IRC-Schutz?

Hallo,

mir ist bekannt, dass im IRC wohl viele Kiddies rumrennen, für die es eine Leichtigkeit ist, mit fremden Rechnern Mist zu bauen oder sonst was ... Kann man sich per Software irgendwie - zumindest teilweise - davor schützen, damit z.B. wenigstens irgendwelche Befehle nicht funktionieren die eh schon fast jeder kennt?

Vielen Dank im Vorraus.
 
Hallo,
naja per IRC bekommen die Kiddies deine IP, mit deiner IP können die gucken ob du Sicherheitslöcher auf dem PC hast und brechen dann darüber ein.

1. Sicherheitsupdates von MS aufspielen
2. Softwarefirewall installieren (z.B. von www.sygate.de ) oder noch besser eine Hardwarefirewall (z.B. im Router) kaufen

3. Keine Angst mehr vor solchen Script Kiddies haben ;) Ach ja, und Update immer aufspielen
 
Desktop Firewall ist in den meisten Fällen unnötig, bei Windows NT sollte man aber unbedingt überprüfen, welche Dienste laufen und nicht benötigte abstellen. Für Leute, die sich damit nicht auskennen, ist http://ntsvcfg.de/ sehr praktisch.

Überlegungen zu DFWs kann man danach anstellen, wie gesagt, in den meisten Fällen gibt es keinen wichtigen Grund für solche Software.

Greets, Ziri
 
Hallo,
naja eine DFW schadet auch nicht extrem. Man installiert sie schnell und kostenlos, die Grundeinstellungen bieten schon schutz gegen alle Script Kiddies.

Nur muss man wissen, welchem Dienst man den Zugriff erlaubt und welchem nicht.

Aber ja, Zone Alarm ist in meinen Augen Kacke, nicht sicher genug, aber die zu Knacken kann nicht jedes Kind, wenn man das schafft, gehört man schon zu den Cracker
 
Na ja, also von Desktop-Firewalls halte ich persönlich so gut wie gar nichts.

Die Dienste und Netzwerkeinstellungen habe ich alle mal zwecks Sicherheit eingestellt.

Ich dachte da eher direkt an das IRC-Netzwerk - ich hab immer gedacht dass diese Leute direkt übers IRC irgendwelchen Mist machen.
 
Hallo,
außer IP-Sniffing, evt. Zuspammen in IRC Channel, Bleidigungen etc, kenn ich nichts schlimmes, außer sogenannte IRC-Viren.

Diese IRC-Viren erhalten die Befehle aus einem IRC Channel, aber das betriff einen nicht, wenn man nicht infiziert ist
 
Achso na denn, weil man hört ja so viel dass ned so sicher sein soll und sich da so viel durchschleicht im IRC ...
 
Oh, gefährliches Halbwissen.

Elderan, mit einer PFW kann man sich sehr schnell in den Fuß schießen, wenn man nicht weiß, was man tut. Und von wegen default-Einstellungen schützen vor Scriptkiddies, das ist nur das, was die Werbung dich glauben machen will. Leute, die sich mit Netzwerken kein bisschen auskennen, sollten lieber das Script von oben genannter Seite laden, ausführen und "alle Dienste deaktivieren" wählen, sie brauchen sie sowieso nicht. Danach ist kein Zugriff von außen auf den Rechner mehr möglich. Zusätzlich ist ein guter Virenscanner dringend anzuraten (und der sollte auch bei JEDEM download und mail-anhang usw benutzt werden), dann ein Stück Spyware, ein Trojaner, oder was auch immer könnte wieder unbemerkt einen Dienst auf dem eigenen Rechner aufmachen.

Wie gesagt, erst DANACH kommen die Gedanken über Paketfilter/PFW, und so weit sollten nur Fortgeschrittene gehen, die so etwas auch handhaben können. Wichtig ist zunächst, dass das Beenden/Deinstallieren/Verändern des Regelwerks der PFW nur als "Administrator" möglich ist (und als kein anderer Account, der admin-Rechte hat), denn ansonsten könnte jedes böswillige Programm auch sehr leicht die Kontrolle über die PFW übernehmen und sie wäre sinnlos.

