Ich schicke also z. B. eine Mail an [email protected], warte die Antwort ab (oder ich hab ein kleines Gif eingebaut oder…), entnehme aus den Headern die IP-Adressen von deren Gateway nach aussen.

Das Gateway antwortet nicht.

Ich kann meine Attacke also mit hoher Wahrscheinlichkeit auf die bekannten Schwachstellen zweier der größten Hersteller absolut professioneller FW beschränken.

Da es aber sehr unwahrscheinlich ist, dass ich zwar eine professionelle FW einsetze, aber überhaupt keinen Dienst nach aussen anbiete, kein SMTP, kein VPN oder ssh, keine Webseite…, wird das ganze vollends blödsinnig. Ich gehe auf Port 25, werde bedient, ich gehe auf Port 22 und bekomme keine Antwort. Gibt das irgend einen Sinn, ausser dem Angreifer etwas über die Qualifikation der dortigen Administratoren zu verraten?

Gruss,
Schorsch

Hallo,

Zwei der größten Hersteller absolut professioneller FW
(echte…) propagieren extrem die Variante, bei der dann der
Rechner unanständig konfiguriert ist.

Ja, leider. Diesen Hirnis ist es zu verdanken, dass man bei so
harmlosen Sachen wie ein ICMP Ping (sehr wichtig zur
Netzwerkdiagnose) ewig auf einen Timeout warten muss.

Als Strafe sollten alle Leute, die sowas für eine gute Idee halten, ein Jahe lang die Hilfe-manche-Mails-kann-ich-von-GMX-nicht-downloaden-weil-die-Verbindung-hängt -Fragen genervter DSL-Nutzer beantworten…

Gruß,

Sebastian

OK, blöd ausgedrückt. Natürlich sind alle Ports da, aber wenn
ich einen ganz speziellen anrufe ist es halt berser, er gibt
keine Antwort, als eine Verbotsmeldung.

Es spielt überhaupt keine Rolle. Aus den Meldungen, die mir die Router geben (vor allem der letzte vor der betroffenen Maschine), kann ich jederzeit ableiten, ob dort eine Maschine steht oder nicht. Gar keine Antwort ist jedenfalls schon mal eine gute Antwort: dort werde ich mich mal genauer umsehen.

IMHO braucht man Stealth Mode nur dann, wenn man Bagdad bombadieren will.

Stefan

Ca. 1 Minute Outpost installiert. Ca. 30 Sekunden gewartet und
schon kam die Meldung, dass Programm xy versucht auf das
Internet zuzugreifen. Ca. 1 Minute Deinstalltion. Wie hättest
Du es gemacht. Ich finde, hier einen Sniffer mitlaufen zu
lassen wäre nach meiner Ansicht etwas oversized.

Genau das ist das einzige, wozu man meiner Meinung nach eine Personal Firewall gebrauchen kann. Nur würde ich dann den Terminus Netzwerkmonitor bevorzugen.

Stefan

[stealth]

Zwei der größten Hersteller absolut professioneller FW
(echte…) propagieren extrem die Variante, bei der dann der
Rechner unanständig konfiguriert ist.

Propagieren diese Hersteller zufaellig auch eine Begruendung dafuer? Du hast immer noch nicht den technisch fundierten Gewinn an Sicherheit durch diese Masznahme erlaeutert.
Es gibt ihn wirklich.

BTW: wann faengst Du an, Dir Deine eigene Meinung zu bilden?

So wie Du es beschrieben hast, natürlich nicht.

Schoen, dass wir uns einig sind.

Nur wenn man die beschriebenen Punkte sieht.

Schoen.

Alle diejenigen, die NIS drauf hatten (das sich ja
bekanntermaßen selbstständig aktualisiert) wurden vom Blaster
verschont

Oh, ein Themawechsel… welches Gefaehrdungspotential siehst Du in der automatischen Aktualisierung der personal firewall? (BTW: dort wo ich herkomme bedeutet NIS Network Information Service. Das aber nur am Rande.)

(ich weiß, die hätten ja auch die Patches laden können…).

Hey! Ich mag es gar nicht, wenn meine Diskussionspartner ihre Argumente selbst zerpfluecken.

Gruss vom Frank.