inde hat geschrieben:
Hmm... Nochmal zu der Firewall. So genau kenn ich mich mit diesem Netzwerkverkehr auch nicht aus, deshalb denk ich mir jetzt einfach mal was aus. Sagt mir wenn es so nicht sein kann.
Angenommen ich hab ssh am laufen. ssh lauscht an Port 22. Der Firewall sage ich, es soll nur Pakete mit TCP/IP Protokoll da durchlassen. Weil ssh nur TCP/IP Pakete versteht. (angenommen) Die Firewall ist also ein Türsteher, der Ausweise kontrolliert.
Wenn jetzt ein böser Hacker aber UDP Pakete dorthin sendet und ich keine Firewall habe, kann er dann irgendwie Zugang zu meinem Rechner bekommen?
Nein.
Wenn ein Programm den TCP/IP-Port 22 öffnet, dann ist kein UDP-Port offen, das regelt schon die Netzwerkkarte selbst.
Ein Port ist auch nichts physikalisches, sondern es ist lediglich eine Nummer, mit der sich an der Karte registriert wird.
Zu Firewalls muß man auch sagen, daß sie populär wurden mit XP, weil man sonst schnell die ganzen Würmer auf der Kiste hatte, und sie anders nicht zu schützen ist.
Jedenfalls ist mir keine Methode bekannt, Ich habe mal bei einem Bekannten, der Windows einsetzt, geglaubt, man könne doch auch mit Bordmitteln die Ports zumachen, da ja in den Tiefen des Netzwerkdialogs die Option besteht, Ports zu schließen.
Nun - die Ports geschlossen, Internetverbindung hergestellt - und zack - waren die Ports offen.
Das war eine frische Windowsinstallation (ohne SP2) und das hieß, daß eine Stunde Installation umsonst war, denn 'alle Würmer sind schon da'.
Auch benutzt Windows die Ports teilweise für interne Tasks, so daß manche offen sein müssen, (RPC?) damit es überhaupt funktioniert.
Die Sicherheitsupdates beispielsweise werden m.W. über solch eine Technik durchgeführt.
Aber zurück zum Firewall-Hype: Die Leute die eine Firewall hatten standen plötzlich als Experten da, die gebraucht werden, und so haben sie ihr Zeuch eifrig unters Volk gebracht, und nicht etwa erklärt, welche Alternativen es gibt, die ohne Firewall auskommen.
Und da es unter Linux traditionell Firewalls gibt, hat man hier auch eher Leute gefunden, die mit ihrem Expertenwissen auftrumpfen wollten, und 'me too' gerufen haben.
@xecto:
Genau das ist der Fall den ich meine... Nemmen wir mal an Samba (was wahrscheilnich fast jeder installiert hat)
Ach Du liebe Zeit - wieso das denn?
Jeder, der nur einen Rechner betreibt, wird es eher nicht installiert haben.
Dann doch eher den Druckserver cupsd (Port 631):
PORT STATE SERVICE
538/tcp open gdomap
631/tcp open ipp
Nmap run completed -- 1 IP address (1 host up) scanned in 0.252 seconds
Hier sieht man übrigens wieder, daß eben 631:tcp und nicht 631:udp offen ist.
Nun ja - nicht ganz, dazu muß man als root fragen:
nmap -sU localhost
Und diesen gdomap habe ich nicht explizit installiert.
Ist das ein Bestandteil auf automount, oder hotplug?
Distributet objects in the network - klingt interessant und gefährlich. Kann ich den bedenkenlos ausschalten?
Zur Frage der Softwarefirewall, die zusätzliche Gefahr durch zusätzliche Komplexität bringt:
Da ist sicher etwas wahres dran, aber ein billiges Fahrradschloß ist besser als gar keins in den meisten Fällen.
Und wenn man unter Windows ohne Firewall sicher Würmer einfängt, dann ist es besser eine Softwarefirewall einzusetzen, von der nicht bekannt wäre, daß sie auf einem frisch installierten System ohne weiteres versagt.
Besser ist es natürlich, Ports gar nicht erst zu öffnen, die man nicht braucht. und wenn die Applikation wie cups oder ssh selbst die Möglichkeit bietet, festzulegen, wie auf wen reagiert werden soll, denn immerhin kann auf der spezialisierten Ebene einer Anwendung viel eher und leichter gesagt werden, was wer darf.
In größeren Netzen kann dagegen die zentrale Konfiguration ein entscheidender Vorteil sein.
@Cmdr. Vitok
Ich bin kein Firewall-Experte, aber Du solltest mal versuchen eine Firewall mit iptables aufzusetzen, um zu wissen, was Du nicht weißt.
Aber eine Firewall macht ja nichts anderes: Sie verbirgt den Eigenen rechner vor dem Internet. Das heißt, alle (bis auf jene, die evtl. freigegeben sind) Ports werden verborgen, so das es bei einem Portscan keine Antwot gibt.
Ob die Firewall überhaupt etwas verbirgt hängt von ihren Einstellungen ab.
Dann kann man im wesentlichen Datenverkehr weiterleiten, durchlassen, abweisen oder verwerfen.
Leitest Du beispielsweise mit der Firewall Pakete für Port 631 weiter, aber es läuft kein Cups-Server (und auch sonst kein Programm, das sich den Port gekapert hat), dann - ja dann passiert auch nichts.
Läuft kein Server der an dem Port lauscht, dann gibt es auch nichts zu verbergen.
Zu Beginn des Threads fragte jemand, ob nicht Port 80 immer offen sei. (hier im Antwortmodus kann ich nicht blättern wer).
Dazu ist zu sagen: So lange man keinen Webserver betreibt nicht.
Die Kommunikation erfolgt nicht symetrisch von Port 80 zu Port 80.
Sondern wenn Du eine Webadresse eingegeben hast, und <Enter> drückst, dann wird eine Anfrage an www.ubuntuusers.de (z.B.) an Port 80 geschickt, aber Dein Rechner sucht sich einen freien Port im Bereich der hohen Nummern (sagen wir: 63100), und schickt diese Nummer mit, so daß ubuntuusers.de weiß, daß er dorthin antworten soll.
Würde genau zu dem Zeitpunkt 'lustige-hacker.biz' Dir ein Paket an 63100 senden, so würde die Netzwerkkarte doch bemerken, daß der Sender nicht derjenige ist, der gefragt wurde, und das Paket verwerfen.
Stattdessen käme die Antwort von ubuntuusers.de durch, und zwar mit einem neuen Port, der ab sofort genutzt werden soll, und auch aus dem hohen, unreservierten Bereich an Ports kommt, so daß auf Port 80 immer nur auf neue Anfragen gelauscht werden muß.
Beim Aufsetzen von iptables als Firewall wird in der Regel gesagt, daß Antworten einer bestehenden Verbindung (established) durchgelassen werden.
Ich hoffe ich habe anderthalb Unklarheiten beseitigt, und allenfalls sieben neue geschaffen...
☺