Was man dann z.B. damit tun kann:
- Man kann pings nur noch von bestimmten Adressen erlauben. Das erhöht zwar in keiner Weise die Sicherheit, verringert aber wahrscheinlich die Anzahl der Scans, da viele "toolz" zunächst pingen und nur bei Erfolg den eigentlichen Scan starten. Natürlich nicht alle.
- Eventuell hat man ja ein LAN und möchte dort einen Dienst, z.B. einen FTP-Server anbieten. Wenn man da nun nicht einstellen kann, dass er sich NUR an die lokale Netzwerkkarte binden soll, dann ist die PFW ein gutes Mittel, den entsprechenden Port für Zugriffe von "draußen" zu sperren.

Vielleicht fallen jemandem ja noch mehr sinnvolle Einsatzmöglichkeiten von PFWs ein.

Greets, Ziri
 
Gute Erfahrungen macht man mit ZoneAlarmPro.
Im Stealth Modus kann man allerdings keinen DoS Attacken ausweichen.
Da sollte man am besten ein Programm haben, welches diese Filtern kann.
Ist mir unter Windows aber keines bekannt.

cromatic
 
Oh hört bitte auf, Quark zu posten. Man kann sich nicht generell vor DoS-Attacken schützen, denn das ist ein weites Feld. DoS = denial of service, d.h. jeder wie auch immer geartete Angriff, der dazu führt, dass der Zielrechner seinen (Netzwerk-)Dienst nicht mehr verrichten kann, ist ein DoS-Angriff.

Die triviale Möglichkeit (und wohl auch mit Abstand am häufigsten eingesetzte) ist ein irgendwie gearteter flood. Solange der Angreifer nicht über mehr Bandbreite verfügt als der Angegriffene gibt es da immer Mittel und Wege, da er sich irgendwelcher Tricks bedienen muss, wie z.B. beim SYN-Flood der Tatsache, dass der Angegriffene eigentlich für jedes Paket eine "halboffene" Verbindung anlegen und im Speicher halten muss bis zum Timeout. SYN-Cookies lösen dieses Problem.

Sobald aber der Angreifer über genügend Bandbreite verfügt, gibt es absolut KEIN Mittel, sich gegen einen solchen Flood zu wehren, da man schließlich über die eintreffenden Pakete keine Kontrolle hat. Egal ob man sie nun annimmt oder nicht, die Leitung wird nunmal blockiert. Hier kann höchstens noch der Provider helfen, indem er "malicious traffic" bereits am Backbone erkennt und dort schon ausfiltert.

Und noch ein paar Worte zum "Stealth Mode":
- Darunter verstehen viele PFWs unter anderem das komplette Blocken von ICMP. *AUA*, damit geht die komplette Fehlerbehandlung auf IP-Ebene verloren. Unbedingt Finger weg von solchem Murks. Einzig legitimer Eingriff dürfte sein, PINGs zu reglementieren (bzw eben die Antworten drauf, icmp-echo-reply), weil das viele Scriptkiddie-Scanner nutzen um anzutesten, welche Rechner in einer IP-Range überhaupt erreichbar sind, man kann sich also eventuell unnötige Scans ersparen.
- Eine zweite Auslegung davon ist, dass Verbindungen weder angenommen (SYN/ACK) noch abgelehnt (RST) werden, was nach TCP die einzigen Möglichkeiten sind (Port offen oder eben nicht), sondern schlichtweg ignoriert werden. Sinn davon ist, dass viele "t00lz" davon ausgehen, dass unter einer bestimmten IP kein Rechner vorhanden ist, wenn sie keine Antwort erhalten. Nur ist es bei den meisten ISPs, die PPP-Zugänge bieten, so, dass sie ja WISSEN, welche PPP-Verbindungen offen sind, und daher den Router Anfragen korrekt "rejecten" lassen, falls auf der betreffenden IP gerade kein Rechner eingewählt ist. Das könnte in Zukunft dazu führen, dass gewisse t00lz das komplette Ausbleiben einer Antwort ganz im Gegenteil so interpretieren, dass da ein Rechner mit PFW sein MUSS ... Zur Zeit ignoriere ich selbst noch Anfragen an Ports, die ich nicht geöffnet habe, einfach auch um gewissen Portscannern den timeout aufzuzwingen und sie so ein wenig zu ärgern. Sobald ich aber feststelle, dass sich dadurch die Zahl der Scans erhöhen sollte, werde ich wieder alle geschlossenen Ports ganz normal rejecten.

Soweit also zum sogenannten "Stealth Mode", der je nach Ausführung mehr oder weniger sinnvoll sein kann, aber unter GAR KEINEN UMSTÄNDEN geeignet ist, die Sicherheit zu erhöhen.
If unsure, say N

Greets, Ziri

PS: Sorry für die zum Teil harten Worte zu dem Thema, aber ich halte es einfach für gefährlich, wenn solche Halbwahrheiten und Legenden verbreitet werden.
 
Elderan, mit einer PFW kann man sich sehr schnell in den Fuß schießen, wenn man nicht weiß, was man tut. Und von wegen default-Einstellungen schützen vor Scriptkiddies, das ist nur das, was die Werbung dich glauben machen will.

Eine gute DFW sollte im default Modus automatisch alle Anfragen von außen nach innen blockieren. Damit ist schon mal eine Grundgefahr behoben.

Dann sollte sie ein Signal geben, wenn ein Prog eine verbindung aufbauen möchte und natürlich muss man dann: Ja / Nein anklicken.
Das schützt schon mal vor Ungewünschten Anfragen von innen nach außen.

Natürlich kann man DAU's immer noch überrumpel, indem man das Programm z.B.: Internet Explorer, Windows, Mircosoft usw. nennt, aber ich sprach von Script Kiddies.

Nach meiner Definition können die nicht viel mehr als Trojaner runterladen+starten auf fremden Server.

Allerdings bekommen sie wegen der DFW keine Anfrage von außen nach innen, Torjaner müsste also von Innen nach außen aufbauen.

Und dort hat man dann auch wieder die Hand, ähh Maus, im Spiel.

Klar kann man die Überlisten, aber ich glaube Script Kiddies können das nicht wirklich.
Aber der Faktor Mensch ist viel Unzuverlässiger....

Wenn dort steht:
Dies ist ein Internetgame, bevor Sie es spielen können, müssen Sie ihre Firewall deaktivieren oder so einrichten, das man über den Port 123 auf die IP 1.2.3.4 zugriff hat.

Viele stellen die Firewall dann gleich aus.
 
Eine *sinnvolle* Default-Einstellung darf gar nicht sämtliche SYN-Pakete droppen bzw rejecten, sondern muss zumindest den identd zulassen, sonst gehen einige Protokolle "kaputt". Identd zu sperren sollte also in jedem Fall vom Benutzer explizit gewünscht werden. Außerdem gab es schon genug Nuker und anderen Unfug, die keine TCP-Verbindung brauchten. Ein weiteres Problem hast du bereits angesprochen.

Ebenfalls gefährlich ist die Tatsache, dass eine PFW, selbst wenn sie die Verbindungen verbietet, einen Trojaner nicht *entdeckt*. Der DAU merkt nicht, dass er da Malware auf dem Rechner hat.

PFWs SIND nichts für Anfänger, das ist eine ganz üble Werbelüge. Völlig unbrauchbar sind PFWs, die ohne besondere Rechtevergabe das Ändern des Regelsatzes zulassen. Welche, die das dem Administrator vorbehalten [?], sind brauchbar, aber eindeutig ein Werkzeug für Fortgeschrittene und nur als _zusätzlicher_ Schutz zu verstehen.

Ich hoffe du hast das jetzt kapiert ...

Greets, Ziri

[?] in de.comp.security.misc übrigens dann Host Based Packet Filter (HBPF) genannt, allerdings finde ich diese Nomenklatur fragwürdig, mindestens so fragwürdig wie die Bezeichnung "Personal Firewall"
 
möchte auch mal was dazu sagen.
1. denke ich dass du dich auch durch Windows Updates und einigermaßen kluges Verhalten vor Script Kiddies schützen kannst
2. halt ich PFs ebenfalls für ziemlichen Unsinn

Du kannst mir nicht erzählen, dass ein unwissender Anwender der gerade an was arbeitet ein vernüntiges Urteil über die Frage ob er diesen Dienst durchgehen lassen will oder nicht, fällen kann. Außerdem kann man solche Sachen auch faken wo du dann bei den Default Einstellungen gleich Fulltrusted bist.
Dazu kommen noch viele andere Sachen, die aber auch schon oft angepsrochen worden sind und hier nicht hinpassen.

Nochwas zum Stealth Mode.
Sinn?
Wenn ich einen Rechner anpinge und der nicht antowortet ondern all diese Pakete blockt, dann weiß ich doch, dass es diesen Rechner gibt.
Würde es ihn nicht geben, dann würde es mir doch sagen, dass er Host nicht existiert.
...
 
Ein BNC könnte dir Schutz vor Kiddies bieten, da du dann über einen "proxy" im IRC bist

mfg
Sven
 
Wie sven schon sagt.

Ein BNC/Bouncer würde dein IP verheimlichen.

Sobald du aber ein DCC-Chat eingehst, die über IRC (DCC) Daten schicken lässt oder schickst, weiss dein Gegenüber welche IP du hast.

Beachte aber das nur deine IP verheimlicht wird.

Der Bounce stellt eine Art Tunnel da, welche vor dich Richtung IRC geschaltet wird.

Trotz allem bist du nicht gegen Fehler in deiner IRC-Client-Software in diesem Fall geschützt.

Dies könnte man weiterführen das du deine Emailaddy nicht rausgeben darfst, da dir dort wieder diverse Sachen untergejubelt werden könnten usw.
Darauf gehen wir aber erst mal nicht ein.

DCC=DirectClientConnection
 
Eine *sinnvolle* Default-Einstellung darf gar nicht sämtliche SYN-Pakete droppen bzw rejecten, sondern muss zumindest den identd zulassen, sonst gehen einige Protokolle "kaputt".
Es gibt IMO keine Protokolle die den identd bzw. auth zwingend benötigen, somit gibt es auch keine Protokolle die ohne "kaputt" gehen. Es gibt zwar ein paar SMTP-, FTP- und insbesondere IRC-Server die den Dienst nutzen, aber besonders in den ersten beiden Fällen ist dies eher selten geworden und schon gar nicht zwingend notwendig (wenn doch würde ich den Server meiden)... Für IRC-Nutzer ist somit REJECT sinnvoll und für alle anderen wohl doch eher DROP ....
 
Zirias ich will dir nicht umbedingt widersprechen bloß eher eine Frage stellen und zwar benutze ich persöhnlich auf windoze einmal das tcpview (quasi wie netstat -a bloß es zeigt dir die programme an) und die outpost firewall wo man die dienste und programme einzeln festlegen kann ob jede verbindung über dieses programm ermöglicht werden soll oder nicht etc.

Bin ich damit unsicher?
Übrigens andauernde ping pongs wie wenn man im battle net verbunden ist erkennt meine firewall als flood attacke ^^

edit: übrigens ich hänge hinter nem router somit muss alles erstmal durch die netgear interne firewall bis es zu mir gelangt. das ist doch sicher oder?
 
Zurück
Oben