nicht angemeldet
Brauche dringend Firewall und Virenscanner!
0 0 0 0 0 "Tag der Firewall"
Brauche dringend Firewall und Virenscanner!
Hallo liebe Fachkundigen,
kann mir jemand einen kostenlosen Virenscanner und eine kostenlose Firewall empfehlen?
Ich würde mir sonst die neue Zone Alarm zulegen und als Scanner AntiVir XP.
Laufen die denn überhaupt zusammen?
Danke!
-
Hallo,
Ich habe auch Zone Alarm und fahre eigentlich ganz gut damit. Weitere Zugangsschutzsysteme habe ich nicht getestet.
Martin
-
Hi,
unter http://www.free-av.de bekommst du einen kostenlosen virenscan... der ist eigenltich ganz gut... und laeuft auch zusammen mit zonearlarm...
mfg
-WebViper---
ss:| zu:] ls:/ fo:) de:> va:) ch:| sh:} n4:) rl:° br:& js:| ie:| fl:) mo:|
Linux - life is too short for reboots!
This is unix land.
In quiet nights you can hear windows machines reboot.
-
-
Moin!
kann mir jemand einen kostenlosen Virenscanner und eine kostenlose Firewall empfehlen?
Warum? Kriegst du deinen Rechner nicht sicher konfiguriert?
Nur weil alle von Firewalls reden, heißt das noch lange nicht, dass sie bedingungslos sinnvoll sind.
Und auch ohne Virenscanner kann man ganz gut auskommen. Ich vermisse sowas jedenfalls nicht.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
tach,
Warum? Kriegst du deinen Rechner nicht sicher konfiguriert?
also das find ich schon ein klein wenig hart... du kannst deinen rechner noch so "sicher" konfigurieren, und dir dennoch ohne firewall was einfangen, siehe blaster wurm o.ä...
aber nun bitte keinen flame war über verschiedene betriebssysteme....ausserdem kann eine FW ganz nett das "nachhause funken" verschiedner programme unterbinden, etwas das man nicht immer "konfigurieren" kann
voraussetzung ist natürlich, man weiss was man tut, eine firewall ohne geeignete kenntnisse ist natürlich schwachfug.
lg,
hoagie-
Moin!
Warum? Kriegst du deinen Rechner nicht sicher konfiguriert?
also das find ich schon ein klein wenig hart... du kannst deinen rechner noch so "sicher" konfigurieren, und dir dennoch ohne firewall was einfangen, siehe blaster wurm o.ä...
Genau das ist der Punkt. Unter Firewall verstehe ich einen klassischen Paketfilter. Der kann nun aber lediglich Datenpakete von außen an den eigenen Rechner filtern, sowie Datenpakete vom eigenen Rechner nach draußen.
Da man ja böse Software gar nicht erst reinlassen will, ist die Abwehr von außen der primäre Punkt. Und da hilft eine Firewall genauso gut, wie das Abstellen sämtlicher Serverdienste.
Ein Rechner, auf dem kein einziger Port offen ist, ist genauso wenig angreifbar, wie ein Rechner, auf dem durch eine Firewall sämtliche Port geschlossen sind. Durch eine Firewall wird man auch keinesfalls unsichtbar, auch wenn der "Stealth"-Modus mancher Produkte das suggeriert.
Man "fängt sich was ein" genau dann, wenn man _trotz_ Firewall die Daten zu sich hereinläßt. Also beispielsweise, indem man mit dem IE surft oder mit Outlook Mails liest und dabei unvorsichtigerweise ein Attachment startet.
Die Firewall erhöht die Sicherheit beim Surfen und Mails lesen also kein bißchen.
aber nun bitte keinen flame war über verschiedene betriebssysteme....
Es ist vollkommen unabhängig vom Betriebssystem unmöglich, dass eine sichere Firewall Daten durchläßt. Im Umkehrschluß gilt, dass jede Firewall, die Daten durchläßt, in irgendeiner Art und Weise unsicher ist.
ausserdem kann eine FW ganz nett das "nachhause funken" verschiedner programme unterbinden, etwas das man nicht immer "konfigurieren" kann
Träum weiter.
Zwar werden sich die "netten" Programme vielleicht daran halten, dass sie unter eigenem Namen eine Verbindung via TCP/IP herstellen wollen. Das kann man dann tatsächlich blocken, sofern man sicher ist, dass das Programm wirklich niemals Netzverbindung braucht.
Aber nehmen wir doch einfach mal den RealPlayer. Nachhausetelefonier-Software Nummer 1. Den will man sicherlich nicht nur auf lokal gespeicherte Filme loslassen, sondern auch mal Streamings aus dem Netz ziehen. Gretchenfrage: Ist die Rückfrage meiner Firewall jetzt ein Nach-Hause-Telefonieren, oder das Anfordern des Streams? Und wenn ich den Zugriff auf den Stream gestatte - telefoniert RealPlayer vielleicht erst danach nach Hause?
Eine vollkommen andere Möglichkeit ist, sich fremde, üblicherweise für den Zugriff genehmigte Programme für das Nach-Hause-Telefonieren zunutze zu machen. Man kann den IE auch fernsteuern, wenn es sein muß. Der läßt sich als ActiveX-Komponente ja z.B. im WinAMP benutzen.
Und wenn der IE uneingeschränkte Webzugriffsrechte hat, kann er zu allen Servern dieser Welt zum Nach-Hause-Telefonieren mißbraucht werden, ohne dass die Firewall daran etwas ändert.
Und die ganz rabiate Software schaltet die Firewall einfach aus.
voraussetzung ist natürlich, man weiss was man tut, eine firewall ohne geeignete kenntnisse ist natürlich schwachfug.
Ich will dem Fragesteller nicht zu nahe treten, aber der simple Aufruf, "dringend eine Firewall her" haben zu wollen, deutet auf Unkenntnis in diesem Themenbereich hin. Und genau deshalb habe ich nach den Motiven gefragt und hätte im Zweifel den Text im oberen Absatz dieses Postings geschrieben.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder! -
Hi!
Warum? Kriegst du deinen Rechner nicht sicher konfiguriert?
also das find ich schon ein klein wenig hart... du kannst deinen rechner noch so "sicher" konfigurieren, und dir dennoch ohne firewall was einfangen, siehe blaster wurm o.ä...
Nein, Microsoft startet alle möglichen Dienste, die man normalerweise nicht benötigt und die dagegen ein potentielles Sicherheitsrisiko darstellen, die Blaster & Co. ausgenutzt haben. Wenn ich diese Dienste deaktiviere, ist mein Rechner kein Stück anfällig für derartige Angriffe, weil es eben nichts gibt was man angreifen könnte.
Das 2. große Problem sind Mailanhänge, vor denen Dich auch Firewall und Virenscanner nicht 100%ig schützen können, im Gegenteil verleihen sie ein trügerisches Gefühl von Sicherheit.
Aber man kann selbst Outlook Express entsprechend sicher konfigurieren, dass Virenmails keine Gefahr mehr darstellen. Dann muss man halt nur noch drauf achten, was für mail-Anhänge man öffnet. Und zwar nur die die Du erwartest, und auch nur von Absendern die Du erwartest.
Den Rest einfach löschen und schon hat man keine Probleme mehr.
Natürlich darf man dann nicht virenschleudernde Programme wie Kazaa... verwenden, oder zumindest wissen was man da tut, also nicht auf alles klicken was nicht bei 3 auf den Bäumen ist.Grüße
Andreas
-
-
-
Moin
Über den Sinn bzw. Unsinn von Desktop-Firewalls ist hier schon oft und ausgiebig diskutiert worden.
Nimm Dir einfach einmal die Zeit, einige Diskussionen im Archiv nachzulesen. Solltest Du danach immer noch der Meinung, eine Firewall zu benötigen, kannst Du Dich ja mal bei http://www.kerio.com/kpf_home.html umschauen.
KPF ist im Vergleich zu Zonealarm eindeutig die bessere Wahl, wenn auch nicht ganz so einfach zu konfigurieren.Thomas J.
-
Hallo,
ich kann deine Frage zwar nicht beantworten, frage mich aber, wieso brauchst Du Firewall und Virenscanner (lt. Titel ) dringend brauchst. Ich habe WindowsME, surfe (nur privat) seit 4 Jahren und habe mir so weit ich weiß nie einen Virus oder Dialer ect. eingefangen. Dabei habe ich nur 3 Dinge beachtet:
1. Im Outlook öffne ich nur E-Mails, deren Absender ich kenne und deren Betreff mir etwas Konkretes/Erwartetes sagt. GGf. vorher Rückfrage.
2. Im IE ist ActiveX-Control, JAVA und Dateiendownload deaktiviert(wird nur für bestimmte sichere Seiten temporär freigeschaltet). Anm.:Jetzt benutze ich den noch sichereren Firebird, jetzt auch POP-UPs blockiert.
3. Habe YAW zur Wählüberwachung installiert.Ich denke, es reicht zur Sicherheit aus. Aber natürlich lasse ich mich gerne hier im Forum eines Besseren belehren. Bin gespannt, ob und welche Maßnahmen ich nach Eurer Meinung noch noch ergreifen sollte, oder ob ihr es auch so seht, dass es ausreicht.
Gruß
Peter-
Moin!
Ich denke, es reicht zur Sicherheit aus. Aber natürlich lasse ich mich gerne hier im Forum eines Besseren belehren. Bin gespannt, ob und welche Maßnahmen ich nach Eurer Meinung noch noch ergreifen sollte, oder ob ihr es auch so seht, dass es ausreicht.
Du benutzt Windows ME. Ist dein Port 5000 geschlossen? Oder sonst irgendwelche Ports noch offen?
MS-Eingabeaufforderung aufmachen, "netstat -an" eingeben.
Da kommt dann möglicherweise sowas bei raus:
Aktive VerbindungenProto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:1341 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1608 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:1447 0.0.0.0:0 ABHÖREN
TCP 192.168.2.17:1341 ***.***.***.***:22 HERGESTELLT
TCP 192.168.2.17:1608 192.168.2.1:1000 HERGESTELLT
TCP 192.168.2.17:139 0.0.0.0:0 ABHÖREN
TCP 192.168.2.17:3471 213.139.94.131:80 WARTEND
TCP 192.168.2.17:1447 192.168.2.2:22 HERGESTELLT
UDP 192.168.2.17:137 *:*
UDP 192.168.2.17:138 *:*Alle Zeilen, die "Abhören" als Status haben, sind potentiell verdächtig.
Microsoft hat dummerweise einen Bug drin, der hergestellte Verbindungen nicht von den "Abhören"-Ports abzieht. Du darfst alle Abhören-Zeilen ignorieren, zu denen du noch passende Zeilen mit "HERGESTELLT" findest. Ich habe im obigen Beispiel drei dauerhafte Verbindungen zu Servern, die über die Ports 1341, 1608 und 1447 laufen. Diese Ports tauchen unter "Lokale Adresse" zweimal auf, einmal "abhören", einmal "hergestellt". Das eine ist eine Folge des anderen, also ignorieren.
Bleibt als einziger Port dieser:
TCP 192.168.2.17:139 0.0.0.0:0 ABHÖRENUnd über UDP diese zwei:
UDP 192.168.2.17:137 *:*
UDP 192.168.2.17:138 *:*Die sind für die Windows-Dateifreigabe zuständig, und sollten definitiv abgeschaltet sein, wenn man im Internet rumsurft. Ebenso alle anderen Ports, die sich aufgrund der Liste noch ergeben. Wenn man nicht weiß, wozu man den Port braucht, braucht man ihn nicht, und sollte ihn schließen.
Port 5000 ist für ein "Universelles Plug and Play" zuständig. Dieser Dienst hat einige böse Bugs, die es zumindest erlauben, den Rechner von außen zum Absturz zu bringen. Und er hat nichts mit dem bekannten "Plug and Play" von PCI-Karten oder USB zu tun. Er wird aktuell nirgendwo genutzt und soll wohl mal dafür da sein, dass sich unterschiedliche Geräte im Netz gegenseitig bekanntmachen, so nach dem Motto "Hallo, ich bin ein Netzwerkdrucker." "Oh, das ist gut. Ich bin ein Kühlschrank. Druck doch mal die Einkaufsliste für nächste Woche".
Google findet zu typischen offenen Ports eigentlich sehr viel und relevantes Zeugs.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Hallo Sven,
danke für die ausführliche Info!
Du benutzt Windows ME. Ist dein Port 5000 geschlossen? Oder sonst irgendwelche Ports noch offen?
Mein Display:
C:\WINDOWS>netstat -an
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:2913 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:5000 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:2912 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:2912 127.0.0.1:2913 HERGESTELLT
TCP 127.0.0.1:2913 127.0.0.1:2912 HERGESTELLT
TCP 192.168.1.10:139 0.0.0.0:0 ABHÖREN
UDP 192.168.1.10:1900 *:*
UDP 192.168.1.10:137 *:*
UDP 192.168.1.10:138 *:*Wie kann ich Port 5000 und 139 schließen?
Die sind für die Windows-Dateifreigabe zuständig, und sollten definitiv abgeschaltet sein, wenn man im Internet rumsurft.#
Also ich habe über Systemsteuerung-Netzwerk die "Datei- und Druckerfreigabe" schon lange ausgeschaltet. Ist das damit erledigt?
Gruß
Peter-
Moin!
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:5000 0.0.0.0:0 ABHÖREN
TCP 192.168.1.10:139 0.0.0.0:0 ABHÖREN
UDP 192.168.1.10:1900 *:*
UDP 192.168.1.10:137 *:*
UDP 192.168.1.10:138 *:*Diese fünf Biester müssen zu. :)
Wie kann ich Port 5000 und 139 schließen?
Zwei Portbereiche (die stecken alle unter einer Decke), zwei Links:
http://www.trojaner-info.de/report_port5000.shtml
http://www.trojaner-info.de/sicherheit/betriebssystem/port139/ports137-139.htmDie (billigen) Google-Suchbegriffe: port 5000 schließen, port 139 schließen.
Ja, Google weiß alles... :)
Also ich habe über Systemsteuerung-Netzwerk die "Datei- und Druckerfreigabe" schon lange ausgeschaltet. Ist das damit erledigt?
Jein. Der Port ist offen, das ist vom Grundsatz her böse. Allerdings kriegt man ohne brutale Methoden (Buffer-Overflow, echte Systemlücken ausnutzen) keinen Zugriff auf die Platte.
Die meisten Windows-Rechner haben diesen Port offen, auch im Internet. Ich würde es trotzdem als böse ansehen. Dasselbe gilt für die UDP-Ports.
Teste doch selbst: http://grc.com/default.htm Auf dieser Seite gibt es einen Link "Shields up", der dich auf eine HTTPS-Seite führt. Dort "Proceed" klicken, und die nachfolgende Seite informiert dich über deinen Rechnernamen: "Greetings, RECHNERNAME!". Dieser Rechnername wird per UDP von deinem Rechner abgefragt.
Auf dieser (insgesamt dritten) Seite gibts eine Reihe von Buttons, die diverse Dinge testen. Ich empfehle zum Schnelltest "Common Ports".
Ach ja: Ignorier das meiste von dem Text, der auf dieser Webseite steht. Steve Gibson ist vielleicht ein nicht schlechter Programmierer, und er hat auch wirklich technischen Sachverstand, was gewisse Dinge angeht. Aber er hat eine etwas verdrehte persönliche Meinung darüber, was angebliche Internet-Sicherheit angeht.
Wenn es nach ihm geht, dann ist eine gute Firewall nur die, welche keinerlei Antworten gibt: Keine offenen Ports, keine geschlossenen Ports, kein Ping, garnichts. Er behauptet, dann wäre man im Internet unsichtbar.
Ist man aber nicht. Man ist nur unsichtbar, wenn der einem selbst übergeordnete Router an anfragende Rechner zurückmeldet, er könne die gewünschte IP nicht erreichen. Sowas müßte man also fingieren. Und ein guter Netzadministrator bei deinem Provider wird sowas nicht zulassen.
Also: Auch wenn die dortigen Texte in dir wirklich die Panik hochsteigen lassen, dass du trotz geschlossener Ports ganz böse angreifbar wärst - selbst der gute Herr Gibson hat es noch nicht geschafft, einen geschlossenen Port aufzubrechen. Und der müßte es doch eigentlich wissen, oder?
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Hello Sven,
wirklich wieder ein interessanter Thread, dank Dir :-)
Ist man aber nicht. Man ist nur unsichtbar, wenn der einem selbst übergeordnete Router an anfragende Rechner zurückmeldet, er könne die gewünschte IP nicht erreichen. Sowas müßte man also fingieren. Und ein guter Netzadministrator bei deinem Provider wird sowas nicht zulassen.
Aber den Satz versteh ich jetzt nicht wirklich. Wenn eine IP nicht erreichbar ist, kann man doch keinen Unfug mit ihr treiben? *blödguck*
Lass mich bitte nicht so blöd sterben.
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen-
Moin!
Ist man aber nicht. Man ist nur unsichtbar, wenn der einem selbst übergeordnete Router an anfragende Rechner zurückmeldet, er könne die gewünschte IP nicht erreichen. Sowas müßte man also fingieren. Und ein guter Netzadministrator bei deinem Provider wird sowas nicht zulassen.
Aber den Satz versteh ich jetzt nicht wirklich. Wenn eine IP nicht erreichbar ist, kann man doch keinen Unfug mit ihr treiben? *blödguck*
Ok, Grundlagen der TCP/IP-Netzwerktechnik... :)
Wenn zwei Rechner direkt am gleichen Netzwerk (Ethernet) angeschlossen sind, dann läuft die Kommunikation zwischen "Angreifer" und "Opfer" (die Bezeichnungen sind gewählt, damit klar ist, wer unsichtbar werden will, und wer die Kommunikation initiiert) so:
Der Angreifer will an die IP des Opfers senden. Er weiß anhand seiner eigenen Netzmaske, dass er das Opfer im eigenen Netzwerksegment erreichen kann. Ein IP-Paket kann er aber nur zustellen, wenn er die Ethernet-Hardwareadresse kennt. Zu diesem Zweck gibt es das ARP-Protokoll. Der Angreifer schickt dazu einen Broadcast an alle Rechner: "Wer hat IP (IP des Opfers), bitte sagt es IP (IP des Angreifers)". Und ein normaler Opferrechner wird ARP antworten: "IP (IP des Opfers) hat Ethernet-Adresse BLAHHHH." Von diesem Moment an weiß der Angreifer, dass das Opfer existiert.
Nun ist ARP eines der vielen IP-Protokolle. Wenn man sämtliche IP-Kommunikation filtern würde (also beispielsweise nur Daten von und zum Router akzeptiert, und nichts anderes aus dem internen Netz), würde der Angreifer keine Antwort erhalten, und der Opferrechner wäre tatsächlich unsichtbar - so, als wäre er gar nicht eingeschaltet.
Aber im Internet wird der Opferrechter vom Angreifer immer über den Router angesprochen, der direkt vor dem Opfer aufgebaut ist und dieses direkt mit Daten versorgt. Der Router muß wissen, dass die IP des Opfers existiert, sonst könnte dieses ja garnicht mit dem Internet kommunizieren.
Wenn also vom Angreifer Datenpakete für die IP des Opfers hereinkommen, dann sendet der Router diese weiter, wenn er mit der IP kommunizieren kann. Er fragt beim ersten Mal (Opfer ist gerade online gegangen und hat eine neue IP gekriegt), welche Hardwareadresse (ethernetmäßig) denn diese eine IP hat, und weiß ab dann, dass das Opfer existiert (bei einem anderen als dem Ethernet als Medium weiß der Router es auf eine andere Weise. PPP beispielsweise ist als Punkt-zu-Punkt-Verbindung gar nicht anders denkbar, als dass am anderen Ende der Leitung das Opfer sitzt und lauscht).
Wenn der Router jetzt also ein Datenpaket hereinkriegt, wird dieses genau dann an die Opfer-IP weitergeleitet, wenn der Router weiß, dass diese existiert. Da er diese Existenz unter seiner eigenen IP herausfindet (ARP wird immer nur je Netzwerksegment gesprochen, es zu routen macht wenig Sinn), kann das Opfer die Anfragen keiner guten oder bösen IP-Adresse eines Angreifers zuordnen, und antwortet wahrheitsgemäß.
Wenn der Router keine IP des Opfers feststellen konnte, weil dieses wirklich echt offline ist, nur dann wird es an den Angreifer zurückmelden: "Die IP kann ich gerade nicht erreichen."
Es ist für den Angreifer also ganz leicht, zu unterscheiden:
1. Das Opfer antwortet auf eine Verbindungsanfrage mit "Mach weiter" - Port ist offen.
2. Das Opfer antwortet auf eine Verbindungsanfrage mit "Hä?" - Port ist geschlossen.
3. Das Opfer antwortet auf eine Verbindungsanfrage gar nicht - Port ist gefiltert (das Datenpaket wurde aber empfangen!)
4. Der übergeordnete Router antwortet mit "Kann Opfer nicht erreichen" - das Opfer ist wohl offline.Den Fall 1 und 2 kann man problemlos ohne Firewall erreichen. Zustand 3 ist nur mit einer Firewall machbar, welche standardwidrig auf Anfragen keine Antwort gibt.
Es ist aber absolut denkbar, dass eine Firewall einen derart dummen Bug hat, dass ein passend gearbeitetes IP-Paket diese zum Absturz bringt, oder schlimmeres. Schließlich wird das Paket empfangen und verarbeitet, bevor entschieden wird, nicht zu antworten. Mit derselben Begründung kann man argumentieren, dass auch geschlossene Ports böse sind - da wird das Paket ja auch verarbeitet, bevor abschlägig geantwortet wird. Im Grunde sind geschlossene oder gefilterte Ports absolut gleichwertig in ihrer Aussage.
