Wieso bringt Firewall etwas?
- Ersteller o0Julia0o
- Erstellt am
Sorry aber NAT hat nichts mit Security zu tun auch wenn das immer mal wieder wiederholt wird. https://blog.webernetz.net/why-nat-has-nothing-to-do-with-security/ und selbst wenn man sich auf dieses "pseudo-security by obscurity" verlässt ist dies mit IPv6 hinfällig.
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
So ein Router schützt schon vor großen Teilen des "Grundrauschens".
Wir betreiben (low interactive) Honeypots und haben einige davon auch im Internet.
Ich habe zur Veranschaulichung mal 2 Screenshots beigefügt, einfach damit man sich mal eine Vorstellung davon machen kann, was da so alles vorbeikommt...
Oben sieht man die Anzahl der Events pro Monat (wir haben sie in der 2. Januarhälfte zurückgesetzt)
Unten sieht man die Eventübersicht (Name(n) des/r Sensor(s/en) habe ich rausgenommen).
Wir betreiben (low interactive) Honeypots und haben einige davon auch im Internet.
Ich habe zur Veranschaulichung mal 2 Screenshots beigefügt, einfach damit man sich mal eine Vorstellung davon machen kann, was da so alles vorbeikommt...
Oben sieht man die Anzahl der Events pro Monat (wir haben sie in der 2. Januarhälfte zurückgesetzt)
Unten sieht man die Eventübersicht (Name(n) des/r Sensor(s/en) habe ich rausgenommen).
- Registriert
- Dez. 2012
- Beiträge
- 2.737
Glastopf?
Aber wenn der Virus auf eigehende Verbindungen über Port 80 lauscht, dann kann man ja ruhig alle anderen Ports sperren im Router sperren. Dann würde man je jeden Virus über Port 80 lauschen lassen, weil der ohnehin meist offen ist im Router & in der Windows-Firewall.snaxilian schrieb:
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
Linko0Julia0o schrieb:
Sorum funktioniert das nicht.o0Julia0o schrieb:
Port 80 ist normalerweise der Zielport eines Webservers, nicht der Quellport des Laptops (oder eines anderen internetfähigen Geräts).
Wenn ein Laptop eine Webseite aufruft, wird beim Laptop (mehr oder weniger) zufällig ein freier TCP-Port geöffnet z.B. 23456. Dann wird auf IP-Ebene die Verbindung zum Webserver aufgebaut und der Webserver auf TCP-Port 80 angesprochen, weil dort typischerweise ein Webserver lauscht und via http Webseiten ausliefert (bei https wäre es typischerweise TCP-Port 443).
Auf dem Laptop kommt nur dann eine Verbindung auf Port 80 zustande, wenn a) auf dem Laptop ein Webserver läuft, der auf Port 80 lauscht und b) der vorgeschaltete Router die Anfrage an den Laptop durchreicht.
Ein Virus könnte natürlich auf Port 80 lauschen, dann muss aber immer noch b) erfüllt werden.
Das wiederum könnte man durch UPNP-Lücken oder ähnlichen Schwachstellen auf dem Router erreichen.
Und dann müsste "aus dem Internet" jemand versuchen die Verbindung aufzubauen -> Das sind die Anfragen, die ich oben als "Grundrauschen" betitelt habe und die normalerweise vom Router nicht beantwortet und verworfen werden. Das ist natürlich denkbar und möglich aber verhältnismäßig aufwendig.
Andersrum ist es "üblicher":
Man fängt sich einen Schädling ein, dieser versucht "Kontakt nach außen" aufzunehmen in dem er versucht eine URL aktiv aufzurufen, um z.B. Daten (Passwörter, Kontakte, etc.) auszuleiten oder weiteren Schadcode nachzuladen.
Das kann eine (Desktop-)Firewall feststellen und ggf. verhindern.
Auch eine dedizierte (Paketfilter-)Firewall kann sowas erkennen und manchmal sogar ein Virenscanner.
@carnival55 hat es eigtl. ganz gut und recht kompakt zusammengefasst.
Dir fehlt vermutlich einfach das Verständnis von Incoming und Outgoing Traffic. Die Firewall im Router blockiert standardmäßig alle Ports über Incoming (eingehenden) Datenverkehr (außer man hat entsprechend manuell einen Port freigegeben).
Somit ist man zwangsläufig nicht auf eine Software Firewall angewiesen um sich gegen Hacker zu schützen, die sich rein über das Internet versuchen Zugriff auf deinen PC zu verschaffen.
Etwas anderes ist es, wenn du bereits einen Virus, Trojaner etc. auf deinem PC hast (durch bspw. Email Anhänge, USB Sticks etc) und dieser bereits vorhandene Trojaner auf deinem PC nun versucht, bspw. diverse Daten auf deiner Festplatte ins Internet rauszuschicke (outgoing Datenverkehr). Da hilft dann die Firewall in deinem Router nicht mehr weiter und da könnte, wenn man sich in der Thematik auskennt, eine Software Firewall helfen, da man Erkennt, dass ein bisher noch unbekanntes Programm versucht, aufs Internet zuzugreifen. Dies könnte man mit einer Software Firewall verhindern, zumindest insoweit, dass keine Daten ins Internet raus gehen und man wäre gewarnt, dass irgendetwas auf dem PC an Software ausgeführt wird, welches ein möglicherweise nicht gewollter Trojaner ist.
Dir fehlt vermutlich einfach das Verständnis von Incoming und Outgoing Traffic. Die Firewall im Router blockiert standardmäßig alle Ports über Incoming (eingehenden) Datenverkehr (außer man hat entsprechend manuell einen Port freigegeben).
Somit ist man zwangsläufig nicht auf eine Software Firewall angewiesen um sich gegen Hacker zu schützen, die sich rein über das Internet versuchen Zugriff auf deinen PC zu verschaffen.
Etwas anderes ist es, wenn du bereits einen Virus, Trojaner etc. auf deinem PC hast (durch bspw. Email Anhänge, USB Sticks etc) und dieser bereits vorhandene Trojaner auf deinem PC nun versucht, bspw. diverse Daten auf deiner Festplatte ins Internet rauszuschicke (outgoing Datenverkehr). Da hilft dann die Firewall in deinem Router nicht mehr weiter und da könnte, wenn man sich in der Thematik auskennt, eine Software Firewall helfen, da man Erkennt, dass ein bisher noch unbekanntes Programm versucht, aufs Internet zuzugreifen. Dies könnte man mit einer Software Firewall verhindern, zumindest insoweit, dass keine Daten ins Internet raus gehen und man wäre gewarnt, dass irgendetwas auf dem PC an Software ausgeführt wird, welches ein möglicherweise nicht gewollter Trojaner ist.
- Registriert
- Dez. 2012
- Beiträge
- 2.737
Ja so meinte ich es. Virus ist auf PC. Dieser teilt dem Angreifer mit, welche IP ich gerade habe - über Port 80. Keine Firewall bemerkt das.
Der Angreifer nutzt dann meine IP um den Virus anzusprechen - RCP. Und schwups bin ich ausgeliefert. Nun sagt ihr von außen nach innen nicht möglich. Aber warum funktioniert dann ein Steam(Spieledistributionsplatform) - da wird ja auch von außen nach innen kommuniziert. Und der Router lässt es zu.
Der Angreifer nutzt dann meine IP um den Virus anzusprechen - RCP. Und schwups bin ich ausgeliefert. Nun sagt ihr von außen nach innen nicht möglich. Aber warum funktioniert dann ein Steam(Spieledistributionsplatform) - da wird ja auch von außen nach innen kommuniziert. Und der Router lässt es zu.
Zuletzt bearbeitet:
was ist denn ein Steam? oder meinst du Stream?
bei einem Stream, aufruf einer Website, einem Download oder sonstwas ist immer dein PC, der die Verbindung initiert. D.h. dein PC initiert über outgoing Datenverkehr die Verbindung und erlaubt somit natürlich auch incoming Datenverkehr. Es ist halt die Frage, welches System der Initiator der Verbindung ist.
bei einem Stream, aufruf einer Website, einem Download oder sonstwas ist immer dein PC, der die Verbindung initiert. D.h. dein PC initiert über outgoing Datenverkehr die Verbindung und erlaubt somit natürlich auch incoming Datenverkehr. Es ist halt die Frage, welches System der Initiator der Verbindung ist.
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
Fangen wir mit dem leichteren Teil an:
Ein St(r)eam funktioniert, weil Du den Film angefordert hast. Du hast einen Request gestellt, die Response darauf ist ...ein Stream... Daher weiß auch der Router an welchen der verbunden Clients er den Stream ...routen...muss.
Bei einem Virus würde es genauso funktionieren. Soweit so richtig.
Der Unterschied ist, der Browser (oder Client) für den Stream ist als "gut" bekannt. Bedeutet (vereinfacht):
- wenn firefox.exe Verbindung zu www.Netflix.com:80 aufbaut = zulassen, da entsprechende Regel vorhanden
Aber:
- wenn firefox2.exe Verbindung zu www.Netflixcom.com:80 aufbaut = ablehnen, da firefox2.exe unbekannt oder Netflixcom.com als Malware-Domain gelistet ist
(firefox2.exe ist hier das Beispiel für den Schädling)
Eine typische Desktopfirewall kennt typische Desktop-Anwendungen und erlaubt für diese typischerweise die Verbindungen nach draussen. Bei unbekannten Anwendung poppt meistens ein Hinweisfenster auf, wo der Nutzer bestätigen muss, dass er/sie die Verbindung zulassen (oder ablehnen) möchte.
Virenscanner können erkennen, dass die firefox2.exe kein echter firefox ist, sondern irgendwas anderes.
Edit:
Ich vermute mal RCP = RPC? Wenn ja: Funktioniert das überhaupt noch "remote"? Da bin ich nicht mehr auf dem aktuellen Stand... 😎
Ein St(r)eam funktioniert, weil Du den Film angefordert hast. Du hast einen Request gestellt, die Response darauf ist ...ein Stream... Daher weiß auch der Router an welchen der verbunden Clients er den Stream ...routen...muss.
Bei einem Virus würde es genauso funktionieren. Soweit so richtig.
Der Unterschied ist, der Browser (oder Client) für den Stream ist als "gut" bekannt. Bedeutet (vereinfacht):
- wenn firefox.exe Verbindung zu www.Netflix.com:80 aufbaut = zulassen, da entsprechende Regel vorhanden
Aber:
- wenn firefox2.exe Verbindung zu www.Netflixcom.com:80 aufbaut = ablehnen, da firefox2.exe unbekannt oder Netflixcom.com als Malware-Domain gelistet ist
(firefox2.exe ist hier das Beispiel für den Schädling)
Eine typische Desktopfirewall kennt typische Desktop-Anwendungen und erlaubt für diese typischerweise die Verbindungen nach draussen. Bei unbekannten Anwendung poppt meistens ein Hinweisfenster auf, wo der Nutzer bestätigen muss, dass er/sie die Verbindung zulassen (oder ablehnen) möchte.
Virenscanner können erkennen, dass die firefox2.exe kein echter firefox ist, sondern irgendwas anderes.
Edit:
Ich vermute mal RCP = RPC? Wenn ja: Funktioniert das überhaupt noch "remote"? Da bin ich nicht mehr auf dem aktuellen Stand... 😎
Zuletzt bearbeitet:
BalthasarBux
Commodore
- Registriert
- Jan. 2005
- Beiträge
- 4.115
o0Julia0o meint Steam, keinen Stream. Die Erklärungen sind dennoch gültig, das gewünschte Resultat dann nur eben ein Spiele-Download statt eines Netflix-Streams.
- Registriert
- Dez. 2012
- Beiträge
- 2.737
Die Softwarefirewall fragt, ob ich es zulassen möchte - ja. Aber die Firewall im Router interessiert sich nicht für die Firefox2.exe. So ist mir der Sinn der Hardwarefirewall im Router nicht deutlich. Warum sollte ich sie auf AN stellen & nicht auf AUS?
Jetzt stell dir mal vor du hast nicht nur ein Endgerät wo du Firewallregeln verwalten willst sondern 10 oder 100? Na, klingt da eine Desktopfirewall immer noch sinnvoll oder lieber zentral verwaltet?
Auch vermischt du hier komplett verschiedene Anwendungsfälle. Eine Firewall, zumindest wie sie in Routern für zuhause der Fall sind, arbeiten auf Layer 3/4 und interessiert sich nicht für die Inhalte der Pakete. Ist z.B. sinnvoll wenn nicht jedes Gerät zuhause Mails versenden oder empfangen soll.
Wenn du Webtraffic filtern willst ist ein Proxy das richtige. Verschiedene Probleme erfordern verschiedene Lösungen.
Auch vermischt du hier komplett verschiedene Anwendungsfälle. Eine Firewall, zumindest wie sie in Routern für zuhause der Fall sind, arbeiten auf Layer 3/4 und interessiert sich nicht für die Inhalte der Pakete. Ist z.B. sinnvoll wenn nicht jedes Gerät zuhause Mails versenden oder empfangen soll.
Wenn du Webtraffic filtern willst ist ein Proxy das richtige. Verschiedene Probleme erfordern verschiedene Lösungen.
o0Julia0o schrieb:
Die Router-Firewall blockt eingehende Verbindungen, das ist der eigentliche Hauptzweck. Ausgehende Verbindungen wird sie nicht blocken, weil sie nicht erkennen kann, ob es sich wie im Beispiel um firefox.exe oder um firefox2.exe handelt. Sie hat dazu nicht mal die Fähigkeit.
Wenn sie alles Ausgehende blocken würde, könntest du z.B. nicht mehr surfen.
carnival55
Lt. Junior Grade
- Registriert
- Jan. 2017
- Beiträge
- 339
Ich verweise nochmal auf den Grundlagen-Artikel bei Wikipedia. Die Lesezeit lohnt sich.
Dort wird auf sinnvolle Anwendungsfälle und auch auf die Grenzen einer FW-Lösung eingegangen.
Zudem wird erklärt, und hier kommt auch der Bezug zur ursprünglichen Frage, welche Filtertechnologie auf welchem (OSI-)Layer arbeitet.
@o0Julia0o: Meine Empfehlung ist, dass Du Dich mit den Grundlagen einer FW und auch den dazugehörigen Netzwerkthemen auseinandersetzt. Verschiedene Hilfestellungen sind in den ganzen Posts hier verlinkt.
Ansonsten tippen wir uns in 3 Wochen noch die Finger wund.
Dort wird auf sinnvolle Anwendungsfälle und auch auf die Grenzen einer FW-Lösung eingegangen.
Zudem wird erklärt, und hier kommt auch der Bezug zur ursprünglichen Frage, welche Filtertechnologie auf welchem (OSI-)Layer arbeitet.
@o0Julia0o: Meine Empfehlung ist, dass Du Dich mit den Grundlagen einer FW und auch den dazugehörigen Netzwerkthemen auseinandersetzt. Verschiedene Hilfestellungen sind in den ganzen Posts hier verlinkt.
Ansonsten tippen wir uns in 3 Wochen noch die Finger wund.
Ähnliche Themen
- Angepinnt
