Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
lemonstar registrierter User
Anmeldungsdatum: 17.07.2003 Beiträge: 1004
|
(#211337) Verfasst am: 12.11.2004, 01:42 Titel: Schädlingen auf der Spur - was mit ungepatchten Windowskisten passiert |
|
|
Ein paar aufschlussreiche Artikel (besonders für technisch interessierte) über die Mechanismen von Malware. Erstaunlich wie dreist die Betreiber solcher Programme vorgehen.
Zitat: | Nachdem ich einige Adware/Spyware/Malware-Programme untersucht hatte, entschloss ich mich zu einem Experiment. Ich wollte wirklich sehen wie schnell ein ungepatchtes System kompromittiert wird -- und wie das aus der Sicht eines "Otto Normal"-Anwenders aussieht. Ich setzte dazu ein VMWare-Image einer neuen Windows-XP-Home-Installation auf und machte mich auf ins Internet. Auf dieser aufschlussreichen Reise begegnete ich einer Reihe von Gefahren, die auf den unachtsamen Wanderer lauern und ich lernte einiges über die Spy-/Adware-Industrie. |
Teil 1: http://www.heise.de/security/artikel/49687
Teil 2: http://www.heise.de/security/artikel/50377
Teil 3: http://www.heise.de/security/artikel/52988
_________________
eindrucksvolles
|
|
Nach oben |
|
|
pyrrhon registrierter User
Anmeldungsdatum: 22.05.2004 Beiträge: 8770
|
(#211385) Verfasst am: 12.11.2004, 10:27 Titel: |
|
|
Hochinteressant! Vielen Dank für die Links!
~ Nagarjuna
|
|
Nach oben |
|
|
DerManfred ranglos
Anmeldungsdatum: 11.06.2004 Beiträge: 1082
Wohnort: Wien
|
(#211390) Verfasst am: 12.11.2004, 10:52 Titel: |
|
|
tja Bequemlichkeit hat Ihren Preis....
wenn ich mir das Auf und zusperren meiner wohnung ersparen möcht, muss ich damit rechnen dass wer raus und rein spaziert....
|
|
Nach oben |
|
|
Nav Gast
|
(#211395) Verfasst am: 12.11.2004, 11:09 Titel: |
|
|
Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen.
|
|
Nach oben |
|
|
pyrrhon registrierter User
Anmeldungsdatum: 22.05.2004 Beiträge: 8770
|
(#211404) Verfasst am: 12.11.2004, 11:42 Titel: |
|
|
Nav hat folgendes geschrieben: | Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen. |
Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, die notwendig ist, um halbwegs sicher unterwegs zu sein. Wenn jemand nicht weiß, wie er eine Firewall konfiguriert, der ist nicht sicherer unterwegs als jemand, der keine benützt.
~ Nagarjuna
|
|
Nach oben |
|
|
zelig Kultürlich
Anmeldungsdatum: 31.03.2004 Beiträge: 25405
|
(#211406) Verfasst am: 12.11.2004, 11:46 Titel: |
|
|
Auch von mir Dank für diese nette Geisterbahnfahrt. Auf meinem privaten System liegen Executables und DLLs allerdings nur unter /dev/hdb... .
Aber wer weiß, wie lang das noch für Sicherheit bürgt.
Grüße
Zelig
|
|
Nach oben |
|
|
Nav Gast
|
(#211413) Verfasst am: 12.11.2004, 12:10 Titel: |
|
|
Nagarjuna hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen. |
Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, die notwendig ist, um halbwegs sicher unterwegs zu sein. Wenn jemand nicht weiß, wie er eine Firewall konfiguriert, der ist nicht sicherer unterwegs als jemand, der keine benützt.
~ Nagarjuna |
So ein Unsinn.
Eine Hardware - Firewall mit NAT läßt schonmal keinen Inbound - Traffic zu (außer man sagt explizit, daß man das will). Und damit sind RPC - Würmer und dergleichen schonmal chancenlos.
Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen.
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211442) Verfasst am: 12.11.2004, 13:48 Titel: |
|
|
Nav hat folgendes geschrieben: | Nagarjuna hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen. |
Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, die notwendig ist, um halbwegs sicher unterwegs zu sein. Wenn jemand nicht weiß, wie er eine Firewall konfiguriert, der ist nicht sicherer unterwegs als jemand, der keine benützt.