Der Nachteil bei gefilterten Ports ist: Der Angreifer wird es allein aufgrund der Implementation von TCP mehrfach mit einer Verbindungsaufnahme versuchen. Denke man einfach nur mal an den Traffic, der auf nahezu jeder DSL-Leitung durch Tauschbörsen reinkommt. Wenn man eine Firewall einsetzt, die nicht antwortet, wird die Gegenseite es noch mehrfach mit einer Verbindungsaufnahme versuchen - keine Antwort kann ja auch ein verlorengegangenes Datenpaket bedeuten, dass durch TCP abgesichert werden und nochmal übertragen werden muß. Wenn die Firewall einfach einen geschlossenen Port signalisiert, dann gibt die Gegenseite sofort Ruhe - verursacht also weniger Traffic auf der Leitung.
Wenn man also unsichtbar im Internet sein will, muß der vorgelagerte Router antworten "Kann ich nicht erreichen". Da er genau das nicht von selbst tun wird, weil ja genau das Gegenteil stimmt, muß man diese Aufgabe selbst erledigen. Und dazu eben die Absender-IP fälschen. Denn es wäre höchst unglaubwürdig, wenn das Opfer selbst über sich behauptet: "Es ist keiner zuhause!"
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Hallo Sven,
das hast Du ja sehr ausführlich dargestellt, vielen Dank!
Gem. deiner Empfehlung habe ich auch inzwischen als erstes Port 5000 geschlossen (komisch, dass das so umständlich und für jeden Port/ Portgruppe anders ist. Dachte, dafür gibts einfach einen Command.) Soweit sogut.
Was ich aber jetzt noch nicht verstehe: was hat deine Ausführung mit dem Internet zutun? Von einer Seite, die ich anklicke kann doch kein Script meine Ports scannen, wenn ich alle Restriktionen im Browser aktiviert habe. Muss ich also, wenn ich als normaler User zum Surfen ins Internet gehe, d.h. mich bei meinem ISP anmelde, damit rechnen, dass über ihn fremde PCs versuchen, meine IP und offene Ports herauszufinden um mir darüber Mist zu schicken? Und wenn ja, wie machen die das, also mit welcher Software melden die sich bei ihrem ISP an? Etwas Selbstgeschriebenes?
Gruß
Peter-
Moin!
Gem. deiner Empfehlung habe ich auch inzwischen als erstes Port 5000 geschlossen (komisch, dass das so umständlich und für jeden Port/ Portgruppe anders ist. Dachte, dafür gibts einfach einen Command.) Soweit sogut.
Jeder einzelne geöffnete Port wird in aller Regel von einem individuellen Programm genutzt. Und er ist natürlich nur geöffnet, wenn das Programm läuft. Um den Port also zu schließen, muß man das Programm stoppen, bzw. dessen Start verhindern. Und da die Programme höchst unterschiedlich gestartet werden, sind die Methoden zum Stoppen eben auch unterschiedlich.
Unter Linux hat man es bei einigen Sachen einfach. Da gibt es ein zentrales Programm inetd, welches viele Ports gesammelt öffnet (und im Kontaktfall dann das zuständige Programm startet). Bei dem kann man in einer Konfigurationsdatei bestimmen, welche Ports (und welche Programme) aktiv sein sollen.
Was ich aber jetzt noch nicht verstehe: was hat deine Ausführung mit dem Internet zutun? Von einer Seite, die ich anklicke kann doch kein Script meine Ports scannen, wenn ich alle Restriktionen im Browser aktiviert habe.
Doch, klar. Indem du die HTML-Seite vom Server anforderst, weiß der deine IP-Adresse. Und kann ein Skript starten, welches vom Server aus deine Ports scannt. Ein vollständiger Portscan dauert zwar so seine Zeit, insbesondere, wenn eine Firewall alle Ports filtert, weshalb man das nicht "einfach so" machen kann (Timeout des Browsers würde verhindern, dass du die Ergebnisse kriegst). Aber mit Sessions und Reload und einem passenden System auf dem Server ist das kein Problem. Siehe beispielsweise http://www.port-scan.de. Da kannst du alle möglichen Scans machen lassen (die übrigens auf dem Linux-Tool nmap basieren).
Dein Rechner ist von außen für Scans immer erreichbar - vollkommen unabhängig davon, ob du im Browser ActiveX oder Javascript oder sonstwas ein- oder ausgeschaltet hast.
Muss ich also, wenn ich als normaler User zum Surfen ins Internet gehe, d.h. mich bei meinem ISP anmelde, damit rechnen, dass über ihn fremde PCs versuchen, meine IP und offene Ports herauszufinden um mir darüber Mist zu schicken?
Ja, davon mußt du ausgehen.
Wobei "Meine IP herausfinden" so nicht stimmt. Man kann von außen feststellen, dass deine IP existiert. Und man kann herausfinden, welche Ports offen sind (wenn sie offen sind). Und wenn man dann Zugriff beispielsweise auf deine Dokumente kriegen kann, und da drinsteht, wer du bist und wo du wohnst, erst dann ist die IP "deine" IP, kann also dir persönlich zugeordnet werden.
Bis dahin ist die IP nur "irgendeine IP", und die kann man dir nur zuordnen, wenn man deinen Provider fragt, welcher seiner Kunden sich zu einer gewissen Uhrzeit mit dieser IP eingeloggt hatte.
Wenn der Provider nett ist, und du eine Flatrate hast, speichert er diese Information auch gar nicht - wobei ich so meine Zweifel habe, dass es _so_ nette Provider überhaupt gibt, denn allein im eigenen Interesse (Mißbrauch abstellen) wird diese Information geloggt werden.
Du bist also keinesfalls anonym - bestenfalls bist du nur unbekannt. Und wenn du deinen Namen und Adresse in irgendein Webformular einträgst und abschickst, dann kann der Webserver, und alle, die mit dieser Information versorgt werden, die IP mit deinem Namen verknüpfen.
Und wenn ja, wie machen die das, also mit welcher Software melden die sich bei ihrem ISP an? Etwas Selbstgeschriebenes?
Nein, die können ganz normale Betriebssysteme benutzen. Die brauchen ja auch nur eine stinknormale TCP/IP-Verbindung ins Internet. Und natürlich einen Provider, der ihnen "Internet in echt" verkauft, also nichts aus dem Datenstrom rausfiltert, sondern direkte Verbindungen zuläßt. AOL würde beispielsweise nicht unbedingt in Frage kommen.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Hallo Sven,
danke, fast alles aber klar, aber :
Indem du die HTML-Seite vom Server anforderst, weiß der deine IP-Adresse. Und kann ein Skript starten, welches vom Server aus deine Ports scannt.
Also ich hoffe doch sehr, ein ISP der gerne Kunden hat, wird solche Sauereien nicht machen. Meine Anmeldung bei ihm beruht doch auf einem gewissen Vertrauensverhältnis, oder? Was hätte er davon und wenn das rauskäme wäre sein Ruf dahin.
