DMZ und Sicherheit - "Offenes Scheunentor" oder Paranoia

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon deMattin » Mi 20.02.2002 - 01:55

Einen Rechner als DMZ zu konfigurieren wird häufig als totales Sicherheitsrisiko dargestellt, daher möchte ich hierzu mal etwas schreiben bzw. klarstellen:

Ein Rechner, der als DMZ läuft ist nicht prinzipiell unsicher oder ein "offenes Scheunentor". Dieser Rechner ist genauso viel oder wenig angreifbar wie jeder andere der zig tausend Dial-In Rechner, die direkt am Internet hängen.

Wenn das Betriebssystem und die laufenden Anwendungen keine Sicherheitslücken haben und keine Ports öffnen oder auf Portanfragen reagieren, die durch schlechte Programmierung als Einbruchstür benutzt werden können, hat ein "Angreifer" keine Möglichkeit sich in den Rechner einzuhacken.

Die wenigsten Nutzer eines Routers mit Firewall werden wirklich die Firewall konfiguriert und aktiviert haben.

Die zusätzliche Sicherheit durch NAT reicht den meisten auch aus.
Es kann hier nämlich dann auch mal ein "unsicheres" Programm laufen, dass auf eine Portanfrage von aussen lauscht und angreifbar wäre - oder auch z.B. eine nichtbeachtete und vielleicht unabsichtlich mitinstallierte Serveranwendung (z.B. MS IIS)
Solange der Port in NAT nicht redirectet bzw. geöffnet wird, kann dann trotzdem nichts passieren.
Allein diesen Vorteil gibt man an dem einen DMZ-Rechner auf - nicht mehr und nicht weniger.

Wer sich also auch früher mal ohne NAT und Firewall in's Internet getraut hat und entsprechende Sicherheitsvorkehrungen getroffen hat und weiss, wie man sich im Netz verhält, für den ist auch ein DMZ keine "Einladung zum gehackt werden".

Wer allerdings bis heute nicht begriffen hat, wie wichtig Sicherheitsupdates und Patches seiner Software sind, der ist z.B. durch einen IE 4.0 oder ungepatchten IE 5 mehr gefährdet als durch einen DMZ.

Und man glaubt gar nicht, wie viele User noch mit IE-Browsern der 3er oder 4er-Reihe unterwegs sind, nur weil sie eben beim Betriebssystem mitinstalliert wurden.
Und das sind nicht nur Browser, die sich aus Kompatibilitätsgründen als IE3 oder 4 ausgeben (z.B. Opera), die da in den Logfiles meiner Homepages auftauchen ;)

Die Gefahr durch einen Trojaner "gehackt" zu werden erachte ich allemal höher, als einen Angriff auf einen sauberen DMZ oder Dial-In Rechner.
Und vor einem Trojaner schützt auch kein NAT.
Und die Firewall kann hier zwar schützen, wenn dieser Trojaner einen "exotischen Port" benutzt.
Einen Trojaner, der sich als Browser tarnt und aktiv über den Port 80 telefoniert, kann ich allerdings auch mit einer (einfachen) Firewall nicht abblocken.
Hier kann nur helfen, gar keinen erst ins System zu lassen.

Und hier sind wir wieder am Anfang:
- wissen, was man tut
- wissen, was man downloaded
- wissen, was man installiert
- wissen, wie man Software auf Stand hält

Und ich lasse mir nicht von ein paar "Bekloppten" oder "Kriminellen" den Spass am Internet verderben und nutze weiterhin Javascript und öffne Ports im Router, wenn ich es für eine Anwendung brauche - und wenn es sein muss, mache ich auch einen Rechner zum DMZ.

Und trotzdem habe ich mir in mehr als 20 Jahren Computerei und ca. 10 Jahren Internet und BBS erst einmal einen Virus eingefangen, der von meinem Virenscanner nicht erkannt wurde und das ist schon ewig her und war vor dem "www-Zeitalter", wo es noch etwas schwieriger war, an aktuelle Versionen der Virenscanner heranzukommen.

Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon sbellon » Mi 20.02.2002 - 08:48

deMattin hat geschrieben:

Hi zusammen!

Danke deMattin, das ist eine gute Zusammenfassung. Ein paar kleine Anmerkungen möchte ich noch kurz machen:

Ein Rechner, der als DMZ läuft ist nicht prinzipiell unsicher oder ein "offenes Scheunentor". Dieser Rechner ist genauso viel oder wenig angreifbar wie jeder andere der zig tausend Dial-In Rechner, die direkt am Internet hängen.

Wenn das Betriebssystem und die laufenden Anwendungen keine Sicherheitslücken haben und keine Ports öffnen oder auf Portanfragen reagieren, die durch schlechte Programmierung als Einbruchstür benutzt werden können, hat ein "Angreifer" keine Möglichkeit sich in den Rechner einzuhacken.


