Warum ist mein Netzwerk sicher???
 

Hallo zusammen!

Ich möchte hiermit mal eine etwas "dämliche" Frage stelle.
Ich habe zuhause ein Netzwerk mit 5 Clients ( win2k ) und einem Server, der auch auf win2k läuft.
Ich benütze hiermit die Symantec Corp. 9.0 Edition für einen rundum Netzwerkschutz.

Komischerweise bekomme ich immer zu höhren, dass eine Firewall "PFLICHT" ist bei der momenten Viren Situation.
Was ich auch schon mehrmals erlebt habe ist, dass wenn ich einen Rechner aufsetze, die Updates installiere und dann online gehe.... das irgendwann wieder Viren da sind. ( dadurch, dass ich keine Firewall installiert / aktiv ) habe.

Nur weshalb passiert bei mir das nicht?

Ist es möglich, dass dies am Router von Inode zusammenhängt? Mein Netzwerk wird nämlich über einen Switch verteilt. ( ich nehme mal an das Ding wird nicht wirklich was schützen *gggg* ).

Liebe Grüße

Benny

Welche ports sind denn providerseitig schon geblockt :rolleyes:

Was ich so weiß ist bei Inode keiner geblockt.
Müsste also alles offen sein.

Schöne Grüße

Benny

Abgesehen davon, dass die einschlägigen Ports vom Router geblockt sein könnten* (keine Ahnung, wie das Ding konfiguriert ist), könnte auch einfach dein W2K am aktuellsten Patch-Stand sein und/oder das Norton-Zeugs die entsprechenden Ports zumachen (ich denke da jetzt etwa an 135, 139, und 445).


*) Davon kann jedenfalls ausgegangen werden, wenn du nicht für jeden deiner Rechner eine offizielle IP bekommen hast und sämtlicher Traffic weitergeleitet wird - in dem Fall wird nämlich NAT eingesetzt, welches implizit nur Verbindungen von Innen nach Außen zulässt.

Router hat auch sicher keine eingebaute HW-Firewall?

Wählst du dich auf jedem Rechner separat per VPN ein?

Also mein Router hat sicher keine Firewall.

Ähm separat einwählen?

Ich mache es so.... ich habe einen Server bei dem ist die "Gemeinsame Nutzung" aktiv. und dadurch können alle Clients über den Server ins Internet gehen.

Ich denke aber nicht, dass Symantec die Ports dadurch blockiert. Den einige meiner Bekannten denen ich ebenfalls den AV installiert haben haben Viren, Würmer, Trojaner dadurch bekommen.

Schöne Grüße

Benny

Aha, schön langsam erfahren wir ja alles, was wir wissen müssen... ;)

Du verwendest also die Windows-eigene "Verbindungsfreigabe" oder wie dieses Ding heißt?!

Damit hab ich "leider" genau gar keine Erfahrung (da ich immer nur professionelle Lösungen verwendet habe *g*), aber das wird ja letztendlich nichts anderes sein als NAT/PAT.

Was meinst du mit "Professioneller Lösung"?

Lg Benny

Ich meine damit Hardware-Router, bzw. spezielle Linux-Distributionen à la IPCop o.ä.

Re: Warum ist mein Netzwerk sicher???
 

Eine typische "urban legend". Eine Firewall ist kein Zaubermittel! Sie trennt lediglich Dienste, die im LAN angeboten werden sollen, sauber vom WAN ab.
Wo kein Dienst angeboten wir, ist daher prinzipiell auch eine Firewall überflüssig.
Aber leider bietet ein Default-mäßig installiertes Windows Dienste an die der User erst umständlich absichern/abschalten muss.

Über die ICS wird ein simples NAT eingerichtet. Daher sind die Dinste die dahinter laufen von extern nicht erreichbar. Prinzipiell reicht das als Schutz auch vollkommen aus. Aber eine echte Firewall bietet im Regelfall einfach nur mehr Möglichkeiten des Feintunings.

Hallo Mario!

Aber, wenn du sagst die "ICS" ist der Grund dafür, dass meine Clients nicht infiziert werden dann müsste doch wenigstens der Server attakiert werden oder?

Lg Benny

Auch der Server wird ge-NAT-et.

Inwiefern Raum für Attacken ist, hängt von den offenen Diensten und dem Patchlevel ab.

Und nicht zuletzt spielt doch auch eine Rolle,
wo die user sich rumtreiben,
also bei welchen Servern man mit seiner IP "auffällt".

@Blauesau aber wenn ich mit dem Server zuerst einige Stunden online bin und dann erst die ICS aktiviere müsste er normal doch schon "verseucht" sein oder?

Ist jedenfalls bei den meisten Fällen so, wenn diese ohne FW unterwegs sind.

Lg Benny

Mit einem gepatchten Windows 2000/XP kannst du auch ohne Firewall ins Dirty Internet, ohne gleich automatisch verseucht zu werden. Die RPC-Bugs/Lücken wurden ja behoben.

Du sagst also mit gepatchtem win2k kann ich ohne Probs. direkt ans Internet rein? ( Ohne Firewall )?

Das habe ich bei einigen Rechnern, meiner Bekannten gemacht -> Folge war:

Sdbot, Blaster/Sasser und noch so einige verschiedene Varianten.

PS: Davor war der Rechner clean, weil er in meinem Netzwerk neu aufgesetzt und gepatched wurde.

Liebe Grüße

Benny

@blauesau, deswegen hat ja MS WinXP eine Firewall spendiert, weil man sie nicht braucht :rolleyes:

@vodka, http://www.knauser.at/details502-23-2.html
imho ist das die beste Lösung für dich, die 30 Euro sind gut investiert, dazu brauchst du noch einen Switch um 15 Euro

@Enjoy das ist nett, wie du mir zeigst, wie ich mein Netzwerk sicherer mache, aber meine Frage war eher.... warum ist es sicher?

Den es wundert mich ehrlichgesagt weshalb ich diese Probleme wie andere Leute haben nicht habe.

Lg Benny

Willst du mir damit irgendetwas sagen?

Asexuelle, unverspielte, downloadfaule, Fax- & Tel- & Snailmail-liebende user?

Ja. Und zwar problemlos!
Dann war möglicherweise das LAN deines Bekannten bereits verseucht. Keiner der genannten Schädlinge kann (ein Windows mit allen Security Fixes vorrausgesetzt) ohne zutun des Users vom WAN aus einen Rechner infizieren.
Ist doch ein guter Marketing-Gag. Du gaukelst dem User über das Zauberwort "Firewall" vor, sein Rechner wäre jetzt sicher.
Und offenbar ist zumindest einer schon darauf reingefallen ;-).

Hallo Mario!

Das Lan meines bekannten war somit schon verseucht?
Mein bekannter war nicht im LAN.
Er nahm nur das Internet via Netzwerkkarte.

Im LAN war der PC nur bei mir zuhause und das ist sicher.
Sonst wären ja meine 6 Clients auch infiziert oder?
Bis Dato habe ich noch nichts bemerkt.

Lg Benny

Tjo, dann wars wohl Zauberei.

Denn Sasser verbreitet sich nur:

* indem er die Microsoft LSASS Schwachstelle an Port 445 ausnutzt (siehe Security Bulletin MS04-011).

Wenn du den dort erwähnten Fix installiert hast, kannst du dich nicht mit einem Sasser infizieren.

W32/Blaster verbreitet sich:

* indem er die DCOM-Schwachstelle im RPC (Remote Procedure Call)-Dienst ausnutzt. Diese wird mit MS03-026 geschlossen.

Wenn du den dort erwähnten Fix installiert hast, kannst du dich nicht mit einem Sasser infizieren.

W32/Sdbot verbreitet sich:

* auf andere Netzwerkcomputer, die mit W32/Sasser infiziert sind

Die gibt es in deinem LAN nicht, wie du bestätigst.

* auf andere Netzwerkcomputer, indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter: LSASS (MS04-011), RPC-DCOM (MS04-012), WKS (MS03-049) (CAN-2003-0812), WINS (MS04-045) und MSSQL (MS02-039) (CAN-2002-0649)

Wenn du die dort erwähnten Fixes installiert hast, kannst du dich nicht mit einem Sdbot infizieren.

* indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind.

Das wäre theoretisch möglich. Aber so intelligent, daß man keine leeren Adminpasswörter verwendet, sollte man doch sein.

Vermutlich habt ihr ein stinknormales XP installiert und der PC war die ganze zeit am Netz. Erst nachher wurden die SPs und Hotfixes eingespielt - da war es dann schon zu spät. Sowas hab ich auch schon erlebt.

Gegen einen Virus wird eine Firewall nicht wirklich was ausrichten, eine Datei, die über E-Mail, Download über Browser, oder Chat-Programm auf den Rechner kommt und danach gestartet wird, dass kann die Firewall nicht verhindern

allerdings Würmer wie Blaster, Sasser, usw. hält auch die Windowsfirewall, bzw. andere Personal Firewall ab, ob ich nun den letzten Patch installiert habe, oder nicht.

imho ist zumindest der Server nicht geschützt vor neuen Würmern, die eine Firewall abhalten würde

PS: mir ist klar, dass man die Personalfirewalls übergehen kann, aber für die meisten Würmer, bzw. Zugriffsversuche von Außen reicht so ein Teil, bei wichtigen Daten von Firmen, usw. investiert man ein wenig mehr

@blauesau

Nr.1 Bin ich der Meinung das WIN XP eines der unübersichtlichsten und schlechtesten OS ist die es gibt.

Nr.2 Wurde der Rechner wie schon bereits gesagt zuerst in meinem Netzwerk neu installiert ( win2k ), Alle updates eingespielt, AV installiert + Upgedatet und erst dann wurde der Rechner direkt an das Netz meiner Bekannten angeschlossen.