Nein, die können ganz normale Betriebssysteme benutzen. Die brauchen ja auch nur eine stinknormale TCP/IP-Verbindung ins Internet
Aber muss ich mir dann nicht doch selber zusätzlich ein Programm schreiben das soeine TCP/IP Verbindung herstellt und die IPs und Ports aller anderen am gleichen oder fremden ISP scannt (das können ja Millionen sein ;-( ) . Im Betriebssytem (z.B. WindowsME) ist doch so eine Scann-Software garnicht integriert, oder?
Gruß
Peter-
Hi!
Indem du die HTML-Seite vom Server anforderst, weiß der deine IP-Adresse. Und kann ein Skript starten, welches vom Server aus deine Ports scannt.
Also ich hoffe doch sehr, ein ISP der gerne Kunden hat, wird solche Sauereien nicht machen.
Naja, wenn Du nicht auf solche "Sauereien" stehst wirst Du Probleme haben jemals eine Internetseite anzusehen ;-)
Der Webserver auf dem die Internetseite liegt muss Deine IP wissen, um die Webseite an Deinen Rechner schicken zu können, da kann der Provider nichts gegen tun. Er kann höchstens einen Proxy dazwischenschalten, aber das ist ein anderes Thema.Meine Anmeldung bei ihm beruht doch auf einem gewissen Vertrauensverhältnis, oder? Was hätte er davon und wenn das rauskäme wäre sein Ruf dahin.
Aber das sind nunmal Grundfunktionalitäten des Internets. Ist ungefähr dasselbe wie wenn Du Dir was im Otto-Katalog bestellen willst, denen aber nicht Deine Adresse verraten willst...
Naja, da der Mißbrtauch im Internet natürlich erheblich einfacher ist sollte man durchauf drauf achten wo man surft.Nein, die können ganz normale Betriebssysteme benutzen. Die brauchen ja auch nur eine stinknormale TCP/IP-Verbindung ins Internet
Aber muss ich mir dann nicht doch selber zusätzlich ein Programm schreiben das soeine TCP/IP Verbindung herstellt
Programme zum Herstellen von TCP/IP Verbindunen hat man bei den meisten Betriebssystemen dabei. Dein Browser mit dem Du gerade unterwegs bist stellt auch bei jedem neuen Seitenaufruf eine TCP-Verbindung mit einem Webserver irgendwo im Internet her.
Um die Webseite die Du Dir gerade ansiehst zu erhalten musste Dein Browser eine TCP/IP Verbindung mit dem Webserver unter der IP 213.139.94.131 herstellen. Dabei hat der Webserver Deine momentane IP erhalten, um diese Webseite eben an Deinen Rechner zustellen zu können. Dein Browser wartet halt bis er auf der zuvor geöffneten TCP/IP Verbindung eine Antwort erhält, und rendert aus den hierüber vom Webserver erhaltenen Daten die Internetseite die Du Dir ansehen kannst.
und die IPs und Ports aller anderen am gleichen oder fremden ISP scannt (das können ja Millionen sein ;-( ) .
Zum scannen gibt es viele Tools...
Im Betriebssytem (z.B. WindowsME) ist doch so eine Scann-Software garnicht integriert, oder?
Nein, aber man kann sowas ja installieren...
Grüße
Andreas-
Hallo Andreas,
danke! Sieht also das Szenario kurz zusammengefasst wie folgt aus:
Ich surfe im Internet und gelange dabei auf einen Webserver in Weißdergeierwo. Der Webserver selber ist OK, aber an ihm ist gerade ein anderer Client online, auf dessen PC ein Scan-Programm läuft. Und dieses ist nun in der Lage, alle dem Webserver gerade bekannten IP-Adressen zu scannen, offene Ports zu suchen und über diese Spionage auf meinem PC zu treiben.
Richtig so?
Was mich wundert: kann der Webserver die Durchsuchung seiner gerade zu bedienenden IPs seitens eines Clients nicht unterbinden? Ist das so einfach? Oder ist es eher so, dass Leute mit solche Absichten ihren PC selber zu einem Webserver machen und "Lockseiten" anbieten?
Grüße
Peter-
Hallo!
Ich surfe im Internet und gelange dabei auf einen Webserver in Weißdergeierwo. Der Webserver selber ist OK, aber an ihm ist gerade ein anderer Client online, auf dessen PC ein Scan-Programm läuft.
Das eine hat mit dem anderen nichts zu tun. Ein Client kommt über den Webserver nicht an andere Client-IPs. Das wäre dann natürlich wirklich eine Schweinerei ;-)
Der Webserver merkt sich die ClientIPs nur um mit dem jeweiligen Client kommunizieren zu können. Die Clients erfahren nichts übereinander.Und dieses ist nun in der Lage, alle dem Webserver gerade bekannten IP-Adressen zu scannen, offene Ports zu suchen und über diese Spionage auf meinem PC zu treiben.
Nein. Das geht zum Glück nicht ganz so einfach. So ein Scan kann entweder von einem Webserver selbst ausgeführt werden, wenn da jemand ein entsprechendes Programm/Script laufen hat (der hat dann natürlich direkt Deine IP, da Du die Webseite ja aufgerufen hast), oder es kann von irgendeinem anderen Rechner im Internet durchgeführt werden, mit dem Du eigentlich gar nichts zu tun hast, der kann dann aber nur auf gut Glück drauf los raten.
Ich könnte z.B. herkommen und alle IPs von 80.133.0.1 - 80.133.255.255 scannen. Vielleicht bist Du dabei, vielleicht jemand anders, das kann man nicht sagen da sich IPs von normalen Internetnutzern normalerweise mit jeder Einwahl aus einem bestimmten Pool verändern.
Was mich wundert: kann der Webserver die Durchsuchung seiner gerade zu bedienenden IPs seitens eines Clients nicht unterbinden?
Das braucht er gar nicht da er dem Client dazu gar keine Möglichkeit bietet.
Ist das so einfach?
Nein ;-)
Oder ist es eher so, dass Leute mit solche Absichten ihren PC selber zu einem Webserver machen und "Lockseiten" anbieten?
Das kommt durchaus vor! Es werden auch große Webserver bei Providern hierzu muißbraucht...
Grüße
Andreas-
Hallo!
So ein Scan kann entweder von einem Webserver selbst ausgeführt werden, wenn da jemand ein entsprechendes Programm/Script laufen hat (der hat dann natürlich direkt Deine IP, da Du die Webseite ja aufgerufen hast), oder es kann von irgendeinem anderen Rechner im Internet durchgeführt werden, mit dem Du eigentlich gar nichts zu tun hast, der kann dann aber nur auf gut Glück drauf los raten.
Was mich wundert: kann der Webserver die Durchsuchung seiner gerade zu bedienenden IPs seitens eines Clients nicht unterbinden?
Das braucht er gar nicht da er dem Client dazu gar keine Möglichkeit bietet.Oder ist es eher so, dass Leute mit solche Absichten ihren PC selber zu einem Webserver machen und "Lockseiten" anbieten?
Das kommt durchaus vor! Es werden auch große Webserver bei Providern hierzu muißbraucht...Soweit ist nun alles klar, nochmal vielen Dank an alle "Aufklärer" :-) . Ich werde mir eine Firewall ersparen, aber die restlichen 3 offenen Ports schließen und hoffe, damit endlich auf der sicheren Seite zu sein (wenigstens zu 99% ;-) ) .........
Gruß
Peter-
Hello,
Soweit ist nun alles klar, nochmal vielen Dank an alle "Aufklärer" :-) . Ich werde mir eine Firewall ersparen, aber die restlichen 3 offenen Ports schließen und hoffe, damit endlich auf der sicheren Seite zu sein (wenigstens zu 99% ;-) ) .........
Wassind denn 99% in der datentechnik wert? Überleg mal, wieviele Bits du im Speicher hast und was wäre, wenn nur 99,99% davon funktionieren würden?
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen-
Hello,
» Was sind denn 99% in der Datentechnik wert? Überleg mal, wieviele Bits du im Speicher hast und was wäre, wenn nur 99,99% davon funktionieren würden?
Klar wäre die Zerstörung von 0,01% der Daten eine Katastrophe. Aber hier geht es ja nicht um die zerstörte Menge sondern um die Wahrscheinlichkeit des Eintretens einer Zerstörung. Das Restrisiko dafür auf 0 zu drücken, geht wegen der Kosten schlichtweg nicht. Auch RZ-Betriebe von Banken und Versicherungen leben mit einem Restrisiko ungleich 0.(Fällt z.B. ein Asteroid auf die Schweiz, werden sich viele Deutsche ärgern.....)
Eine ergänzende Frage ist mir noch eingefallen: Was nutzt eigentlich einem Spion ein offener Port, wenn das dazugehörige Programm (also das, das ihn geöffnet hat) seine Datenpakete nicht verarbeiten kann und zurückweist bzw. wenn es weniger robust ist, abstürtzt? Anders gesagt, er bräuchte doch hinter dem Port auch noch ein "williges" Programm, das seine Datenpakete als Anweisungen interpretiert und ausführt. Welche "eierlegende Wollmilchsau" sollte denn das sein? Die gibts doch gar nicht, oder sehe ich das wieder falsch?
Liebe Grüße aus München
Peter-
Hi!
Eine ergänzende Frage ist mir noch eingefallen: Was nutzt eigentlich einem Spion ein offener Port, wenn das dazugehörige Programm (also das, das ihn geöffnet hat) seine Datenpakete nicht verarbeiten kann und zurückweist bzw. wenn es weniger robust ist, abstürtzt? Anders gesagt, er bräuchte doch hinter dem Port auch noch ein "williges" Programm, das seine Datenpakete als Anweisungen interpretiert und ausführt. Welche "eierlegende Wollmilchsau" sollte denn das sein? Die gibts doch gar nicht, oder sehe ich das wieder falsch?
Es gibt 2 Varianten, bei der einen wird Dir ein williges programm untergeschoben, möglicherweise mit einem angehängten Bild, Video oder was weiß ich so dass Du es nichtmal mitbekommst, Du siehst das Bild und installierst nebenbei irgendein programm welches einen Port öffnet und wartet dass jamand eine Verbindung herstellt. Und das ist der Grund warum man nicht auf alles klicken sollte was man so per mail oder sonstwie auf den Rechner bekommt.
Und das andere sind fehlerhafte Programme, wo besonders schlaue Leute in der Lage sind einen Fehler derart auszunutzen, dass sie mit einem speziell präparierten Datenpaket das Programm dazu veranlassen eigenen Code auszuführen. Und das ist der Grund warum man sein System auf dem aktuellen Stand halten sollte, denn solche Lücken werden doch hoffentlich schnell nach Bekanntwerden der Lücke vom Hersteller behoben. ein gutes Beispiel waren die Blaster... Angriffe. Hier hat MS einen bzw. mehrere Dienste laufen gehabt, die eben solche Lücken hatten, und immer noch haben. Die Patches von MS kamen meist eher raus als die Viren, aber die Leute sind faul und haben sie nicht eingespielt, sich nicht drum gekümmert, was dann passierte weiß jeder.
Dazu kommt dass sicher 95% der Opfer die Dienste hätten deaktivieren können, ohne dass es für sie irgendeinen Unterschied im Alltag gäbe.Aber, das was an der Geschichte wirklich so erschreckend war, meiner Meinung nach, die Aufmerksamkeit gab es nur weil die infizierten Rechner abstürzten - was gar nicht im Sinne des Autors war, das heißt wenn das Programm keinen Fehler enthalten hätte der Rechner zum Absturz gebracht hätte, dann hätte das kaum jemand gemerkt, kaum jemand hätte die Patches eingespielt, und man hätte mit den infizierten Rechnern machen können was man wollte.
Viele Grüße
Andreas -
Moin!
Eine ergänzende Frage ist mir noch eingefallen: Was nutzt eigentlich einem Spion ein offener Port, wenn das dazugehörige Programm (also das, das ihn geöffnet hat) seine Datenpakete nicht verarbeiten kann und zurückweist bzw. wenn es weniger robust ist, abstürtzt?
Dann nutzt es nichts.
Beziehungsweise ist das eben genau die Frage. Und um das Risiko zu minimieren, sollten eben nur diejenigen Programme aktiv sein und einen Port offen haben, die man unbedingt zur Erfüllung seiner Aufgaben braucht.
Was an Programmen potentiell gefährlich sein kann: Wenn du beispielsweise ein Login hast, sei es nun FTP oder eine Kommandozeile (Telnet, SSH), dann wird sich dein Server bei Kontakt mit einem freundlich Text melden und auf Benutzername und Passwort warten. Natürlich kann man jetzt hingegen und alle möglichen Passworte ausprobieren. Das ist aber nicht unbedingt Sinn der Sache, dauert in der Regel ziemlich lange und kann auch durchaus entdeckt werden.
Wie lang ist typischerweise ein Benutzername oder ein Passwort? Wenn das mehr als 20 Zeichen hat, ist es schon unrealistisch. Wenn das Serverprogramm vielleicht (um sicherzugehen) 100 Zeichen im Speicher reserviert, könnte man auf der sicheren Seite sein.
Wenn der Angreifer aber 2000 Zeichen als Benutzername eingibt, und das Serverprogramm die alle brav vom Startbyte aus nacheinander in den Speicher schreibt, ohne die gesetzte Grenze bei 100 Zeichen zu beachten (und danach alle Zeichen zu ignorieren), dann kann man auf diese Weise Programmcode in den Speicher schreiben lassen, der möglicherweise auch ausgeführt wird.
Solche sogenannten Exploits, als das Ausnutzen einer Schwäche in der Programmierung eines Programms, sind in der Regel nur durch gutes Fachwissen über die Programmierinterna des Programms herzustellen. Die guten Fachleute melden solche Lücken (auch wenn sie kein Programm zum Ausnutzen schreiben konnten - ein Überschreiben solcher Puffer (Buffer Overflow) reicht als Kriterium) der Öffentlichkeit und dem Hersteller des Programms. Die bösen nutzen diese Sicherheitslücke für sich aus. Sowas ist allerdings auch nicht mal einfach so zu machen, man muß schon exakt die verwendete Softwareversion kennen, die man angreifen will. Manche Programme machen es einem leicht, indem sie in der Begrüßungsmeldung sagen "Hallo, ich bin Programm ABC Version X.Y". Manche Programme machen es einem schwer, indem sie diese Angabe nicht machen. Und manche Programme lassen sich so konfigurieren, dass dort eine beliebige falsche Angabe den Angreifer täuschen kann.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21335,05 Euro Spendengelder!
-
-
-
-
-
Moin!
