Ist Dein Rechner sicher?

[GooRoo]

@Frank

Naja, die Informationen, die du da ausgibst sind ja nicht durch einen offenen Port, Exploit oder sonst ein Sicherheits-Risiko durch einen Server Dienst etc. entstanden, sondern einfach Daten, die vom Browser an den Webserver übermittelt werden.

Wenn der Webserver die IP nicht kennen würde, wüsste er auch nicht an wen er die Antwort auf den an ihn gerichteten Request schicken sollte. So funktioniert TCP/IP nun mal

Und die Browserart wird nur zu Statistikzwecken gespeichert und ist in jeder Webserver Statistik zu finden.

Wirklich bedenklich finde ich die Daten nicht

Es grüßt der
GooRoo

[mwannema]

da muss ich gooroo recht geben.

erst wenn ihr z.b. daten auf C oder D anschauen, offene ports richtig sehen, oder sogar telnet auf eine kiste machen könnt dann ist was im argen. ... eventuell auch wenn ich von windows ND meldungen bekomme.

wer will kann mal mit einem "guten" scanner auf meine addresse losgehen. und das ergebnis betrachten/posten.

www.cotewa.de

das ist nen www und emstp ( sowie vpn und ftp ) server der an einem DSL hängt. dank ein wenig geschick und technik kann man nicht mal mehr ports scannen da der scanner die ip als "down" erkennen sollte. wenn ihr eure PFW ( personal firewall ) ebenso konfigurieren könnt, seit ihr ganz aussen vor

wer fragen zum thema hat oder infos braucht ( eventuell auch konfigs oder software ) der kann sich gerne an mich OF oder hier om forum wenden

grüsse
manuel

=> wer ganz sicher gehen will legt sich eine hardware firewall zu z.b. cisco pix 501. da könnt ihr direkt DSL mit machen ( DSL wird dann schneller als mit rechner ! ) und bekomt sogar von cisco noch ne hand voll features dazu die sehr interessant sind. kosten hier etwa für eine gebraucht pix 250 bis 300 ? eine neu kostet ca. 450 - 750 ? je nach dem was ihr an funktionen ( DES / 3DES / WebSende und so ) braucht.

=> auch hier gilt wieder wer fragen oder so hat kann sich gerne an mich wenden.

[PSEUDO]

wenn ihr eure PFW ( personal firewall ) ebenso konfigurieren könnt, seit ihr ganz aussen vor

wer fragen zum thema hat oder infos braucht ( eventuell auch konfigs oder software ) der kann sich gerne an mich OF oder hier om forum wenden

Jup, hätte da mal Fragen:
1. Was für ne Personal Firewall benutzt Du ?
2. Wie kann ich die konfigurieren, dass nicht freigegebene Ports "stealth" sind. (Ist glaube ich das, was Du mit IP ist down gemeint hast.)
3. Kann man das auch mit den Linux Firewall machen ?

Habe da leider noch nicht so ne riesen Erfahrung.

[GooRoo]

Das Zauberwort heisst "ICMP Echo Reply Outbound" Lustiges Wort, hmm?

Damit ist nichts anderes als die Antwort auf einen Ping gemeint. Wenn du diesen ECMP Reply via Fire Wall abfängst, ist dein Rechner nach aussen nicht sichtbar, also die IP nicht connectable.

Wenn also ein Script Kiddie seinen tollen Scanner an dir ausprobieren will, dann wird es nicht mal feststellen können, ob deine IP aktiv ist, geschweige denn ob du offene Ports hast


Hier ist was zu lesen! Sehr schön einfach gehalten!

Ich selbst nutze die Tiny Personal Firewall. Zu Linux kann ich dir leider nichts sagen, aber es gibt genug hier die können!

Grüße
GooRoo

[mwannema]

@ PSEUDO

1. Was für ne Personal Firewall benutzt Du ?

=> in meinem fall habe ich einen router der verschiedene features unterbringt. zonealarm sollte dies aber auch beherschen.
dazu gehört unter anderem TCP Intercept und CBAC ( beides cisco features ) welche auf einen scan nicht antworten sondern nur auf einen echten service request.

2. Wie kann ich die konfigurieren, dass nicht freigegebene Ports "stealth" sind. (Ist glaube ich das, was Du mit IP ist down gemeint hast.)

=> das hängt wiederum ganz von deiner firewall ab die du hast.

3. Kann man das auch mit den Linux Firewall machen ?

mit entsprechenden linux firewalls ist dies auf jeden fall möglich. u.a. auch mit der evaluierung von SUSE im aktuellen release. wie das aber genau in linux konfiguriert werden muss kann ich nicht sagen da ich kein linux freak bin, jedoch kann ich dir ein paar tipps zur generellen gestaltung einer FW geben.


