Firewall

Re: Re: Re: Re: Firewall

mike — Wed, 04 Oct 2000 10:35:00 GMT

hi bobby

leider muß ich dir mitteilen, daß es nicht möglich ist, anhand der
tcp/ip pakete festzustellen wer der ursprungsrechner ist, wenn sie
einmal einem network adress tranlation unterzogen wurden.
dort wird der ursprüngliche header entfernt und durch den des
routers(servers) ersetzt. die pakete werden sozusagen umgepackt und
über einen variablen port über 1024 verschickt. anhand des ports an
dem die rückantwort kommt weiß der router (und nur er) wem das
paket gehört und wandelt dieses wieder um. diese technik nennt man
auch ip-masquerading. was du meinst ist das time to live (ttl)und
gibt die maximale laufzeit in sekunden an und nicht die anzahl der
rechner. dieses besteht aus 8bit und wird bei jedem hop reduziert
um ein paket nicht ewig zu routen. unter windows nt ist dieser wert
standardmäßig mit 128 angegeben. interne netzwerkadressen der
privaten ranges A>10.xxx.xxx.xxx B>172.16.xxx.xxx C>192.168.xxx.xxx
können auch nach außen nicht geroutet werde(gesperrt) und sind
somit unsichtbar, selbst wenn du die subnet mask falsch gesetzt
hast. diese techniken sind der grundbestandteil einer jeden
netzwerkfirewall.
fazit: außer einem erhöhten traffic ist nach außen hin NICHTS
sichtbar. das einzige was provider können (und auch tun) ist an den
sogenannten well known ports nach serverdiensten zu scannen, können
aber nicht feststellen was in deinem netz läuft. so einen test
kannst du auch machen unter: grc.com
weiters empfehle ich das buch von ms-press (nicht lachen, ist sehr
gut)"internetworking mit tcp/ip" und "linux für internet und
intranet" von holz/schmitt/tikart.

mfg mike

Re: Re: Re: Re: Linux - Firewall

Anonym — Sun, 24 Sep 2000 23:45:06 GMT

Du mußt nur schauen, daß die einzelnen programme (sshd, webserver,
mailserver oder was sonst noch alles läuft) nicht auf verbindungen
von außen antworten. von den programmen sollten sowieso so wenig wie
möglich laufen (nur das was du wirklich brauchst).

falls du tcpd verwendest (hängt sich an ports (21,22,23,80,...) und
startet die echten serverprogramme sofern sie von berechtigten
rechnern kommen), kannst du auch folgende zwei dateien bearbeiten:

/etc/hosts.allow:
ALL: .mein.net 192.168.0.0/255.255.255.0
--> erlaube alle services für rechner aus dem lokalen netz
statt dem ALL kann man auch einzelne servicenamen angeben (zb
pop,smtp), um die zugangskontrolle feiner zu machen.
ip-adressen und namen müssen natürlich entsprechend angepaßt werden.

/etc/hosts.deny:
ALL: ALL
--> verbiete alles andere von überall sofern nicht erlaubt
siehe auch "man 8 tcpd" und "man 5 hosts_access"

allgemein gilt nur zu an einem port, an dem ein programm horcht,
kann eine verbindung von aufgebaut werden.

Re: Re: Re: Re: Firewall

Felix — Fri, 22 Sep 2000 11:06:45 GMT

hi robert,
an das ttl (time to live) feld im ip header hab ich gar nicht
gedacht - klingt logisch!
aber:
1. nachdem die nat-sw den ip-header umschreibt (portnummern),
könnte sie eigentlich locker auch das ttl-feld überschreiben - muß
ich mal sniffern, was die sw wirklich macht?
2. wenn nur http/ftp brauchst kannst du einen proxy verwenden - ich
glaub nicht, daß man das rausfinden kann.
mfg felix

Re: Re: Re: Firewall

Bobby — Fri, 22 Sep 2000 10:54:16 GMT

Hi Felix!

In den *TRÖT*en steht drinnen, wie viele Rechner das *TRÖT*
durchgehen muß, bis das *TRÖT* am Endrechner ist.Steht im *TRÖT*
vom Zugangsrouter zu deinen Router eine 2 (da ist ein spezieller
Platz vorgesehen!) so heißt das, dass noch ein Rechner dahinter
hängt. So arbeiten auch die meisten Proxyprogramme und diverses.

Und so kann man das ganz schnell rausfinden.

Nur stellt sich die Frage: Wer und wie genau wird das überprüft.Ich
schätze mal, dass die Provider sowieso damit Rechnen und die
Bandbreite intern ein bißchen einschränken oder auch nicht. Glaub
mal nicht, dass auf einmal wer an deiner Türe klopft und dich
überprüft oder so. Max. ein Schreiben wird kommen, dass zu
unterlassen.

Ist aber nur eine Vermutung!

MfG
Robert

Re: Re: Firewall

Felix — Fri, 22 Sep 2000 10:44:51 GMT

1. mich würde interessieren, was du mit "packetinfo" meinst - bitte
etwas genauer
2. was meinst du mit buffern? ein nat router schaltet auch nicht
gleich durch, sondern die packete gehen bei der einen nw-karte
rein, werden von der nat-sw umgeschrieben, und gehen aus der
anderen nw-karte raus. meinst du mit buffer einfach nur eine
größere zeitverzögerung (wenn ja wieviel) - ich will mir mein netz
ja nicht bremsen, oder?

mfg felix

Re: Firewall

Bobby — Fri, 22 Sep 2000 09:02:03 GMT

An alle!

Anhand der Pakete bzw. Paketinfos kann man erkennen, wie viele
Rechner über einen Account gehen. Nicht nur die Portinfo verratet
die Rechner sondern noch ein paar andere Dinge, die eher noch
kontrolliert werden.
Das ist ein "fast" totsicherer Plan, die Rechner herauszufinden und
gar nicht so schwer!

Eine einzige Abhilfe, die ich kenne ist, man konfiguriert eine
Firewall unter Linux so, dass die Daten und Pakete am Linuxrechner
gebuffert werden und erst dann ins eigene Netz versendet werden und
andere Richtung! Durch die Bufferung wirkt der Server dann als
normale Station. So kann keiner feststellen, ob und wieviele
Rechner dahinterstecken, da durch die Bufferung keine Hinweise
entstehen.

MfG
Bobby

Re: Re: Re: Linux - Firewall

Felix — Fri, 22 Sep 2000 08:09:59 GMT

Vollkommen richtig, wissen kann er es anhand der Portnummern nicht
(Es ist also kein Beweis, sondern nur ein Indiz). Ich könnte
genausogut eine NAT-SW installiert haben, um zu verhindern, daß ich
von außen erreichbar bin - denn TCP-Verbindungen gehen bei NAT ja
bekanntlich nur von innen nach außen, und nicht umgekehrt).
Außerdem ist die Souce-Portnummer immer "irgendeine" >1024 - und
abhängig vom Betriebssystem kann das halt irgendeine zwischen 1024
und 65535 sein. Bei NAT sind das halt welche um die 60000 herum,
das könnte aber auch ohne NAT so sein (je nach Betriebssystem -
vielleicht kann man das ja auch einstellen?).

Mich würde interessieren, ob der Provider sieht, ob ein http/ftp-
Proxy installiert ist, wenn man die Proxy-Ports von außen sperrt,
und den Proxy-Server so konfiguriert, daß er selbst ein Client ist
(Provider-Proxy als Parent-Proxy)?

Nochmal die Frage von vorhin: Weiß jemand, wie man mir
Linux/ipchains das NAT so konfiguriert, daß das Linux selbst
hinterm NAT ist (d.h. von außen nicht erreichbar) - das wäre
nämlich ein sehr guter Schutz für den Linuxrechner, denn dann
macht's nix, wenn man vergißt verschiedene Services abzudrehen.
Für Tipps bin ich dankbar.

Re: Firewall

Ramses — Thu, 21 Sep 2000 15:36:53 GMT

Ich habe beste Erfahrungen mit iShare 3.0 (ArtiSoft)und 2. LAN-
Karte im Rechner gemacht. Internes Netz läuft mit NETBUI und nur
die LAN-Karte für´s Modem erhält IP-Prot. Damit gibt es KEIN
durchrouten. Firewall verwende ich Zonealarm (http://www.zonlabs.com ).
Diese SW fängt in der höchsten Sicherheitsstufe auch jeden Ping auf

Re: Re: Linux - Firewall

chaos — Thu, 21 Sep 2000 13:24:34 GMT

wissen kann man es nciht, aber man kann sich zu 99% denken.
NAT, Network Adress Translation, und is quasi ein spezieller
router, der die privaten IP-adressen vom Home-LAN, auf eine od.
mehrere öffentlich, die dann eben nacha ußen gehen umsetzt. der
rechner hinter dem NAT rechner schickt seine anfrage zu nem server
im i-net zum NAT-router. durch NAT geht nach außen ja nur eine IP,
d.h. jedes paket, das weggeht hätte nur eine IP im zurückkommenden
paket. wie soll der NAT-Router jetzt wissen, zu welchem Client im
LAN das Paket gehört? deswegen schickt jeder client im LAN der ne
anfrage stellt, auch eine Client-Port-Nummer mit, die nciht durch
eine bekannte anwendung, belegt ist.
der provider könnte jetzt theoretisch anhand der portnummern der
antwortpakete einsehen, daß es sich hierbei nicht um bekannte
applikationen handelt, und könnte, und könnte...
in der praxis wird er vermutlich nix unternehmen, außer man hat
ganzen class C-Netz zuhause, und surft dann munter rum.

Re: Linux - Firewall

Felix — Thu, 21 Sep 2000 11:36:17 GMT

Hab im Moment auch eine Firewall unter Linux, muß aber sagen, daß
ich mit der WinRoute Software für Win9x/NT zufriedener war.
Beide machen NAT, bei WinRoute kann man allerdings auch den
Computer auf dem NAT läuft hinter dem NAT "verstecken", d. h. daß
von außen keine TCP-Verbindung aufgebaut werden kann (egal ob
Server laufen, oder nicht) - würde gerne wissen, wie das bei Linux
geht???
Außerdem ist WinRoute watscheneinfach zu konfigurieren, was man von
Linux auch nicht unbedingt behaupten kann.
Meine Empfehlung:
Experten - nehmt Linux
User - nehmt Windows und WinRoute!

und außerdem: Wie sollte man bitte sehen, ob sich hinter einer IP-
Adresse auch noch andere Rechner verstecken???

Re: Re: Re: Re: Firewall

Oskar Ungersboeck — Wed, 20 Sep 2000 12:49:33 GMT

RICHTIG !!!!!!!!!!!!
einzig sicherer schutz richtig konf. LINUX, allerdings MUSS man
schon drauf hinweisen, um es gleich wieder zu vergessen, dass alle
flatrate-anbieter nur 1 gerät pro vertrag gestatten

cu
ossi

Linux - Firewall

Tom — Wed, 20 Sep 2000 12:29:56 GMT

>chaos wrote: 20.09.2000, 11:40 Uhr
>Meine Mepfehlung: P166 Linux installieren und als Router und
>Firewall fürs I-Net verwednen. Und sonst für nciht viel. Oder kauf
>Dir nen ADSL-Router, der sollte ansich auch verhindern, daß jemand
>draufkommt, wieviele PCs im Netz hängen. der kostet aber paar
>tausender =((

Tja, das ist leider nicht möglich, da meine bessere Hälfte *fg* den
P166 für Textverarbeitung nutzen will (Office97). Gibts auch unter
Windoof eine Möglichkeit, wie ich das Ausspionieren meines
Netzwerks durch die Post verhindern kann?? Es wird eher selten
vorkommen, dass von beiden Rechnern gesörft wird.

lg, Tom

Re: Re: Re: Re: Firewall

chaos — Wed, 20 Sep 2000 09:40:38 GMT

Meine Mepfehlung: P166 Linux installieren und als Router und
Firewall fürs I-Net verwednen. Und sonst für nciht viel. Oder kauf
Dir nen ADSL-Router, der sollte ansich auch verhindern, daß jemand
draufkommt, wieviele PCs im Netz hängen. der kostet aber paar
tausender =((

Re: Re: Re: Firewall

CC — Wed, 20 Sep 2000 08:38:38 GMT

Der Beitrag von Travellingmad war völlig richtig.
Wenn die Firewall richtig konfiguriert ist, dann kann das keiner
sehen. Sonst wäre ja die Firewall keine Firewall mehr.
Empfehlung: Linux als Firewall, die dann alle anderen Rechner
hinter sich versteckt.
MfG

Re: Re: Firewall

Travellingmad — Wed, 20 Sep 2000 05:34:28 GMT

Kontrolliert werden? Völliger Blödsinn!

Wenn die Firewall RICHTIG konfiguriert ist (natürlich nur unter
Linux, Windoof ist dafür vollkommen ungeeignet), kann kein Mensch
kontrollieren, wieviel Rechner sich dahinter tummeln. Sie können's
maximal aufgrund des Traffics vermuten, aber wie wollen sie das
nachweisen.

Die Schattenseite ist, daß Du einiges an Einschränkungen bei Deiner
Internet-Verbindung in Kauf nehmen mußt.

Re: Firewall

Roman B. — Tue, 19 Sep 2000 23:02:17 GMT

HI erstmal ....

EINE firewall am 1.PC (server) reicht aus...der 2. ist quasi
mitversichert ........

ABER eine firewall ist NIE 100% ig sicher .....empfehle norton oder
at guard ....

was die nutzung des internetzugangs betrifft, mit 2 oder mehr pcs
bist du illegal unterwegs...

lies mal die geschäftsbedingungen ....bei meinem zugang(chello)
darf ich auch nur einen pc pro anschluss dranhängen.....

aber vorsicht.....kann kontrolliert werden ob mehr rechner ins netz
gehen - über die selbe leitung .....

Re: Firewall

Bobby — Tue, 19 Sep 2000 09:37:57 GMT

zu a) ja reicht

Allgemein:

Wennst dich gegen böse Buben schützen willst, dann vergiß jegliches
Firewallprogramm unter Windows. Einzige sinnvolle Möglichkeit ist
Linux (mußt das richtige verwenden, manche haben auch ein paar
Security-Löcher).

Wennst ADSL hast, darfst laut Vertrag nur einen Rechner für den
Zugang verwenden. Die können das ganz leicht feststelen (hab ich
schon gesehen, nur nicht von ADSL sondern von wo anders aber
gleiches Prinzip), ob du noch ein paar Rechner mit dem Zugang
versorgst. Wieder einzige sinnvolle Möglichkeit ist Linux mit ein
paar Tricks (normales Linux reicht auch nicht!!).

Ich möchte dir aber keine Angst machen. Hab nur geschrieben, wie es
ist und was du brauchst.

MfG
Bobby

Firewall

Tom — Tue, 19 Sep 2000 09:11:36 GMT

Tag Leute!

Ich habe ADSL-Zugang und beabsichtige, ein kleines Netzwerk (2
Rechner) dranzuhängen.
1. T-Bird800, Win2k, 'ADSL-Netzwerkkarte' eingepflanzt
2. P166, Win98

Meine Frage: Möchte eine Firewall am 1. System einrichten, um mich
vor bösen Buben zu schützen (Norton Internet Security2k).
a.) Reicht die fürs ganze Netzwerk, oder muss ich am P166 auch eine
installieren (alle beide Rechner teilw. im Netz).
b.) Wenn ich fürn P166 eine Firewall brauche, welche könnt ich mir
da empfehlen? (NIS2k derblast der alte Hund nicht mehr).

Danke im Voraus,

Tom