Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Firewall-Rules erstellen ......... @Tyrfing

Artie / 15 Antworten / Baumansicht Nickles

Hallo,


ich habe jetzt mal @Tyrfing geschrieben, weil dieser sich anscheinend recht gut auskennt, zumindest gemäß Posting weiter unten in Bezug auf Sygate und mtask.exe.


Ich habe schon so einige Seiten im Netz betrachtet, aber so richtig ideal.


Ich bin jetzt von ZA auf eine andere Firewall umgestiegen, die man natürlich nicht nur so einfach installieren kann, sondern auch konfigurieren muß. Aber ZA ist seit Version 5 die Katastrophe, und so einiges habe ich schon über Ports gelernt, also warum nicht.


Auch wenn ich jetzt gemäß mehrerer Online Port-Scan-Tests diverser Firewallanbieter Stealth und momentan sicher erscheine, traue ich dem Braten noch nicht so ganz.


Am Anfang habe ich nämlich zu viele Ports geblockt, weil ich dachte nur lokal 80 u. 110 sowie remote 25 und remote 53 (für das einwählen) sollten für einige Anwendungen erlaubt sein. Nun aber habe ich gemerkt, das auf vielen Internetseiten remote 443 benötigt wird und auch viele lokale Ports zwischen 1070 und 1970 recht oft angesprochen werden, ohne die kein Surfen möglich ist, oder das AntiVirustool nicht updaten kann oder das Mailprogramm nicht raus kommt (also nicht nur 110). 


Was muß ich bei diesen lokalen Ports wirklich beachten? Gibt es da irgendwo eine gute Seite, die das auch für relative Anfänger wie mich erklärt? Habe zwar schon gute Ansätze gefunden und in den letzten Tagen auch dazugelernt, aber ich suche noch etwas "Optimales". Wer verrät mir da so seine bevorzugten Seiten mit guten Anleitungen, oder kann hier ein paar Tips geben.


Außerdem, wieviele Ports gibt es eigentlich. Der höchste, den ich bisher hatte war local port 61452. Bis wohin muß ich die Regel zum Blocken erstellen. 62000? oder noch mehr?


Danke für alle Tips im voraus


mfg


Artie


 


 


 


 

bei Antwort benachrichtigen
xafford Artie „Firewall-Rules erstellen ......... @Tyrfing“
Optionen

Auch wenn ich nicht Tyrifing bin, Du hast einen Denkfehler bezüglich lokaler und remote Ports. Lokal 80 und 110 frei zu geben macht wenig Sinn, sofern Du nicht auf deinem Rechner einen POP3 und einen HTTP Server betreibst, der von außen zugänglich sein soll, diese Ports sind nämlich Serverports.

Ist Dir das Konzept der statefull packet inspection bekannt? Falls nciht hier mal ien oberflächlicher Abriß.
Die statefull packet inspection ist ein intelligenterer Filteralgorithmus als Portfilter. Ein reiner Portfilter arbeitet anhand fester Regeln, die einen Port entweder offen halten, oder blockieren (eigentlich nicht den Port, sondern nur der Zugriff darauf). Ein statefull packet filter ist eigentlich ein dynamischer Portfilter, welcher anhand einer Initialverbindung erkennt, ob eine Verbindung erlaubt ist und dann zugehörig zu dieser verbindung die nötigen Ports dynamisch öffnet. Nehmen wir einmal das Beispiel des POP3. Ein POP3 SERVER erwartet eine Verbindung des Clients auf seinem Port 110 (weswegen es nichts bringt auf deinem eigenen Rechner Port 110 zuzulassen eingehend, es müßte ausgehend-remote sein). Nehmen wir jetzt einmal an, daß Du in deiner Firewall nur die eine Regel hättest (schematisch):

ERLAUBE VERBINDUNG VON [lokaler Rechner] PORT ANY NACH 0.0.0.0/0 PORT 110

Willst Du jetzt Mails abrufen, so durchwandert das Paket den Netzwerkstapel und durchläuft auch den Filter, welcher das Paket untersucht und erkennt, daß der lokale Rechner eine erlaubte Verbindung zu einem POP3-Server herstellt. Er erzeugt einen Eintrag in seiner Verbindungstabelle für diesen "Socket", wobei der lokal Port für diese Verbindung ein beliebiger Port über 1024 ist.
Nun erreicht das Paket den POP3-Server, er antwortet darauf und verweist deinen Rechner auf einen Nebenport für die weitere Kommunikation, um seinen "Verbindungsport" für die nächsten Verbindungsanfragen wieder frei zu bekommen (dieser Serverport ist mehr oder weniger nur eine Türklingel). Diesen Vorgang erkennt ein Statefull Packet Filter selbst, Du mußt im Gegensatz zu einem "dummen" Portfilter jetzt nicht nachträglich diese Kommunikationsverbindung auch noch frei geben, damit der Datenaustausch klappt, der Filter erkennt die Verbindung von Server:[high port] zu Client:[high port] als zu der zugelassen Verbindung gehörend (RELATED) und erlaubt folglich die Kommunikation.
Nach diesem Vorgang wird relativ klar, daß Verbindungen immer dann klappen, wenn ein Server im Internet nur die antwoortende Funktion übernimmt, also auf eine vom Client bestehende Anfrage antwortet. Solche Protokolle sind z.B.
DNS, HTTP, HTTPS, SMTP, POP, Telnet, SSH, FTP (passiv), NNTP,...
Hier reicht es also, nur folgendes frei zu geben:

Ausgehend, jede Zielip, Serverport erlauben.
Anders sieht es bei Protokollen aus, bei denen das Protokoll vorsieht, daß der Server selbst eine Verbindung zum Client zusätzlich aufbaut. Das betrifft z.B. sämtliche Streamingprotokolle, Messengerprotokolle, P2P-Protokolle, VoIP, FTP (aktiv)...
Hier kann der Statefull Packet Filter nicht erkennen, daß diese Verbindung zu der bereits bestehenden gehört, da er das Protokoll nicht kennt (zumindest in den meisten Fällen), man muß ihm also eine Regel mitgeben, daß er solche Verbindungen erlaubt. Leider geht das bei vielen Protokollen nur mit der groben Kelle, also lokal alle benötigten Rückkanäle für alle entfernten Ziele freigeben.

Jetzt mal wieder zurück zu deinem eigentlichen Problem (sorry, daß ich so abgeschweift bin). Dein Problem mit POP3 liegt darin begründet, daß Du den Port wohl in der falschen Richtung freigegeben hast (eingehend als Zielport oder ausgehend als Quellport, statt ausgehend als Zielport).
Das zweite Problem bezüglich 443 besteht darin, daß Port 443 für HTTPS begraucht wird, also für SSL-Verschlüsselte Verbindungen zu HTTP-Servern, diese solltest Du ausgehend mit 443 als entfernten Zielport freigeben.
Das Problem mit den Anfragen an hohe Ports kann man so eindeutig nicht kategorisieren, da es abhängig davon ist, was Du schon an Regeln (und vor allem in welcher Reihenfolge, diese ist nämlich auch wichtig) angegeben hast. Erst dann kann man beurteilen, ob Du über eine ungeschickte Regel auch alle Antwortpakete gesperrt hast.
Du mußt übrigens nicht für alle Ports und alle Protokolle Regeln erstellen, sondern nur für die genutzten, alles andere sollte man standardmäßig erst einmal blockieren. Es gibt übrigens 65535 Ports, sowohl für TCP, als auch für UDP.

Noch eine Anmerkung zum Schluß: Stealth ist eine blödsinnige Marketingerfindung (wohl von Steve Gibson in die Runde geworfen) und sagt rein gar ncihts über die Sicherheit oder Unsicherheit eines Systems aus, es sagt nur aus, daß sich ein System nicht an die Protokollstandards im Internet hält.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Artie xafford „Auch wenn ich nicht Tyrifing bin, Du hast einen Denkfehler bezüglich lokaler...“
Optionen

Ach so, dann habe ich also alles vertauscht.
Ich dachte ich müßte Port 80 lokal freigeben, also eingehend....

Das heißt ich benötige die Remote Ports 80, 53UDP, 25, 443 eingehend u. bei 110 ausgehend, oder?

Wenn du sagst, das es nach Reihenfolge geht, heißt das, je höher ich eine Regel nach oben sortiere ( ich dachte, das Sortieren wäre nur der Übersicht halber - Anfänger halt), umso vorrangiger ist diese Regel. Erlaube ich einer Anwendung z.B. also einen Port zur Verbindung zu verwenden und danach erstelle ich eine Regel diesen Port zu blocken, heißt das, das dieser Port nur von dieser Anwendung passiert werden darf???

Z.B. ich erlaube WS_FTP Port21 lokal u. remote zu passieren, erstelle darunter aber eine Regel, welche diesen Port zumacht. Dann darf das zwar mein WS_FTP auf Harddisk XY, aber keine andere Anwendung mehr...?


In Kerio (manual leider in englisch und nicht konkret genug) habe ich jetzt für die Regeln die Möglichkeit mehere Unterordner zu gestalten. Wonach richtet sich dann die Reihenfolge.
Wahrscheinlich erst der Ordner "default" der Standardmäßig da ist und dann wohl die anderen Ordner. (habe ich zu meiner Übersicht nach lokale Ports, Remote Ports oder nach Protokolle sortiert).

Also eingehend werden von den genannten Remote Ports die lokalen Ports oberhalb 1024 verwendet.... bis zu welchem Port denn.

Noch mag ich etwas dumb sein, aber ich lerne das noch. Habe ich zumindest fest vor, es auch zu verstehen. Hast du noch ein paar Literaturtipps im Internet. Suche noch die ideale Seite.

Könnte mir vorstellen, das die Antwort (auch von anderen Erfahrenen Usern) bestimmt noch mehr interessiert.

Das war übrigens kein reiner Stealthtest, wurde auch auf Hacker+ andere Trojaneranfälligkeiten getestet. Wenn solche Anbieter das nicht seriös machen, wer dann? Auf anderen SEiten würde ich mich das nicht trauen.

Habe meine Firewall erst nach meinem ersten Verständnis dicht gemacht und alle Bewegungen Protokollieren lassen. Habe daraufhin versucht mit meheren Anwendungen das Internet zu erreichen. Daraufhin die Logfiles geprüft und nach und nach einzelne Regeln anhand dieser Logfiles angepaßt. Ideal wäre es jetzt natürlich, wenn ich das ganz auch komplett verstehen würde.

Deine Antwort ist dafür schon mal ein guter Anfang. Hat mir auf jeden Fall schon mal weitergeholfen. Danke.

mfg
Artie

bei Antwort benachrichtigen
xafford Artie „Ach so, dann habe ich also alles vertauscht. Ich dachte ich müßte Port 80...“
Optionen

Ich versuche mal das der Reihenfolge abzuarbeiten:

Das heißt ich benötige die Remote Ports 80, 53UDP, 25, 443 eingehend u. bei 110 ausgehend, oder?
Das hast Du jetzt leider etwas mißverständlich formuliert. Die von Dir genannten Ports sind aber alles Serverports, d.h. Du mußt auf deinem Rechner eine Regel erstellen, so daß dein Rechner entfernte Rechner an deren entsprechendem Port kontaktieren dürfen (das gilt für alle Serverports). En Webserver lauscht auf 80 u. 443, ein Popserver lauscht auf 110, ein SMTP-Server auf 25, ein FTP-Server auf 20/21 (je nach aktiv/passiv), ein DNS-Server lauscht auf 53 (TCP und UDP). Eventuell schmeißt Du lokal freigeben mit lokalem Port noch etwas durcheinander, dazu am Ende noch mehr.

Wenn du sagst, das es nach Reihenfolge geht, heißt das, je höher...
Inwiefern die Reihenfolge wirksam ist, hängt etwas von der Software ab, in der Regel werden Filterregeln aber eine nach der anderen abgearbeitet. Mal ein konkretes Beispiel, wie Du es ja schon genannt hast:

1. Regel: Erlaube Anwendung XY die Verbindung an einen entfernten Rechner auf Port 80

2. Regel: Verbiete alle ausgehenden Verbindungen.

Der Reihenfolge nach würde zwar Anwendung XY zuerst die Kommunikation nach außen erlaubt, wird die nächste Regel erreicht, so wird allerdings allen Anwendungen die Kommunikation nach außen erlaubt. Ergebnis wäre: keine Verbindung (es mag Filter geben, die das anders handhaben).

In Kerio (manual leider in englisch und nicht konkret genug) habe ich jetzt für die Regeln die Möglichkeit mehere Unterordner zu gestalten. Wonach richtet sich dann die Reihenfolge.
Kerio (welche ich recht brauchbar finde) arbeitet Regeln streng hierarchisch ab. Eine nachfolgende Regel kann also eine vorherige aufheben.

Also eingehend werden von den genannten Remote Ports die lokalen Ports oberhalb 1024 verwendet.... bis zu welchem Port denn.
Nicht nur eingehend, auch ausgehend. Dein Rechner startet die Kommunikation von sich aus schon von einem Port jenseits der 1024, da die Ports unterhalb 1024 für bekannte Protokolle frei gehalten sind. Wenn die Verbindung ausgehandelt und etabliert ist, dann läuft die Kommunikation an beiden Enden über hohe Ports.

Literaturtipps hab ich aus dem Stehgreif leider keine zur Hand, vielleicht solltest Du die Frage nach Literatur noch einmal als getrennten Thread auf dem Netzwerkbrett starten.

Jetzt noch etwas Theorie zu Verbindungen. Eine Verbindung wird durch einen Socket beschrieben. Ein Socket wiederrum ist die Kombination aus IPs und Ports, welche eine Verbindung kennzeichnen und in einem TCP/IP Paket im Header (sozusagen der Anschrift und des Absenders bei Briefen sehr ähnlich mit einigen Zusatzinfos) vermerkt sind.
Ein Socket kann also grob umschrieben so aussehen:

QuellIP: 192.168.1.1 Quellport: 1025 (beliebig) -> ZielIP: 192.168.1.2 Zielport: 80 (zwingend)

Dies wäre eine Verbindung des Rechners mit der IP 192.168.1.1 an einen Webserver mit der IP 192.168.1.2. Um so eine Verbindung zu erlauben mußt Du also den Zielport 80 ausgehend freigeben, da Du den Quellport nicht wissen kannst. Diesen wählt nämlich dein Betriebssystem aufgrund der schon benutzten Ports. Windows z.B. rechnet Ports meist stupide hoch ab 1025. Hättest Du also noch keine offene Verbindung, dann wäre der Quellport 1025. Die nächste Verbindung startet dann von 1026, dann 1027 usw (allerdings keine Regel ohne Ausnahme). Der einzige Fixpunkt um alle HTTP-Verbindungen zuzulassen wäre also Port 80 als Ziel frei zu geben. Du könntest natürlich auch deinem Browser einfach alle Verbindungen erlauben, das wäre aber unsauber und mit der groben Kelle. Du könntest auch gezielt nur den Server mit der IP 192.168.1.2 freigeben, das wäre aber anstrengend, da Du jeden Server freigeben müsstest.

Das Stealthtests unseriös sind wollte ich gar nicht sagen, nur ist "Stealth" eben nichts, was in den RFC (Request for Comment, eine Art lockere Normung) zu finden wäre und ob es einen Mehrgewinn an Sicherheit bringt kann man zu Recht bezweifeln. Es wird zwar immer argumentiert, daß ein Rechner, welcher Stealth wäre im Internet unsichtbar sei, aber er ist dann eben zu unsichtbar. Man könnte es mit einem schwarzen Loch vergleichen, das kann man auch dadurch nachweisen, daß da einfach garnichts rauskommt. Rein technisch müsste nämlich eine Fehlermeldung des letzten Routers vor dem Ziel kommen, wenn wirklich kein Rechner vorhanden ist. Kommt ncihts zurück, dann weiß man, daß der Router das Paket zustellen konnte (ergo ist da etwas), das Ziel sich aber einfach tot stellt. Der saubere Weg (und den den viele Admins propagieren aufgrund der Regelkonformität) wäre, daß das Ziel einfach sagt: Nö, ich nehme von Dir nix an, anstatt einfach gar nichts zu sagen. Rein sicherheitstechnisch ist es nämlich gleich, ob der Rechner einfach die Annahme höflich verweigert, oder schlichtweg stumm bleibt, der Angreifer bekommt so oder so weder eine Verbindung, noch ein Indiz über offene Ports, wenn der Filter einfach höflich verweigert. Ein closed Port ist ein closed Port, der Angreifer kann nciht wissen ob der Port closed ist, weil sich kein Dienst dahinter versteckt, oder weil er blockiert wird. Er hat also nicht mehr Erfahrung über das System gewonnen, als wenn das System stealth wäre.
Wenn man ganz genau argumentiert, dann muß man auch noch sagen, daß dieser Stealthmodus den Traffic erhöht (wenn auch marginal), da das Anfragende System aufgrund der fehlenden Antwort die Anfrage über eine gewisse Zeit mehrfach stellen kann abhängig von den Einstellungen. Bei einem höflichen Annahme verweigert würde es einfach aufhören (so das System sauber programmiert ist).

Langer Rede, schwacher Sinn: Stealth ist nicht unseriös, nur in meinen Augen unsinnig und leider ist es sozusagen ein running Merketinggag und kein Hersteller von Software in diesem Bereich kann es sich dank des sagenumwobenen Stealth-Mode mehr erlauben auf diesen zu verzichten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Artie xafford „Ich versuche mal das der Reihenfolge abzuarbeiten: Das heißt ich benötige die...“
Optionen

Hallo Xafford,

aha, jetzt habe ich schon zumindest die Grundbegriffe verstanden.

Kerio gefällt mir wirklich gut, leider ist es noch etwas schwierig festzustellen, wie ich das mit der Reihenfolge bzw. Hierarchie handhaben soll, oder eher genauer gesagt: Mir ist noch nicht klar, wie Kerio das handhabt. Also das ich Kerio sage, die ein - zwei Anwendungen dürfen von Remote Port XY, aber alle anderen nicht.

Unklar ist mir noch, welche Regeln ich für die lokalen Ports ab 1024 - 65xxx erstellen soll. Alles blocken außer Remote Ports x + y sowie Anwendungen xy + zz? - Denke ich jetzt mal von der Logik oder.
Ich will sie nicht einfach offen lassen. Das deutsche Manual von Kerio ist recht kurz, werde mich also mit der englischen rumschlagen müssen. Auch wegen der Hierarchie von Regeln.

Komischerweise wurde mein PC von diesem Security Check als sicher bezeichnet, obwohl ich einige Ports für die genannten Remote Ports offen gelassen habe, wie ich heute von dir gelernt habe, auch einige zu viel - zumindest nicht eingeschränkt genug. Kann das daran liegen, das Kerio doch einige Grundregeln sowieso beherrscht und automatisch anwendet, wenn Angriffsverdächtige Handlungen ausgeführt werden.
Ich habe diese Ports ja nicht direkt erlaubt, ich habe sie nur nicht definiert.

Zu deiner Ausführung mit dem "Stealth" - da hast du aber recht. Am besten wäre natürlich eine Firewall, die die von dir erwähnte Fehlermeldung zurückschickt, weil dort nichts sei. Aber die muß wohl noch programmiert werden.

In dem Falle müßte dir aber Outpost besser gefallen als Kerio - denn (ich habe auf einem anderen Rechner schon mal ein paar Outpost-Regeln erstellt) bei Outpost hast du die Möglichkeit bewußt zwischen "ablehnen und blockieren" zu unterscheiden. Jetzt verstehe ich auch warum.

