Trojaner und Firewall

Fragen, Antworten und Hilfen rund um die Konfiguration

Beitragvon Floppy » Mi 19.12.2001 - 18:41

Hi,

mal ne kurze Frage: Es gibt ja Trojaner, die auf dem PC einen Port öffnen den dann der Programmierer übers Web nutzen kann. Dieser müsste doch bei unserer Firewall im Vigor nicht durchkommen, oder?
Sind wir sicher vor den Trojanern?
PS: Mir ist klar, dass die FW nicht die Infektion via EMail verhindern kann. Es geht um die Folgen.
Benutzeravatar
Floppy
Grünschnabel
 
Beiträge: 2
Registriert: Mo 18.06.2001 - 17:42

Beitragvon deMattin » Do 20.12.2001 - 01:02

Gegen Trojaner kannst du dich nur schützen, wenn du:
1. diese nicht auf dein System installieren läßt
2. wenn du infiziert sein solltest, alle ausgehenden Pakete geprüft würden.

Bei beidem kann dir der Vigor nicht in Standard-Konfiguration helfen!

zu 1.:
Die Infektion kann er nicht verhindern, da jeder Trojaner AKTIV vom User installiert wird (wenn auch nur bedingt freiwillig ;))!

zu 2.:
In der Standardkonfiguration ist die Firewall des Vigor nahezu deaktiviert.
Das NAT bringt insofern schon eine Menge, dass man von aussen keinen Rechner ansprechen kann, wenn er eben nicht direkt über IP und Port ohne PortRedirekt oder OpenPort erreichbar ist.
Aktive Trojaner funktionieren aber so, dass sie vom Client, auf dem sie installiert sind AKTIV einen Port nach aussen öffnen (das macht z.B auch dein Mail-Programm oder Browser) und dann darüber Daten senden und enpfangen können.

Man könnte jetzt die Firewall des Vigor nach der Deny-All-Strategie Aus- und Eingehend schliessen und nur bekannte (und erforderliche) Ports öffnen.
Das nützt dir aber auch nicht viel, wenn der Trojaner allgemeine Ports z.B. den 80er http-port nutzt.
Hier würde dann nur eine Firewall helfen, die den Paketinhalt analysiert - und die hat der Vigor nicht.

Gegen Trojaner gibt's also nur eine sichere Abwehr:
Keinen installieren!
Also:
- Virenscanner aktuell halten und nutzen
- Patches des Betriebssystems und der webaktiven Programme installieren
- Informieren!

Entlarven kann man einen Trojaner über ein Programm, dass die Listen-Ports auf dem Clientrechner anzeigen kann.
Wenn also alle bekannten Programme (Browser, ftp-client, Mail,...) ausgeschaltet sind und immer noch ein Programm auf Verbindung zum Internet lauscht, ist das schon verdächtig!
Man sollte aber vorher mal am sauberen System sich ansehen, welche Ports systembedingt auf "listening" stehen (z.B. 139 und 137)
Und man sollte bedenken, dass Ports einige Zeit auf Listen stehen bleiben, auch wenn das Programm beendet wurde!

Für NT und 2000 gute Programme zur Anzeige der lokalen Portzustände:
"Active Ports" von http://www.ntutility.com
oder für alle Win:
TCP View von [url=http://www.sysinternals.com

Gruß,]http://www.sysinternals.com

Gruß,[/url]
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon Juergen » Do 20.12.2001 - 22:40

Hi,
nur eine bescheidene Ergänzung zu Martins (im übrigen vom mir voll zu bestätigenden Ausführungen). Mit einer "Firewall-Software" auf dem Client (davon gibts mittlerweile jede Menge zu kaufen oder auch als Feeware) hat man die Möglichkeit eine zusätzliche Überwachung von abgehenden Verbindungen durchzuführen. Leider gibt es jedoch auch Trojaner, die über "erlaubte" bzw. "registrierte" Programme kommunizieren. Deshalb ist das zwar ein zusätzlicher, aber keinesfalls ein absoluter Schutz.
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon sbellon » Fr 21.12.2001 - 01:08

Hi Juergen!

Nein, da muss ich vehement widersprechen! Diese sogenannten "Personal Firewalls" oder "Desktop Firewalls" erhöhen den Schutz überhaupt nicht. Das Problem ist, wie Du es schon angesprochen hast, dass man ihnen nicht vertrauen kann, da man diese Firewalls softwareseitig umgehen kann. Was bringt Dir eine Sicherheitssoftware, der Du erst nicht vertrauen kannst? Richtig: nichts!

Daher: Personal Firewalls deinstallieren, denn je weniger Software auf einem System läuft, desto weniger ist das System aufgrund von Bugs dieser Software angreifbar!

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon madmax1404 » Fr 21.12.2001 - 14:54

Also da muss ich sbellon wiedersprechen. Natürlich kann man Software Firewalls umgehen. Aber der Aufwand dazu ist relativ hoch. Um Scrippt Kiddies abzuhalten, die sich einen Jux machen Deine Machine abzumurkesen reichen die allemal. Außerdem kommt man mit einer PF am schnellsten darauf das man einen Virus oder Trojaner installiert hat. Also last euch nicht vereiern. Software Firewalls sind für den Hausgebrauch durchaus zu empfehlen.

Gruß MadMax
Benutzeravatar
madmax1404
User
 
Beiträge: 17
Registriert: Di 04.12.2001 - 14:43

Beitragvon Feodor » Fr 21.12.2001 - 15:03

Aloha,

da kann ich mich ja dem versammelten Sachverstand nur anschließen.

Auf eine winzige Ungenauigkeit möchte ich jedoch noch hinweisen. Wenn ein Trojahner still auf einem LAN-Client vor sich hin horcht und auf Pakete wartet, ist er für Portscans aus dem Internet *nicht* sichtbar.

Warum?

Das liegt schlicht wieder am NAT/PAT-Verfahren. Wenn ein Portscan-Paket aus dem Internet kommt, weiß der Vigor nicht wohin damit und verwirft das Paket. Nur wenn der LAN-Client in der sog. DMZ liegt, bekommt er auch alle Pakete aus dem Internet.

Nur damit ich nicht falsch verstanden werde: Das heißt nicht, dass der Vigor gegen Trojahner schützen kann. Es solches Programm kann ja einfach seinerseits Pakete senden! Und diese läßt der Vigor in der Grundkonfiguration natürlich ohne weiteres durch, wie ja auch bereits oben schon geschrieben wurde.

Knapp auf den Punkt gebracht: In der Grundkonfiguration des Vigors bleiben "stumm horchende Trojahner" für das Internet unsichtbar.

Gruß
Feodor

--
"Nur wer nichts arbeitet macht keine Fehler."
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Fr 21.12.2001 - 18:43

Hallo MadMax!

Ich installiere keine Software, die die Sicherheit erhöhen "soll", wenn ich weiß, dass sie das nicht tut. Das ist absurd.

Ich empfehle als Lektüre die de.comp.security.firewall FAQ. Wenn sie sich auf den ersten Blick auch komisch liest, sie ist von vorn bis hinten ernst gemeint. Und Lutz Donnerhacke weiß, wovon er spricht: [url=http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Noch]http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Noch[/url] ein kleiner Nachtrag, wie aufwendig es ist, PFs auszuhebeln: Überhaupt nicht aufwendig, da für jede PF der Code dazu im Netz frei herumliegt. Außerdem filtern diese PFs ausschließlich Pakete, die über Microsofts TCP/IP-Stack wandern. Jedes Programm, welches einen eigenen Stack mitbringt, wird nicht gefiltert. Daher ist es sogar sehr einfach, diese PFs zu umgehen.

Hallo Feodor!

Ein kleiner Nachtrag, damit hier keine Missverständnisse aufkommen: Aus dem Internet ist das Trojanische Pferd in der Default-Einstellung des Vigors nicht sichbar, aber es kann in der Default-Einstellung ungehindert von innen nach außen seinem Herren Meldung machen.

Grüße, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon deMattin » Fr 21.12.2001 - 19:01

Hallo Feodor,
zu deinen stumm horchenden Trojanern (Server bzw. Remote-Trojaner) gebe ich dir Recht, solange sie auf nicht zugeordneten (redirected) Ports lauschen.

Es gibt dazu aber auch noch Trojaner, die
- Aktiv Daten senden bzw. Verbindungen aufbauen und immer im Hintergrund mitlaufen
- Aktiv Daten senden bzw. Verbindungen aufbauen, und dann mitgestartet werden, wenn andere Programme gestartet werden (Mail, Browser, onlinetools)

und gegen die hilft auch kein NAT, da diese Programme von innen nach aussen connecten, was Nat problemlos ermöglicht
Infos hierzu: http://grc.com/lt/leaktest.htm mit "Testprogramm".

Infos zu Trojanern und deren Funktionsweise:
[url=http://www.trojaner-info.de

@madmax:]http://www.trojaner-info.de

@madmax:[/url]
ich gebe dir (bedingt) Recht: Personal Firewalls wie ZoneAlarm erkennen Programme, die sich versuchen nach aussen zu verbinden. Aber es gibt auch Trojaner, die sich als "zugelassene" Programme wie explorer oder outlook tarnen und daher nicht geblockt werden.