Ich surfe im Internet und gelange dabei auf einen Webserver in Weißdergeierwo. Der Webserver selber ist OK, aber an ihm ist gerade ein anderer Client online, auf dessen PC ein Scan-Programm läuft. Und dieses ist nun in der Lage, alle dem Webserver gerade bekannten IP-Adressen zu scannen, offene Ports zu suchen und über diese Spionage auf meinem PC zu treiben.
Richtig so?
Nein, falsch.
Der Webserver gibt niemandem bekannt, mit welchen IP-Adressen er gerade eine Verbindung aufrecht erhält. Zumindest niemandem, der auch nur mit dem Webserver per HTTP kommuniziert.
ES SEI DENN (und jetzt kommt das große aber), derjenige hat als Administrator Zugriff auf den Server, hat diesen selbst aufgebaut und mit Schweinereien versehen, und nutzt diese auch.
Das bedeutet: Du bringst dem Betreiber des Webservers ein gewisses Vertrauen entgegen, dass dieser dich nicht bescheißt. Wobei: Das Auslösen eines Portscans aufgrund deiner Seitenabforderung ist noch nicht böse. Wenn als Ergebnis rauskommt, dass alle Ports zu oder gefiltert sind, dann ist das eine nutzlose Information.
Wenn irgendein Port offen ist, dann hat das ja möglicherweise einen Grund. Da kann sich ja eine Passwortabfrage dahinter verbergen, die man nicht mal so einfach überwinden kann. Also ist auch ein bewußt von dir offengelassener Port kein Problem, weil du den hoffentlich ordentlich abgesichert hast, in dem du Software verwendest, die man nicht überwinden kann, außer mit dem richtigen Passwort. (Und das bedeutet eben, diese Software ständig auf dem neuesten Stand zu halten - was einer der Gründe ist, weshalb man zuhause besser keinen Server betreibt. Weil das Updaten dieses Servers vielleicht umständlich ist und gerne vergessen wird.)
Wo wir aber gerade bei "Vertrauen" sind, und "Ausspionieren": Sowas wird tatsächlich gemacht. Und zwar mit Werbebannern.
Die findet man ja überall auf Webseiten. Manche kommen beispielsweise von Domains mit "doubleclick.com" (ob auch .net/.org/.de - weiß ich aus dem Kopf nicht).
Doubleclick schaltet auf ganz vielen Seiten Werbebanner rein. Da diese Banner nicht von der eigentlichen Seite geladen werden, sondern von ihren eigenen Servern, wissen sie deine IP. Und sie setzen ein Cookie für noch bessere Erkennung. Und können jetzt natürlich registrieren, welche Banner du abrufst. Und damit rekonstruieren, welche Webseiten du absurfst - sofern die alle Doubleklick-Werbebanner eingeblendet haben.
Folglich wirst du im Internet überwachbar. Natürlich zunächst nur anonym, und du als Einzelperson bist dem Unternehmen und denen, die Auswertungen der Art "von der Seite mit Thema X kommen Y% der Besucher zu dir" erhalten und sich daran erfreuen, auch gar nicht wichtig.
Aber da wir alle ja jetzt Amerikaner sind, und den Terror bekämpfen - wer weiß, wen es irgendwann einmal interessiert, wohin du gesurft bist. Und wie uninteressant - oder auch nachteilig - das für dich sein kann.
Ok, das Szenario ist natürlich jetzt aus "Die große Verschwörungstheorie" entnommen. Mir persönlich reicht es, wenn mein Browser keine Cookies dauerhaft speichert, dann bin ich für alle derartigen Dienste immer ein vollkommen unbeschriebenes Blatt. Und die meisten Cookies lehne ich sowieso ab, ohne dass die Seite dann irgendwie eingeschränkt wäre.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!
-
-
-
Tach
Also ich hoffe doch sehr, ein ISP der gerne Kunden hat, wird solche Sauereien nicht machen. Meine Anmeldung bei ihm beruht doch auf einem gewissen Vertrauensverhältnis, oder? Was hätte er davon und wenn das rauskäme wäre sein Ruf dahin.
Das hat doch mit Deinem ISP nichts zu tun.
Wenn Du eine beliebige Webseite von einem beliebigen Webserver anforderst, hinterläßt Du dort Deine IP-Adresse. Da machst Du nämlich im Prinzip das gleiche, was Swen oben mit den Ports beschrieben hat.Aber muss ich mir dann nicht doch selber zusätzlich ein Programm schreiben
Solche Sachen gibt's im Internet an jeder Straßenecke.
Thomas J.
-
Moin!
Aber muss ich mir dann nicht doch selber zusätzlich ein Programm schreiben
Solche Sachen gibt's im Internet an jeder Straßenecke.
Das spannendste fand ich damals (also bei meiner Entdeckung desselben), dass nmap (das Scantool für Linux - eine Windows-Version existiert aber IIRC auch) nicht nur offene Ports herausfinden kann, sondern auch das verwendete Betriebssystem!
Eigentlich eine "nette" sache, die darauf basiert, dass man ja nicht nur sinnvolle TCP-Pakete an einen Rechner schicken kann, sondern auch welche, die absolut keinen Sinn machen. Die Reaktion auf solche Pakete unterscheidet sich je nach Betriebssystem so deutlich, dass man Unterscheidungen treffen kann. Und beispielsweise erkennt, dass sich der TCP/IP-Stack von Windows NT jahrelang nicht verändert hat - zumindest in der Art, wie auf solche Pakete reagiert wird.
Und was man auch noch herausfinden kann: Wie lange der Rechner schon eingeschaltet ist. Da gibts offenbar in TCP-Paketen ein Feld, welches eine Timestamp enthält. Und wenn die bei Systemstart bei Null losrennt, und regelmäßig Sekunden hochzählt, dann kann man natürlich rauskriegen, wie lange ein Rechner schon aktiv ist.
TCP/IP ist eigentlich ein sehr spannendes Thema. :) Ich bin leider nicht gut genug bewandert, da selbst kreative Tools zu erfinden, aber das, was andere rausfinden und, teilweise nett verpackt in interessanten Storys, berichten, kann ich ja einfach mal wiedergeben. :)
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Moin
TCP/IP ist eigentlich ein sehr spannendes Thema. :) Ich bin leider nicht gut genug bewandert, da selbst kreative Tools zu erfinden, aber das, was andere rausfinden und, teilweise nett verpackt in interessanten Storys, berichten, kann ich ja einfach mal wiedergeben. :)
Naja, ich bin da auch nur Autodidakt. Also sozusagen mit einem gesunden Halbwissen für den Hausgebrauch ausgestattet.
Aber es stimmt schon. Wenn ich wieder mal etwas über irgend ein Exploit lese, das irgend eine Sicherheitslücke in irgend einem Programm ausnutzt, versuche ich manchmal, die Wirkungsweise nachzuvollziehen. Dabei verfalle ich ziemlich regelmäßig in Depressionen :)Thomas J.
Btw., hast Du schon mal Nessus ausprobiert?
-
Moin!
Aber es stimmt schon. Wenn ich wieder mal etwas über irgend ein Exploit lese, das irgend eine Sicherheitslücke in irgend einem Programm ausnutzt, versuche ich manchmal, die Wirkungsweise nachzuvollziehen. Dabei verfalle ich ziemlich regelmäßig in Depressionen :)
Btw., hast Du schon mal Nessus ausprobiert?
Das war doch "dieses Security-Scan-Tool"? Ja, das ist auf der (vor-(?))letzten Knoppix-CD der c't draufgewesen. Wenn man das benutzt, verfällt man sowieso in Depressionen.