~ Nagarjuna |
So ein Unsinn.
Eine Hardware - Firewall mit NAT läßt schonmal keinen Inbound - Traffic zu (außer man sagt explizit, daß man das will). Und damit sind RPC - Würmer und dergleichen schonmal chancenlos.
Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen. |
Ich bin ja wirklich nur ein blutiger Laie auf dem Gebiet. Für einen angeblichen Profi gibst Du unverschämt gefährliche Ratschläge.
Willst Du behaupten, Deine tolle Firewall würde das Laden der oben beschriebenen Datei "hp2.exe" und deren Ausführen über den chm-Exploit verhindern? Wie sollte er das machen? Der kann das doch gar nicht von anderem HTML-Code unterscheiden (sagt der Laie).
|
|
Nach oben |
|
|
Nav Gast
|
(#211446) Verfasst am: 12.11.2004, 13:56 Titel: |
|
|
Klaus-Peter hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Nagarjuna hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen. |
Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, die notwendig ist, um halbwegs sicher unterwegs zu sein. Wenn jemand nicht weiß, wie er eine Firewall konfiguriert, der ist nicht sicherer unterwegs als jemand, der keine benützt.
~ Nagarjuna |
So ein Unsinn.
Eine Hardware - Firewall mit NAT läßt schonmal keinen Inbound - Traffic zu (außer man sagt explizit, daß man das will). Und damit sind RPC - Würmer und dergleichen schonmal chancenlos.
Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen. |
Ich bin ja wirklich nur ein blutiger Laie auf dem Gebiet. Für einen angeblichen Profi gibst Du unverschämt gefährliche Ratschläge.
Willst Du behaupten, Deine tolle Firewall würde das Laden der oben beschriebenen Datei "hp2.exe" und deren Ausführen über den chm-Exploit verhindern? Wie sollte er das machen? Der kann das doch gar nicht von anderem HTML-Code unterscheiden (sagt der Laie). |
Letzteres ist ein Benutzerfehler. Aber eine Firewall sorgt dort für Sicherheit, wo z.B. automatisierte Angriffe von Würmern und dergleichen erfolgen.
De facto ist es NICHT nötig, Windows XP im GRUNDZUSTAND ohne SP1 (!) zu patchen, wenn man a) eine Firewall einsetzt und b) genügend Hirn besitzt, nicht auf alles draufzuklicken, was "interessant" aussieht.
Hardware - Firewall und Virenscanner und gut ists. Mehr an Sicherheit ist nicht nötig.
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211460) Verfasst am: 12.11.2004, 14:10 Titel: |
|
|
Nav hat folgendes geschrieben: | Letzteres ist ein Benutzerfehler. Aber eine Firewall sorgt dort für Sicherheit, wo z.B. automatisierte Angriffe von Würmern und dergleichen erfolgen.
De facto ist es NICHT nötig, Windows XP im GRUNDZUSTAND ohne SP1 (!) zu patchen, wenn man a) eine Firewall einsetzt und b) genügend Hirn besitzt, nicht auf alles draufzuklicken, was "interessant" aussieht.
Hardware - Firewall und Virenscanner und gut ists. Mehr an Sicherheit ist nicht nötig. |
Nav, Nav, das ist jetzt bös daneben. Lies den gelinkten Beitrag noch einmal gut durch, und lerne, dass das Malheur komplett ohne Zutun des Nutzers geschehen ist. Und ich wette, es wäre auch mit Deiner Firewall passiert. Es gibt da einen Bug im XP (der cmd exploit), der macht das alles von selber und ohne Dein Zutun und an Deiner tollen Firewall vorbei.
Was ich aus Deiner Stellungnahme lerne: traue keinem Experten, und wenn er sich noch so aufbläst. Nagarjunas Empfehlung war vollkommen korrekt: Ein Firewall gibt Scheinsicherheit.
|
|
Nach oben |
|
|
Kookie Gast
|
(#211463) Verfasst am: 12.11.2004, 14:13 Titel: |
|
|
jeder der eine Firewall hat - weiß dass der ganze spy-scheiß ganz bequem an the wall vorbeischießt ....
|
|
Nach oben |
|
|
Nav Gast
|
(#211471) Verfasst am: 12.11.2004, 14:27 Titel: |
|
|
Klaus-Peter hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Letzteres ist ein Benutzerfehler. Aber eine Firewall sorgt dort für Sicherheit, wo z.B. automatisierte Angriffe von Würmern und dergleichen erfolgen.
De facto ist es NICHT nötig, Windows XP im GRUNDZUSTAND ohne SP1 (!) zu patchen, wenn man a) eine Firewall einsetzt und b) genügend Hirn besitzt, nicht auf alles draufzuklicken, was "interessant" aussieht.
Hardware - Firewall und Virenscanner und gut ists. Mehr an Sicherheit ist nicht nötig. |
Nav, Nav, das ist jetzt bös daneben. Lies den gelinkten Beitrag noch einmal gut durch, und lerne, dass das Malheur komplett ohne Zutun des Nutzers geschehen ist. Und ich wette, es wäre auch mit Deiner Firewall passiert. Es gibt da einen Bug im XP (der cmd exploit), der macht das alles von selber und ohne Dein Zutun und an Deiner tollen Firewall vorbei.
Was ich aus Deiner Stellungnahme lerne: traue keinem Experten, und wenn er sich noch so aufbläst. Nagarjunas Empfehlung war vollkommen korrekt: Ein Firewall gibt Scheinsicherheit. |
Nein. Eine Firewall blockt malicious inbound traffic - und das ist sehr wohl ein wichtiger Sicherheitsfaktor!
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211476) Verfasst am: 12.11.2004, 14:34 Titel: |
|
|
Nav hat folgendes geschrieben: | Nein. Eine Firewall blockt malicious inbound traffic - und das ist sehr wohl ein wichtiger Sicherheitsfaktor! |
Träum weiter! Der Firewall erkennt es nicht als "malicious", weil es Daten sind, die der Browser ordnungsgemäss abholt. Würde die Firewall das blocken, könntest Du genausogut den Stecker rausziehen (immer noch die beste Methode).
|
|
Nach oben |
|
|
Nav Gast
|
(#211477) Verfasst am: 12.11.2004, 14:35 Titel: |
|
|
Klaus-Peter hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Nein. Eine Firewall blockt malicious inbound traffic - und das ist sehr wohl ein wichtiger Sicherheitsfaktor! |
Träum weiter! Der Firewall erkennt es nicht als "malicious", weil es Daten sind, die der Browser ordnungsgemäss abholt. Würde die Firewall das blocken, könntest Du genausogut den Stecker rausziehen (immer noch die beste Methode). |
Nicht intelligenterweise - aber eine Firewall verhindert effektiv, daß unkontrolliert Zugriffe auf einzelne Ports stattfinden.
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211488) Verfasst am: 12.11.2004, 14:49 Titel: |
|
|
Nav hat folgendes geschrieben: |
Nicht intelligenterweise - aber eine Firewall verhindert effektiv, daß unkontrolliert Zugriffe auf einzelne Ports stattfinden. |
Also, pass mal auf, Herr Profi, dass Du was lernst.
Ich habe Zone-Alarm installiert, der setzt sämtliche Ports auf "Stealth", blockt jeden unerlaubten Inbound Traffic (etwa 6 - 10 "high"-geratete pro Stunde, 100erte "low"-rated). Programme von meinem Rechner dürfen nur zugreifen, wenn ich den Zugang explizit erlaube. Dass ich mir was eingefangen hatte (bevor ich mein Win98 gepatscht hatte), habe ich erst gemerkt, als die Firewall nachfragte ob ich dem Programm hd.exe den Zugang zum Internet erlauben wolle. Ich sagte "nein", der Rechner stürzte ab, und ich hatte mir eine verbogene Startseite auf irgendeine komische Sexseite eingefangen. Das wäre mit Deiner HW-Firewall ganz genauso passiert, weil die auch nicht hellsehen kann. Wie gesagt: Stinknormaler HTML-Code für den Browser. Dass man damit den Browser dazu bringt, Unsinn anzustellen, das kann die Firewall nicht wissen. Es gibt nur zwei Möglichkeiten, das zu kurieren: 1. Den Browser reparieren, dass er das nicht mehr macht, oder 2. Einen Virenscaner besitzen, der diesen speziellen Code online erkennt und Alarm schlägt. In beiden Fällen bleibt das Risko, dass ein unbekannter Fehler erneut zuschlagen könnte.
|
|
Nach oben |
|
|
caballito zänkisches Monsterpony
Anmeldungsdatum: 16.07.2003 Beiträge: 12112
Wohnort: Pet Sematary
|
(#211501) Verfasst am: 12.11.2004, 15:19 Titel: |
|
|
Nav hat folgendes geschrieben: | Nicht intelligenterweise - aber eine Firewall verhindert effektiv, daß unkontrolliert Zugriffe auf einzelne Ports stattfinden. |
Nur für den Fall, dass auch Klaus-Peters letzte Erläuterung immer noch zu hoch ist:
Browser fragt ganz brav an: "Liebe Firewall, darf ich Daten anfordern?" Firewall sagt "ja", weil sie weiß, dass der Browser genau dazu da ist, über http Daten zu holen. Also lässt die Firewall ganz kontrolliert ein outbound-Paket mit der Anforderung zu und merkt sich, dass der Browser über Port 47110815 was bestellt hat. Irgendwann klopft an Port 47110815 ein Inbound-Datenpaket an und meldet sich "Hallo, liebe Firewall, ich bin das html-Paket für deinen Browser. Darf ich rein?" - und die Firewall sagt wieder "ja", weil sie weiß, dass der Browser über diesen Port Daten erwartet. Und schon sind die Daten, ganz kontrolliert, im Browser. Und lösen dort irgendwelche unsinnigen Aktionen aus - von denen aber die Firewall nicht das geringste weiß, denn dafür, was der Browser mit den empfangenen Daten anstellt, ist sie nicht zuständig.
Und wenn dann das so illegalerweise installierte Program erstmals versucht, nach außen zu kommunizieren, und die Firewall meint "Ja wer bist du denn?" - ist es zu spät.
Du verstehn?
_________________ Die Gedanken sind frei.
Aber nicht alle Gedanken wissen das.
|
|
Nach oben |
|
|
Nav Gast
|
(#211508) Verfasst am: 12.11.2004, 15:48 Titel: |
|
|
Ich verstehe das alles, liebe Kollegen. Aber das ist NICHT Aufgabe einer NAT / SPI - Firewall. NAT / SPI - Firewalls sind dazu da, um in erster Linie mal auf Ebene der sogenannten "Ports" den Datenverkehr zu regeln.
Da interessieren mich die Inhalte der Pakete noch nicht, da interessiert mich in erster Linie mal, welcher Port angesprochen wird.
|
|
Nach oben |
|
|
zelig Kultürlich
Anmeldungsdatum: 31.03.2004 Beiträge: 25405
|
(#211511) Verfasst am: 12.11.2004, 15:50 Titel: |
|
|
Jetzt sagen wir schnell nochmal alle unser ISO/OSI auf.
|
|
Nach oben |
|
|
Nav Gast
|
(#211512) Verfasst am: 12.11.2004, 15:52 Titel: |
|
|
zelig hat folgendes geschrieben: | Jetzt sagen wir schnell nochmal alle unser ISO/OSI auf. |
Ein guter Vorschlag, dann würde die "Firewall muß alles können" - Fraktion ihren großen Fehler einsehen...
|
|
Nach oben |
|
|
Nav Gast
|
(#211513) Verfasst am: 12.11.2004, 15:55 Titel: |
|
|
caballito hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Nicht intelligenterweise - aber eine Firewall verhindert effektiv, daß unkontrolliert Zugriffe auf einzelne Ports stattfinden. |
Nur für den Fall, dass auch Klaus-Peters letzte Erläuterung immer noch zu hoch ist:
Browser fragt ganz brav an: "Liebe Firewall, darf ich Daten anfordern?" Firewall sagt "ja", weil sie weiß, dass der Browser genau dazu da ist, über http Daten zu holen. Also lässt die Firewall ganz kontrolliert ein outbound-Paket mit der Anforderung zu und merkt sich, dass der Browser über Port 47110815 was bestellt hat. Irgendwann klopft an Port 47110815 ein Inbound-Datenpaket an und meldet sich "Hallo, liebe Firewall, ich bin das html-Paket für deinen Browser. Darf ich rein?" - und die Firewall sagt wieder "ja", weil sie weiß, dass der Browser über diesen Port Daten erwartet. Und schon sind die Daten, ganz kontrolliert, im Browser. Und lösen dort irgendwelche unsinnigen Aktionen aus - von denen aber die Firewall nicht das geringste weiß, denn dafür, was der Browser mit den empfangenen Daten anstellt, ist sie nicht zuständig.
