Re: WinXP offen wie ein Scheunentor?

Ertugrul Söylemez wrote:

Arno Welzel <usenet@xxxxxxxxxxxxx> wrote:

Dann gibst du mir ja Recht, dass die in Windows verwendete Lösung
"security through obscurity" ist.
Nein. Ich meinte mit NAT-Helpern Dienste, die explizit Verbindungen
durchlassen, nur weil ein Protokoll sonst nicht mehr
funktioniert. Dabei werden Annahmen getroffen, wann ein Port von
aussen nach innen an ein System weitergeleitet werden muss, nachdem
eine Verbindung von innen nach aussen erfolgt ist. Das Umschreiben von
Paketen gehört u.U. auch dazu. So kann man sehr simpel mit
"simuliertem" FTP von innen heraus einfach Ports aufmachen, wenn ein
NAT-Helper für aktives FTP vorhanden ist, der einfach nur auf das
PORT-Kommando hört, mit dem der Client dem Server mitteilt, auf
welchem Port er die Datenverbindung vom Server entgegennehmen will.

Von NAT-Helpern war nicht die Rede.

A propos - wäre es zu viel verlangt, bei Zitaten auch die Einleitungszeilen zu belassen - so verliert man nämlich irgendwann den Überblick, was wer geschrieben hat - Danke.

Zum Thema: Ich meinte damit, dass viele der bei DSL-Zugängen eingesetzten NAT-Router bereits von ihrem Aufbau her unsicher sind, weil die meist vorhandenen NAT-Helper prinzipbedingt die Umgehung einer vermeintlichen "Sicherheit" ermöglichen.

Vergleichbares gibt es bei Windows prinzipbedingt nicht - wenn ein Dienst gegen Zugriffe von außen blockiert wird, ist er immer blockiert, auch wenn ein FTP-Client eifrig PORT-Kommandos sendet. Deshalb ist der Windows Paketfilter mitnichten "security through obscurity", sondern NAT - wenn man es als "Sicherheitsfeature" betrachtet.

Im Gegenteil: Ein Paketfilter kann *zusätzlich* zu NAT gegen unerwünschte Zugriffe schützen.

Wo siehst Du den grossen Unterschied zwischen "Paketfilter abschalten"
und "Dienst einschalten" aus Sicht des Endbenutzers?

Ich weiß, was passiert, wenn ich einen Dienst einschalte. Ich weiß aber

Und der Endbenutzer? Weiß der, dass Datei- und Druckerfreigabe auch administrative Shares aktiviert?

bei Windows nicht, was passiert, wenn ich den Paketfilter ausschalte.

Dann schaut man eben nach. Die Dienste sind beim Windows XP SP2-Paketfilter explizit in der Registerkarte "Ausnahmen" genannt. Wenn man es trotzdem einfach abschaltet, ohne genau zu wissen, was man tut - selber schuld.

Ich erinnere an die Texte im betreffenden Dialog:

Option "Inaktiv" zum Abschalten des Paketfilters:

"Vermeiden Sie diese Einstellung. Durch Deaktivieren des Windows-Firewalls ist dieser Computer weniger vor Viren und anderen Angriffen geschützt."

Darunter ist dann auch noch eine Verknüpfung auf einen ausführlichen Text dazu, was das Ding eigentlich tut.

U.a.: "Sie können den Windows-Firewall zwar für bestimmte Internet- und Netzwerkverbindungen deaktivieren, allerdings erhöhen Sie damit das Risiko, dass die Sicherheit des Computers beeinträchtigt wird."

Wer diese Hinweise bewusst ignoriert, sollte sich eben vorher schlau machen. Oder erwartest Du in der Hilfe von Windows einen umfangreichen Text zum Thema Netzwerksicherheit und die Funktionsweise der bei Windows verwendeten Dienste?

Da werden plötzlich Dienste erreichbar, auf die ich nirgends hingewiesen
worden bin (ausgenommen eigene Recherche im Internet).

Nun ja - wenn man etwas abschaltet, von dem man nicht genau weiß, was es tut, ist man selber schuld.

Da aber "innen" und "außen" mit nur einem einzigen Interface
praktisch nur anhand der Netzadresse definierbar ist, ist es nicht
ganz trivial, dafür sinnvolle Defaults zu finden.
"Innen" sollte im Werkszustand nur der eigene Rechner sein. Wer
vertrauenswürdig ist und wer nicht, sollte allein vom Benutzer
festgelegt werden.
Kann man im Paketfilter von Windows XP ja sehr gut machen - man kann
sehr detailliert festlegen, welche einzelnen Systeme oder Netzwerke
auf die freigegebenen Dienste zugreifen dürfen und ob überhaupt ein
Zugriff möglich sein soll. Das halte ich an einer zentralen Stelle für
sinnvoller als das bei jedem Dienst separat einstellen zu müssen.

