# http://www.computerbetrug.de/firewall/tunnel.php



## Anonymous (13 März 2002)

Auf der oben genannten Seite wird berschrieben, wie sinnlose Desktop-Firewalls sind. Es geht allerdings auch wesentlich einfacher:

http://people.freenet.de/nhb/pf-austricksen.html

Der zweite Punkt dürfte immer 
und der dritte fast immer funktionieren.

 :evil:


----------



## Devilfrank (14 März 2002)

Na ja. Was noch zu beweisen wäre. Es kommt hier wohl sehr auf die verwendeten Rule-Sets an. Mit der 0815 Einstellung der ZA kann ich mir das auch vorstellen. Wenn jedoch der UDP-Transport und die ICMP-Protokollschicht genau definiert werden, ist ein unbemerktes Umgehen der Firewall zumindest von aussen nicht mehr möglich. I think so...


----------



## Anonymous (14 März 2002)

DevilFrank schrieb:
			
		

> Na ja. Was noch zu beweisen wäre.



Da dieser Text über zwei Jahre alt ist, existieren mittlerweile für alle (bis auf eine Ausnahme) dieser Punkte Demonstrationsprogramme. 

Die Ausnahme ist Punkt 1 http://people.freenet.de/nhb/pf-umgehen.html#PlugIn:
Da es hier ein wesentlich älteres real existierendes und weit verbreitetes böses Programm gibt, hat sich bisher niemand die Mühe gemacht, dafür ein Demo zu programmieren.

Bei Punkt 4:http://people.freenet.de/nhb/pf-umgehen.html#Mitte fehlt zwar die Angabe eines Beweises im Text, allerdings sind Geschichten wie socks2http, ip-over-http und ip-over-email nun wirklich nichts neues mehr und mit Google sind die Quellcodes schnell gefunden. Und Notfalls nehmen wir halt das Standardisierte ip-over-brieftauben. Siehe: http://www.ietf.org/rfc/rfc1149.txt




			
				DevilFrank schrieb:
			
		

> Es kommt hier wohl sehr auf die verwendeten Rule-Sets an. Mit der 0815 Einstellung der ZA kann ich mir das auch vorstellen.



Genaugenommen hat es ZoneLabs in den letzten Jahren nicht geschaft, etwas gegen einen einzellnen dieser Punkte zu tun.
*Es ist mit ZA nicht möglich, ein Rule-Set (wie du es nennst) zu erstellen, dass gegen eine einziger dieser Schachstellen schützt.*




			
				DevilFrank schrieb:
			
		

> Wenn jedoch der UDP-Transport und die ICMP-Protokollschicht genau definiert werden, ist ein unbemerktes Umgehen der Firewall zumindest von aussen nicht mehr möglich. I think so...



Kann es sein, dass du zwei Fachbegriffe aufgeschnappt hast und nicht die geringste Ahnungs hast, was sie bedeuten? 

Sowohl UDP als auch ICMP sind haar genau definiert:
http://www.rfc-editor.org.

Vor Angriffen von Außen kann man sich dadurch schützten, dass man keine Dienste nach außen anbietet und fertig. 

Windows (in allen Versionen) schickt dann von ganz alleine eine Fehlermeldung "Hier läuft nichts" zurück. (Bei TCP ist das ein RST-Packet und bei UDP wird ein ICMP-Port-Unrechable-Packet). Dafür braucht man keine Desktopfirewall.

Ganz im Gegenteil: Die gängigen Desktop-Firewalls unterbinden diese Fehlermeldungen. Dadurch erfährt der Angreifer, dass hier eine Desktop-Firewall im Einsatz ist und kann konkret nach Buffer-Overflows und anderen Bugs in der Desktop-Firewall selbst rechachieren kann. (Der Grund für dieses Verfahlten liegt in dem Werbe-Versprechen, dass der PC "unsichtbar" gemacht wird. In Wirklichkeit heißt aber "keine Anwort" immer "hier wird gefiltert". Wenn die IP-Adresse wirklich nicht vergeben wäre, dann würde der letzte Router davor ein "Host unreachable" - Packet erzeugen.


----------



## Anonymous (14 März 2002)

*Zone Alarm Pro 2.6*

Hallo zusammen....

Ich benutze seit über 1 Jahr Zone Alarm Pro....

Und ich muss ehrlich zugeben, daß ich mich nie 100% sicher gefüllt hatte :cry: 


Kennt sich einer von euch mit Zone Alarm Pro aus und kann mir bei denn 
Einstellungen gute Tipps geben....


Kann mir einer sagen was der Begriff"Finger" zu bedeuten hat....




Danke erstmal....


See ya 8)


----------



## Heiko (14 März 2002)

Ne gute Anleitung für ZoneAlarm gibts bei den Kollegen auf www.trojaner-info.de.
Finger ist ein Protokoll, mit dem man nähere Informationen über Benutzer und System auf anderen Rechnern bekommen kann.
Das läuft so ab: _finger [email protected]_

Finger ist aber auf den meisten Systemen mittlerweile aus Sicherheitsgründen deaktiviert.


----------



## Devilfrank (15 März 2002)

@31137 
Wenn du gar keine Dienste anbietest, frage ich mich, wie du im Internet unterwegs bist  
Wenn du es allein dem Windows überläßt entsprechend zu reagieren, hier eine kurze Lehrstunde: 
Denial-of-Service Angriff 
Durch die ICMP-Nachrichten Time-Exceeded, Redirect und Destination unreachable kann es zum Ausfall von Diensten auf der angegriffenen Maschine kommen. 
Viele ICMP-Nachrichten, die einen Host erreichen, sind nur für eine bestimmte Verbindung relevant. Um diese Verbindung bestimmen zu können sind in den ICMP-Nachrichten der IP-Header und die ersten 64 bit des IP-Datagramms enthalten. Ältere ICMP-Implementierungen nutzen diese zusätzlichen Information nicht, dadurch kann es zum Abbruch aller bestehenden Verbindungen (auch legitimer) zwischen den beteiligten Hosts kommen. Es gibt sogar eigene Programme, die mit Hilfe von ICMP-Nachrichten Verbindungen kappen. In größeren Netzen sollte man die häufigkeit der ICMP-pakete überwachen, bei DDoS-attacken steigt die zahl der ICMP-pakete sprunghaft an, also erst ab einer gewissen Paket-anzahl/zeiteinheit blocken. 
Das Windows würde schneller verröcheln, als dir lieb wäre. 
Sicher hast du recht, dass ZA nicht das Mittel ist, sein System zuverlässig zu schützen. Es geht beim Einsatz diverser Firewalls auch nur darum, Script-Kiddies fernzuhalten, die dann nicht mehr weiterwissen, wenn keine sinnvollen Antworten kommen.


----------



## Heiko (15 März 2002)

(D)DoS-Angriffe haben mit Firewalls nichts zu tun.

DDoS ist nicht verhinderbar. Ob mit oder ohne Firewall. Die Frage ist nur, wo letztendlich die Engstelle ist.

Du kannst auch im Internet surfen, ohne selbst Dienste anzubieten.


----------



## Anonymous (15 März 2002)

DevilFrank schrieb:
			
		

> @31137
> Wenn du gar keine Dienste anbietest, frage ich mich, wie du im Internet unterwegs bist



Als normaler User, nicht als Server. Warum sollte ich einen Dienst nach außen anbieten, wenn ich nur Dienste (Web-Server, Mailsserver, Postfächer, Usenetzugang) von anderen nutzen will?



			
				DevilFrank schrieb:
			
		

> Wenn du es allein dem Windows überläßt entsprechend zu reagieren, hier eine kurze Lehrstunde:
> Denial-of-Service Angriff
> Durch die ICMP-Nachrichten Time-Exceeded, Redirect und Destination unreachable kann es zum Ausfall von Diensten auf der angegriffenen Maschine kommen.
> Viele ICMP-Nachrichten, die einen Host erreichen, sind nur für eine bestimmte Verbindung relevant. Um diese Verbindung bestimmen zu können sind in den ICMP-Nachrichten der IP-Header und die ersten 64 bit des IP-Datagramms enthalten.