Und wenn dann das so illegalerweise installierte Program erstmals versucht, nach außen zu kommunizieren, und die Firewall meint "Ja wer bist du denn?" - ist es zu spät.
Du verstehn? |
Falsch.
Unter "Inbound - Traffic" versteht man VerbindungsAUFNAHMEN von außen. Das was Du meinst ist normales passives Datenübertragen - dafür hat man SPI.
Was ICH meine ist, wenn z.B. ein Wurm, der auf einem anderen PC im Internet läuft (ist ja ein ausführbares Programm) versucht, z.B. auf meiner Kiste den RPC - Port zu öffnen um dort seine Buffer Overflow - Scheiße reinzuschreiben.
Dagegen hilft eine Firewall nämlich perfekt. Ihr tut hier nichts anderes, als Kondome abzulehnen, weil eine minimale Gefahr bestehen könnte, daß man sich trotzdem AIDS holt.
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211514) Verfasst am: 12.11.2004, 16:05 Titel: |
|
|
Nav hat folgendes geschrieben: |
Dagegen hilft eine Firewall nämlich perfekt. Ihr tut hier nichts anderes, als Kondome abzulehnen, weil eine minimale Gefahr bestehen könnte, daß man sich trotzdem AIDS holt. |
Jetzt bleib mal bei der Wahrheit.
Nagarjuna hat folgendes geschrieben: | Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, |
Nav hat folgendes geschrieben: | So ein Unsinn.
Eine Hardware - Firewall mit NAT läßt schonmal keinen Inbound - Traffic zu (außer man sagt explizit, daß man das will). Und damit sind RPC - Würmer und dergleichen schonmal chancenlos.
Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen. |
Und jetzt hat der grosse "Jemand aus der Branche" ein bissele Nachhilfe von einem Niemand-User bekommen, der sich ein kleines Bisschen mit der Materie beschäftigen musste, weil es ihn erwischt hat. Wenn man so grosskotzig als Experte auftritt, hat man auch eine gewisse Verpflichtung, dass das was man behauptet, stimmt. Immerhin hätte es sein können, dass sich Leute nach Deinen Ratschlägen richten.
|
|
Nach oben |
|
|
Nav Gast
|
(#211517) Verfasst am: 12.11.2004, 16:10 Titel: |
|
|
Was ist man meiner Aussage, daß eine Firewall den Inbound - Zugriff auf Ports beschränkt, falsch bitte?
|
|
Nach oben |
|
|
Blaubär Höhlenbewohner
Anmeldungsdatum: 18.07.2003 Beiträge: 1133
Wohnort: Mainufer
|
(#211525) Verfasst am: 12.11.2004, 16:27 Titel: |
|
|
Nav hat folgendes geschrieben: | Was ist man meiner Aussage, daß eine Firewall den Inbound - Zugriff auf Ports beschränkt, falsch bitte? |
Das ist nicht falsch.
Aber den Gegenwind hast du dir dennoch selber eingehandelt, indem du auf Nagarjunas Einwand
Zitat: | Firewall = ein bisserl mehr Scheinsicherheit.
Auch ich verwende eine, selbstverständlich, aber eine Firewall ist kein Ersatz für die Beschäftigung mit dem technischen Hintergrund, |
ziemlich großkotzig erstmal mit
Zitat: | Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen. |
geantwortet hast.
Nagarjuna hat nämlich auch recht.
Eine Firewall ist nützlich, keine Frage. Aber sie ist kein Allheilmittel und es ist naiv, anzunehmen, man sei alleine durch ihren Einsatz bereits auf der sicheren Seite. Genau das suggerierte deine erste Antwort.
Und dass dies nicht so ist, haben Klaus-Peter und Caballito hinreichend gezeigt.
|
|
Nach oben |
|
|
Markus Polygamer, polymorph perverser Psychopath
Anmeldungsdatum: 17.07.2003 Beiträge: 1320
Wohnort: Südhessen
|
(#211533) Verfasst am: 12.11.2004, 16:45 Titel: |
|
|
@Nav:
Für sich genommenist Deine Aussage richtig. Aber mit der Frage hat sie ncihts zu tun.
Es geht darum, dass der beschriebene Angriff auch durch eine Firewall nicht zu verhindern gewesen wäre, dass eine FW den Nutzer aber in einer Scheinsicherheit wiegt, die ihn dazu verleitet, auch riskante Seiten aufzurufen oder elemetare Sicherheitsmaßnahmen außer Acht zu lassen, weil er denkt, die Firewall würde ihn schützen.
Und diese Aussage ist zu 100% korrekt.
Ich habe jahrelang meine Brötchen damit verdient, u.a. Großbanken im Bereich IT-Security zu beraten. Da denke ich, dass ich weiss, wovon ich rede.
1. eine Firewall ist ganz nett als erste Stufe in einem Sicherheitskonzept.
Es bedarf jedoch eines geschulten Administrators, um sie zu bedienen und regelmäßig die Rulebase anzupassen.
Eine Personal Firewall ist nett, aber ziemlich nutzlos und sogar gefährlich, wenn der User sich nicht mit elementaren Grundlagen der IT auskennt (z.B. OSI-Schichtenmodell, TCP, usw.).
2. als zweite Stufe bedarf es eines guten Proxies, um den Usern keinen direkten Zugang zum Internet zu geben.
3. als dritte Stufe bedarf es eines guten Switches, z.B. von CISCO, der auf dem aktuellen Patch-Level sein sollte und das permanente Loggen der Traffic-Statistiken erlaubt.
Außerdem sollte der Switch so konfiguriert sein, dass alle Ports, die nicht unbedingt benötigt werden, defaultmäßig gesperrt sind.
Von innen ausgeführte Versuche, auf einen Port zuzugreifen, sind zu protokollieren und bei Überschreiten eines festgelegten Schwellwertes ist ein Alarm auszulösen, da dies auf Trojaner schließen lässt, die versuchen, mit ihren 'Müttern' zu kommunizieren.
Die entsprechenden Switch-Ports (also die, an denen das Patch-Kabel des kommunizierenden Rechners hängt) sind in einem solchen Fall sofort zu deaktivieren, damit der Rechner isoliert wird.
4. Als vierte Stufe bedarf es eines auf dem aktuellen Stand der Security geschulten Administrators.
Mindestens sollte dieser regelmäßig CERT besuchen (www.cert.org), täglich die CERT-Vulnerability-Notes, Advisories und Incident-Reports lesen, um Angriffe sofort zu erkennen und entsprechend zu reagieren.
5. Alle Komponenten sind 24/7 durch geschultes Personal zu monitoren, bei Bedarf ist sofort einzugreifen und ggf. die Verbindung nach außen zu kappen.
6. Alle Patches sind sofort aufzuspielen.
Das ist für Privatpersonen natürlich unmöglich und genau deshalb können sich Viren, Trojaner und Spyware so gut ausbreiten.
Ich persönlich habe daheim eine Firewall (IP-Tables mit selbstdefinierten Filterregeln), einen Proxy (Squid) und einen Switch.
Mein eigener Arbeitsplatz läuft unter Linux, der ist sauber und hat bisher keine Probleme gehabt. Doch trotz aller Vorsichtsmaßnahmen finde ich selbst da hin und wieder ein .exe-File im User-Verzeichnis, das nur deshalb keine Probleme macht, weil Linux damit nichts anfangen kann. Trotz Mozilla, der hat auch seine Lücken.
Der zweite Arbeitsplatz läuft unter Windows, da lasse ich wöchentlich eine aktuelle Version von Ad-Aware laufen, die eigentlich jedes Mal eine zweistellige Zahl von Schädlingen findet.
Trotz aller Vorsichtsmaßnahmen. Und übrigens auch, trotz der Verwendung von Mozilla, obwohl Flash und Co. nicht installiert sind, obwohl Java und JavaScript abgeschaltet sind.
Aber ich kann halt nicht 24 Stunden mein System überwachen.
Wie soll das dann einem Normal-User möglich sein?
|
|
Nach oben |
|
|
Klaus-Peter auf eigenen Wunsch deaktiviert
Anmeldungsdatum: 10.01.2004 Beiträge: 1534
|
(#211534) Verfasst am: 12.11.2004, 16:49 Titel: |
|
|
Blaubär hat folgendes geschrieben: | Nagarjuna hat nämlich auch recht. |
Hallo Blaubär,
auch wenn es jetzt krümelkackerisch wirkt, Nagarjuna hat nicht auch recht, sondern nur er hatte hier recht.