Was bleibt also:
- NAT schützt gegen Server-Trojaner (wenn die Ports geschlossen bleiben)
- Personal Firewalls können helfen Programme zu identifizieren, die versuchen sich mit dem Internet zu verbinden un das teilweise dann auch unterbinden
- Viren- (bzw. Trojaner-) Scanner helfen dabei, festzustellen, ob man infiziert ist und können Programme vor Ausführung/Installation checken, ob sie verseucht sind.
- Programme wie AdAware helfen Trojaner und Spyware zu erkennen
- Content Security Lösung (Firewalls) können die Verbindung zu unsichern Sieten unterbinden, sind teuer und erschweren das surfen (weil auch sichere Seiten teilweise mitgefiltert werden)
...

Es gibt nur eine wirklich sichere Methode:
schmeisst euren Router weg und geht ins Internetcafe :biggrin:
und installiert bloss keine Programme auf eurem Rechner ;)

Mal im Ernst:
ES GIBT KEINEN 100%-SCHUTZ!

Wenn man seinen 400 MHz-Rechner durch Online-Virenscanner und Personal-Firewall auf die Leistung eines 200ers oder weniger runterschrauben möchte.
Nur zu!

Wer laufend Meldungen über Portscans erhalten möchte, installiert sich eine Personal Firewall.
Die Meldungen haben aber in 99,99999% der Fälle nichts mit einem echten Angriff zu tun.

Die gefährdetsten User sind die, die sich nicht informieren und nicht wissen, was Security-Patches sind.
In den logs meiner Websites sehe ich, dass es immer noch User gibt, die mit dem ie 3 oder 4 unterwegs sind, weil der eben damals bei Win95 dabei war!

Dicht gefolgt in der Gefähdung sind die User, die glauben, sie wären sicher, weil sie einen Router mit NAT und/oder eine Firewall installiert haben (die werden meist leichtsinnig).

Die einzige Vireninfektion, die ich mir in meinen knapp 20 Jahren Computerei eingefangen habe, war von einer Shareware-Diskette vom Trödelmarkt und der Virus war damals so neu, dass den mein damaliger Virenscanner den erst 3 Wochen später nach dem nächsten update erkennen konnte (damals gab's noch kein bezahlbares Internet ;)).

Das vorgehen, was sich bei mir bewährt hat:
- Wissen, was und wovon man downloaded
- Downloads mit aktuellem Virenscanner checken (mit der Option alle Dateien zu prüfen!), bevor man sie installiert (ich nutze den kostenlosen Antivir PE)
- gelegentlich den Onlinescanner aktivieren, wenn der Rechner schnell genug ist und man sich auf kritischen Seiten bewegt
- Informieren (Newsletter, Zeitschriften) und wissen, was z.B ein Nimda macht und der User eben beachten sollte.
- seine wichtigen Daten eben nicht im Verzeichnis "Eigene Dateien" unter Windows ablegen (am Besten in allen Programmen nicht die Standardpfade für Dokumente nutzen).
- Nur Optionen in Programmen aktivieren und installieren, die man auch benötigt (ich möchte nicht wissen, wie viele User z.B. den IIS von MS installiert haben, ohne es zu wissen)
- bevor Netz-Programme wie AudioGalaxy, ICQ, ... installiert werden, über Sicherheitslücken und Installationsempfehlungen informieren (spezielle Foren dieser Software sind da sehr geeignet)
- am wichtigsten: E-Mails sind das Einfallstor für Viren und Trojaner schlechthin - also hier die größte Vorsicht! Wenn es nach mir ginge, würde ich am liebsten alle HTML-Mails direkt per Filter löschen lasssen oder noch besser gesetzlich verbieten lassen *g*. Dann wären die meisten Probleme aus der Welt!

Mit diesem Vorgehen fahre ich bisher sehr gut und ich bin auch auf den Webseiten unterwegs, die als allgemein als "gefährlich" gelten und vor denen meist als "Virenschleudern" gewarnt wird.

Gruß,
Martin

PS: jetzt ist gerade (während ich das hier schreibe) sbellon mit einem Artikel dazwischen gekommen, dem ich nur voll zustimmen kann!
PPS: Sorry, dass der Artikel so lang ist, aber dafür bin ich ja berüchtigt ;) - Starkes Mitteilungsbedürfnis meinerseits eben :biggrin:
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon Juergen » Fr 21.12.2001 - 22:53

Hi,
damits hier nicht langweilig wird, ich jetzt auch nochmal.
In Abwägung aller bisherigen Postings, wage ich die Feststellung, dass die Nutzung von Software-Komponenten, die zur Verbesserung der Informationsbasis über mögliche mir bisher nicht aufgefallene Nutzung meines Rechners während der Verbindung zum Internet geben, eine für mich durchaus im Sinne einer "Erhöhung der Sicherheit" benutzt werden können.
Natürlich ohne, dass ich hiermit dem Anspruch auf ein absolut sicheres Systems herbeiführen kann.
No risk, no fun ;)


(Geändert von Juergen um 10:54 pm am Dez. 21, 2001)
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon deMattin » Sa 22.12.2001 - 01:11

Tja Jürgen,
ich denke, dass so jemand wie du, der versucht so sicher wie möglich zu fahren (und auch ein bisschen mit der Unkontrollierbarkeit seiner surfenden Kids kämpfen muss) und der seine Firewall nach deny-all konfiguriert und sich mit der Materie auseinandersetzt, auch aus einer Personal Firewall (wie z.B. ZoneAlarm) positiven Nutzen ziehen kann.
Eben in dem Sinne, dass man Informationen erhält über das, was in seinem System so vor sich geht.
Und das finde ich auch voll ok, solange man sich des (Rest-)Risikos bewusst ist.

Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon Feodor » Sa 22.12.2001 - 14:08

@sbellon und Martin:

Da sind wir uns ja perfekt einig.

Noch mal @Martin:

Vor kurzem bekam ich an dem Rechenr von mir und dem meiner Frau den W32.Badtrans.B@mm

Ohne Sicherheitsupdates hätte es eingeschlagen, denn der Code versuchte sich sofort selbst zu öffnen. Tja das wäre schon schön, wenn man HTML-Mail eleminieren könnte <träum>.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon deMattin » Sa 22.12.2001 - 16:32

Tja feodor,

allein heute ist bei mir 4 mal "W32.Sircam.C" per Mail eingetroffen.

Wenn man 'ne Homepage im Netz stehen hat, sind die Würmer oder Viren, die sich des Explorercaches bedienen um an E-Mailadressen zu kommen, eine echte Seuche.

Was ich aber noch beängstigender finde, ist dass sich so gut wie keiner, den ich dann anmaile und mit Links und "Entseuchungsinfos" versorge, sich mal kurz zurückmeldet.
Und 2-3 Wochen später hast du dann wieder den gleichen Virus vom gleichen Absender im Maileingang.

Und genau wegen solcher Leute verbreiten sich diese Viren und Würmer!

Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott

Beitragvon lupus359 » Sa 22.12.2001 - 16:53

Bin bisher eigentlich immer Virenfrei gewesen, aber letztens hat mir jemand, der mir völlig unbekannt ist den badtrans rübergemailt. Virenkiller ist angesprungen, kein Problem. Ich schreib ihm zurück und sag ihm dass er den Virus hat. 2 Wochen später kommt eine Antwort(Re: Virus) .... und die enthält wieder den gleichen Virus.

Lupus359, entsetzt
Gewalt ist das letzte Mittel des Unfähigen. (Salvor Hardin)
Benutzeravatar
lupus359
Power-User
 
Beiträge: 105
Registriert: Mo 13.08.2001 - 11:52
Wohnort: Bonn

Beitragvon Feodor » Sa 22.12.2001 - 17:06

Ja, man ist zum Fleiß verdammt, wenn man Mainstream-Software benutzt.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Feodor » Sa 22.12.2001 - 18:45

Noch mal kurz zu den de.comp.security.firewall FAQs von Lutz Donnerhacke:

Obwohl er inhaltlich nichts falsches schreibt, habe ich seinen Ton mal wieder (wie schon früher) als etwas arrogant rezipiert. Na ja, ist bekannt, es gab schon öfters Beschwerden deswegen im Usenet.

Meine Meinung zu de.comp.security.firewall:

"For admins and developers only"
"Windows customers keep away"

*g*

Die hier auch schon erwähnte und allseits bekannte Gibson-Research-Seite ist für "gewöhnliche" Privatleute sicher eine sehr gute Adresse

http://grc.com/lt/scoreboard.htm

Hier erfährt man nicht nur, dass Personal-Firewalls "sche..." sind, sondern es wird auch differenziert, was mir gur gefällt.

Ich habe übrigens keine Personal-Firewall, sondern setze aufs Virenscannen.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Nächste

Zurück zu DrayTek Vigor 2200 (X/E/W) Router - Konfiguration

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron