Sven Rautenberg: Firewall-Log Auswertung

Beitrag lesen

Moin!

Das war und ist auch nicht meine Intention, da mir schon bewusst ist, dass Stationen, die sich krampfhaft zu verbergen suchen, bevorzugtes Angriffsziel von Hackern sind.

Da würde ich sogar abwiegelnd widersprechen wollen. Ich zielte eher auf den Irrglauben der normalen Anwender, mit einer nicht-antwortenden Firewall wäre man unsichtbar und unangreifbar fürs Netz.

Wollte man wirklich unsichtbar sein, müßte man mit der IP seines zugeordneten Routers (also den ersten im Netz des Providers, an dem die eigenen Pakete vorbeikommen) an den Anfrager ICMP-Pakete "Destination not reachable" senden. Das würde der Router von sich aus tun, wenn die IP nicht vergeben und unerreichbar wäre.

Wichtig ist mir eigentlich nur eins: Dass meine Ports dicht sind, solange ich keine Anwendungen laufen habe, die sie benötigen. Dann kann ich aber sowieso die Ports auf den betroffenen Rechner routen, so dass das restliche Netzwerk davon unberührt ist. Da ich einen eigenen Rechner nur für Internetanwendungen nutze, sehe ich da nicht so sehr ein Problem.

Stimmt. Aber wenn man das macht, sollte man sich bei der eingesetzten Software relativ sicher sein, dass die keine Lücken hat. Microsoft würde ich ungern als Server ins Netz lassen, muß ich sagen. Andere Menschen tun es - aber dann werden eben die gehackt, nicht ich. :)

Ja, soweit ist mir das schon klar. Tatsache ist aber, dass kaum jemand ohne triftigen Grund einfach die Ports, die für bestimmte Anwendungen standardmäßig definiert sind, ändert.

Hängt davon ab. Es ist widersinnig, einen HTTP-Server auf einem anderen als Port 80 laufen zu lassen - außer Port 80 ist schon belegt, und man hat keine andere Wahl. Oder man will sich etwas verstecken. Niemand kann aufgrund der Portnummer "56517" erkennen, dass da HTTP gesprochen werden muß. Aber das verschleiert nur ein wenig, es sichert nichts ab.

So gesehen, kann man schon großteils davon ausgehen, daß die Ports von den zugeordneten Anwendungen gescannt werden.

Man kann von zweierlei ausgehen: Erstens werden die bekanntesten Ports mit Sicherheit häufiger gescannt, als unbekannte Ports. Und zweitens werden im Zweifel sowieso alle Ports gescannt. Ob es Sinn macht, sich für seine eigenen Server einen Port zu suchen, der defaultmäßig von nmap nicht gescannt wird, muß jeder selbst entscheiden. :)

Nuja, die Gedanken sind ja erst gekommen, als ich draufkam, daß mein altes Modem(ELSA-ISDN4you mit integriertem Router!) die Ports 137, 53 und 25 ins Internet offen gehalten hat.

Ein spannender Router. Der hat offenbar seinen Job ernst genommen. :)

Nachdem ich das weggeschmissen hab und nun den USR konfiguriere, möchte ich natürlich schon so ziemlich alles dicht kriegen, ohne mich aber auszusperren :o), bevor ich mich zurücklehne.

Router, welche auch Network Adress Translation (Masquerading) machen, bieten schon mal eine grundsätzliche Sicherheit, weil sie keinerlei unautorisierten Zugriff ins interne Netz zulassen. Intern werden in der Regel IPs aus den für private Zwecke reservierten Bereichen verwendet, d.h. die kann man über das Internet gar nicht ansprechen. Somit sind auch alle Ports erstmal "zu" - es sei denn, man definiert Port-Forwarding. Das sollte man allerdings aktiv und nur für die Ports tun, die man wirklich offen haben will.

Bleibt als letzte zu sichernde Bastion eigentlich nur der Router selbst. Es gab bei einigen Herstellern schon Sicherheitsprobleme, beispielsweise war die Konfigurationsseite aus dem Internet erreich- und angreifbar. Sowas sollte man natürlich nicht zulassen. :)

- Sven Rautenberg