Nagarjuna sagte: "Firewall ist gut, aber reicht nicht."
Und Nav sagte: "Doch Firewall reicht. Und Du bist ein Depp und ich der Experte. "
Und das ist 1. grottenfalsch und 2. geradezu kriminell, weil er seinen Unsinn auch noch als das Evangelium eines Experten ausgibt. Ich war anfangs selber unsicher, weil ich von dem grosskotzigen Begriff "inbound protection" beeindruckt war, aber dann hat hat doch der gesunde skeptische Laienverstand über den Respekt vor dem Profi gesiegt, und ich habe kurz nachgeschaut und gesehen, dass damit nur das simple Schliessen von Ports gemeint ist.
|
|
Nach oben |
|
|
Nav Gast
|
(#211535) Verfasst am: 12.11.2004, 16:59 Titel: |
|
|
Ich sagte nie, daß "Firewall reicht". Ich habe hier erwähnt, daß sowohl Hirn als auch Virenscanner sein müssen.
Eine Firewall betrachte ich aber als "first line of defense" - und ich würde sie niemals missen wollen.
|
|
Nach oben |
|
|
Wolf registrierter User
Anmeldungsdatum: 23.08.2004 Beiträge: 16610
Wohnort: Zuhause
|
(#211536) Verfasst am: 12.11.2004, 17:02 Titel: |
|
|
Nav hat folgendes geschrieben: | Ich sagte nie, daß "Firewall reicht". Ich habe hier erwähnt, daß sowohl Hirn als auch Virenscanner sein müssen.
Eine Firewall betrachte ich aber als "first line of defense" - und ich würde sie niemals missen wollen. |
Unsinn.
Du bezeichneste Nagarjunas Post als Unsinn, welches sinngemäß das gleiche sagte, wie du jetzt.
Aber ein Wiener wird das nicht einsehen, ein Wiener hat ja immer recht.
_________________ Trish:(
|
|
Nach oben |
|
|
Nav Gast
|
(#211537) Verfasst am: 12.11.2004, 17:03 Titel: |
|
|
modorok hat folgendes geschrieben: | Nav hat folgendes geschrieben: | Ich sagte nie, daß "Firewall reicht". Ich habe hier erwähnt, daß sowohl Hirn als auch Virenscanner sein müssen.
Eine Firewall betrachte ich aber als "first line of defense" - und ich würde sie niemals missen wollen. |
Unsinn.
Du bezeichneste Nagarjunas Post als Unsinn, welches sinngemäß das gleiche sagte, wie du jetzt.
Aber ein Wiener wird das nicht einsehen, ein Wiener hat ja immer recht. |
Ich bin gar kein nativer Wiener, eigentlich bin ich aus der St. Eiermark. Aber die Provinztrottel da unten sind mir zu dämlich.
|
|
Nach oben |
|
|
sascha bekennender magnusfe-Fan
Anmeldungsdatum: 30.08.2004 Beiträge: 1449
Wohnort: Bremen
|
(#211543) Verfasst am: 12.11.2004, 18:13 Titel: |
|
|
Nav hat folgendes geschrieben: | Wer keine Firewall verwendet sollte gar keinen Internetzugang nutzen dürfen. | Das sehe ich zwar gar nicht so, weil ich für Freie Netze (PDF) und daher gegen so einen Kontrollwahn bin, aber gegen Browser-Exploits hilft Dir ne Firewall auch nichts. Außerdem wär das mit Linux nicht passiert.
|
|
Nach oben |
|
|
pyrrhon registrierter User
Anmeldungsdatum: 22.05.2004 Beiträge: 8770
|
(#211545) Verfasst am: 12.11.2004, 18:22 Titel: |
|
|
Nav hat folgendes geschrieben: | Das ist halt der Unterschied zwischen ein User und jemandem aus der Branche. Setzen, 6 und Nachhilfe nehmen. |
Genau. Und Du bist von uns beiden hier mit Sicherheit nicht der Experte.
~ Nagarjuna
|
|
Nach oben |
|
|
|