@ GooRoo

in meinem fall kommt kein ping auf die seite zurück, da ich ICMP komplett abgeschaltet habe. somit kann ich gewährleisten das niemand meine seite verwendet um einem DIDOS ( distributed ICMP DOS ) angriff zu starten. das ist zwar eher selten, jedoch gesteht die möglichkeit grundsätzlich. dies wird erreicht in dem man dem router/rechner jede menge requests schickt und eine andere zieladresse angibt. die destination kann dadurch derart penetriert werden so das sie abschmiert.

wisst ihr was ich meine ? ... sonst linke ich noch was drauf.

ABER was machst du wenn dein script kiddie auf 80, 21 oder scannt und nicht auf ICMP ? dann antwortet die seite immernoch , die meisten zumindest. und dieses feature nennt sich dann CBAC ( context based access control ). sprich der router macht eine halbe session mit den client auf und nimmt daten entgegen. danach fragt der router beim client an und lässt sich die verbindung bestätigen. erst danach wird der port vom router zum server freigschaltet und somit die webseite sichtbar. => deswegen siehst du auch keinen offenen port 80 ( geht auch mit anderen ports ) da bei einem scan nur geprüft wird ob eine response kommt, und nicht ob die seite dahinter direkt sichtbar ist.

aber sonst passt das schon.

[mwannema]

wichtig ist vielleicht noch zu erwähnen, das unterschiedliche hersteller unterschiedliche bezeichnungen für ihre features haben.

eventuell sollten wird uns bei einer solchen diskussion auf einheitliche bezeichnungen einigen da wir sonst u.u. aneinander vorbeireden.

gruss
wanne

[PSEUDO]

Das Zauberwort heisst "ICMP Echo Reply Outbound"

Ah so darüber wird das gemacht... Habe das Wort schonmal benutzt als ich in VB einen Ping programmiert habe....

Haben dann nicht auch andere Programme, Probleme damit eine Verbindung mit Dir aufzubauen ?
Oder kann man so etwas konfigurieren, dass die Firewall den Connect durchlässt, wenn vorher eine Connectanfrage von meinem Pc an die Adresse ging ?

War die Tiny Personal Firewall nicht mal Freeware ?
Naja, warum auch nicht Geld dafür verlangen...
Habe schon ein paar mal davon gehört, aber bissher nie ausprobiert.

Wegen Linux, habe da eben noch nen alten 266MHz rumstehen, der für so Sachen eigentlich super wäre.
Dachte mir aber bissher, das es eventuell nicht sehr geschickt ist, mein Analogmodem an den Linux PC zu hängen, und dann über diesen Linux PC einzuwählen. (Wegen der automatischen Verbindungstrennung)

[mwannema]

hey pseudo,

ne das funktioniert schon. siehst du ja auch wenn du www.cotewa.de oder ftp.cotewa.de eingibst.

da dein client auf die anfrage deines routers "richtig" antwortet kannst du ja auch gleich die seite ansehen.

zeitlich fällt dies jedoch kaum auf, da es sich nur einige wenige pakete handelt die hierfür ausgetauscht werden müssen.

andere programme wie IE oder Netscape macht ja nicht erst einen ping auf die seite und ruft sie dann auf, sondern sendet direkt den request an deine domäne um eine bestimmte seite zu bekommen. daher stellt es kein problem dar.

wenn du allerdings eine applikation hast die über ICMP versucht eine verbindung aufzubauen hast du recht mit der annahme das es dann keine verbindung geben wird. => da keine ICMP anfragen beantwortet werden.

anderes beispiel :

mache einen telnet auf eine seite und du wirst meistens einen login sehen. hier nicht. ok ich könnte telnet sperren. brauche ich gar nicht, da der router erkennt das du kein authorisierter benutzer bist und deswegen gar keinen login anzeigt ( AAA Server auf IP adressbasis ). wenn du allerdings ein telnet auf port 25 ( smtp ) machst bekommst du einen login vom exchange server der von dir expliziete emailinformationen erwartet. wenn du dann versuchst etwas einzugeben wird die verbindung sofort getrennt, da der router erkennt das es sich in diesem fall nicht um eine email handelt sondern um eine "telnet" verbindung.

änlich verhält es sich dann auch beim http (port 80). schaue die seite an und mache einen scan aus dem IE heraus. und siehe da, eventuell kannst du ( wenn den rechner schnell genug ist ) dann noch den offenen port 80 sehen.

du musst dabei berücksichtigen das es innerhalb einer session auch noch sogenannten sequenze numbers der TCP pakete gibt. und wenn du lange genug wartest ist die nummern sequenz eine andere und somit auch die session für diesesn aufruf nicht mehr gültig. es handelt sich hierbei um millisekunden. sollte also schwierig werden das zu schaffen. das einzige was du machen kannst ist die sequenze numbers im TCP paket zu fälschen, jedoch müsstest du diese dann im voraus berechnen sowie die startnummer haben, welche aber ebenfalls gefaket werden kann, da du ja eine session aufbaust und nicht der webserver zu dir.

irgendwo habe ich mal einen scanner im netz gesehen der diese funktion möglich macht nicht nur den port zu scannen, sondern einen echte session aufzmachen und dann den scann zu starten.

allerdings ist dies seit anfang 2002 in deutschland bei strafe verboten, jedoch dürft ihr es gerne bei mir probieren, ich fahre schon keinem an den karren, da meine kunden die seite dafür auch immer wieder verwenden dürfen.

wolltest du in etwas das wissen oder bin ich jetzt am thema vorbeigerannt ?

gruss
wanne

[mwannema]

Wegen Linux, habe da eben noch nen alten 266MHz rumstehen, der für so Sachen eigentlich super wäre.
Dachte mir aber bissher, das es eventuell nicht sehr geschickt ist, mein Analogmodem an den Linux PC zu hängen, und dann über diesen Linux PC einzuwählen. (Wegen der automatischen Verbindungstrennung)

sollte kein problem sein. du kannst im linux ja konfigurieren das er nach z.b. 60 sekunden leerlauf automatisch auflegen soll. ok das ist nicht die beste methode aber eine die funzt.

[PSEUDO]

=> in meinem fall habe ich einen router der verschiedene features unterbringt. zonealarm sollte dies aber auch beherschen.
dazu gehört unter anderem TCP Intercept und CBAC ( beides cisco features ) welche auf einen scan nicht antworten sondern nur auf einen echten service request.

Hmmm, sollte dann eigentlich auch mit einem Software Router möglich sein oder ?

=> das hängt wiederum ganz von deiner firewall ab die du hast.

Benutze zur Zeit noch den alten AtGuard.

mit entsprechenden linux firewalls ist dies auf jeden fall möglich. u.a. auch mit der evaluierung von SUSE im aktuellen release. wie das aber genau in linux konfiguriert werden muss kann ich nicht sagen da ich kein linux freak bin, jedoch kann ich dir ein paar tipps zur generellen gestaltung einer FW geben.

Ok, muss mich dann wohl mal schlau machen darüber, was für gute (und wenn möglich einfach zu bedinende) Firewalls es gibt.
Bin nämlich auch kein Linux Guru...

[PSEUDO]

andere programme wie IE oder Netscape macht ja nicht erst einen ping auf die seite und ruft sie dann auf, sondern sendet direkt den request an deine domäne um eine bestimmte seite zu bekommen. daher stellt es kein problem dar.

Ahso, stimmt eigentlich, muss mal schauen ob ich das so einstellen kann oder jetzt doch ne andere firewall benutzen muss. (Oder eben Linux)

(Sehr viel guter Text gelöscht)
wolltest du in etwas das wissen oder bin ich jetzt am thema vorbeigerannt ?

Doch ist ziemlich genau das was ich mir als Antwort erhofft habe.

sollte kein problem sein. du kannst im linux ja konfigurieren das er nach z.b. 60 sekunden leerlauf automatisch auflegen soll. ok das ist nicht die beste methode aber eine die funzt.

Funktioniert das auch zuverlässig ?
Habe eben das schon einige Horrorberichte gehört, dass dann Tagelang eine Verbindung offen blieb.
Aber Grundsätzlich wäre das schon die beste Lösung.

[GooRoo]

na da hat ja mal einer einen kreativen erguss gehabt nette zusammenfassung *klatsch* naja, fast schon ein bischen zu komplex, aber nichts desto trotz find ichs sehr cool!!

ABER was machst du wenn dein script kiddie auf 80, 21 oder scannt und nicht auf ICMP ?

hab weder nen ftp service noch nen webserver service laufen, daher ==> stealth. nen public ftp- oder webserver würde ich auch nicht mit ner software FW laufen lassen. Da sin die von dir beschriebenen Mechanismen schon die richtigen!

in meinem fall kommt kein ping auf die seite zurück, da ich ICMP komplett abgeschaltet habe

fange auch alle fast alle icmp packets ab (alle gefährlichen). der echo reply war nur ein beispiel.

@PSEUDO

Haben dann nicht auch andere Programme, Probleme damit eine Verbindung mit Dir aufzubauen ?

Der FW werden Regeln für bestimmte IPs, Ports, Applikationen zugewiesen, so dass einer alles können kann, aber auch gar nichts. Reine Konfigurationssache

War die Tiny Personal Firewall nicht mal Freeware?

Die Tiny heisst jetzt wohl Kerio Personal Firewall ist für den privaten Gebrauch umsonst und hier zu bekommen.

Solltest du dich dafür entscheiden, dann kann ich dir nur wärmstens empfehlen dir die von mir vorhin gepostete Seite rein zu ziehen. Da gibts super Tutorials, Rulesets, Hilfen aller Art usw..

Grüße
GooRoo