Firewall oder nicht?

    Zitat von Snake

    hab mal ne frage:

    was bringt mir ne routerfirewall, wenn programme wie skype, die umgehen können? :roll:


    Das ist wie mit Ruccola und Unkraut:

    Böses Unkraut wie Sasser wird geblockt, während gutes Unkraut wie Skye, was man ja ggf. absichtlich laufen hat, durch darf.

    Vollkommen richtig:
    Eine Router-Firewall ist nur eine Schutz vor unangemeldeten Gästen von außen [Pakete, die keine Antwort auf eine Anfrage von innen darstellen, werden nicht an einen lokalen computer weitergeleitet, an welchen auch...], nicht aber vor Schädlingen und sonstigen unerwünschten "Nach-Hause-Telephonierern".

    heute mal metaphorisch,
    Bazon

    Zitat von Bazon Bloch


    Das ist wie mit Ruccola und Unkraut:

    Böses Unkraut wie Sasser wird geblockt, während gutes Unkraut wie Skye, was man ja ggf. absichtlich laufen hat, durch darf.

    Vollkommen richtig:
    Eine Router-Firewall ist nur eine Schutz vor unangemeldeten Gästen von außen [Pakete, die keine Antwort auf eine Anfrage von innen darstellen, werden nicht an einen lokalen computer weitergeleitet, an welchen auch...], nicht aber vor Schädlingen und sonstigen unerwünschten "Nach-Hause-Telephonierern".

    heute mal metaphorisch,
    Bazon

    Wie definiert man "gute" und "böse" software? Woher weiß die Firewall, ob ein Programm Daten versenden/empfangen darf oder nicht?
    Ich dachte immer meine Routerfirewall blockiert erst einmal _alles_. Dann muss ich selbst Ausnahmen definieren, die Pakete senden/empfangen dürfen (über den bestimmten Ports). Aber für z.B. Skype habe ich keine Ausnahme definiert. Es funktioniert dennoch... Diese Technologie könnte doch genauso gut Malware benutzen um eine Routerfirewall zu umgehen.
    Ich glaub bei Linuxbasierenden Firewalls sieht das etwas anders aus. Die sind auch bei weitem besser konfigurierbar. Aber das Beispiel mit Skype finde ich schon paradox. Deswegen habe ich auch die Frage gestellt, was für ein Nutzen dann eine Routerfirewall überhaupt noch hat.

    Eine Routerfirewall kann nicht zwischen guten und schlechtem Programm unterscheiden (darf und soll sie auch nicht). Ein normaler Router blockiert erstmal jeden Verbindungsaufbau von außen (außer du denfiniert best. Regeln -> portfowarding); sämtliche Verbindungen können von innen aus aufgebaut werden (außer du verbietest es, indem du Ports blockierst).

    Beispiele:
    Sasser:
    ein infizierter PC will eine Verbindung zu dir aufbauen -> Verbindungsaufbau von außen -> geblockt

    eMule:
    andere können wollen eine Verbindung zu dir aufbauen -> Verbindung von außen -> wird blockiert (low ID)
    du baust Verbindung zu anderen auf -> Router erlaub dies -> du kannst von anderen downloaden, sie von dir auch

    Skype:
    Skype baut eine Verbindung zu anderen Skype-PCs auf -> Verbindung von innen nach außen, Router erlaub dies -> Skype bleibt per keep-alives mit anderen verbunden, du kannst telefonieren und angerufen werden (aber du kannst nicht als "Node" (Vermittler/Knoten) (vgl. low ID) fungieren)

    Zitat von Snake


    Wie definiert man "gute" und "böse" software?

    Ja, ich war wohl zu metaphorisch und zu sparsam mit ":wink:"s, aber Master X hat ja schon genau das geschrieben, was ich sagen wollte:

    Eine Routerfirewall läßt grundsätzlich alles von innen nach außen durch, von außen nach innnen aber nur Antworten auf Anfragen, die von innen gestellt wurden.
    (Es sei denn eventuelle Portfreigaben)

    D.h.: In diesem Sinne ist alles 'gut', was vom eigenen Computer ausgeht, und alles 'böse', was unverlangt zugesendet wird.

    Eine Routerfirewall allein ist also nur sicher, wenn man sich selber sicher ist, das man ein sauberes System hat. Und das ist eigentlich gar nicht sooo schwer:
    Einfach keine Software aus dubiosen Quellen installieren!
    Wenn doch, sollte man vielleicht doch mit einer Personal Firewall zusätzlich liebäugeln...:wink:

    Gruß,
    Bazon

    Zitat von Master X

    Eine Routerfirewall kann nicht zwischen guten und schlechtem Programm unterscheiden (darf und soll sie auch nicht). Ein normaler Router blockiert erstmal jeden Verbindungsaufbau von außen (außer du denfiniert best. Regeln -> portfowarding); sämtliche Verbindungen können von innen aus aufgebaut werden (außer du verbietest es, indem du Ports blockierst).

    Beispiele:
    Sasser:
    ein infizierter PC will eine Verbindung zu dir aufbauen -> Verbindungsaufbau von außen -> geblockt

    eMule:
    andere können wollen eine Verbindung zu dir aufbauen -> Verbindung von außen -> wird blockiert (low ID)
    du baust Verbindung zu anderen auf -> Router erlaub dies -> du kannst von anderen downloaden, sie von dir auch

    Skype:
    Skype baut eine Verbindung zu anderen Skype-PCs auf -> Verbindung von innen nach außen, Router erlaub dies -> Skype bleibt per keep-alives mit anderen verbunden, du kannst telefonieren und angerufen werden (aber du kannst nicht als "Node" (Vermittler/Knoten) (vgl. low ID) fungieren)

    Demnach könnte also ein Trojaner wie z.B. ein "guter" alter Sub7 eine Verbindung zum Client aufbauen, ohne dass es der infizierte Benutzer merkt, oder nicht?
    Der "Server" des Trojaners, welcher sich auf den PC mit Routerfirewall befindet sendet Pakete und wird damit als "gut" klasifiert und nicht geblockt. Dann kann auch der Client diesen Trojaner benutzen um Schaden anzurichten... :roll:
    Ist es nicht möglich einfach alles blockieren zu lassen und für jedes Programm extra eine Regel zu definieren?

    Snake

    eine Router-Firewall ist eine Paket- bzw. Port-basierte Geschichte. Was Du haben möchtest ist eine Firewall auf Applikationsebene. Das bekommst Du mit einer Personal Firewall pro PC hin.

    Der Router kann leider nicht anhand der Applikation, die ein IP-Paket verursacht, filtern... Es gibt zwar solche Geräte, diese sind aber sehr investitionsbedürftig, um es mal so auszudrücken...

    Zitat von Snake


    Demnach könnte also ein Trojaner wie z.B. ein "guter" alter Sub7 eine Verbindung zum Client aufbauen, ohne dass es der infizierte Benutzer merkt, oder nicht?
    Der "Server" des Trojaners, welcher sich auf den PC mit Routerfirewall befindet sendet Pakete und wird damit als "gut" klasifiert und nicht geblockt. Dann kann auch der Client diesen Trojaner benutzen um Schaden anzurichten... :roll:

    Sub7 funkt auf einem bestimmten Port. Wenn Du eine Regel auf dem Router definierst, in der diesem Port nach draussen der Zugriff gewährt wird, dann nimmt Dein Client Verbindung auf. Ansonsten nicht.

    Es ist also nicht sinnvoll, alles, was der PC nach draussen anfrägt, auch tatsächlich durch zu lassen ;)

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

    aber ein trojaner kann doch auch einen port benutzen, den ein anderes programm benutzt. wenn dieser geöffnet ist, kann dieser eine verbindung herstellen...

    deswegen stelle ich gerade die funktion einer routerfirewall in frage. ich selbst benutze zwar auch eine und unter windows noch eine personal firewall zusätzlich, jedoch frage ich mich was das eigentlich bringt...
    gerade die so "sichere" routerfirewall sollte doch zunächst alle ports dicht machen, wenn ich es nicht anders sage, oder nicht?
    und wenn ich z.b. den firefox starte, wird der benötigte port geöffnet (port80?) und kann dieser sowohl daten empfangen, als auch senden. wo ist denn da bitte die sicherheit? ich habe dem router nicht gesagt, dass er den port öffnen soll, sondern das programm hat es ihm gesagt. wo bleibt da die kontrolle? :roll:

    Hm,

    Snake, das ist eben so "by design"

    Du kannst Deinem Router bestimmte Regeln mitgeben, (ich wiederhole mich) aber er sieht nicht, welche Anwendung die Anfrage über die Ports macht. Das kannst Du mit Deiner PF abwickeln.

    Der Router steht zwischen Deinem PC und dem Internt. Folglich fängt er schätzungsweise 98% der Angtriffe von aussen ab. Missbrauch von innen kann man nur entegentreten mit einem "sauberen" System und ggf,. entsprechenden Vorsichtsmassnahmen wie Nutzen einer PF, eines Virenscanners (regelmässiges Scannen der kompletten Kiste sollte auch gemacht werden), regelmässiges Scannen des Systems mit Adware-Scannern...

    Vielleicht reden wir ja auch aneinander vorbei...

    Zitat von Snake

    gerade die so "sichere" routerfirewall sollte doch zunächst alle ports dicht machen, wenn ich es nicht anders sage, oder nicht?


    Nee, die Ports sind immer offen, gemäß dem Regelwerk, das Du einmal konfiguriert hast...

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

    Zitat von CharlysTante


    Nee, die Ports sind immer offen, gemäß dem Regelwerk, das Du einmal konfiguriert hast...

    Die Ports sind AFAIK von innen standardmäßig offen, von außen aber standardmäßig geschlossen. Portöffnung bedeutet immer, dass man einem Port eine IP im internen Netzwerk zuordnet, an diese werden dann Anfragen von außen weitergeleitet.

    Was mich tatsächlich wundert ist, dass ich noch nichts von Viren mitbekommen habe, die sich auf häufig geöffnete Ports (z.B. 2234) spezialisiert haben...

    Gruß,
    Bazon

    @Bazon: jep, meinte ja von innen ;) bzw. in die Richtung, die man vorher im Regelwerk für bestimmte Prots oder für alle Ports definiert hat...

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

    ich glaub, wir kommen uns näher ;)
    also blockt der router zunächst nur alle anfragen von außen ab, es sei denn, ich habe einen bestimmten port geöffnet, durch den daten kommen dürfen. dieser ist jedoch ist doch nur solange offen, wie auch ein programm diesen benutzt. benutzt kein programm von meinen pc diesen port, so sollte dieser geschlossen sein, oder?
    und alles was "von innen nach außen" sendet wird erlaubt, es sei denn, ich habe eine pf, die dieses verbietet. stimmts so? [Blockierte Grafik: http://www.clicksmilies.com/s0105/fragend/confused-smiley-004.gif]

    Nicht ganz. Stell Dir den Port wie einen Grenzübergang vor der EU-Grenzöffnung vor.
    Alles, was von Holland nach Deutschland reinkommt, wird kontrolliert (muß an die Schranke, wird geblockt, damit der interne Hanfanbau besser läuft ;) ).

    Was aber von Deutschland nach Holland geht, das wurde nicht überprüft. Natürlich alles von den deutschen Zollbeamten, bei den holländischen andersherum.
    In diesem Beispiel ist Dein Router dann der deutsche Zollbeamte, der Port ist der gesamte Grenzübergang (also beide Richtungen).
    Nur auf einer Spur wird Dein Port geschlossen, die andere Richtung bleibt offen. Dabei spielt es kenie Rolle, ob die Spur genutzt wird, sie ist offen.

    OT: Das waren noch Zeiten, da konnten Holländer und Deutsch miteinanderauskommen und haben die Reibereien beim Fußball vergessen. Jetzt schmunzeln beide nur noch übereinandere und die Nationalmannschaften ;)

    Apropos, Finale Holland Deutschland wäre nicht schlecht, gell. Ergebnis gerne wie früher ;) aber hauptsache man feiert danach gemeinsam

    Genug OT :oops:

    Zitat von Snake

    ich glaub, wir kommen uns näher ;)
    also blockt der router zunächst nur alle anfragen von außen ab, es sei denn, ich habe einen bestimmten port geöffnet, durch den daten kommen dürfen.