ACK ==> Problem existiert nicht.

Ich muss mich wohl entschuldigen, da du dich offensichtlich doch mit ICMP (zumindest in der Theorie) auskennst.



			
				DevilFrank schrieb:
			
		

> Ältere ICMP-Implementierungen nutzen diese zusätzlichen Information nicht, dadurch kann es zum Abbruch aller bestehenden Verbindungen (auch legitimer) zwischen den beteiligten Hosts kommen.



Es war einmal... Welche Winsock-Version soll das gewesen sein?

btw: Windows 9x ignoriert solche Nachrichten. Eine Windows NT 5.x habe ich hier gerade nicht zum Testen, aber da MS dort den BSD-Stack "geklaut" hat, würde es mich wundern, wenn es anfällig wäre. Und falls NT 5.x anfällig ist, reicht der eingebaute Packetfilter.



			
				DevilFrank schrieb:
			
		

> Es gibt sogar eigene Programme, die mit Hilfe von ICMP-Nachrichten Verbindungen kappen.



Ist ja auch nicht wirklich schwer zu implementieren, wenn das OS anfällig ist.




			
				DevilFrank schrieb:
			
		

> In größeren Netzen sollte man die häufigkeit der ICMP-pakete überwachen, bei DDoS-attacken steigt die zahl der ICMP-pakete sprunghaft an, also erst ab einer gewissen Paket-anzahl/zeiteinheit blocken.



Nicht unbedingt. Wenn die DDOS-Attacke  TCP verwendet, dann werden keine ICMP-Packete, sondern TCP-Packete mit RST-Flag durch das Opfer erzeugt.

Aber wo liegt eigentlich das Problem? Wenn jemand eine DOS-Attacke vornimmt und meine IP-Adresse in seine Packete schreibt, dann bekomme ich die Antworten des Opfers. Egal ob ich jetzt eine PF habe oder nicht, wird meine Empfangs-"Leitung" zugemüllt. Diese Fehlermeldungen werden weder mit noch ohne PF beantwortert.

Bleibt als einige Lösung sich vor den Kollateralschäden zu schützten, sich neu einzuwählen.



			
				DevilFrank schrieb:
			
		

> Das Windows würde schneller verröcheln, als dir lieb wäre.



Theorie != Praxis. Windows 9x ignoriert die bei einem solchen Angriff entstehnden "Port unrechable" Packete.



			
				DevilFrank schrieb:
			
		

> Sicher hast du recht, dass ZA nicht das Mittel ist, sein System zuverlässig zu schützen. Es geht beim Einsatz diverser Firewalls auch nur darum, Script-Kiddies fernzuhalten, die dann nicht mehr weiterwissen, wenn keine sinnvollen Antworten kommen.



Da muss man nichts machen, dass passiert von ganz alleine. Beachte: Keine Antwort ==> hier wird gefiltert. ==> astalavista ==> "ZA exploit" ==> nur alte Schachstellen ==> nächster Rechner.

"Port unreachable" bzw. TCP-ACK+RST
==> Hier läuft nichts
==> Nächster Rechner

Der Zweck von PS liegt wohl eher darin, Produkte zu verkaufen bzw. sich über die Interessen der Benutzer zu informieren (Stichwort: ZA aktiviert Updatesuche, obwohl während der Installation deaktiviert).

Oder warum wird so viel Wert darauf gelegt, den Anschein zu erwecken, dass man für vom User gestartete böse Programme ein ernsthaftes Hindersnis darstellen kann?


----------



## Devilfrank (16 März 2002)

Anonymous schrieb:
			
		

> Oder warum wird so viel Wert darauf gelegt, den Anschein zu erwecken, dass man für vom User gestartete böse Programme ein ernsthaftes Hindersnis darstellen kann?


..um dann ZA-Pro zu verkaufen.  :x 
Womit wir glaube ich übereinstimmen.


----------

