title image


Smiley Re: "Stealth"-Modus auch bei der Windows-Firewall?
> Die Windows Desktop-Firewall ist auch nicht perfekt



Richtig.



> ...sie muß mit genauso vielen Schwächen kämpfen wie auch andere PFWs.



Falsch. Die XP-eigene Firewall verspricht z.B. nicht, sie könnte ausgehenden Verkehr erkennen und blockieren. Sie behauptet nicht, ein Intrusion Detection System zu besitzen, das vor 'bösartigen Angriffen' schützen soll, in Wahrheit aber oft genug nur dazu führt, dass der Benutzer schlicht nicht mehr surfen kann, weil das IDS die Verbindung abklemmt...



Nein, andere PFW haben da einige Sachen, die die XP-eigene nicht aufweist.



> Einer pingt meinen Rechner an und mein Rechner schickt eine Antwort.



Hier muss ich einhaken. Einerseits ist ein einfacher Ping hier sowieso nicht relevant, da ein Ping maximal Aufschluss darüber gibt, ob ein Rechner erreichbar ist oder nicht. Wobei auch das nicht unbedingt stimmen muss (man kann Rechner so konfigurieren, dass Ping verworfen wird, der Rechner für andere Sachen aber durchaus erreichbar ist...)



Eigentlich ist das Interessante erst der Portscan. Dein Rechner sendet also eine Antwort auf einen Portscan. Aber was für eine Antwort sendet er? Da gibt es mindestens zwei Möglichkeiten:



Er sendet die Antwort 'Service not available'. Weil Du keinen Dienst nach aussen anbietest. Das ist die beste Variante. Der Port ist geschlossen, der Angreifer kann da nichts holen. Hier wäre nur dann etwas machbar, wenn der TCP/IP-Stack des Rechners eine Sicherheitslücke aufweisen würde. Doch so eine Sicherheitslücke ist für den TCP/IP-Stack von Windows derzeit keine bekannt.



Wenn dagegen ein Dienst an dem betreffenden Port läuft, so wird der sich melden. Der Urheber des Portscans kann das dann dazu nutzen, sich Zugang zu Deinem Rechner zu verschaffen. Er kann evt. eine Sicherheitslücke dieses Dienstes auszunutzen versuchen.



> Der Gegenüber kann daraus erkennen, daß hier einer mit seinem Rechner am Internet hängt und eine PFW hat die solche Anfragen veschluckt.



Nicht ganz. Aber wenn auf einen Portscan oder einen Ping gar keine Antwort erfolgt, dann weiss das Gegenüber zumindest, dass die IP in Verwendung ist, der betreffende Rechner aber vermutlich irgendetwas verwendet, das die Anfragen von aussen verwirft.



Wäre die IP nicht in Verwendung, würde nämlich eine Antwort in der Art von 'Destination unreachable' vom letzten Router auf dem Weg dorthin zurückkommen. Ausser wenn der Provider, der diesen Adressbereich verwendet, seine Router so konfiguriert, dass sie selber Portscans droppen.



Wenn nun einer den IP-Range eines normalen Providers scannt, mag da durchaus der eine oder andere Rechner dabei sein, der Portscans o.ä. droppt, ohne eine PFW zu verwenden. Aber wahrscheinlich dürfte bei den meisten derartig auffallenden IPs eine PFW im Einsatz sein.



Diese IPs nun mit einer Auswahl an Exploits für diverse verbreitete PFW zu beschicken dürfte für den Angreifer keinen allzu grossen Aufwand darstellen. Vielleicht hilft das bei einigen der betreffenden IPs nichts. Aber ein paar Treffer dürften da schnell gefunden sein.



Aber selbst wenn diese Gefahr relativ gering ist, so ist es zumindest wichtig zu wissen, dass man keineswegs 'unsichtbar' ist, nur weil Pings oder Portscans gedroppt werden. Das ist das hüpfende Komma, das ist es, was ich daran hauptsächlich kritisiere.
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: