Fachrat Informatik - Forum

Was noch sicherer als Norton wäre, ist sicherlich ne Hardwarefirewall. Aber normalerweise, kann ein Hacker so ohne weiteres nicht in ein System eindringen.

Noch ne Möglichkeit, einfach die IP permanent blocken, sofern das mit Norton geht. Bei der Firewall von Sygate geht das jedefalls und dann wäre Ruhe.

Es gibt diverse Seiten im Netz, die die Sicherheit eines PCs testen, in dem sie schauen, welche Ports offen sind etc. Da könnte dein Kumpel ja mal testen, ob sein System verwundbar ist. Normalerweise reichen Softwarefirewalls für Normaluser aus und ich denke mal, dass du mit System, einen normalen Benutzer PC und nicht einen Server meinst. Einfach mal nach Googlen.

Quoted

Original von Michael
Ein Freund von mir hat seit einiger Zeit Probleme mit Hacker-Angriffen auf sein System. Jeden Tag erfolgen mehr als 30 Angriffe, und auch wenn Norton bis jetzt alle abgewehrt hat, gehen die ständigen Meldungen enorm auf die Nerven. Und man weiß halt nie, ob nicht vielleicht doch mal ein Angriff erfolgreich sein wird.
Meine Frage an die fachkundige Allgemeinheit wäre nun: Was kann man dagegen machen? Norton gibt immer brav die IP und den nodename des Angreifers (ist fast immer der gleiche) aus, kann man das irgendwie nutzen, um das ganze zu unterbinden?

Personal Firewall wegschmeißen und offene Ports dicht machen:

http://www.linkblock.de

Speziell für Windows 2000 und XP:
http://www.ntsvcfg.de

Quoted

Original von Thor_Walez
Was noch sicherer als Norton wäre, ist sicherlich ne Hardwarefirewall. Aber normalerweise, kann ein Hacker so ohne weiteres nicht in ein System eindringen.

"Normalerweise" ist ein sehr vager Begriff. Neue Sicherheitslücken (und dazu passende Exploits) gibt es regelmäßig – und das für so ziemlich jede Plattform.

Quoted

Noch ne Möglichkeit, einfach die IP permanent blocken, sofern das mit Norton geht. Bei der Firewall von Sygate geht das jedefalls und dann wäre Ruhe.

Nur bei statischen IPs sinnvoll. Und selbst das nur dann, wenn kein Spoofing vorliegt.

Quoted

Es gibt diverse Seiten im Netz, die die Sicherheit eines PCs testen, in dem sie schauen, welche Ports offen sind etc.

Bringt IMHO nicht viel, da eine vernünftige Analyse sehr von den Eigenheiten des zu testenden Systems abhängt. Die gängigen "Web-Tests" sind reine Portscanner, die (wenn überhaupt) nur sehr grobe Sicherheitsprobleme entdecken können.

Quoted

Normalerweise reichen Softwarefirewalls für Normaluser aus und ich denke mal, dass du mit System, einen normalen Benutzer PC und nicht einen Server meinst.

Das leider gerade nicht. Personal Firewalls machen nur dann Sinn, wenn man über Netzwerktechnik genau bescheid weiß. Und wenn das der Fall ist, braucht man keine Personal Firewall mehr. Siehe dazu auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#PF

Was meinst Du denn überhaupt mit einem Hacker-Angriff? Für jemand nicht so fachkundigen sieht da ja auch alles gleich aus, da bei Norton wie bei den meinsten PersnalFirewalls immer fast das gleiche Fenster aufpoppt und meldet. Es ist ja schließlich ein großer Unterschied, ob nur mal wieder irgendjemand z.B. nen Portscan über einen Bereich der T-Online-User-IPs losläßt oder jemand versucht gezielt in sein System einzudrigen.
Der erste Fall tritt ja wohl heutzutage leider fast bei jedem ein, da immer irgendwelchen Kiddies langweilig is und die mal eben dank der Flatrate einfach durch die Gegend scannen. Viele davon würden sich dann vielleicht über internetweite Windows-Freigaben freuen um zu stöbern,doch mit mehr können die meisten sicher nix anfangen. Ok, es gibt sicher auch mal ne Ausnahme.
Damit er gezielt von einer IP über mehrere Tage "angegriffen" würde, müssten auf seinem PC schon sehr interessante Dinge liegen. Ist doch nen Home-PC oder? Wenn dies so sein sollte, müsste der Angreifer aber auch irgendwie die wohl wechselnde IP (?) deines Freundes bei der Neueinwahl immer mitbekommen. (Per ICQ, irc, dynamischer DNS-Eintrag, oder das System ist schon infiltriert, ...). Die mehrfachen "Hackangriffe" können ja auch noch harmloserer Natur sein. Je nachdem wir dein Freund mit den Meldungen von Norton umgeht, kann das ja auch ein Scan sein, der wiederkehrt oder eben nur viele Ports scannt....
Wie Joachim schon sagt, PersonalFirewalls sind zwar für jeden einfach zu installieren in Windows, doch wenn man nicht weiß, was einem diese Meldungen überhaupt genau sagen, bringt einem die PF eigentlich auch kaum was, außer mal stellt sie vielleicht auf "block all" oder so.
Das beste ist dann doch immernoch vorallem für den Home-PC einfach alle Ports dich zu machen. Zumindest sollte man sicher sein, dass man die beliebten Ports der Windows-Dienste für Zugriff von außen sperrt. Wenn man keine Serverdienste laufen hat, einfach "alles dicht machen". Damit mein ich alle Ports die eben dank des Systems immer offen stehen. D.h. es sollten nur Ports offen sein, die von einer ausgehenden Verbindung benutzt werden und reingelassen vielleicht nur Pakete die Antworten auf Anfragen sind oder damit verwandt. Es gibt eben nicht für alle PCs DIE ultimative Lösung, da jeder PC anderen Sinnen und Zwecken nachgeht. Die beste Firewall für Paranoide ist immernoch das Tiehen der Telefon/Netzschnur.

Um deinen Freund vielleicht etwas zu entlasten könnte man sehen, dass man eben die Firewall einmal richtig trainiert oder einfach ein paar Grundeinstellungen festlegt. Zumindest sollten alle Scheunentore geschlossen werden. Vielleicht geht das mit Norton oder eben einem einfachen Programm. Für sowas brauch man keine schicke GUI.
Um Scheunentore zu schließen, einfach mal einen guten Portscanner wie nmap drauf loslassen aus dem Internet und schaun was zu sperren ist. Will man den Scan-Kiddies das leben erschweren könnte man auch die Pings blocken, was einen böswilligen Menschen aber von nix abhalten wird. Es zieht ggf. eben nur Scans in die Länge und verdirbt Spielkindern die Lust dran.
Wenn man mehr will, kann man natürlich auch einen security scanner wie nessus draufloslassen, der zumindest guckt, ob teils bekannte Exploits vorliegen. Doch gegen die wahren Hacker, die sich ihre noch unbekannten Exploits selber suchen, kann man nicht mehr als alles zu machen oder das Kabel ziehen. Aber sein wir mal ehrlich, warum sollte so einer soviel Arbeit investieren und auf einen Home-PC losgehen. Und wenn solche wichtige Daten auf dem PC wären, dass er einen solchen Angriff erwarten könnte, sollte er schon lange eine andere Lösung haben.
Hat er vielleicht einen (DSL-)Router der über Access Control Lists / Firewallfunktionalität / ... verfügt? Dann könnte er das auch auf den verlagern und so sein nervigen Norton loswerden.

Fazit:
Es gibt keine ultimative Lösung.
Man muss sie für jedes System anpassen.
Alles Blocken war er nicht brauch. Alles war verboten wir, ist verboten.
Oder besser alles verbieten, was es gibt und nur das erlauben, was er wirklich braucht. Alles was nicht erlaubt ist, ist verboten.

Quoted

Original von metalhen
Will man den Scan-Kiddies das leben erschweren könnte man auch die Pings blocken, was einen böswilligen Menschen aber von nix abhalten wird. Es zieht ggf. eben nur Scans in die Länge und verdirbt Spielkindern die Lust dran.

Von ICMP (also insbesondere Pings) sollte man die Finger lassen. ICMP-Messages sind notwendig für die korrekte Funktionalität von IP. Manipulationen können zu Störungen im Netz führen.

und warum ist dann bei 99% alller hardware-router die ping-funktion deaktiviert?

wenn ich mich richtig erinnere kommt der 'liebe' blaster wurm über port 135 bzw. scannt den... das könnte erklären warum du immer warnnachrichten bekommst

Quoted

Original von klepu
und warum ist dann bei 99% alller hardware-router die ping-funktion deaktiviert?

Das bezweifele ich. Woher hast Du diese Zahl?

Mach mal ein Traceroute zu einem beliebigen Host im Internet (naja, ganz beliebig nicht, er sollte schon ein paar Hops entfernt sein) und versuche danach mal die beteiligten Router zu pingen. Du wirst feststellen, daß (fast) alle auf Pings reagieren. Ich hab das eben mal für www.kernel.org und www.sco.com getestet.

Außerdem: Was für einen Schutz bietet es, Pings zu deaktivieren? Daß unter einer bestimmten IP ein Rechner erreichbar ist, bemerkt ein potentieller Angreifer bereits allein dadurch, daß der letzte Router auf dem Weg zum Ziel kein "host unreachable" zurückliefert. Aus dem selben Grund ist auch der sog. "Stealth Mode" vieler Personal Firewalls Unsinn (siehe dazu auch http://www.iks-jena.de/mitarb/lutz/usene…html#Verstecken).

IMHO ist RETINA ein sehr gutes Tool um die Sicherheit eines Systems / Netzwerkes zu testen. Ich habe mit diesem Tool selber schon einmal gearbeitet und da es laufend mit allen Sicherheitslücken (und den Exploits die da zu gehören) geupdatet wird, ist man erstaunt welche Lücken es den so alles im Netzwerk gibt. Darüber hinaus gibt Retina auch gleich hinweise auf die Behebung dieser Lücken.

Der Nachteil ist das die LIzenz unglaublich teuer ist und eigendlich nur für den Gebrauch in Firmen gedacht ist. Bis vor kurzen gab es jedoch eine Demoversion die das Scannen von genau einer IP erlaubte (Vollversion erlaubt je nach Lizenz das Scannen von IP-ranges) Das sollte für den Hausgebrauch eigendlich ausreichen, man muss dan nur jede IP im Netz einzeln per Hand scannen.

Zu finden unter : http://www.eeye.com/html/Products/Retina/

Gruß
Puck