Firewalls (war: Port 137)

Anzeige

Kann man unter XP die Firewall eigentlich irgendwie konfigurieren so das ich auf andere Rechner im Netz zugreifen kann? Denn wenn ich sie einschalte ist mein Netzwerk immer Tod. sch&uuml
Gruß Gorcon

 

@Gag
Das sehe ich ganz genau so.
Es gibt immer wieder mal diese Diskussion SW/Firewall gegen Hardwarelösung. Effektiv ist beides, jedoch auf unterschiedliche Art und Weise.

@all
Softwarefirewall
Bei der Softwarefirewall muss der Schädling erstmal auf den Rechner gelangen. Da die SW Firewall dies von außen blockiert, wird das sehr schwierig. Aber nehmen wir den Fall an, dass er auf den Rechner gelangt ist: Er muss die Firewall abschießen, ansonsten fliegt er sofort auf. Dies fällt dem interessierten User jedoch schnell auf, da mit dem Prozess auch das Tray Icon flöten geht. Weiterhin merkt Norton beim nächsten Start, dass er nicht richtig beendet wurde. Killt der Tronjaner die Firewall nicht, so kann er nicht senden, da beim Verbindungsaufbau Norton sofort merkt, dass dieser Prozess nicht authorisiert ist, einen Verbindung aufzubauen. Er wird mich fragen, ob ich damit einverstanden bin, was ich wohl verneinen würde.
Dass ein Trojaner das Ruleset beim Norton verändern kann wäre mir neu, da die Config verschlüsselt gespeichert wird und sich der Schlüssel in meinem Gehirn befindet. Ohne Telepathie.exe wird das sehr schwierig.

Fazit: Der Trojaner muss fahrlässig auf den Rechner gelangen um aktiv zu werden. Der User kann den Trojaner leicht bemerken. Der parallel arbeitende Virenscanner sollte auch einen Trojaner auf der Festplatte vor Aktivität stoppen, wenn er bekannt ist.

Desweitern kann man durchaus ein 2. Programm schreiben, das ständig überprüft ob ein Prozess noch läuft und im Negativfall eine Aktion ausführt. Ich habe mir sowas für edonkey geschrieben winken Da dies "mein Werk" ist, würde ein Trojaner dies nicht erkennen.

Hardwarefirewall/externe Lösungen
Auch hier muss der Schädling fahrlässig auf den Rechner gelangen, bevor er aktiv werden kann. Der Trojaner hat allerdings nicht die Möglichkeit die Firewall zu umgehen, da er die Firewall Software nicht erreichen kann. Man kann in den logs der FW erkennen, das ein böser Port nach draußen will und ggf. auch automatischen Alarm auslösen.
Anders als bei der Softwarelösung auf dem gleichen Rechner, kann die HW Firewall aber nicht feststellen, wer die Verbindung aufbaut. Die HW Firewall filtert in der Regel Protokolle und Ports. Ein Schädling kann problemlos so programmiert werden, dass er seine Spionage Daten in HTML über Port 80 schickt. Dies sieht für die Firewall dann genauso aus, als ob ein Webbrowser eine Verbindung öffnet. Die Firewall schlägt in diesem Fall (anders als bei der SW Firewall) keinen Alarm und der Schädling bleibt erstmal unentdeckt. Natürlich ist auch bidirektionale Kommunikation über HTTP möglich. Viele Programme bieten die Möglichkeit an, über einen HTTP Proxy zu agieren (z.B. Messenger Programme). Das ist genau das Konzept, dass auch ein Trojaner nutzen könnte.

Fazit:
Erste Regel: Verantwortungsbewußt handeln.
Die richtige Mischung wäre eine Kombination aus beiden Techniken (das was Drachenauge als ein "Firewall Konzept" beschrieben hat). SW Firewalls sind für die meisten User völlig ausreichend (regelmäßig Signaturen updaten!).

<small>[ 15. Januar 2004, 18:44: Beitrag editiert von: foo ]</small>