Exakt so ist es. Nur vergesse viele diese "wenns". Denn von Hause aus ist z.B. das Betriebssystem aus Redmond unsicher konfiguriert. Und wer sich dann so in eine DMZ setzt, der bietet alle seine Dienste nach außen an. Darauf sollte man Laien hinweisen. Die Lösung ist nun aber nicht, eine Personal Firewall auf dem Rechner zu installieren, sondern den Rechner selber richtig zu konfigurieren, d.h. die Dienste, die man nach außen nicht anbieten will, einfach abzuschalten.

Die Gefahr durch einen Trojaner "gehackt" zu werden erachte ich allemal höher, als einen Angriff auf einen sauberen DMZ oder Dial-In Rechner.
Und vor einem Trojaner schützt auch kein NAT.
Und die Firewall kann hier zwar schützen, wenn dieser Trojaner einen "exotischen Port" benutzt.


Richtig. Das Trojanische Pferd haben die Trojaner selber in die Stadt geschoben. Und mit Absicht. Genauso ist es mit Trojanischen Pferden auf dem Rechner. Den installiert sich jeder selbst mit Absicht (das heißt nicht, dass er es bewusst tut!). Und was nun Personal Firewalls betrifft, so kann jedes Trojanische Pferd eine Personal Firewall unter Windows 9x/ME (und auch den anderen Windowsen, wenn die Personal Firewall falsch installiert ist) ausschalten. Daher: gleich Finger weg von den Dingern und eine echte Firewall verwenden. Besser noch: Keinen Code aus unglaubwürdigen Quellen installieren.

Einen Trojaner, der sich als Browser tarnt und aktiv über den Port 80 telefoniert, kann ich allerdings auch mit einer (einfachen) Firewall nicht abblocken.
Hier kann nur helfen, gar keinen erst ins System zu lassen.


Oder Du erlaubst den Web-Zugriff nur über einen Proxy, der kann nämlich Maßnahmen gegen ein Trojanisches Pferd ergreifen.

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Feodor » So 24.02.2002 - 15:52

Hallochen,

deMattin schrieb:
Und ich lasse mir nicht von ein paar "Bekloppten" oder "Kriminellen" den Spass am Internet verderben und nutze weiterhin Javascript und öffne Ports im Router, wenn ich es für eine Anwendung brauche - und wenn es sein muss, mache ich auch einen Rechner zum DMZ.


Es gibt da moralinsaure Leute (wir kennen alle die passenden Usenet-Gruppen), für die Rechner anscheinend _nur_ zum Programmieren da sind. (Ich programmiere zwar selber auch C++, aber manchmal darf es auch etwas entspannendes sein.) Jede Anwendung, die potenziell Spaß machen könnte (Terminus Klickibunti), ist da suspekt. Einige scheinen in den 80iger Jahren stehen geblieben zu sein, als noch viel mehr nur über die Kommandozeile gemacht wurde. Ich kann mich noch gut daran erinnern.

Zu DMZ (besser "default port forwarding" genannt) muss man sagen, dass vor allem NETBIOS (Dateifreigabe / Druckerfreigabe) beachtet werden sollte. Entweder deinstallieren oder, wenn verwendet, statt TCP/IP NETNEUI verwenden (siehe http://grc.com/su-bondage.htm).

Andererseits ist NETBIOS bereits durch das Vigor-Paketfilter weggefiltert. Ich habe schon mal durch ein Experiment festgestellt, dass das Paketfilter auch für den DMZ-Klienten aktiv ist. So wie ich die Filterregel im Moment erinnere, reicht sie für den reinen PAT-Betrieb (port address translation) aus. Bei Existenz eines DMZ-Kienten sollte man wohl _allen_ Verkehr auf den NETBIOS-Ports wegfiltern. Genauso sollte man es mit allen Diensten machen, die laufen aber von außen nicht sichtbar sein sollen.

Die Gefahr durch einen Trojaner "gehackt" zu werden erachte ich allemal höher, als einen Angriff auf einen sauberen DMZ oder Dial-In Rechner.


Ich vermute auch, dass die Gefahr durch Trojaner und Würmer (mit und ohne Schadfunktion) statistisch bedeutender ist, obwohl ich keine Untersuchung dazu kenne. Wichtig: Wer faul ist und OjE verwendet: Immer Sicherheitsupdates anwenden (auch wenn mal was in die Hose geht, wie kürzlich). Und noch sehr wichtig: Zone für eingeschränhte Sites konfigurieren und in dieser Zone alles verbieten (http://oe-faq.de/).

sbellon schrieb:
Oder Du erlaubst den Web-Zugriff nur über einen Proxy, der kann nämlich Maßnahmen gegen ein Trojanisches Pferd ergreifen.


Nur zur Ergänzung (Ich weiß, daß sbellon das auch weiß :) ):
Wie alle Maßnahmen ist auch diese nicht perfekt, da Trojaner tunneln können und wenn der Trojaner korrektes http spricht....

Ansonsten gilt halt: "No risk no fun." Und: Kritikfähigkeit beim Ausführen von Anwendungen ist wichtig.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Juergen » Mi 27.02.2002 - 21:16

Hi,
Internet und Sicherheit: Welten prallen aufeinander.
Die dargestellten Meinungen sind zwar recht ausführlich, aber entweder für den "Profi" bekannt oder für den Laien ohne rechte Hilfestellung. Da ich ab und zu Gelegenheit habe im Bekanntenkreis (sicherheitstechnisch-) tätig zu werden, habe ich bisher nur erkannt, dass der "normale" Internet-Benutzer weit davon entfernt ist, mittels Parameter oder Updates an seiner Installation irgendetwas "sicher" zu machen.
Ob nun (das habe ich mit sbellon an anderer Stelle bereits konträr diskutiert) eine Personal Firewall (-Software) geeignet ist die Sicherheit zu erhöhen, mag ich nicht für jeden allgemein empfehlen. Dass aber daraus als Konsequenz folgt:
" Sbellon: .. Daher: gleich Finger weg von den Dingern und eine echte Firewall verwenden. " halte ich für Privat-Internet-Nutzer für unrealistisch. Dafür sind Kenntnisse und jede Menge Geld notwendig, um die geeigneten Systeme zu betreiben.
Für den "unbedarften"-Nutzer kann die Lösung nur eine fertig von der Industrie (Spezialisten) konfektionierte Lösungen sein.
Kaufen, Einschalten, fertig.
Die Sicherheitseinstellungen an meiner Gasheizung hab ich auch nicht selbst vorgenommen (will ich auch nicht).
Und solange die Industrie sowas nicht liefert (kann oder will), wird es vermutlich bei einer "Zwei-Klassen Gesellschaft" bleiben: Die, die sich schützen können und die, die das nicht können.
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon sbellon » Mi 27.02.2002 - 22:47

Ich möchte hier wirklich nicht als "Quertreiber" oder wie auch immer auftreten, aber dazu muss ich jetzt doch noch was sagen:

Das Beispiel mit der Gasheizung ist gut. Das machst Du nicht selber, weil Du Dich damit nicht auskennst. Da beauftragst Du einen Fachmann. Ich schraube auch nicht an den Bremsen meines Motorrades rum, weil ich das lieber dem Fachmann überlasse, schließlich geht es da um meine Sicherheit.

Warum also in aller Welt meint jeder, der einen Computer hat, er sei Fachmann genug, um den Rechner sicher zu konfigurieren? Ein Computer ist kein Spielzeug. Ein Computer ist vom Verständnis her garantiert komplexer als jede Gasheizung oder Motorradbremse. Aber trotzdem meint jeder, er könne das.

So, und die Personal Firewalls sind nun das Buch "Gasheizung selber montiert" und "Bremsen entlüften leichtgemacht". Ich weiß, dass der Vergleich ab hier hinkt, aber ich will es einfach mal bildlich darstellen. Hier würde auch jeder sagen: "Pffff, sowas macht ja keiner." Bei Computern scheint das anders zu sein.

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Juergen » So 03.03.2002 - 13:12

Hi,
kann mich sbellon's Meinung insoweit anschliessen. Sehe prinzipiell keinen Widerspruch zu meinem Posting. Früher hiessen diese Schrauberbücher "Jetzt helfe ich mir selbst" oder so ähnlich.
Im Ergebnis sind wir wohl einig: Fachleute sollten Systeme schaffen mit denen der Nutzer ohne Gefahr arbeiten kann.

@sbellon: Vielleicht haben wir Gelgenheit eine gemeinsame Tour zu machen. Meine Motorradbremsen sind Werkstatt-gepflegt. :)
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon sbellon » So 03.03.2002 - 14:16

Hi Juergen!

Lass es noch ein paar Grad wärmer werden ... ;-)

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon tomcat » Mo 01.04.2002 - 13:03

deMattin hat geschrieben:Einen Rechner als DMZ zu konfigurieren wird häufig als totales Sicherheitsrisiko dargestellt, daher möchte ich hierzu mal etwas schreiben bzw. klarstellen:

Ein Rechner, der als DMZ läuft ist nicht prinzipiell unsicher oder ein "offenes Scheunentor". Dieser Rechner ist genauso viel oder wenig angreifbar wie jeder andere der zig tausend Dial-In Rechner, die direkt am Internet hängen.

