Re: Leichte Desktop-Firewall gesucht

Hallo,

Robert Jasiek <jasiek@xxxxxxxx> wrote:
Nur überflogen, da ich mit Infos zu Vista mehr anfangen kann als zu
2000 oder XP.

Viele der allgemeineren Informationen gelten auch fuer andere Systeme
(auch wenn teils die Kommandos und/oder die Optionen dann u.U. anders
lauten, z.B. bei netstat).

Wo wir aber schon beim Tema sind: Meine Default-Blocken-Regel loggt zu
99% Traffic-Versuche folgenden Typs:

TCP/IP inbound irgendeine_remote_IP local_port=135

Mich wundert erstens, dass es zu 99% nur so etwas ist. Heißt das, dass
mein Router alles Andere schon gefiltert hat? Zweitens hat Port 135
etwas mit WINS zu tun (so verstehe ich verschiedene Webseiten dazu).

IIRC (ohne jetzt noch einmal nachzusehen) war 135/TCP "remote Procedure
Call", dass kann also auch etliches andere als WINS sein ...

Nun habe ich aber in der Netzwerkverbindung unter TCP/IPv4 WINS
deaktiviert. Wieso gibt es dann dennoch versuchten Port-135-Verkehr?

Weil der Port fuer IIRC fuer RPC verwendet wird ...

Muss man mehr unternehmen, als unter TCP/IPv4 WINS zu deaktivieren?

Es geht hier AFAIK nicht um WINS ...

dass du bisher dein
Wissen ueber dein System und deine Personal Firewall gewaltig
ueberschaetzt hast ...
Das stelle ich seit Jahren jeden Tag erneut fest; es scheint da
unendlich viel zu entdecken zu geben :)

Es besteht anscheinend auch wirklich Bedarf, etwas wie das script
von ntsvcfg.de auch fuer Vista zu erarbeiten. Allerdings hat sich
bei Vista doch wohl etliches geaendert, so dass das Script so mit
Sicherheit unter Vista nicht die erwuenschte Wirkung zeigt (und
schlimmstenfalls ohne anpassung an Vista auch zu Fehlern im System
fuehren koennte, sofern ueberhaupt irgend etwas davon funktioniert ...).

Ausserdem bezweifle ich, dass
du das wirklich beurteilen kannst (wobei sich dieser Eindruck im
Laufe dieses Threads stetig verstaerkt hat, und nein, dass soll
*kein* Flame oder etwas wie "du hast ja keine Ahnung!" sein, son-
dern entspricht schlicht meinem Eindruck).
Mag sein. Du hast vermutlich schon ein paar Wälzer über
Windows-Interna mehr gelesen.

Nein, nicht ueber Windows-Interna (Windows kenne ich groesstenteils
vom "aergern, weil ich eben manchmal auch damit zu tun habe ..."
und ansonsten durch Parallelen mit anderen mi besser bekannten
Systemen und vom lesen dessen, was andere (mit mehr Windowswissen)
mir so erzaehlen und/oder schreiben ...
Linux (und einige andere "unixoide Systeme") kenne ich deutlich
besser als Windows, ansonsten habe ich mehr mit Netzwerken als
mit PCs zu tun (und kenne daher z.B. Geraete von Cisco, linksys,
Juniper, Thompson/SpeedTouch, Alcatel/Lucent, Bintec, ...
und da dann Router, Switches, Firewalls undn anderes, in ver-
schiedenen Groessen (Router vom kleinen ADSL-Heim-Router bis zur
Cisco 760x, Switches vom nicht managebaren Poscketswitch bis zum
Cisco 650x mit Firewall- und Loadbalancer-Modulen, Firewalls teils
Linux-basiertes (vom "Selbstbau" ueber GEraete vom Innominate,
Astatro, ...) aber auch z.B. Checkpoint (die allerdings nicht
so sehr intensiv), Juniper (auch nur eher durchschnittlich intensiv)
bis hin zu Cisco PIX und ASA (die ich von den Firewall-Appliances
am besten kenne).

Der 7. 1. könnte das vielleicht tlw.
ändern: Da werde ich mir mal die 5. Neuauflage von Windows Internals
(dann zu Vista und Server 2008) ansehen. (Hoffentlich ist das kein
Buch nur für Softwareentwickler...?)

Keine Ahnung, ich habe noch die Schulungsunterlagen zum CCDA hier
herumliegen, mit denen ich mich demnaechst noch mal auseinander-
setzen muss (weil ich die CCDA-Pruefung schon viel zu lange vor mir
her schiebe aber die ist mir auch irgendwie erheblich unsympathischer
als die schon vor ueber einem Jahr absolvierte CCNA-Pruefung ...).
Windows-Literatur besitze ich eigentlich ueberhaupt nicht.

ist anzunehmen, dass zumindest ein "sich besser
in Windows auskennender Programmierer" problemlos auch heute noch
alle Personal Firewalls unterlaufen koennte, wenn er denn Muehe
darauf verwenden wuerde.
Wieso ist das so?

Weil es schwer ist, die Intention und den Ursprung einer im System
ablaufenden Aktion festzustellen, in vielen Faellen geht das gar
nicht mit absoluter Sicherheit, wenn man nicht die gesamte Infor-
mationskette von Anfang an ueberwacht hat (und das ist mit ertraeg-
licvhem Aufwand nicht im Windows-System implementierbar, in vielen
anderen Systemen ebenfalls nicht). Und nein, Linux ist auch nicht
"prinzipiell viel sicherer als Windows", nur viele Linux-Installationen
sind sicherer konfiguriert als die "08/15 Heim-PCs mit Default-System-
Installation wie von Aldi aus dem supermarktregal" ...
Die Sicherheit eines Systems steht und faellt letztendlich mit der
Kompetenz des zustaendigen Administrators ...

