title image


Smiley Re: wie sicher ist ein 0-8-15-Router??
Warum Router ein gewisses Mass an Sicherheit per se mitbringen, liegt an folgenden Dingen:



Ein Router verbindet unterschiedliche Netzwerke. Im Fall eines solchen Routers wie Du ihn andeutest, ist das Dein LAN auf der einen, sowie das Internet auf der anderen Seite. Du wirst (hoffentlich) private IP-Adressen in Deinem LAN verwenden, also z.B. 192.168.x.y... Diese IP-Adressen werden im Internet nicht geroutet. Der Router erhält auf dem Interface zum Provider hin eine öffentliche IP, wenn eine Verbindung hergestellt wird.



Damit Du mit Deinem PC hinter dem Router Webseiten aufrufen kannst etc. muss der Router etwas machen, das sich 'Network Address Translation', kurz NAT, oder auch IP-Masquerading nennt. Du sendest von Deinem PC eine Anforderung für die Spotlight-Webseite. Der Router nimmt Dein Paket, ersetzt die private IP Deines PC (Absender-Adresse) durch die IP, die er vom Provider erhalten hat, trägt in seiner Liste ein, dass von Deinem PC eine Anfrage weitergeleitet wurde und sendet die Anfrage ins Internet. Wenn die Antwort auf Deine Anfrage hereinkommt, macht er das Spiel umgekehrt. Er guckt nach, von wem die Anfrage stammt und leitet sie an Deinen PC weiter.



Ein Effekt dieses Vorgangs ist, dass Dein PC vom Internet her gar nicht direkt angesprochen werden kann. Denn der Router leitet grundsätzlich nur Antworten ins interne Netz weiter. Von daher beisst sich ein Blaster die Zähne aus. Und in aller Regel kommt auch keine Mitteilung des Nachrichtendienstes herein.



Möchtest Du andererseits einen Server laufen lassen, der seine Dienste auch ins Internet anbietet, so musst Du einige Klimmzüge machen, damit das geht. Stichwort Port-Forwarding. Wie das im Detail funktioniert, kann ich Dir mangels eigener Erfahrung nicht sagen, aber da gibts im Web sicher auch viele Seiten mit Informationen.



Ich persönlich habe meinen ADSL-Router dahingehend konfiguriert, dass er Pakete einiger Sorten, z.B. FTP-Anfragen, NetBIOS etc. explizit nicht akzeptiert. So kann etwa auch kein Opaserv-Virus in mein Netzwerk gelangen. Dieses Virus verbreitet sich ja u.a. über Netzwerkfreigaben bzw. NetBIOS.



Bei einem Router, der kein Port-Forwarding macht, sind bei einem Portscan im allgemeinen alle Ports dicht. Sprich geschlossen. Für Ports gibt es zwei Zustände: Offen (sprich ein Dienst läuft auf dem Port und wartet auf Anfragen) und geschlossen. Alles andere ist Marketing-Geblubber und nicht wirklich brauchbar. Vor allem die Hersteller von Personal Firewalls wie Zone Alarm und ähnlichen behaupten, mit 'Stealth' sei ein PC im Internet 'unsichtbar'. Stealth ist eben kein standardkonformer Zustand für einen Port. Und er macht Deinen PC auch nicht unsichtbar, im Gegenteil.



Wenn auf der IP X kein Rechner läuft, weil die IP derzeit nicht in Verwendung ist, dann bekommt ein Portscanner vom letzten Router ein 'Destination unreachable' zurückgemeldet. Der Portscanner stellt daraufhin seine Tätigkeit ein, es gibt ja nichts zu holen.



Läuft jedoch auf der IP X ein Rechner, der jedoch keine Dienste nach aussen anbietet, so bekommt der Portscanner ein 'Service not available' zurückgemeldet. Er weiss dann zwar, dass da jemand ist. Dessen Türen sind aber verschlossen, er bietet keine Dienste an. Auch hier kann sich der Portscanner jede weitere Arbeit sparen.



Läuft auf der IP X ein Rechner, der etwas wie Zone Alarm installiert hat, was die Ports auf 'Stealth' setzt, so bekommt der Portscanner keine Antwort. Er wird im Unklaren gelassen, ob da jemand ist oder nicht und ob Dienste laufen oder nicht. Das Portscan-Programm sendet daher zusätzliche Anfragen, was eine Erhöhung des Traffic bedeutet. Der Urheber des Portscan kann sich dann aufgrund des 'Schwarzes Loch'-Effekts an den Fingern abzählen, dass auf der IP X ein Rechner laufen muss, der eben etwas wie Zone Alarm laufen hat. Er kann dann seine Toolbox mit diversen Exploits für Zone Alarm und Konsorten hervorkramen und diese Dinge auf den Rechner an IP X loslassen...



Hier mal einige Links zum Thema Netzwerke, Sicherheit, Personal Firewalls etc.:



Different Thinking - Ergänzend zu KSSysteme mit Tips, welche Dienste man z.B. für einen Game-Rechner abstellen kann.



Blue Screens Guide to TCP/IP Part 1 sowie Part 2 für TCP/IP-Grundlagen. Keine Angst, ist auf deutsch.



Personal Firewalls - Sinn oder Unsinn?



Personal Firewall FAQ



de.comp.security.misc FAQ



Unsortiert und ohne HTML-Tags zum Anklicken:



http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall

http://www.fefe.de/pffaq

http://www.fefe.de/pffaq/halbesicherheit.txt

http://home.arcor.de/nhb/pf-umgehen.txt

http://home.arcor.de/nhb/pf-austricksen.html

http://online.securityfocus.com/news/382

http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm

http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1180.html

http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm

http://cert.uni-stuttgart.de/ms.php

http://www.kssysteme.de/htdocs/documents/w2kservices1.html

http://www.kssysteme.de/htdocs/documents/w2kports.shtml

http://www.systemexperts.com/win2k/hardenW2K12.pdf

http://www.blackviper.com/WIN2K/servicecfg.htm

http://www.bluemerlin-security.de/w2kports.php3

http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp

http://CERT.Uni-Stuttgart.DE/os/ms/ipsec-paketfilter.php

http://www.freefire.org/lib/hardening.en.php3

http://www.softpanorama.org/Bookshelf/



Zum Thema TCP/IP:

http://www.netzmafia.de/skripten/netze/netz8.html

http://www.faqs.org/rfcs/rfc1180.html

http://www.koehntopp.de/kris/artikel/tcpip-technik/

http://people.ee.ethz.ch/~strub/tcp-ip/tcp-ip.html

http://home.t-online.de/home/TschiTschi/index.htm

http://www.lug-sw.de/tcp_ip.html

http://athos.rutgers.edu/runet/tcp-ip-intro.doc

http://www.cs.rpi.edu/courses/netprog/lectures/ppthtml/tcpip/

http://www.networksorcery.com/enp/default0403.htm



Zum Schluss noch zu Deiner Frage, woher ich mein Wissen habe: Zum Teil aus eigener Erfahrung durch ausprobieren und Lektüre von Links wie den hier genannten. Zum Teil ist es auch von meiner Ausbildung, die den 'PC Supporter SIZ' sowie den 'Cisco Certified Network Associate' umfasst...



CU

Caleb
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: