[HaBo]

ByteSurfer

Anzeige

Hallo an alle,

brauche ein paar Anregungen(Brainstorming).

Welche Funktionen, oder welchen Überwachungsschutz sollte eine heutiges Sicherheitstool für Windows besitzen.
Ein Tool welches ein Mischmass aus allem ist.
Sei es den Speicher überwachen, Registry, dll's etc. etc.

Da es doch bestimmt interessantere Wege geben muss um seinen Rechner zu schützen als die allgemeinen bekannten Tools AV/FW.



Gruß Andreas

Nimda05

Was mir auf anhieb einfällt

Antivirenprog
Firewall
Antispyware

Des weiteren für Server:
Etwas zum Dienste abschalten
Brute Force Detection
Anti-DOS/DDOS Skript

CLX

Also ich denke, dass ein relativ interessanter weg, dass IDS (Intrusion Detection System) ist.

shodan

Naja ein IDS schützt den Rechner im Prinzip nicht.
Es loggt nur alle auffälligkeiten.

Ich denke das die Intrusion Prevention Systems (IPS) die Zukunft
sind. Da sie aktiv sind und bei einer Bedrohung aktiv vorgehen.
Das derzeitige Problem ist allerdings das der "false positive" Alarme
die man ja auch bei einem IDS hat, dort sind sie nur nicht so schlimm.

Persönlich denke ich das die IPS auf längere sicht Firewalls überflüssig machen werden.

mfg

bitmuncher

Ich glaube kaum, daß IPS die Firewalls ablösen werden. IPS sind für den normalen User kaum konfigurierbar/übersehbar. Im Server-Bereich werden sie aber mit Sicherheit in Zukunft standardmäßig die Firewalls ergänzen.

Der Vorteil an Firewalls ist, daß sie mit wenig Rechenleistung komplette Ports dicht machen können um somit z.B. bestimmte Services nur lokal (über das Loopback-Interface) verfügbar zu machen. Außerdem lassen sich ziemlich einfach komplette IP-Ranges aussperren. IPS werden in Zukunft aber z.B. unerlaubten Traffic auf zur Verfügung gestellten Services ausfiltern (tun sie ja heutzutage bei vielen Netzwerken schon). Somit werden sie also lediglich eine Ergänzung, aber daß sie eine Firewall wirklich ersetzen werden, sehe ich noch nicht, da sie viel zuviel Rechenleistung benötigen (zumindest im Vergleich zu einer Firewall).

__________________

shodan

Sicher dass das in 5-6 Jahren noch der Fall sein wird?

Mit dem Argument das so etwas für "normale" benutzer zu kompliziert
sei, haben sich schon viele leute in die Nesseln gesetzt.

Das mit der Rechenleistung stimmt ein IPS braucht da schon ne menge
mehr als nen einfacher Paketfiler. Obwohl man sich die frage stellen
müsste ob das in Zukunft noch ein Problem darstellt.

Wenn man ein IPS und einen Paketfilter einsetzen will sollte man sich
die frage stellen ob man das braucht.
Denn wenn die IPS System zuverlässig arbeiten wäre die kombination
mit einem Paketfilter quasi doppelte filterung die dann noch mehr leitung benötigt.
Darüber hinaus sollte man sich auch voraugen halten dass mann
dann zwei Systeme warten und Pflegen muss, also doppelte arbeit.

Aber wer weiß schon was die Zukunft bringt vieleicht kommt in 3 Jahren
etwas völlig neues, was alles bisherige in diesem bereich überflüssig macht.

mfg

bitmuncher

Nunja, wenn ich mir halt anschaue, wie IPS heutzutage eingesetzt werden, dann sieht das z.B. auf unserem Datenbank-Server so aus: Der Paketfilter sorgt dafür, daß diverse Services, die lokal benötigt werden, aber Netzwerkdienste sind (Mailserver, Applikation-Server u.a.), via iptables (also Paketfilter) nach außen dicht gemacht werden. Außerdem wird der Zugriff auf den Datenbank-Port auf die IPs unserer Server restriktet und der Traffic wird auf TCP-Traffic beschränkt. Zusätzlich überwacht ein IPS den Traffic und filtert z.B. Pakete aus, die durch IP-Spoofing vorgeben von einem unserer Server zu kommen, schaut sich also die Route genauer an, die die Pakete gemacht haben. Dadurch ist ein wesentlich kleinerer Regelsatz für das IPS notwendig, als würde es die Arbeit der Firewall übernehmen müssen, was wiederum Rechenleistung einspart.

Hoffentlich endlich ein Computer, der auch ein Jain versteht.

Aber nun wird es zu sehr offtopic.

__________________

Gulliver

Hardwaremodule die angaben ueber virtualisierte instanzen anzeigen koennen

ByteSurfer

Hi Gulliver,

kannst du das vielleicht etwas näher erläutern.

Gruß Andy

CDW

Anmerkung: zuerst hatte ich das zwar als Antwort für WinApi Registry
erstellt, allerdings sollte es hier doch besser aufgehoben sein:
ZielOS: Windows
Jep - strenge Rechtevergabe und Non-Admin-Userkonto Benutzung.

Ok, man bekommt dann keine schönen Meldungen, dass irgendwas abgewehrt wurde (obwohl - bestimmt kann man mit ein wenig Aufwand das loggen lassen und mit ein wenig VBS kenntnissen sogar anzeigen) - Ereignisanzeige->Sicherheit sollte per Script auslesbar sein

Bsp: man legt einen Surf-User an, dessen Rechte sehr eingeschränkt sind.
Dazu setzt man auf den genzen Laufwerken für diesen User ein komplettes Lese/Schreibeverbot oder alternativ Schreiben/Ausführen verbieten. Nur die "Eigenen" Dateien des Users sind für ihn schreibend erreichbar (hier sollte man in den erweiterten Sicherheitseinstellungen des Ordners "Ordner durchsuchen,Datei ausführen" verbieten) sowie Browserordner lesend freigegeben (verboten: Dateien anlegen, ändern usw). Also im Prinzip nur darauf achten: wenn man in einem Ordner Programme ausführen möchte, so darf der User in diesem Ordner nicht schreiben/ändern. Darf ein User in einen Ordner schreiben, so soll ihm verboten werden, in diesem Ordner etwas auszuführen. Zusätzlich kann man ja auch für "Normaluser" ein Ausführverbot auf den einen (vom Surf-User beschreibbaren Ordner) setzen, um nicht ungewollt doch etwas aus dieser "Quelle" auszuführen.

Auch mal unter Verwaltung->lokale Sicherheitseinstellungen->lokale Richtlinien->zuweisen von Benutzerrechten vorbeischauen.

Das ganze nimmt je nach Größe der Festplatte (vorausgesetzt,diese ist mit NTFS formatiert) und eigenen Kenntnissen 1-2 Stunden in Anspruch . Für XP Home User empfielt es sich das Programm FajoXP, um den Sicherheitsdialog "freizuschalten".

Sollte jetzt irgendeine Lücke im Browser auftreten und ausgenutzt werden, kann der Schadcode weder in die Autoruns,Systemordner noch in andere Programmordner wechseln und auch keine anderen Prozesse hijacken. Er kann sich nur in die zum schreiben freigegebene Ordner eintragen - allerdings wurde da für diesen User ein striktes Ausführen-Verbot erteilt - eine Executable zum infizieren gibt es da nicht (sollte man schon vorher dafür sorgen - schließlich kann der Surf-User diese eher nicht ausführen) und eine frisch erstelle fällt ziemlich schnell auf (und kann vom Surf-User eher nicht ausgeführt werden). Um den Rechner zu infizieren, muss also der Code noch eine zweite Lücke ausnutzen, die ihm höhere Privelegien/Ausführung unter SYSTEM/Adminkonto erlaubt. Und zwei "passende", ungepatche Lücken zusammen mit einem passenden Code sind doch um einiges unwahrscheinlicher.

So kann man z.B seinen Browser im Kontext dieses Surf-Users starten, ohne irgendwelche "Qualitätseinbußen" beim Arbeiten zu bemerken. Das Konzept lässt sich auch für "Normale" Userkonten anwenden, allerdings scheitert es bei manchen Programmen an unsauberer Programmierung - manche Programmierer öffnen z.B (System)Registryschlüssel direkt mit "ALL_ACCESS" obwohl sie diese nur lesen wollen - ein eingeschränkter User hat aber keinen Schreibzugriff darauf und der Aufruf scheitert zurecht. Andere Programme legen Einstellungen/Daten im eigenen Ordner ab, obwohl (afaik) die Rechte für X:\Programme per Default auf "Lesen,Ausführen" eingestellt sind und das Ganze schon etwas _länger_ bekannt ist - Programme solten Userdaten im Userordner ablgegen und Einstellungen auch entweder da oder in der Registry speichern. Es gibt da noch einiges an negativen Beispielen.

Allerdings kann man z.B seinem "Standardkonto" die Zugriffsrechte aufs Internet entziehen und alle Programme, die das Internet nutzen sollten mit einem "Internetuser" (so ähnlich wie das Surf-Konto bzw einfach das Surfkonto etwas angepasst/erweitert) gestartet werden. Damit macht man auch eine Applikationfirewall überflüssig (bei diesen erlaubt man ja auch nur die vertrauenswürdigen Programme ). Hier findet man eine schöne Liste der "NeztwerkDLLs"
http://www.ndis.com/papers/winpktfilter.htm
Aber achtung: man sollte bei der Rechtevergabe sehr aufpassen, dass man das SYSTEM-Konto nicht aussperrt, sonst bootet der Rechner nämlich nicht mehr (allerdings sollte ein Booten von CD und neusetzen der Rechte wieder Abhilfe schaffen).

Durch diese Maßnahme sollte also zumindest kein Programm "nach Hause telefonieren" können. Inwieweit es zuverlässig ist, müsste man austesten. Ich denke aber, dass es durchaus mit PFWs mithalten kann. Man könnte ja auch einen von den Leak-Testern nehmen (z.B wie hier: http://www.matousec.com/projects/win...-test-software)
laufen lassen und schauen.

Alternativ funktioniert auch das Freigeben der Internetverbindung nur für bestimmte User (unter Netzwerkverbindungen). Habe aber leider zur Zeit keine Möglichkeit, es zu testen.

Und wenn man sich http://www.ntsvcfg.de/ anschaut und durchgeht, hat man auch alle unnötigen Dienste abgeschaltet - also braucht man (je nach dem) auch keine PFW auf dem Rechner oder höchstens einen schlichten Packetfilter, wie ihn 2000/ XP schon mitbringen.

Insgesamt kann man also schon mit Bordmitteln und ohne Zusatztreiber einiges erreichen, ohne gleich das System zuzumüllen. Unterstützend kann man natürlich immer noch einen AV nutzen oder für nichtvertrauenswürdige Programme "Sandboxie"/VM.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

ByteSurfer

Moin CDW,

Ich finde das als Ansatz und Idee interessant!
Benutzerrechte und -bestimmungen sind die Kriterien die man auf jeden Fall beeinflussen und Händeln sollte, da der User ja immer der Dummy ist.

Ist nur die Frage in wie weit der Benutzer diese Rechtevergabe hinnehmen will. Aber gewisse Ordner sind ja immer betroffen System32 etc... sodass diese mit Einschränkung geschützer wären.
Den Netzwerktraffic lässt man dann über ein RootKit filtern...
Die Registry wird überwacht, und die aktivierung neuer Prozesse verhindert besser gesagt auch überwacht. mmh

Werde mich erstmal kurz mit deinen angegebenen Pfaden/Links vertraut machen.

Was denken bzw. wie finden denn die anderen ForumNutzer diesen Grundgedanken?

Danke für Dein Gedankengut!

Gruß Andy

CDW

Naja, viele dieser Schritte kann man mehr oder weniger gut automatisieren/scripten .

Der Gedanke ist, dass durch geschickte Rechtevergabe die "Überwachung" unnötig wird.
Ohne genug Rechte kann Malware auch keine Registryeinträge machen - genauso wie SYSTEM32 und kompletter Windowsordner nur für Admins "betretbar"/beschreibbar sind. Probiere mal mit einem eingeschränkten User da irgendwas zu ändern . Die meisten "Sicherheitstools" sind imho unnötig, wenn man den User davon abbringt, mit Adminrechten zu arbeiten und vor allem etwas Konfigurationsarbeit leisetet.
Dann wird es nämlich sehr schwer für Malware sich irgendwo einzunisten weil einfach die vielen "Windowssicherheitslücken" auf die ständige Adminkontonutzun zurückzuführen sind.

Denn bei der Überwachung muss man alles berücksichtigen.
Und z.B die Registry (im laufenden Betrieb) ändern kann man auch direkt über den physikalischen Zugriff auf die Festplatte:
CreateFile(\\.\PhysicalDrive0) - damit hat man (unter Admin-Konto bzw Adminbenutzergruppe) "Raw Zugriff" auf das Laufwerk, und braucht sich weder um gesetzte Dateiattribute noch irgendwelche Registry-API Hooks oder auch Systemschutz zu sorgen. Die einzige Schwierigkeit besteht jetzt darin, NTFS' MFT auszulesen und die Registry auf der Festplatte zu lokalisieren und zu ändern. Dies wird aber mehr oder weniger von diesem Tool gemacht (auch wenn es ein komplett anderes Anwendungsgebiet ist) http://home.eunet.no/pnordahl/ntpasswd/ - Source verfügbar.
Das ganze funktioniert auch für das Laufwerk, auf dem das aktuell laufende Windows installiert ist - man kann Dateien nach belieben ändern, es gibt keinerlei Sperren. Ich glaube nicht, dass irgendeine PFW diese Registryänderungen im Moment verhindern kann - und wäre mir nicht so sicher, dass auch alle Variationen von CreateFile(PhysicalDrive) korrekt abgefangen werden.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.