Bei Kerio bin ich da weniger sicher. In den logs unterscheidet es nur zwischen denied und permitted (in englisch) bei den PopUp_Nachrichten (die ich zum lernen vor allem noch alle aktiviert habe - puh nervt) sagt Kerio in deutsch übergangen für denied, was immer damit gemeint ist (evtl. schwache Übersetzung). Trotzdem gefällt mir Kerio vom Funktionsumfang her. Gut finde ich auch den Einwählwarner, wenn du einen neuen Zugang bzw. Einwahlnr. wählst. Noch ein kleiner Extra-Dialer-Warner.

Na auf jeden Fall habe ich dazugelernt.

Was hälst du eigentlich zusätzlich zur firewall von diesen Anonym Surfen geschichten. Hat doch auch was im Vergleich zum Stealth Mode, wenn du zwar eine IP anzeigst, die aber regelmäßig wechselt und zudem falsch ist.
Danke Xafford.
mfg
Artie

bei Antwort benachrichtigen
Max Payne Artie „Hallo Xafford, aha, jetzt habe ich schon zumindest die Grundbegriffe verstanden....“
Optionen
Was hälst du eigentlich zusätzlich zur firewall von diesen Anonym Surfen geschichten. Hat doch auch was im Vergleich zum Stealth Mode, wenn du zwar eine IP anzeigst, die aber regelmäßig wechselt und zudem falsch ist.

Dies lässt sich eigentlich nur über Proxies verwirklichen. Allerdings sind "anonyme" Proxies üblicherweise nicht besonders schnell. Wenn Du also auf DSL mit 28K-Geschwindigkeit stehst - bitte! Ansonsten gilt: Wirklich anonym ist man im Internet nie, auch bei Proxies werden idR Logs erstellt und irgendeiner in der Verbindungskette kennt sowieso immer Deine wahre IP. Richtig anonym ist man eigentlich nur, wenn man sich per Akustikkoppler von Telefonzellen aus einwählt und alle paar Minuten den Standort ändert...

Das Märchen mit der "falschen IP" taucht auch immer wieder auf. Mit einer "falschen" IP kann man nicht kommunizieren, da die IP ja die Adresse ist, an die Du die angeforderten Daten gesendet bekommst.

Mal ein Vergleich dazu aus dem 'echten Leben': Du hast Dich in ein Mädel verknallt, bist aber zu schüchtern, um sie anzusprechen. Also schreibst Du ihr einen Brief und bittest sie um Antwort. Die Antwortadresse, die Du angibst, ist allerdings frei erfunden (also falsch, weil sie soll ja nicht wissen, dass Du der Absender bist). Und nun sitzt Du zu Hause und wartest auf Antwort. Und wartest. Und wartest...
The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Artie Max Payne „Was hälst du eigentlich zusätzlich zur firewall von diesen Anonym Surfen...“
Optionen

Hallo Max Payne,

was du sagst, ist natürlich logisch. Beantwortet aber nicht meine Frage.
Irgendwer kennt immer meine Adresse. Auch logisch, aber auch nicht schlimm, solange es nicht die potentiellen Angreifer sind.

Meine Frage ist, ob diese Programme auch potentielle Angreifer verwirren bzw. ableiten, weil diese eine falsche IP (im Glauben es wäre meine Adresse) angreifen obwohl es nicht meine ist. Oder mich gar ignorieren, weil die IP einen Standort suggeriert, der für die Angreifer gar nicht erst interessant ist.

Das war meine Frage.

Alles andere, was du sagst, ist natürlich völlig korrekt. Mir geht es rein um den Hacker-Aspekt.

mfg
Artie

bei Antwort benachrichtigen
Max Payne Artie „Hallo Max Payne, was du sagst, ist natürlich logisch. Beantwortet aber nicht...“
Optionen
Meine Frage ist, ob diese Programme auch potentielle Angreifer verwirren bzw. ableiten, weil diese eine falsche IP (im Glauben es wäre meine Adresse) angreifen obwohl es nicht meine ist. Oder mich gar ignorieren, weil die IP einen Standort suggeriert, der für die Angreifer gar nicht erst interessant ist.

Öhm, wie soll das funktionieren?
Das würde bedeuten, dass jemand erst mal bei Deiner (richtigen) IP-Adresse "anklopfen" müsste, damit die Software auf Deinem Rechner ihm die "falsche" IP sagt. Das ist ungefähr so sinnvoll, als wenn Du auf Deinem Anrufbeantworter Leute aufforderst, bei einer anderen (falschen) Nummer anzurufen. Der "Angreifer" hat Deine echte IP schon herausgefunden. Aber so lange bei Dir alle Sicherheitspatches eingespielt sind und keine "böse" Serversoftware (Trojaner etc.) läuft, hast Du ohnehin nichts zu befürchten.
The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Artie Max Payne „Meine Frage ist, ob diese Programme auch potentielle Angreifer verwirren bzw....“
Optionen

Hallo nochmal,

danke schon mal an Tyrfing, Xafford und auch InvisibleBot.

Jetzt ist mir so einiges klarer geworden.

Das einzige was ich jetzt absolut nicht verstehe ist die Aussage von MaxPayne über diese AnonymSurfProgramme. Programme wie z.B ArchyCrypt schicken doch falsche Infos über die eigene IP-Nr. nach draußen oder schalten Server dazwischen. Ich glaube was jetzt richtiger ist, ist mir auch noch nciht ganz klar, ich vermute mal, je nach gewählter Option beides.

Das ist doch, als würde ein ISDN-Telefon oder ein Handy bei Anruf so eingestellt sein, das es eine falsche Rufnummer anzeigt. Woher soll bitte der Angerufene das bitte erkennen...? Die Telefongesellschaft weiss es selbstverständlich besser und schickt die Rechnung an den richtigen Anrufer, aber der Angerufene kann dies ohne Hilfe der Telefonges. wohl kaum erkennen, oder?

Woher kennt dieser der Angreifer meine wahre IP?
Z.B. die Scripts auf der manche Webseiten den Besucher mit dessen eigener IP begrüßen lassen sich auch irreführen.

Mir war bei der Installation dieses Programs wichtig, das wenn meine Kinder auf ihren Rechner mal im Internet surfen, die das ganze trotz Ermahnungen leider immer etwas unbedarfter tuen, nicht unbedingt überall ihre wahre Identität hinterlassen. Klar gebe ich denen schon Regeln, und kontrolliere auch, aber wer kann schon immer jede einzelen Minute daneben stehen. Und wer will mir erzählen, das bei Kindern, angestachelt durch Klassenkameraden, nicht häufiger die Neugier über den Gehorsam geht.
Zumal selbst angeblich harmlose Kinderseiten, durch Kinderfernsehen beworben, heftigst Cookies ablagern und auch spyware. Na ja, ich will diese Seite xxxxx.de mal nicht direkt nennen, aber schon heftig. Ich als Vater von Teenies(10-14) behaupte mal aus Erfahrung, das gerade über die Zielgruppe Kinder versucht wird, die Rechner der vorsichtigeren Eltern auszuspionieren. Deswegen beschäftige ich mich nicht umsonst mit allem was den Rechner sicherer machen könnte.

Daher bitte noch einmal für PC-Dummies.
Warum sind diese Programme völlig sinnlos.

Das mit Nachforschungen die wahre Identität immer rauskommt ist mir klar, aber nicht halt für jeden Idioten, und die gilt es halt fernzuhalten.

Die Aufführungen der anderen und deren Ansicht habe ich jetzt auch voll verstanden. Jetzt würde ich gerne deine Info verstehen.

mfg u. Danke im Voraus
Artie

bei Antwort benachrichtigen
Max Payne Artie „Hallo nochmal, danke schon mal an Tyrfing, Xafford und auch InvisibleBot. Jetzt...“
Optionen

Hi artie,

Tyrfing hat weiter unten schon auf Deine Fragen geantwortet. Bis auf die Aussage zum Autokennzeichen bin ich mit ihm völlig einer Meinung - meiner Ansicht nach vermittelt ein Autokennzeichen noch viel mehr Informationen über die "wahre Identität" des Autofahrers als die IP über die desjenigen, der da surft :-).

Ich bin bei meinen obigen Antworten davon ausgegangen, dass es Dir um einen Schutz gegen "x-beliebige" Hacker geht, die Portscans über ganze IP-Blöcke laufen lassen, um Angriffsziele (z.B. laufende Trojanerserver) zu finden. Wenn diese Deinen Rechner scannen, haben sie schon Deine echte IP herausgefunden; ihnen dann eine falsche IP zu nennen, ist also ziemlich sinnfrei.

Internetseiten (bzw. deren Server) kennen beim Surfen ebenfalls die IP, von der sie die Anfragen bekommen. Das ist entweder "Deine" IP, oder diejenige des (letzten) Proxy-Servers, wenn Du einen benutzt.

Abgesehen davon, dass Proxykaskaden nicht zwangsläufig die Sicherheit erhöhen (siehe Tyrfing), verhindert der Einsatz von Proxies weder die Installation von Spyware und Dialern etc. (dies wird durch den User "erledigt", bzw. durch zu lasche ActiveX-Einstellungen beim IE) noch die Benutzung von Cookies.

Soll hauptsächlich davor geschützt werden, sind Surfaccounts mit stark eingeschränkten Benutzerrechten (bei Win2000/XP; Linux) der bessere Weg.

Grüße,
Max

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Artie Max Payne „Hi artie, Tyrfing hat weiter unten schon auf Deine Fragen geantwortet. Bis auf...“
Optionen

Hallo Max Payne,

danke für Eure Mühe. Jetzt habe ich es endlich verstanden, warum diese Programme wirklich sinnlos sind (siehe auch Kommentar weiter oben).

Besonders das die Infos auf den Proxy-Servern abgelegt werden, finde ich schon sehr bedenklich. Stellt sich die Frage, welche Absicht die Entwickler dieser Software wirklich verfolgen.

Jetzt werde ich diese Infos mal versuchen, so weit wie mir mit meinem relativen Einsteigerwissen, umzusetzen. Euch danke ich für die Tips.

Für die einzige offene Info (bzgl. Hardwarefirewalls) werde ich mal einen neuen Thread aufmachen. In Kombination zu Tyrfings Argumenten würde mich mal Interessieren, ob so etwas mehr ... oder genauso wenig ... Sinn machen würde.

mfg
Artie

bei Antwort benachrichtigen
InvisibleBot Artie „Hallo Xafford, aha, jetzt habe ich schon zumindest die Grundbegriffe verstanden....“
Optionen

> Unklar ist mir noch, welche Regeln ich für die lokalen Ports ab 1024 -
> 65xxx erstellen soll. Alles blocken außer Remote Ports x + y sowie
> Anwendungen xy + zz?

Da brauchst Du gar nicht großartig herumzutun. Wenn Kerio im Lernmodus ist kommen ja immer 2 Meldungen, wenn ein Programm aufs Internet zugreift:

1: Programm XY versucht auf 127.0.0.1, Port XXXX zuzugreifen. Soll dies erlaubt werden?
Diese Meldung bedeutet nichts weiter, als dass das Programm XY den Port XXXX auf deinem PC öffnen möchte, um darüber zu kommunizieren. (IP 127.0.0.1 ist Localhost, also Dein PC) Es wäre unsinnig, hier eine Regel zu erstellen, in der genau Anwendung, IP und Port festgelegt werden, da sich der lokale Port beim nächsten Aufruf das Programms wahrscheinlich ändert. Also erstellst Du einfach eine Regel für das Programm XY in der Du festlegst, dass die Kommunikation mit 127.0.0.1 erlaubt wird - ohne einen bestimmten Port festzulegen. Dann kann das Programm in Zukunft jeden Port auf Deinem PC zur Kommunikation benutzen.

2: Das Programm XY versucht, über 127.0.0.1, Port XXXX, auf ZZZ.ZZZ.ZZZ.ZZZ, Port 80 zuzugreifen. Soll dies erlaubt werden?
Hier versucht das Programm XY, die eigentliche Kommunikation zu beginnen (in diesem Fall mit einem HTTP-Server). Die Regel die Du hier erstellst, sollte die Remote-IP jedoch nicht beihalten, denn sonst gilt die Regel ausschliesslich für diesen einen Server. Also erlaubst Du dem Programm den Zugriff auf alle IP-Adressen, aber nur mit dem Port 80.
Wenn das Programm ein Browser ist, kannst Du gleichzeitig auch noch den Zugriff auf den Remote Port 443 (https) erlauben - der wird für sichere (verschlüsselte) Verbindungen verwendt.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Tyrfing Artie „Firewall-Rules erstellen ......... @Tyrfing“
Optionen

>>Komischerweise wurde mein PC von diesem Security Check als sicher bezeichnet, obwohl ich einige Ports für die genannten Remote Ports offen gelassen habe, wie ich heute von dir gelernt habe, auch einige zu viel - zumindest nicht eingeschränkt genug. Kann das daran liegen, das Kerio doch einige Grundregeln sowieso beherrscht und automatisch anwendet, wenn Angriffsverdächtige Handlungen ausgeführt werden. Es dürfte wohl eher daran liegen, dass Ports normalerweise zu sind, auch vollkommen ohne Firewall. Genaugenommen macht eine Firewall sie nichtmal zu, sie blockiert nur den Zugang.
Für Ports gibt es zwei Zustände:
1.) Ein Programm hat sich für den Port registriert, das Betirebssystem leitet dann alle Daten, die an diesen Port gesendet werden an das Programm weiter (quasi wie ein Postfach)
-> der Port ist offen
2.) Kein Programm hat sich für den Port registriert. Wenn nun Daten an den Port gesendet werden, verwirft das Betriebssystem alle diese Daten und schickt eine Fehlermeldung zurück
-> Port geschlossen

Aus diesem Grund gehöre ich zu den Leuten, die Personal Firewalls schlichtweg für überflüssig halten, weil man ein Windows-System auch ohne sie sichern kann, indem man einfach alle kritischen (und unnötigen) Programme abdreht
klickmich
Um genau zu sein kann eine Personal Firewall dien System sogar verwundbarer machen, denn sie ist auch nichts weiter als ein Programm mit Internetzugriff. Und da Programme nunmal Fehler haben, könnte der Nächster Blaster/Sasser genau so gut eine Sicherheitslücke in einer Firewall ausnutzen.


Falls du trotzdem der Meinung bist, eine Personal Firewall zu brauchen, solltest du sie nach dem Whitelist-Prinzip konfigurieren: Alles blockieren und dann (wie von Xafford beschrieben) freigeben, was nötig ist


Zu den Anonymisierungs-Programmen hat Max eigentlich schon alles wesentliche geschrieben, zusätzlich solltest du dir aber noch eine eigentlich ganz einfache Frage stellen:
"Wozu brauche ich das?"

bei Antwort benachrichtigen
Artie Tyrfing „ Komischerweise wurde mein PC von diesem Security Check als sicher bezeichnet,...“
Optionen

Hallo tyrfing,

dein "Klick mich" link ist eine Echte Bereicherung in meiner Link-Sammlung und ein sehr guter Tipp für die Zukunft.

Aus Zeitgründen werde ich mich erst mal darauf beschränken, meine Firewall so gut wie möglich einzustellen.
Diesen Aspekt zu untersuchen, ist aber sicher mein nächster Lernausflug.

Was hälst du denn von Hardwarefirewalls?

Auf der verlinkten Seite werden Zone Alarm, Norton, Outpost und Sygate namentlich als nicht zu empfehlen erwähnt.
Dabei macht doch gerade Sygate aufgrund der Einstellungsmöglichkeiten einen guten Eindruck. Natürlich darf man nicht mit einer unkonfiguriereten Sygate (also direkt nach Installation) ins Netz, das ist schon klar... aber sonst.

Durch dein Posting wird mir aber erst richtig klar, das Zone alarm von allen die schlechteste Lösung ist.

Was hälst du von Kerio?....mal abgesehen von deiner sonstigen Firewallmeinung.

Generell werde ich den Link auf jeden Fall so bald wie möglcih mal durcharbeiten und mein Windows entsprechend umstellen. Hatte zufällig gestern erst ein Buch in der Hand "Windows mit Bordmitteln sicher machen" als ich eigentlich ein Buch mit Portlisten u. Firewallregeln suchte. Lächelnd tat ich es abwertend bei seite, ich glaube ich schaue es doch noch mal an....

Vielen Dank an Tyrfing und Xafford für die Anleitungen

mfg
Artie

bei Antwort benachrichtigen
Tyrfing Artie „Firewall-Rules erstellen ......... @Tyrfing“
Optionen

>>Daher bitte noch einmal für PC-Dummies.
Warum sind diese Programme völlig sinnlos. 1.) Man kann die eine IP-Adresse zwar fälschen, aber das ist nicht sinnvoll. Schon der Aufbau einer ganz normalen Verbindung zu einem Webserver läuft nach folgendem Schema:
Rechner A -> Rechner B "Ich möchte eine Verbindung aufbauen"
Rechner B -> Rechner A "Geht klar"
Rechner A -> Rechner B "OK"
Wenn jetzt Rechner A eine falsche "Absenderadresse" für seine Datenpakete nutz, könnte er also noch nicht einmal eine Verbindung aufbauen

2.) Man muss also den Traffic über einen Proxyserver umleiten, dummerweise heißt das, dass alle deine Daten (wenn sie nicht verschlüsselt sind) als Klartext über den Server wandern.
Wenn man eine "Kette" von solchen Servern verwendet, wissen zwar die einzelnen Proxys deine Adresse nicht, aber sie könnten deine Daten nach wie vor mitlesen.

3.) Wie schon gesagt: "Wozu das ganze?"
Deine IP-Adresse gibt ungefähr so viele Informationen raus wie dein Autokennzeichen, mehr als deinen ungefähren Wohnort und deinen Provider kann man nur auf Anfrage beim Provider erfahren. Und der gibt diese Daten nur an Vater Staat(-sanwaltschaft) raus.
Sensible Informationen über die Person vor dem Rechner wird eher die Person selbst rausgeben.


Zum Schutz vor Cookies, Spyware und ähnlichem: einen vernüftigen Browser wie Mozilla, Firefox oder Opera verwenden, Cookies von Drittseiten blockieren und schon ist man viele dieser Probleme los. Natürlich nicht alle, denn wenn Kinder aus Neugierde überall auf OK klicken, nützen die besten Schutzprogramme nichts

bei Antwort benachrichtigen
Artie Tyrfing „ Daher bitte noch einmal für PC-Dummies. Warum sind diese Programme völlig...“
Optionen

Hallo Tyrfing,

Deine Argumentation zu 2) u. 3) sind logisch, nachvollziehbar und somit für mich einleuchtend.

Zu 1 hätte ich noch gesagt, das Rechner B den Rechner A unter eigenen Namen an Rechner C anmeldet. C also nicht die Identität von A kennt und denkt er gehöre zu B.

Besonders dein Argument zu 2) zeigt mir jedoch die Sinnlosigkeit dieses Unterfangens.

So langsam verstehe ich das und werde versuchen diese Infos entsprechend umzusetzen.

Meine Kinder habe ich eh dazu verdammt mit Mozilla (wg. des einfachen E-mail Clienten) und sonst höchstens noch mit Opera zu surfen. Active X eh deaktivert und den Dialer Blocker von Conrad dazwischengeschaltet.

Na ja, vielleicht denke ich manchmal auch zu sehr an Fort Knox.
Aber Kinder denken da halt anders, auf der anderen Seite sollen diese aber das Internet ruhig nutzen lernen, gibt ja auch sehr viele positive Aspekte dazu.

Danke für Eure Infos.
Mfg
Artie

bei Antwort benachrichtigen