Davon, wie die Unterscheidung erfolgen soll, war nicht die Rede.

Du hast u.A. auch kritisiert, dass man die relevanten Stellen zum Ein- und Ausschalten von Diensten, wie Datei- und Druckerfreigabe, bei Windows nicht an einer zentralen Stelle in der Systemsteuerung findet, sondern nur über die Netzwerkeinstellungen.

Jetzt gibt es einen Paketfilter, der zentral an einer einzigen Stelle eine genaue Kontrolle der zugelassenen Zugriffe auf Dienste ermöglicht und zudem als Grundeinstellung erstmal *nichts* zulässt, und das gefällt Dir auch nicht.

[...]
Auch wenn ich mich wiederhole: Die Unkenntnis der Benutzer kann man
schlecht dem System anlasten. Genauso, wie Benutzer Paketfilter
abschalten, werden sie auch die Datei- und Druckerfreigabe
einschalten, weil sie gelesen haben, dass man das benötigt, um
zwischen Desktop und Laptop Dateien via Netz austauschen zu können.

Doch, in diesem Fall schon, denn die Unkenntnis kommt unmittelbar davon,
dass sie nirgends darauf hingewiesen werden. Sie müssten erst selber
recherchieren.

Technische Geräte von der Art eines Computers sind nun mal etwas komplexer als ein Haartrockner oder Toaster. Entweder man ist bereits, sich damit auseinanderzusetzen, oder nicht. "Sicherheit" ist keine Sache, die man irgendwo auf Knopfdruck haben kann fest einbauen kann - das beginnt schon damit, dass man vernünftige Paßwörter verwendet. Und ja - ich erwarte, daß Leute, die Computer benutzen, sich ein gewisses Grundwissen aneignen.

Nehmen wir mal an, Windows würde in der Grundeinstellung gar keine Netzwerkdienste anbieten. Nehmen wir weiter an, ein Endbenutzer will aber explizit mehrere Windows-Kisten miteinander verbinden zwecks Dateiaustausch.

Nun schaltet er die Dateifreigabe ein, weil das z.B. in einer Anleitung die Windows beiligt explizit genannt wird. Er wird es tun - egal, welche Konsequenzen es noch hat. Und auch dann, wenn in der Anleitung gesagt wird, dass dies möglicherweise ein Sicherheitsrisiko schafft.

Deshalb bleibe ich dabei: Ohne eine gewisse Bereitschaft, sich mit diesen Themen zu befassen, ist Sicherheit nicht möglich, wenn man selber am System herumkonfiguriert. Der Ruf nach dem Hersteller, der doch bitte alles "sicherer" machen möge, ist natürlich einfacher ;-)




--
http://arnowelzel.de
http://de-rec-fahrrad.de
.

Relevant Pages

  • Re: Sicherheit bei Winodws
    ... es ist ein schlechter Paketfilter. ... Ich dachte Windows 2003 ist ein Server, oder braucht man vor dem Server noch ... auf den Clients Linux einzusetzten. ... SAP gibt es im Mittelstand auch nicht. ...
    (microsoft.public.de.security.netzwerk.sicherheit)
  • Re: Patch Day November 2005
    ... ich meinte aber mit sicherheit bei hardwarefirewall nicht eine Homewall ... >> dieses Problem mit dem Browser Netcape zu lösen. ... zumal manch ein Router aus dem Consumer ... > Schadsoftware zur Installation per Windows Update bereit. ...
    (microsoft.public.de.security.heimanwender)
  • Re: SP2 erste Sicherheitsmängel- Panikmache von Heise?
    ... bei mir wird sie beim Start automatisch von Windows geladen ... wenn ich im Explorer eine URL in die ... diese dll benötigt. ... Den Kompromiss zwischen Sicherheit und Usability muss jeder ...
    (microsoft.public.de.german.windowsxp.sonstiges)
  • Re: Patch Day November 2005
    ... > dieses Problem mit dem Browser Netcape zu lösen. ... Schadsoftware zur Installation per Windows Update bereit. ... mit Sicherheit keinen "Trojaner mit herunter" ziehen. ...
    (microsoft.public.de.security.heimanwender)
  • Bessere IT-Security Lösung als wer Bastelt mit Patch Day Juli 2006 von Michael H. Fischer
    ... Barracuda IM Firewall mit verschlüsseltem Instant-Messaging-Server ... Eine Art Konfigurationsfehler in den WLAN-Funktionen von Windows ist nun ... Advanced Encryption Standard. ... Sicherheit durch starke Einbußen bei der Geschwindigkeit erkauft werden. ...
    (microsoft.public.de.security.netzwerk.sicherheit)
Loading