Hallo zusammen!
Nach den vielen Panikmeldungen plagt mich eine Frage:
Viele Leute haben mittlerweile einen DSL-Router (Standardmodell xyz) zu Hause, da diese Dinger in letzter Zeit relativ günstig zu haben sind.
Nehmen wir mal an, die Einrichtung eines solchen Routers (diesmal kein W-LAN) hat gekplappt und alles läuft so weit, ein paar kleine Ports sind einwärts für Spiele und den e-mule geöffnet, nach draussen sind standardmäßig alle Verbindungen erlaubt. :-)
Wie sicher ist man mit so einem Teil vor den ganzen Würmern, Viren, Trojanern und all dem ganzen Dreck im Netz, mal vorausgesetzt auf dem Client-PC sind die Voraussetzung im Sinne von Updates etc. p. p. geschaffen. Kann da generell überhaaupt irgendwas rein?! Ist ein ggf. vorhandenes Netzwerk geschützt?!
Als Stichwörter seien hier NAT, UPnP, usw. genannt!
Sollte man sich dennoch was eingefangen haben, z. B. nen Trojaner, kann dieser dann nach draussen "telefonieren"!?
Wäre nett, wenn sich mal einige nette Profis zum Thema auslassen würden :-)
Gruß,
AnTi
PS:
Es soll hier nicht um "wie konfiguriere ich meine Router für E-Mule" gehen, sondern um die Sicherheitsaspekte bezüglich der ganzen Würmer...s. o.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Nun ja, also ein Router hilft schon etwas. Siehe hier:
DSL-Router im Sicherheitstest
Vor NETZWÜRMERN wie Blaster und Sasser ist ein gewisser Schutz gegeben, vorausgesetzt, man liest das Handbuch.
Vor Viren, Mailwürmern und Trojaner-Servern schützt der Router natürlich nicht. Wie soll er, der er ja bestenfalls Pakete auf ihre Plausibilität untersucht, nicht aber den Inhalt der Pakete, verhindern, dass du dir Malware herunterlädtst und installierst? Eben.
Nur Verbindungsversuche von außen zu den bereits installierten unerwünschten Diensten oder mit viel Glück den Verbindungsaufbau der Malware nach draußen könnte ein Router erschweren.
Spruch der Stunde:
NAT ist kein Schutz vor Routing. NAT ist kein Security-Feature, NAT ist für NAT. Wer Zugriffe verhindern will, soll sie mit geeigneten Filterregeln erschlagen. [Oliver Schad in dcsm]
boa,
schrei doch nicht so rum
;~))
Genau,
trotzdem kann man bei Verwendung eines LAN-Hardware-Routers (auch WLAN ist LAN) von einer relativ sehr guten Sicherheit sprechen.
Beachten muss man, dass es eine 100%ige Sicherheit nie gibt.
Eine internetseitige Initiierung ist in der Regel nicht möglich, außer bei den wenigen "einwärts" für Spiele, emule ... geöffneten Ports, da eine generelle einwärtige Ziel-LAN-IP nicht definiert ist.
NAT bzw. Mascerading (und UPnP) wirkt sich zusätzlich sicherheitsrelevant positiv aus:
Der Router besitzt im Online-Fall eine Internet-Ip und eine LAN-IP, durch Nat wird auswärtsmäßig die Quell-Lan-Ip+Portx durch die Internet-Router-Ip+Porty ausgetauscht.
Umgekehrt umgekehrt:
bei der Antwort wird einwärts die Ziel-Internet-Router-Ip+Porty durch die Lan-Ip+Portx ausgetauscht. Somit wird eine Zielverfolgung erschwert.
Der Angriff vom LAN wird durch einen LAN-Router nicht verhindert. Ein im LAN befindlicher Trojaner kann selbst mit NAT nach draußen telefonieren, da ja eine Initiierung von innen in jedem Fall möglich ist.
Der innere LAN-"Feind" muss in jedem Fall auch bei einem LAN-Router bekämpft werden.
Also Virenschutz und Updatezustand bei jedem PC möglichst ständig aktualisieren!