Liebe Grüße

Benny

Wie's schon gepostet wurde. Firewall braucht man keine , wenn das System aktuell ist. Mir ist kein Windows Exploit bekannt, der vor einem Patch "am Markt" war.

Mit meinem w2k Firmenotebook gehe ich auch regelmäßig ohne Firewall, ungefiltert und mit öffentlicher IP ans Netz, bisher problemlos.

@maxb, wenn ich jetzt alle Leute, die ich kenne, aufschreiben müsste, welche nicht am selben Tag einen Patch eingespielt haben, wenn dieser verfügbar ist, würde ich wahrscheinlich wunde Fingerkappen haben und 3 Tastaturen verschleißen

wenn du dieser meinung bist: warum verwendest du es dann?

@pc.net

posting ganz lesen :D er verwendet Win2k

nachdem xp ja eh nur ein minor-release von w2k ist, wundert es mich, warum er w2k verwendet ... es ist ja alles an den gleichen stellen zu finden - also muss es ja gleich unübersichtlich und schlecht sein :ms::D ...

Das war auch nicht Besandteil meiner Antwort

"Firewall braucht man keine , wenn das System aktuell ist."

:p


PS: wem sagst du das ... umso größer die Firma, umso schwieriger wird's aber.

1. xp ist eine weiterentwicklung von 2k, und damit in so gut wie jeder hinsicht überlegen besonders mit sp2. Die unübersichtlichkeit kannst mit 2-3 mausklicks abdrehen.

2. egal ob du alle sicherheitslücken patcht oder nicht, ohne firewall sind die netbios ports nach aussen offen wenn du nicht manuell netbios over tcpip deaktiviert hast und dieses stellt die größte angriffsfläche bereit.

3. Mit allen sicherheitsupdates, deaktiviertem netbios over tcpip, und wenn alle IIS, telnet, smtp usw. dienste deaktiviert sind bist vor virenattacken momentan sicher, vor gezielten hackerangriffen jedoch nicht.

4. Die Symantec CE 9.0 ist ein reiner virenschutz und blockt keine ports. Weiters stellt sie eine mords belastung füs system dar, wenn du scannen beim öffnen und nicht nur beim erstellen aktiviert hast. Scannst du hingegen nur beim öffnen ist der virenschutz praktisch wertlos.

Geschmackssache würd ich sagen.
Das ist so pauschal nicht richtig. Wenn du WAN Verbindungen meinst, die per PPTP aufgebaut werden, dann ja. Das kommt aber daher, daß PPTP als VPN Protokoll gedacht war. Hier kann man MS IMO keinen Vorwurf machen, daß das Protkoll in Österreich für ADSL Verbindungen "misbraucht" wurde.
Wenn du z.b. ein PPPoE Verbindung erstellst, ist Netbios über TCP und die Dateifreigabe per default deaktiviert.
Verbose, bitte! Was verstehst du unter einem "gezielten Hackerangriff"?
IIS, Telnet, SMTP sind per default ohnehin deaktiviert.
Warum? Viren sind auch nur Programme. Solange man sie nicht ausführt sind sie nur eine Bytefolge.

Was bedeutet, dass du nicht viel Ahnung zu haben scheinst. Ich will jetzt freilich keine Grundsatzdiskussion anfangen und Linux-Trolle aufwecken, aber die Aussage ist wenig qualifiziert. :rolleyes:

Hmm. Ich würde mal das Gegenteil behaupten.

Gäähn. Guten Morgen! ;-)

Faszinierend wie eine einfache Frage abgleitet.. ;)

Warum trifft es deine Rechner also nicht?

Alle Rechner die an deinem Server hängen, sind durch den halbwegs geschützt. Das betrifft zumindest Würmer, Angriffe von Scriptkiddies usw.

Der Server selber: Vielleicht bist du nicht als Administrator oder User mit Asministratorrechten angemeldet? Das verhindert schon mal 99% aller Möglichkeiten wie sich Würmer und Viren installieren können.
Weiters wurde schon richtig angemerkt, daß vielleicht an der Netzwerkkarte fürs Internet Netbios über TCP/IP deaktiviert ist. Oder Inode erledigt das für dich.

Weiters wird es am Nutzerverhalten liegen. Du wirst vermutlich nicht jeden Mist gleich installieren, dich auf keinen Hacker und Warezseiten herumtreiben, etc. blabla.

Daher: Wenn du hinter einem Router mit NAT hängst (bzw an deinem Server), dazu als normaler User ohne Administratorrechte angemeldet bist, dann ist eine (dauerhafte) Invasion von Viren und Würmern schon unwahrscheinlich weil um vieles schwieriger.

Sicher ist dein Netzwerk deswegen nicht. Ich würde eher meinen, es ist für den Privatgebrauch richtig. ;)

Anm.: Eine Software-Firewall macht hinter einem Router eher wenig Sinn. Manche dieser Produkte reißen mehr Sicherheitslücken auf als sie schließen. Und Firewall und Virenscanner deren Nutzer mit Administratorrechten arbeiten sind überhaupt weitgehend nutzlos.