 Sicherheit bei Hardware-Firewall Router |
|
Deva
unregistriert
 |
|
| Sicherheit bei Hardware-Firewall Router |
     |
Weil es so schön bequem und einfach ist, vertraue ich bislang einer PFW. Da sich NIS aber immer mehr zu einer Systembremse entwickelt, die Sicherheit zudem fraglich ist und ich dazulernen möchte, sollte ich mal was anderes ausprobieren.
Ich möchte die FritzBox als Router einsetzen (kein Netzwerk!) und nicht als reines DSL-Modem. Die FritzBox hat eine Hardware-Firewall, weswegen ich auf eine PWF verzichten könnte/möchte. Ich bin mir aber nicht sicher, ob das System durch die Hardware-Firewall ausreichend geschützt ist. Falls dieser Schutz nicht ausreicht, womit sollte ich mich eingehender beschäftigen? Z.B. mit Ports und Freigaben?
Bei der ganzen Querleserei im I-Net ist bei mir der Groschen, äh, der Cent, noch nicht gefallen, was nun wirklich zu tun ist.
Einige Stichworte würden mir schon reichen. Wenn ich nicht weiterkomme, melde ich mich wieder.
Ach so, ich habe Windows XP, SP1 - ja, ja, ich gehe schon in Deckung, weil ich SP2 nocht nicht drauf habe. Wird aber alles nachgeholt, wenn ich weiß, wie ich vorzugehen habe. Rechner wird dann neu aufgesetzt.
Danke und Gruß
Deva
|
|
24.03.2005 15:23 |
|
|
| |
|
Deva
unregistriert
|
|
Danke für die Links, dedie!
Den 1. und 3. Link hatte ich auch schon entdeckt und als sehr nüztlich empfunden. Gut, dass ich das von dir bestätigt bekommen habe.
So, dann will ich mich mal einlesen und noch einige Daten in Sicherheit bringen bevor ich formatiere und neu aufsetze.
Ich hoffe, dass ich in den nächsten Tagen mit einer Erfolgsmeldung aufwarten kann.
Wünsche euch schon mal frohe Ostern und mir keine faulen Ostereier. 
Danke und Gruß
Deva |
|
|
24.03.2005 18:20 |
|
|
| |
|
MobyDuck
Lebende Foren Legende
Dabei seit: 05.03.2005
Beiträge: 1.685
Level: 50 [?]
Erfahrungspunkte: 11.770.777
Nächster Level: 11.777.899
|
|
Hallo erstmal!
Es ist schon richtig, NIS runterzuwerfen und etwas anderes auszuprobieren. Die Gründe hast du schon im wesentlichen genannt. Das Neuaufsetzen passt ebenfalls, nicht zuletzt, weil man NIS nicht rückstandsfrei deinstalliert bekommt.
Zu deinen Fragen:
Wenn du die FritzBox als Router einsetzst, brauchst du keine Software-Firewall mehr. (Die braucht man auch sonst eigentlich nicht, aber das ist eine andere Frage.) Ich gehe mal davon aus, dass die Fritzbox mit NAT arbeitet (Network Adress Translation). Einfach gesagt, sprichst du den Router mit einer internen IP an. Der Router ersetzt diese interne IP mit der IP für das Internet. Die bekommt er von deinem Provider. Anschließend leitet er die Anfrage an das Internet weiter. Kommt eine Antwort, dann überprüft der Router, ob diese Antwort "passt" und leitet sie mit der internen IP an deinen Rechner weiter. Nicht passende Anfragen an deinen Rechner schmeißt der Router einfach weg.
Funktioniert ziemlich zuverlässig und sollte unbedingt benutzt werden, wenn dein Router NAT unterstützt. Eine Hardware-Firewall ist strenggenommen etwas anderes. Damit sperrt man ganze IP-Bereiche oder bestimmte Pakete und man braucht im Gegensatz zu NAT einiges an Wissen.
Es ist sinnvoll, trotz NAT nicht benötigte Dienste abzuschalten. Hierbei hilft http://www.ntsvcfg.de/. Achtung: Vor Ausführen des Scripts unbedingt den Text genau lesen, bzw bei Zweifeln oder Fragen hier nachfragen! |
|
|
25.03.2005 11:36 |
|
|
| |
|
Deva
unregistriert
|
|
Jepp, das Modem im Router-Betrieb arbeitet mit NAT:
IP-Masquerading/Network Address Translation
Stateful Packet Inspection Firewall
Sichere Portfreigabe für eigene Server-Angebote
Und ein ergänzender webprotect ist dabei, der Programme permanent den Zugriff gestattet, verwehrt oder beim Zugriffsversuch nachfragt, eine Übersicht und ein Journal. - Hört sich ja alles ziemlich gut an.
Mit dem Lesen notwendiger Informationen bin ich durch, wird sich dann zeigen, ob ich es auch verstanden habe. Daten sind gesichert, SP2 heruntergeladen. Jetzt muss ich nur noch meine Neuaufsetzen-to-do-Liste finden, die ich letztes Jahr wohl zu gut weggepackt habe. Dann kann es eigentlich losgehen.
Danke euch beiden, für eure Tipps und Hilfe.
Deva
|
|
|
25.03.2005 21:55 |
|
|
| |
|
Deva
unregistriert
|
|
Dedie, ich habe da meine eigene Liste. Wenn ich in Magazinen oder im Internet was Nützliches finde (z.B. Reg-Eintrag, wie Laufzeitdateien mit Beendigung des Programms geschlossen werden und nicht weiter munter vor sich hin rödeln, Windows-Dienste abstellen), kommt das in die Liste mit hinein. Gerade Reg-Einträge kann ich mir nicht merken (wer kann das überhaupt?). Da ich immer wieder was vergessen habe oder mich nicht erinnern konnte, wie es ging, habe ich eine Liste erstellt.
Grundsätzlich deckt sich meine Liste mit der, bei der dir einfach nicht einfallen will, wo sie steht.
|
|
|
25.03.2005 22:34 |
|
|
| |
|
Deva
unregistriert
|
|
Da wurde ich gerade über Board geworfen, als ich die Antwort erstellen wollte, hmm. 
Ich bin nun ohne PFW wieder da. Ein wenig Russisches Roulette spiele ich wohl noch, weil einige Ports noch offen sind, die wohl besser geschlossen sein sollten. Die kriege ich aber auch noch dicht (hoffentlich). Ein wenig nackelig fuehle ich mich aber ohne PFW.
Dann mach ich mal weiter.
Gruß
Deva |
|
|
27.03.2005 18:38 |
|
|
| |
|
Vimes 
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.164.285
Nächster Level: 10.000.000
|
|
| Zitat: |
Original von Deva
weil einige Ports noch offen sind, die wohl besser geschlossen sein sollten. |
|
Ja hallo erstmal...
Die Ports kriegst Du wie von Moby beschrieben dicht. Ansonsten mach mal in einer Konsole netstat -abn (für XP SP2) und poste das hier. Am besten, wenn nicht gerade Browser usw. usw. usw. laufen, den netstat meine ich, sonst müssen wir zuerst die Spreu vom Weizen trennen.
| Zitat: |
| Die kriege ich aber auch noch dicht (hoffentlich). |
|
Nur Mut und www.ntsvcfg.de Abteilung "LAN".
| Zitat: |
| Ein wenig nackelig fuehle ich mich aber ohne PFW. |
|
Du hast jetzt ein paar Sicherheitslücken WENIGER, nicht mehr. Schönes Gefühl...
Edit:
NAT ist in erster Linie kein Sicherheitsfeature, deswegen ist es schon ganz gut, sich nicht darauf zu verlassen.
Eine Stateful Inspection Firewall [1] prüft genau wie der TCP/IP-Stack des Betriebssystems, ob eine Verbindung besteht, die Daten angefordert hat (von innen). Die läßt sie durch, alles andere schmeißt sie weg. Das ist ganz brauchbar und erfordert keine riesigen Vorkenntnisse.
MfG
Vimes
[1] Auf einem Router. NICHT auf dem PC selbst. Letzteres heißt meist "PFW" und ist idR kollossaler Dreck. Ich liefere dafür auch gerne Belege.
__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Vimes: 27.03.2005 21:07.
|
|
|
27.03.2005 21:05 |
|
|
| |
|
Deva
unregistriert
|
|
Wenn ich die Herren um eine Analyse bitten dürfte ...
TCPView – Internetbetrieb
AVGNT.EXE:1676 TCP deva:1026 localhost:18350 ESTABLISHED
AVGUARD.EXE:1852 TCP deva:18350 deva:0 LISTENING
AVGUARD.EXE:1852 TCP deva:18350 localhost:1026 ESTABLISHED
mozilla.exe:1668 TCP deva:1029 localhost:1030 ESTABLISHED
mozilla.exe:1668 TCP deva:1030 localhost:1029 ESTABLISHED
System:4 TCP deva:netbios-ssn deva:0 LISTENING
System:4 TCP deva:netbios-ssn deva:0 LISTENING
System:4 UDP deva:netbios-ns *:*
System:4 UDP deva:netbios-dgm *:*
System:4 UDP deva:netbios-ns *:*
System:4 UDP deva:netbios-dgm *:*
TCPView – kein Internetbetrieb
AVGUARD.EXE:1388 TCP deva:18350 deva:0 LISTENING
System:4 TCP 192.168.122.254:netbios-ssn deva:0 LISTENING
System:4 UDP deva:netbios-ns *:*
System:4 UDP deva:netbios-dgm *:*
Netsat –abn Internetbetrieb
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1852
[AVGUARD.EXE]
TCP 192.168.122.254:139 0.0.0.0:0 ABHÖREN 4
[System]
TCP 192.168.178.21:139 0.0.0.0:0 ABHÖREN 4
[System]
TCP 127.0.0.1:1026 127.0.0.1:18350 HERGESTELLT 1676
[AVGNT.EXE]
TCP 127.0.0.1:1029 127.0.0.1:1030 HERGESTELLT 1668
[mozilla.exe]
TCP 127.0.0.1:1030 127.0.0.1:1029 HERGESTELLT 1668
[mozilla.exe]
TCP 127.0.0.1:18350 127.0.0.1:1026 HERGESTELLT 1852
[AVGUARD.EXE]
UDP 192.168.178.21:137 *:* 4
[System]
UDP 192.168.178.21:138 *:* 4
[System]
UDP 192.168.122.254:137 *:* 4
[System]
UDP 192.168.122.254:138 *:* 4
[System]
netstat –abn kein Internetbetrieb
Aktive Verbindungen
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1388
[AVGUARD.EXE]
TCP 192.168.122.254:139 0.0.0.0:0 ABHÖREN 4
[System]
TCP 127.0.0.1:1025 127.0.0.1:18350 WARTEND 0
UDP 192.168.122.254:137 *:* 4
[System]
UDP 192.168.122.254:138 *:* 4
[System]
Danke und Gruß
Deva
|
|
|
28.03.2005 19:15 |
|
|
| |
|
Deva
unregistriert
|
|
Hallo ihr Beiden,
die netbios-Sachen stören mich auch. Mir ist aber gerade ein Lichtlein aufgegangen, was ich vergessen habe. Hole ich sofort nach und melde mich noch einmal. Aber schon mal vielen Dank!
Gruß
Deva
Wie sieht es nun aus? Weniger geht wohl kaum mehr?
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1396
[AVGUARD.EXE]
TCP 127.0.0.1:1025 127.0.0.1:18350 HERGESTELLT 2044
[AVGNT.EXE]
TCP 127.0.0.1:1026 127.0.0.1:1027 HERGESTELLT 1048
[mozilla.exe]
TCP 127.0.0.1:1027 127.0.0.1:1026 HERGESTELLT 1048
[mozilla.exe]
TCP 127.0.0.1:18350 127.0.0.1:1025 HERGESTELLT 1396
[AVGUARD.EXE]
TCP 192.168.178.21:1029 216.239.59.147:80 HERGESTELLT 1048
[mozilla.exe]
AVGNT.EXE:2044 TCP deva:1025 localhost:18350 ESTABLISHED
AVGUARD.EXE:1396 TCP deva:18350 deva:0 LISTENING
AVGUARD.EXE:1396 TCP deva:18350 localhost:1025 ESTABLISHED
mozilla.exe:1048 TCP deva:1026 localhost:1027 ESTABLISHED
mozilla.exe:1048 TCP deva:1027 localhost:1026 ESTABLISHED
Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von Deva: 28.03.2005 20:46.
|
|
|
28.03.2005 19:57 |
|
|
| |
|
Deva
unregistriert
|
|
Hallo Moby,
es ist jenes Antivir und die exe-Datei steht ordnungsgemäß im AV-Order. Ich hoffe, dass Vimes auch zufrieden sein wird mit der Auswertung.
Nun geht es weiter. SP2 hat mir (passend zu Ostern) ein Ei gelegt. 
Dazu wird es wohl auch ne Lösung geben.
Schönen Abend noch.
Deva |
|
|
28.03.2005 22:44 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.164.285
Nächster Level: 10.000.000
|
|
| Zitat: |
Original von MobyDuck
Mich würde nämlich interessieren, ob man im Routerbetrieb die netbios-Dienste noch abschalten könnte, bzw. sollte. |
|
Hallo zusammen, bin gerade (vor 3 Stunden...) aus dem Urlaub zurückgekehrt. Sorry, habs vorher nicht mehr geschafft...
Alle Netbios-Geschichten sind für einen reinen Router-Betrieb ohne internes Netzwerk nicht nötig. Dafür braucht man höchstens den DHCP-Dienst, wenn man seine Netzwerk-IP nicht statisch festgelegt hat (was sinnvoll sein kann, zB wegen Port-Forwarding).
@Deva:
| Zitat: |
Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:18350 0.0.0.0:0 ABHÖREN 1396
[AVGUARD.EXE]
TCP 127.0.0.1:1025 127.0.0.1:18350 HERGESTELLT 2044
[AVGNT.EXE] |
|
Paßt, das ist einmal lokal (127.0.0.1) und einmal öffentlich (das andere) das AV-Programm. Da soll es angeblich schon Schwachstellen geben, aber der Typ, der das behauptet hat, hat noch keine Beweise vorgelegt, also keine Panik.
| Zitat: |
TCP 127.0.0.1:1026 127.0.0.1:1027 HERGESTELLT 1048
[mozilla.exe]
TCP 127.0.0.1:1027 127.0.0.1:1026 HERGESTELLT 1048
[mozilla.exe] |
|
Mozilla rein lokal, d.h. von außen nicht zu erreichen.
| Zitat: |
TCP 127.0.0.1:18350 127.0.0.1:1025 HERGESTELLT 1396
[AVGUARD.EXE] |
|
AV rein lokal, von außen nicht zu erreichen.
| Zitat: |
TCP 192.168.178.21:1029 216.239.59.147:80 HERGESTELLT 1048
[mozilla.exe] |
|
Mozilla nach draußen - das ist ok, ist ja nur ein Client...
| Zitat: |
AVGNT.EXE:2044 TCP deva:1025 localhost:18350 ESTABLISHED
AVGUARD.EXE:1396 TCP deva:18350 deva:0 LISTENING
AVGUARD.EXE:1396 TCP deva:18350 localhost:1025 ESTABLISHED |
|
Paßt auch, ist nur wieder das Antivir.
| Zitat: |
mozilla.exe:1048 TCP deva:1026 localhost:1027 ESTABLISHED
mozilla.exe:1048 TCP deva:1027 localhost:1026 ESTABLISHED |
|
Und Mozilla.
Zusammengefaßt: So sollte ein gepflegter Rechenknecht aussehen - auch wenn ich mir wünschen würde, daß AV nicht nach draußen einen Port aufmacht. Lokal (127.0.0.1) wärs mir ja wurst... 
Wenn Interesse besteht, zeige ich gerne mal, was bei Betrieb an einem Router zu tun ist, damit die Kiste trotzdem dicht ist.
Ach ja, warum die Einträge so oft erscheinen, könnte man sich fragen. Ganz einfach, das liegt am netstat. Das fragt die Daten nicht direkt ab, sondern über eine spezielle API - und die "pfuscht" da ein wenig 'rum. So muß man dann eben sortieren...
MfG
Vimes
__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
|
02.04.2005 16:02 |
|
|
| |
|
Deva
unregistriert
|
|
Hallo Vimes,
ich hoffe, du hast einige schöne und erholsame Urlaubstage gehabt. Danke für deine ausführliche Analyse. Zwei Fragen habe ich allerdings noch dazu:
| Zitat: |
| ... auch wenn ich mir wünschen würde, daß AV nicht nach draußen einen Port aufmacht. Lokal (127.0.0.1) wärs mir ja wurst... |
|
| Zitat: |
| ..., das liegt am netstat. Das fragt die Daten nicht direkt ab, sondern über eine spezielle API - und die "pfuscht" da ein wenig 'rum. So muß man dann eben sortieren... |
|
Muss ich zu diesen beiden Punkten noch Einstellungen vornehmen oder ist das "normal"?
| Zitat: |
| Wenn Interesse besteht, zeige ich gerne mal, was bei Betrieb an einem Router zu tun ist, damit die Kiste trotzdem dicht ist. |
|
Was mich betrifft, gerne!
Schönen Sonntag noch! |
|
|
03.04.2005 13:00 |
|
|
| |
|
Vimes
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.164.285
Nächster Level: 10.000.000
|
|
| Zitat: |
Original von Deva
ich hoffe, du hast einige schöne und erholsame Urlaubstage gehabt. |
|
Danke, war sehr angenehm! Unser letzter Urlaub vor unserem Nachwuchs voraussichtlich... :)
| Zitat: |
| Muss ich zu diesen beiden Punkten noch Einstellungen vornehmen oder ist das "normal"? |
|
Punkt 1 (AntiVir lauscht extern): das ist (leider) normal. Eine Bindung an das lokale Interface ist nicht möglich. Man kann einen Paketfilter davornageln... dann aber bitte vom Router aus, nicht mit einer PFW.
Sprich, einfach den entsprechenden Port auf dem Router rausgehend dichtmachen.
Punkt 2 (Netstat und die zugehörige API): Auch das ist (leider) normal. Wie gesagt, netstat funktioniert einfach ein wenig "schräg", da kann man nichts dran machen, man muß es einfach wissen und dann die doppelten bzw. dreifachen Einträge einfach ignorieren...
| Zitat: |
| Was mich betrifft, gerne! |
|
OK, ich bin nochmal eine Woche unterwegs (als Betreuer auf einer Jugendfreizeit, diesmal ohne die beste Ehefrau von allen), aber danach nehme ich das mal in Angriff...
Danke, gleichfalls! 
MfG
Vimes
__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
|
03.04.2005 22:40 |
|
|
| |
|
So etwas habe ich auch. 