Wenn das Betriebssystem und die laufenden Anwendungen keine Sicherheitslücken haben und keine Ports öffnen oder auf Portanfragen reagieren, die durch schlechte Programmierung als Einbruchstür benutzt werden können, hat ein "Angreifer" keine Möglichkeit sich in den Rechner einzuhacken.

Die wenigsten Nutzer eines Routers mit Firewall werden wirklich die Firewall konfiguriert und aktiviert haben.

Die zusätzliche Sicherheit durch NAT reicht den meisten auch aus.
Es kann hier nämlich dann auch mal ein "unsicheres" Programm laufen, dass auf eine Portanfrage von aussen lauscht und angreifbar wäre - oder auch z.B. eine nichtbeachtete und vielleicht unabsichtlich mitinstallierte Serveranwendung (z.B. MS IIS)
Solange der Port in NAT nicht redirectet bzw. geöffnet wird, kann dann trotzdem nichts passieren.
Allein diesen Vorteil gibt man an dem einen DMZ-Rechner auf - nicht mehr und nicht weniger.

Wer sich also auch früher mal ohne NAT und Firewall in's Internet getraut hat und entsprechende Sicherheitsvorkehrungen getroffen hat und weiss, wie man sich im Netz verhält, für den ist auch ein DMZ keine "Einladung zum gehackt werden".

Wer allerdings bis heute nicht begriffen hat, wie wichtig Sicherheitsupdates und Patches seiner Software sind, der ist z.B. durch einen IE 4.0 oder ungepatchten IE 5 mehr gefährdet als durch einen DMZ.

Und man glaubt gar nicht, wie viele User noch mit IE-Browsern der 3er oder 4er-Reihe unterwegs sind, nur weil sie eben beim Betriebssystem mitinstalliert wurden.
Und das sind nicht nur Browser, die sich aus Kompatibilitätsgründen als IE3 oder 4 ausgeben (z.B. Opera), die da in den Logfiles meiner Homepages auftauchen ;)

Die Gefahr durch einen Trojaner "gehackt" zu werden erachte ich allemal höher, als einen Angriff auf einen sauberen DMZ oder Dial-In Rechner.
Und vor einem Trojaner schützt auch kein NAT.
Und die Firewall kann hier zwar schützen, wenn dieser Trojaner einen "exotischen Port" benutzt.
Einen Trojaner, der sich als Browser tarnt und aktiv über den Port 80 telefoniert, kann ich allerdings auch mit einer (einfachen) Firewall nicht abblocken.
Hier kann nur helfen, gar keinen erst ins System zu lassen.

Und hier sind wir wieder am Anfang:
- wissen, was man tut
- wissen, was man downloaded
- wissen, was man installiert
- wissen, wie man Software auf Stand hält

Und ich lasse mir nicht von ein paar "Bekloppten" oder "Kriminellen" den Spass am Internet verderben und nutze weiterhin Javascript und öffne Ports im Router, wenn ich es für eine Anwendung brauche - und wenn es sein muss, mache ich auch einen Rechner zum DMZ.

Und trotzdem habe ich mir in mehr als 20 Jahren Computerei und ca. 10 Jahren Internet und BBS erst einmal einen Virus eingefangen, der von meinem Virenscanner nicht erkannt wurde und das ist schon ewig her und war vor dem "www-Zeitalter", wo es noch etwas schwieriger war, an aktuelle Versionen der Virenscanner heranzukommen.

Gruss,
Martin

Wie definierst du DMZ. Ich kenne letzlich nur Definitionen in Verbindung mit Firewall-Konfigurationen, die eine DMZ demilitarisierte Zone zwischen Firewall => DMZ <= Firewall => Lan definieren.

Beim Einsatz eines DrayTek Routers ist der Begriff sicher anders gemeint.

Nach den Beiträgen im Forum greifen die Port-Filter vorher, so dass ich auch den DMZ Rechner einigermaßen schützen, bzw. den Zugriff einschränken kann. Ist das so?
Benutzeravatar
tomcat
Grünschnabel
 
Beiträge: 1
Registriert: Mo 01.04.2002 - 12:53

Beitragvon deMattin » Di 02.04.2002 - 00:25

Kurz gesagt: Ja, aber ;)

Wie es läuft, ist hier ganz gut beschrieben:
http://www.vigor-users.de/gr_nat-routing.htm

D.h. der DMZ bekommt alle Pakete, die nicht irgendwo durch andere Regeln oder Redirects umgeleitet werden.

[Zitat]
"Der Begriff "demilitarized zone" ist eigentlich grottenfalsch. Besser wäre z.B. "default port forwarding".
[/Zitat]

Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste