Firewall FAQ für Fortgeschrittene - Beitrag #112 - Post 283267 - Computer Hardware Forum - TweakPC -

Ronald · 12.08.2005, 16:58

@Invicta: Absolute Spitzenklasse! Gleich sechs Möglichkeiten in einem Beitrag abgehandelt. Nicht schlecht. Danke.

----------------------------------------------------

Sicherheitskategorien:

----------------------------------------------------

Ich denke es ist sinnvoll, jeden Beitrag einer der folgenden Sicherheitskategorien zuzuordnen, welche sich auf eine gebräuchliche HOME-Firewall beziehen (auch DLS-Router / -Firewall oder externe Firewall bzw. Hardwarefirewall für den Homebereich genannt). Ziel ist es, deren Möglichkeiten richtig einordnen zu können:

Angriffsmethoden, welche auch eine externe Firewall nicht oder nur rudimentär unterbinden kann
Angriffsmethoden, bei der eine externe Firewall dabei hilft, den Schaden zu begrenzen
Angriffsmethoden, welche sich durch eine externe Firewall verhindern oder deutlich erschweren ließen

Zudem gibt es die folgenden Unterkategorien, welche die für die jeweilige Attacke benötigten Rechte darstellen:

Die Malware benötigt Administratorrechte, um die Attacke ausführen zu können. Dies ist natürlich dann gegeben, wenn der Anwender unter einem Administratoraccount arbeitet, während er die Malware unbemerkt startet (oftmals über Autostartmechanismen). Hierbei ist jedoch zu beachten, dass es durchaus genügen kann, wenn die Malware nur ein einziges Mal unter einem Administratoraccount gestartet wurde. Genau wie unter UNIX gibt es auch unter Windows zahlreiche Möglichkeiten, dem Programm von nun ab immer Administratorrechte zu geben (also vollkommen unabhängig von den Rechten der nachfolgenden Anwender => einmal Admin, immer Admin; auch nach jedem Neustart des Rechners).

Hinweis: In einigen Fällen kann sich die Malware auch Administrationsrechte verschaffen, obwohl sie niemals von einem Administrator aufgerufen wurde. Das ist allerdings nur möglich, wenn das System einen veralteten Stand aufweißt und die Malware so eine bekannte und ungeschlossene Sicherheitslücke des Systems ausnutzen kann.

Zudem sollte man wissen, dass sämtliche Kennungen unter Windows 3.x, 9x, ME und XP Home (nicht XP Professional) mit Administratorrechten laufen. Hier gibt es also keinen kennungsbezogenen Schutz gegen die Attacke der Malware.
Eine normale (unprivilegierte) Benutzerkennung genügt, um die Attacke ausführen zu können.
Abhängig von der Desktopfirewall funktioniert die Attacke bei einigen Herstellern nur mit Administratorrechten, währenddessen bei anderen Herstellern die Attacke unter jeder Benutzerkennung funktioniert.

Beispiel: Diese Methode gehört zur Sicherheitskategorie 1B

Bei Attacken aus denen die Richtung der Netzwerkkommunikation nicht eindeutig hervorgeht, werden beide Kommunikationsrichtungen separat betrachtet, um deren Sicherheitskategorie festzulegen:

K1 (PC->Internet): Die Malware baut eine Verbindung vom PC zum Internetserver auf. Sie könnte sich z.B. an einen IRC-Server binden, um ihre Anweisungen zu empfangen.
K2 (Internet->PC): Die Malware bindet sich an einem Port des PCs und wartet auf eine Anfrage aus dem Internet, die an diesen Port gerichtet ist. Ein Rechner aus dem Internet muss also die Verbindung zum PC herstellen, um auf die Malware zugreifen zu können.

Beispiel: K1 (PC->Internet): Sicherheitskategorie 1B / K2 (Internet->PC): Sicherheitskategorie 3

Das könnte helfen, weit verbreitete Missverständnisse bezüglich der technischen Möglichkeiten einer externen Firewall auszuräumen.

Bye, Ronald

12.08.2005, 16:58	#112 (permalink)
Ronald PC Schrauber Registriert seit: 20.01.2004 Beiträge: 144	AW: Firewall FAQ für Fortgeschrittene @Invicta: Absolute Spitzenklasse! Gleich sechs Möglichkeiten in einem Beitrag abgehandelt. Nicht schlecht. Danke. ---------------------------------------------------- Sicherheitskategorien: ---------------------------------------------------- Ich denke es ist sinnvoll, jeden Beitrag einer der folgenden Sicherheitskategorien zuzuordnen, welche sich auf eine gebräuchliche HOME-Firewall beziehen (auch DLS-Router / -Firewall oder externe Firewall bzw. Hardwarefirewall für den Homebereich genannt). Ziel ist es, deren Möglichkeiten richtig einordnen zu können: Angriffsmethoden, welche auch eine externe Firewall nicht oder nur rudimentär unterbinden kann Angriffsmethoden, bei der eine externe Firewall dabei hilft, den Schaden zu begrenzen Angriffsmethoden, welche sich durch eine externe Firewall verhindern oder deutlich erschweren ließen Zudem gibt es die folgenden Unterkategorien, welche die für die jeweilige Attacke benötigten Rechte darstellen: Die Malware benötigt Administratorrechte, um die Attacke ausführen zu können. Dies ist natürlich dann gegeben, wenn der Anwender unter einem Administratoraccount arbeitet, während er die Malware unbemerkt startet (oftmals über Autostartmechanismen). Hierbei ist jedoch zu beachten, dass es durchaus genügen kann, wenn die Malware nur ein einziges Mal unter einem Administratoraccount gestartet wurde. Genau wie unter UNIX gibt es auch unter Windows zahlreiche Möglichkeiten, dem Programm von nun ab immer Administratorrechte zu geben (also vollkommen unabhängig von den Rechten der nachfolgenden Anwender => einmal Admin, immer Admin; auch nach jedem Neustart des Rechners). Hinweis: In einigen Fällen kann sich die Malware auch Administrationsrechte verschaffen, obwohl sie niemals von einem Administrator aufgerufen wurde. Das ist allerdings nur möglich, wenn das System einen veralteten Stand aufweißt und die Malware so eine bekannte und ungeschlossene Sicherheitslücke des Systems ausnutzen kann. Zudem sollte man wissen, dass sämtliche Kennungen unter Windows 3.x, 9x, ME und XP Home (nicht XP Professional) mit Administratorrechten laufen. Hier gibt es also keinen kennungsbezogenen Schutz gegen die Attacke der Malware. Eine normale (unprivilegierte) Benutzerkennung genügt, um die Attacke ausführen zu können. Abhängig von der Desktopfirewall funktioniert die Attacke bei einigen Herstellern nur mit Administratorrechten, währenddessen bei anderen Herstellern die Attacke unter jeder Benutzerkennung funktioniert. Beispiel: Diese Methode gehört zur Sicherheitskategorie 1B Bei Attacken aus denen die Richtung der Netzwerkkommunikation nicht eindeutig hervorgeht, werden beide Kommunikationsrichtungen separat betrachtet, um deren Sicherheitskategorie festzulegen: K1 (PC->Internet): Die Malware baut eine Verbindung vom PC zum Internetserver auf. Sie könnte sich z.B. an einen IRC-Server binden, um ihre Anweisungen zu empfangen. K2 (Internet->PC): Die Malware bindet sich an einem Port des PCs und wartet auf eine Anfrage aus dem Internet, die an diesen Port gerichtet ist. Ein Rechner aus dem Internet muss also die Verbindung zum PC herstellen, um auf die Malware zugreifen zu können. Beispiel: K1 (PC->Internet): Sicherheitskategorie 1B / K2 (Internet->PC): Sicherheitskategorie 3 Das könnte helfen, weit verbreitete Missverständnisse bezüglich der technischen Möglichkeiten einer externen Firewall auszuräumen. Bye, Ronald
	Geändert von Ronald (06.10.2005 um 18:57 Uhr)