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
Was meinst DU im Zusammenhang mit Router mit der Nennung von UPnP? Falls der Router UPnP unterstützen sollte und dieses wäre nicht zu deaktivieren, dann gehört er auf den Müll. ich gehe einmal daon aus, daß Du meintest, daß der Router UPnP aus dem Netz blocken soll.
Ich ergehe mich mal wieder in ein paar theoretischen Gedanken:
Netzwerksicherheit ist vielschichtig, gegen einige Probleme kann ein Router helfen, gegen andere nicht. Man muß immer um die grenzen eines Produktes wissen. Grundsätzlich macht ein Router nichts viel außer Routen, er ist an sich kein Sicherheitsgewinn. NAT hat zwar den angenehmen Nebeneffekt, daß ein System im Normalfall nicht ohne Eigeninitiative kontaktiert werden kann, aber auch dies hat seine Grenzen.
Ein Router mit Firewall kann Verbindungen filtern, wenn man weiß, was man filtern muß, er kann aber keine Inhalte gefilterter Pakete weder nach Innen oder nach Außen prüfen. Wenn Du deinen Router komplett dicht macht und nur Port 80 ausgehend zulässt, eingehend gar ncihts, so kann immer noch Schadsoftware von Innen nach Außen über HTTP tunneln (siehe Phatbot, da HTTPS), oder von einem korrumpierten Server Exploitcode über HTTP gesendet werden. Auch ein Proxy kann dies kaum verhindern, von Innen nach Außen können die vom Schädling gesendeten Daten sauber in XML verpackt sein und wären für den Proxy saubere Protokolldaten (selbst erlebt). Exploitcode von Außen nach Innen kann nur von einem Proxy gefiltert werden, wenn er diesen Code genau erkennt, also nur in Zusammenarbeit mit Zusatz-Filtersoftware.
Viele Leute, die Probleme mit ihren Routern und den allseits beliebten Tauschbörsen haben gehen den einfachen Weg und schalten DMZ ein. Der Sicherheitsgewinn durch einen Router mit NAT ist hier gleich Null, da es bei billigen Geräten damit identisch ist, den Rechner direkt an das Internet anzuschließen. Nur teure Router setzen eine DMZ richtig und im Sinne des Begriffes richtig um.
Im Übrigen kann der Router selbst zu einem Problem werden. Einige ältere Router bieten die Konfiguration auch auf dem WAN-Interface an, oftmals mit Standardpasswort. Cisco hatte sogar mal den Mist gebaut ein Standardpasswort fest einzubauen, welches immer gültig blieb. Oftmals besitzen die Router selbst auch Schwachstellen, welche zum Angriffsziel werden können. Gerade die von Cisco glänzen ob ihrer Verbreitung damit, daß viele Lücken sich über fertige Programme ausnutzen lassen.
Einige Router bieten auf dem WAN-Interface auch Proxydienste an ohne Authentifizierung. Jeder, der was übles vor hat, wird sich über so etwas freuen um dich als Anonymizer zu mißbrauchen.
Das von Dir erwähnte UPnP ist auf manchen älteren Routern auch per default aktiviert und ist eine zusätzliche Gefahrenquelle, z.B. Phatbot nutzt auch UPnP zur Verbreitung, seine Lücken sind altbekannt und allernorts wird vor der Verwendung von UPnP gewarnt, was jeder Admin eigentlich wissen sollte. Zwar wird ein Wurm wohl kaum auf einem Router laufen können aufgrund seiner spezifischen Konfiguration (es sei denn jemand macht sich sehr viel Mühe) aber als Zwischenstation ins WAN könnte er ausreichen.
Wenn man in ein Firmenumfeld schaut, so können Router und Managed Switches schon ein großer Sicherheitsgewinn sein, wenn man feste Routingtabellen ACLs, MAC-Filterung, IPSec-Tunnels, statische ARP-Tabellen einsetzt, im Privatumfeld ist dies jedoch selten Verfügbar und von normalen Anwendern nicht konfigurierbar.
Jedes falsch konfigurierte Sicherheitsfeature KANN gefährlicher sein, als kein Sicherheitsfeature in bestimmten Fällen. Man muß immer wissen, was eine Lösung zu leisten Imstande ist und was nicht.
Letztendlich aber noch eines: Ein Router an einer DSL-Leitung, wenn er nicht komplett falsch konfiguriert ist verringert das Risiko bei sich automatisch verbreitenden Würmern derzeit um einiges.
Wenn du wissen willst, ob dein Router "sicher" konfiguriert ist, machst du einfach einen Sicherheitstest bei gängigen Sicherheits-Software-Herstellern: z.B. bei Symantec hier gehts zum Test. Übrigens wird da schon "sicher" angezeigt, wenn nur die in WinXP integrierte FW eingeschaltet ist. Solange du also keine Schadsoftware auf deinem PC hast, ist das schon recht gut. Ein Router ohne zusätzlichen Virenscanner macht meiner Meinung nach kein Sinn. Es sei denn, du willst wie ein PC-Mönch leben und öffnest überhaupt keine Mailanhänge mehr. Über sicherer Netzwerke wurden und werden Bücher geschrieben. Die werden einem zum Teil für ein paar Euro hinterher geworfen. So ein Buch kann man ja dann nach und nach durcharbeiten.
So würde ich es als Netzwerklaie machen. Der sichereste PC ist immer noch das auf CD gebrannte Backup.
nun gut, alles was Recht ist:
es war einmal ein Internetbenutzer,
wie wär's, ich möchte, dass andere Lan-User auch Internet hamm.
Kein Problen sprach der Systemverantwortliche, wir bauen einfach einen Router ein.
Naja, sprach ein grübeliger Client, der Provider kann ja jederzeit nachzählen
und berechnen, wieviel User online sind.
Mmmm... grübel grübel, erfinden wir mal Nat und einen Proxyserver,
damit wird garantiert,
dass nur eine Ip und somit für den Provider ein Benutzer am Internet teilnimmt.
NAT is' vorteilhaft, manchmal und vorzeitig wird es als Mascerading bezeichnet.
Ein Nat-Router, sprach der LAN-Client, ist nicht schlecht, weil:
1. nur einer die Rechnung bezahlen braucht.
2. es nur funktioniert, wenn ein Client einleitend auf das Internet zugreift.
3. Umgekehrt, wenn jemand auf eine LAN-Ip einleitend draufzugreifen will,
funktioniert NAT nicht.
Gruß Teletom
PS: Bevor ich es vergesse, alle Internetrouter sind NAT- bzw. Mascerading- Router.
Kein Kommentar, also niemand zieht sich den Schuh an. Das beweist, dass die Kommunikationskultur bei Nickles enorm zugenommen hat.
Ich entschuldige mich für die etwas schroffe Überschrift.
Aber xafford ist offensichtlich nicht beleidigt, habe ich auch nicht anders angenommen. Mit Blödsinn habe ich mich auch selbst gemeint, vor allem dass man sich von überholten fälschlichen Meinungen trennen sollte.
Die allerbesten Grüße und nichts für Ungut.
Teletom
Hallo zusammen!
Hatte leider diesen Thread aus den Augen verloren und ihn entsprechend nicht verfolgt!
Danke für die ausführlichen und dennoch relativ leicht verständlchen Hinweise zum Thema Router und Sicherheit.
Mit der Nennung von UPnP meinte ich nichts bestimmtes, war also eher ne Frage ob´s da relevante Sicherheitsaspekte gibt. Ich selber hab´s seit längerem schon deaktiviert obwohl ich die Funktionen von UPnP nicht wirklich verstehe :-)
(Hat UPnP auch nützliche Funktionen??)
Also, bis die Tage,
AnTi
UPnP könnte an sich wirklich nützlich sein, daß es zu einer Art vernetzung von Netzwerkgeräten innerhalb des Netzes gedacht war, so eine Art "Konfigurationa-Unternetz". Leider sind aber die Löcher größer als der Nutzen geworden ;o)