:)
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
N abend
Das war doch "dieses Security-Scan-Tool"? Ja, das ist auf der (vor-(?))letzten Knoppix-CD der c't draufgewesen.
Kann ich jetzt nicht sagen.
Ich hatte mir das vor einiger Zeit mal von http://www.nessus.org gesaugt, um die Windows-Installationen in der Firma zu testen.
Ich glaube, auf http://www.port-scan.de kann man seine Kiste auch von Nessus durchchecken lassen.
Ist ganz interessant, was das Teil alles so finden kann.Thomas J.
-
Moin!
N abend
Das war doch "dieses Security-Scan-Tool"? Ja, das ist auf der (vor-(?))letzten Knoppix-CD der c't draufgewesen.
Kann ich jetzt nicht sagen.
Aber ich. Einmal "emerge nessus" gemacht - und schon deprimiert... :)
Auf meinem alten, bald ausdienenden Gateway hat der dermaßen viele Sicherheitslücken gefunden, dass es eigentlich ein Wunder ist, dass das Teil immer noch läuft. Könnte daran liegen, dass von außen nur ein Port offen ist, und der Rest per Firewall abgewehrt wird.
Aber auch bei einem nagelneuen Gentoo-Server wird nichts an Kritik ausgelassen. Insgesamt habe ich hier im internen Netz keinen einzigen sicheren Rechner. Naja, es hat ja wohl durchaus seinen Grund, warum das Netz "intern" ist... ;)
Ich glaube, auf http://www.port-scan.de kann man seine Kiste auch von Nessus durchchecken lassen.
Ist ganz interessant, was das Teil alles so finden kann.Durchaus. Aber wie ich schon sagte: Es deprimiert. :)
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21335,05 Euro Spendengelder!
-
-
-
-
Hallo!
Das spannendste fand ich damals (also bei meiner Entdeckung desselben), dass nmap (das Scantool für Linux - eine Windows-Version existiert aber IIRC auch) nicht nur offene Ports herausfinden kann, sondern auch das verwendete Betriebssystem!
Was mich an nmap sehr gewundert hat ist, dass es sogar hinter einem Router mit ausgeschaltetem Port Forewarding offene Ports im Netzwerk hinter dem Router findet!
Das hätte ich nicht gedacht.
Grüße
Andreas-
Moin!
Was mich an nmap sehr gewundert hat ist, dass es sogar hinter einem Router mit ausgeschaltetem Port Forewarding offene Ports im Netzwerk hinter dem Router findet!
Was ist denn ein "Router mit ausgeschaltetem Port Forwarding"? Klingt wie "elfengleiches Nilpferd", "schwarzer Schimmel" oder "nichtexistierende Existenz". Irgendwie widersprüchlich. Ein Router heißt Router, weil er Pakete von Netz A nach Netz B befördert. Wenn er das tut, erklärt das alles.
Wenn nicht, ist irgendeine schwarze Magie im Spiel.
- Sven Rautenberg
--
Die SelfHTML-Developer sagen Dankeschön für aktuell 21205,05 Euro Spendengelder!-
Hi!
Was ist denn ein "Router mit ausgeschaltetem Port Forwarding"? Klingt wie "elfengleiches Nilpferd", "schwarzer Schimmel" oder "nichtexistierende Existenz". Irgendwie widersprüchlich. Ein Router heißt Router, weil er Pakete von Netz A nach Netz B befördert. Wenn er das tut, erklärt das alles.
War doof ausgedrückt, die normalen Router für den SOHO-Bereich die man an jeder Ecke beim DSL-Anschluss dabei bekommt, was ja eigentlich keine Router sind sondern NAT-Gateways, da würde ich annehmen, dass man von außen nicht erkennen kann, was sich hinter der NAT-Gateway befindet, da ein NAT-Gateway ohne Port-Forewarding keinen Verbindungsaufbau von außen zulassen sollte. Naja, mit irgendwelchen Tricks scheint es aber möglich zu sein, Dienste hinter einem NAT-Gateway ganz ohne festes Port-Forewarding zu finden. Das erstaunt mich, da ein NAT-Gateway sich ja lediglich merkt, wohin Antworten auf Requests gesendet werden sollen, um von außen eine Verbindung aufzubauen muss man ein statisches Port-Forewarding einrichten, das heißt dem Gateway sagen dass es Anfragen von außen an Port X an IP Y, Port Z weiterleiten soll, denn von sich aus kann das Gateway ja nicht wissen welcher der Rechner hinter dem Gateway jetzt bei einer Anfrage an die öffentliche IP gemeint ist, denn hinter einem NAT-Gateway befinden sich für gewöhnlich nicht geroutete private Adressbereiche.
Naja, jedenfalls findet nmap trotzdem Dienste hinter einem solchen Gateway.Viele Grüße
Andreas
-
-
-
Hallo Sven,
Eigentlich eine "nette" sache, die darauf basiert, dass man ja nicht nur
sinnvolle TCP-Pakete an einen Rechner schicken kann, sondern auch welche,
die absolut keinen Sinn machen.Was mich an die Zeiten erinnert, in denen Windows 95 (?) bei Empfang eines
solchens einen Bluescreen zeigte und sich dann die Tools dafür recht stark
verbreiteten.Tim
-
-
-
-
-
-
Hello Sven,
danke für den Input.
Habe auch eben erst realisiert, dass da "unsichtbar" und nicht "unsicher" stand. Hatte wohl heute Morgen die falsche Brille auf.
Allerdings hätte ich dann nicht nachgefragt und Du hättest nicht nochmal ausführlich geantwortet - das war nun doch noch recht informativ.
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
-
-
-
-
-
Hello,
Du benutzt Windows ME. Ist dein Port 5000 geschlossen? Oder sonst irgendwelche Ports noch offen?
Alle Zeilen, die "Abhören" als Status haben, sind potentiell verdächtig.
Die sind für die Windows-Dateifreigabe zuständig, und sollten definitiv abgeschaltet sein, wenn man im Internet rumsurft. Ebenso alle anderen Ports, die sich aufgrund der Liste noch ergeben. Wenn man nicht weiß, wozu man den Port braucht, braucht man ihn nicht, und sollte ihn schließen.
"Hallo, ich bin ein Netzwerkdrucker." "Oh, das ist gut. Ich bin ein Kühlschrank. Druck doch mal die Einkaufsliste für nächste Woche".
Gut, dann komm ich auch mal über Port 5000: "Hallo, ich bin Tom und wüsste gerne, wie man denn in den WinDOSen die Ports gezielt und nachhaltig abschalten kann"
Nun hoffe ich, dass Du Deinen "Port 5000" noch nicht geschlossen hast, und ein Handler für meinen Request bereitsteht. Passt das Protokoll überhaupt?
Liebe Grüße aus http://www.braunschweig.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
-
-
-
hi,
kann mir jemand einen kostenlosen Virenscanner und eine kostenlose Firewall empfehlen?
warum, weil heute "tag der firewall" ist (bzw. sein soll)?
http://www.heise.de/newsticker/data/dab-15.01.04-002/na schön, dann denke aber dran, sie morgen wieder zu deaktivieren (und heute für den rest des tages nicht online zu gehen), damit sie dich nicht in falscher sicherheit wiegt.
gruss,
wahsaga