    Oder: Anfragen von außen, die eine Antwort von innen darstellen dürfen auch rein (Im Zollvergleich von Fraggle: Jemand mit Visum durch Einladung :wink:).
    Konkretes Beispiel: Internet surfen!
    Alle seiten werden auch ohne jegliche Portfreigabe angezeigt.
    Wenn bei meinem Router ein Paket von http://www.firefox-browser.de/forum ankommt, dann weiß der Router, dass ich das bestellt habe (der Router hat diese Bestellung ja bearbeitet...) und leitet es an meinen Computer weiter (auf dem Paket steht ja nicht nur http://firefox-browser.de/forum drauf, sondern noch genauere Sachen...).
    Kommt jedoch ein Paket von http://www.b%c3%b6se-hackerseite.de an, obwohl ich da gar nicht surfe, dann wird es vom Router abgewiesen, weil es ja nicht bestellt wurde.


    Zitat von Snake

    idieser ist jedoch ist doch nur solange offen, wie auch ein programm diesen benutzt. benutzt kein programm von meinen pc diesen port, so sollte dieser geschlossen sein, oder?


    Nee, der Port ist immer offen wenn Du ihn freigibst, wie Fraggle schon geschrieben hat. Die Frage ist, ob auf Deinem Computer ein Programm/Service läuft, der auf diesen Port reagiert.

    Zitat von snake

    und alles was "von innen nach außen" sendet wird erlaubt, es sei denn, ich habe eine pf, die dieses verbietet. stimmts so? [Blockierte Grafik: http://www.clicksmilies.com/s0105/fragend/…-smiley-004.gif]

    Das stimmt so weit ich weiß...

    Gruß,
    Bazon

    hm, ich versuch mich grad selbst fortzubilden^^
    hab einfach mal nach einer Firewall FAQ gesucht ;)
    und ein wenig lektüre zu IPCop lässt sich auch bei Wikipedia finden. gefällt mir schon die idee, aus nem rechner nen router mit firewall auf linuxbasis zu machen, aber das ist erstens viel zu umständlich, zweitens zu unkomfortabel und drittens teuerer vom stromverbauch her.
    unter linux ist sowieso alles besser, da benutzt man iptables, z.b. mit Firestarter und gut ist. kann man wirklich gut einstellen und die routerfirewall blockt halt alles von außen. was ich an den windowsfirewalls nicht mag ist einfach die schlechte konfiguration und der zu hohe ressourcenverbrauch. unter windows habe ich zwar im moment die kerio drauf, aber würde gerne nur die routerfirewall benutzen, wenn es möglich wäre sie sicherer einzustellen in bezug auf ausgehende pakete.

    Snake:

    Wenn Du basteln willst, dann empfehle ich Dir in jedem Fall eine Linux-basierte Firewall. Vielleicht von Astaro? kostenlos für den privaten Gebrauch... PC aufmachen, zweite Netzwerkkarte einbauen, zumachen, von CD installieren, per Browser konfigurieren - fertig.

    Wegen dem erhöhten Strombedarf ein ganz anderer Tipp: ein WLAN-Router mit integriertem DSL-Modem und Firewall tuts auch. Musst Dich halt mal durch die Tests schlagen, um ein gutes Modell auszusuchen. ;)

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage

    Das von innen alles raus darf, ist doch Ok.

    Man muss eben nur darauf achten, das nichts schädliches auf dem Rechner ist, was nach außen wollen könnte.

    Vor allem haben z.B. aktuelle Trojaner (mit welcher Firewall auch immer) keine wirklichen Probleme.

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

    Zitat von captain chaos

    ...und gegen diese Trojaner hilft ein aktueller Virenwächter. :)

    ... nur wenn derjenige, der sie in Umlauf bringt keine Ahnung von der Matierie hat :)

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!