Das trifft IIRC auch auf Postscript, PDF und viele andere Formate zu, von
denen du es vermutlich von manchen noch nicht einmal ahnen wuerdest ...
Das erste, was ich nach Installation eines Readers gleich welcher
Formate tue, ist das Deaktivieren aller Scriptsprachen...
<OT> Aber wie funktioniert ein Angriff mit GIF? </OT>

Dadurch, dass evt. ein Programm, das GIF-Dateien interpretiert (um sie
darzustellen) Fhler enthaelt, die sich durch manipulierte Bilddateien
ausnutzen lassen ("Code-Injektion" durch Bufferoverflows in Programmen
hat es mit diversen Formaten schon oefters gegeben, u.a. auch mal mit
MP3 unter Linux mit aelteren Versionen der Abspielsoftware mpg123 ...).
Unter Windows war da z.B. auch der "WMF" Fehler sehr beruechtigt, weil
es zu dem Zeitpunkt, wo die ersten darauf abzielenden exploits in freier
Wildbahn auftauchten, noch keine Gegenmassnahmen und keine Patches zum
schliessen der Luecke bekannt waren (ein sogenannter "0-day-exploit") ...

Was dabei herauskommt, wenn man glaubt, dass "Security-Software" das
aktuell halten des Systems ersetzen kann, koennte ich zu Zeiten des
Schaedlings "Swen" in Form von mhr als einem Gigabyte Mailmuell bewundern,
den mein Rechner aufgesammelt hatte (ich hatte damals noch einen lokalen
auch aus dem Internet erreichbaren Mailserver auf meinem Rechner betrieben,
passend abgesichert und vernueftig konfiguriert, aber das hat den einpars-
selnden Muell nicht verhindert (und ich war mehrere Tage nicht am Rechner,
als das Chaos einsetzte). Man glaubt gar nicht, was ueber eine symmetrische
SDSL-Leitung mit 144 KBit/s so alles drueberkommen kann (der Rechner war
damals so ans Internet angebunden) ...

Als ich dann wieder am Rechner war, habe ich die maximale Groesse der
angenommenen Mails auf (RFC-konforme) 64 KByte reduziert, dass hat dann
"Swen" zuverlaessig ausgesperrt (Der "Swen" Muell war jeweils ca.
150 KByte pro Mail). Geruechteweise sollen auch heute noch solche
Dinger durchs Netz geistern (der Patch, der die vom Swen ausgenutzte
Luecke schloss, war IIRC bereits gut 6 Wochen vor dem Schaedling er-
schienen, aber manche haben wohl bis heute die Securitypatches des
Systemherstellers noch nicht eingespielt, obwohl das nun schon etliche
Jahre her ist ...).

Kuerzer war da schon die Zeit zwischen Patch und Schaedling bei "sasser"
(da waren es IIRC nur ca. 2 Wochen). Hat ma damals einen "ungepatchten"
Windows-Rechner ans Netz gehaengt, dauerte es zu Spitzenzeiten keine
20 Sekunden, bis sich der Schaedling eingenistet hatte ...
Der 2 Wochen vorher erschiene Seucurity-Patch haette die Infektion
zuverlaessig verhindert ...

Tschuess,
Juergen Ilse (juergen@xxxxxxxxxxxxxxxxxxxx)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
.

Relevant Pages

  • Re: Unbekanntes SNMP Verzeichnis
    ... wohl fuer Simple Network Management Protokoll ... "Windows Funktionen ein- oder ausschalten" aufrufen ... auf einem privaten Rechner nicht gebraucht. ... Dann auch noch auf einer "beliebigen" Partition ...
    (microsoft.public.de.windows.vista.administration)
  • Re: Flashplugin 8
    ... Ich habe dem Sender eine Mail geschrieben, dass ich meinen Rechner ... Flash-Player 8 fuer meinen Rechner nicht gebe. ... Wusstest du nicht, dass "alle Plattformen" bedeutet: ... Windows NT, Windows 2000, Windows XP, Windows Vista... ...
    (de.comp.os.unix.bsd)
  • Re: Neuen Key kaufen?
    ... auszugeben, nur fuer einen key. ... Du brauchst für jeden Rechner eine eigene Lizenz. ... er Windows auf allen 5 Rechnern gleichzeitig nutzen ... Hier muß er das Windows installieren und auch aktualisieren können, ...
    (microsoft.public.de.german.windowsxp.setup)
  • Re: Wozu Linux privat einsetzen?
    ... dass nicht fuer einen erstrebenswerten Fortschritt ... ... Ich dachte, wir sind noch bei Betriebssystemen, und da gilt dein ... Windows Programme automatisch starten lassen? ... >> Das Betriebsystem ist vom grafischen System getrennt. ...
    (de.comp.os.unix.linux.misc)
  • Re: OT: Ist Windows schoen und idiotensicher?
    ... von Windows im Vergleich zu OS/2 sind die überflüssigen modalen Fenster. ... Hast Du irgendein Konfigurationsfenster offen, ... mehr heutige Programmierer frueher OS/2 verwendet waere das wohl anders. ... Installation oder definierte Schnittstelle fuer einen Ersatz". ...
    (de.etc.fahrzeug.auto)