www.Au-Ja.de - http://www.au-ja.de/artikel-firewall-print.phtml

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 1/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sei dem letzten letzten Update unseres Sicherheits-Guides (08/2003) hat sich einiges getan, denn weder Microsoft noch die Virenprogrammierer haben sich auf die faule Haut gelegt. Seinerzeit hatte sich mit dem Blaster-Worm der erste Virus verbreitet, der sich ohne das Zutun des Computerbenutzers auf das System schleichen konnte. Hierbei wurde eine Sicherheitslücke im RPC-Dienst der Windows Betriebssysteme ausgenutzt, die Microsoft eiligst stopfte. Allerdings sind in den letzten Wochen weitere Lücken bekannt geworden, deren Ausnutzung sogar in Form des Quellcodes zum Phatbot Virus ins Internet gelangte. Jeder Hobby-Programmierer hat nun das Rüstzeug, seinen eigenen Super-Wurm zu basteln! Höchste Zeit für ein Update!

Wer mit seinem Computer das Internet nutzt - auch wenn dies nur gelegentlich geschieht - muß den PC vor feindlichen Übergriffen schützen - alles andere wäre grob fahrlässig! Spätestens wenn wertvolle Daten verloren gehen (oder gar gestohlen werden), ist der Benutzer bereit, für den Schutz seines Rechners Geld zu investieren. All den Ärger und viel Geld kann man sich jedoch sparen, denn gute Software kostet für den rein privat genutzen Computer oftmals keinen Pfennig! Zwei gute Beispiele wären:

• AntiVir Personal Edition - eine gute Anti-Viren-Software, die sich leicht bedienen läßt und regelmäßig aktualisiert wird!
• Sygate Personal Firewall - eine Firewall, deren Benutzung auf privaten PCs kostenlos ist, die aber dennoch umfangreiche Optionen bietet!

Wir wollen zunächst die aktuellen Sicherheitslücken in Windows Betriebssystemen beleuchten, danach betrachten wir die aktuelle Generation von Viren und Würmern sowie deren Vorgehensweisen und Möglichkeiten, zum Abschluß richten wir dann eine Firewall (Sygate Personal Firewall) ein.

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 2/9
01.05.2004 by doelf
Zur HTML-Ansicht

Windows: Neue (alte) Sicherheitslücken
Microsoft hat aus seinen Fehlern gelernt und bietet eine Informationsseite an, die gleich vier Sicherheitspatches und deren Dokumentation zusammenfast. Während Microsoft drei der Patches als "Kritisch" einstuft, ist die Relevanz des vierten immerhin "Hoch". Sicherheitshalber sollten Windows-Benutzer alle vier Patches aufspielen! Betrachten wir die Sicherheitslücken im Detail:

Microsoft Security Bulletin MS04-011
Dieses kritische Update schließt gleich 14 Sicherheitslücken, die einen ungeschützten Windows-Rechner im Internet feindlichen Angriffen regelrecht Ausliefern. Die Sicherheitslücken lassen sich in drei Arten unterteilen:

1. Denial-Of-Service (DoS) Angriffe:
   Diese Angriffe werden zumeist gegen Server gerichtet, dabei wird durch eine große Zahl unsinniger Anfragen das System ausgelastet und von seiner Arbeit abgehalten: Die Netzwerkverbindungen kommen zum Erliegen! Ein Beispiel wäre der Slammer Wurm, der am 25.01.2003 begann, eine "Buffer Overflow"-Schwäche des Microsoft SQL Servers sowie der Microsoft SQL Server Desktop Engine 2000 auszunutzen - ca. 75.000 Server wurden damals befallen.
   
   
2. Remote-Codeausführung:
   Diese Sicherheitslücken basieren zumeist ebenfalls auf "Buffer Overflow"-Fehlern. Es werden falsche - d.h. zu viele - Daten an die entsprechenden Schnittstellen weitergegeben, hat der Programmierer nicht sauber gearbeitet und die Länge der zu übergebenden Daten nicht auf die maximale Größe des Puffers beschränkt, dann kommt es zu einem Pufferüberlauf. Dabei werden die Datenfelder, die sich an den zu füllenden Puffer anschließen, ebenfalls überschrieben - im Normalfall mit unsinnigen Daten, die einen Fehler in der Software verursachen. Allerdings kann man solche Schwachstellen auch absichtlich ausnutzen und die nachfolgenden Datenfelder mit sinnvollem Code füllen, also Code, der etwas bewirkt. Somit ist es Angreifern möglich, von außen feindlichen Code auf den heimischen PC zu schleusen und diesen dort auszuführen. Abhängig von den Rechten des eingelogten Benutzers erhält der Angreifer mitunter Vollzugriff mit Administratoren-Rechten. Aus diesem Grund ist es sinnvoll, nur bei der Installation von Software das Administratoren-Konto zu benutzen und bei der täglichen Arbeit als Benutzer mit eingeschränkten Rechten angemeldet zu sein!
   
   
3. Erhöhte Berechtigungen:
   Durch diese Schwächen können in ihren Rechten eingeschränkte Benutzer Zugriff auf Funktionen erhalten, die normalerweise nur Administratoren zustehen. Auch wer nur als "einfacher Benutzer" ins Internet geht, kann an einen Angreifer sogar Administrator-Rechte verlieren.

Im schlimmsten Fall kann somit ein Angreifer von außen Code einschleusen, sich Administratorenrechte verschaffen und die komplette Kontrolle über den lokalen Rechner erlangen!

Betrachten wir die einzelnen Schwachpunkte, die dieser Fix behebt:

Denial-Of-Service (DoS):

• LDAP-Sicherheitsanfälligkeit
• SSL-Sicherheitsanfälligkeit

• LSASS-Sicherheitsanfälligkeit
• PCT-Sicherheitsanfälligkeit
• Winlogon-Sicherheitsanfälligkeit
• Metafile-Sicherheitsanfälligkeit
• Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter
• H.323-Sicherheitsanfälligkeit
• Sicherheitsanfälligkeit bzgl. Negotiate SSP
• Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free"

• Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager
• Sicherheitsanfälligkeit bzgl. Windows-Verwaltung
• Sicherheitsanfälligkeit bzgl. Lokaler Deskriptortabelle
• Sicherheitsanfälligkeit bzgl. Virtual DOS Machine

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 3/9
01.05.2004 by doelf
Zur HTML-Ansicht

Microsoft Security Bulletin MS04-012
Auch dieses Update wird als kritisch eingestuft, es behebt Sicherheitslücken der Systemdienste RPC (Remote Procedure Calls) sowie DCOM (Distributed COM). Über Remote Procedure Calls kann ein Client-Rechner auf eine Prozedur zugreifen, die sich auf tatsächlich auf einem Server (remote) befindet. Für den User besteht dabei kein Unterschied zwischen einem lokalen und einem RPC Aufruf. Mit "Distributed COM" regelt Microsoft die Kommunikation zwischen Programmen über das Netzwerk. Beide Schnittstellen bieten sich für Angriffe an, da man ohne Wissen des Benutzers uneingeschränkte Berechtigungen über das entfernte System erlangen kann.

Eigentlich hatte Microsoft diese Sicherheitslücke bereits bei der "Premiere" des Blaster Wurms stopfen wollen und im August 2003 zwei Patches veröffentlicht:

• Microsoft Security Bulletin MS03-039: Pufferüberlauf in RPCSS-Dienst kann Codeausführung ermöglichen (824146)
• Microsoft Security Bulletin MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen (823980)

Die beiden letztjährigen Patches werden durch Microsofts Security Bulletin MS04-012 ersetzt, sie müssen auf frisch installierten Systemen nicht mehr aufgespielt werden. Weiterhin ist es sinnvoll, die UDP-Ports 135, 137, 138 und 445, sowie die TCP-Ports 135, 139, 445 und 593 zu blockieren (eine Anleitung folgt im weiteren Verlauf dieses Guides). Auch der Sasser Wurm, welcher seit dem 30.4. sein Unwesen treibt, schleicht sich über den TCP-Port 445 ein und läd den eigentlichen Virus per FTP-Protokoll über den TCP-Port 5554 nach.

Betrachten wir auch hier die Lücken, die das Update schließt:

Codeausführung von Remotestandorten aus:

• Sicherheitsanfälligkeit der RPC-Laufzeitbibliothek

• Sicherheitsanfälligkeit des RPCSS-Dienstes
• Sicherheitsanfälligkeit bzgl. CIS (COM Internet Services) – RPC über HTTP

• Sicherheitsanfälligkeit bzgl. Objektidentität

Microsoft Security Bulletin MS04-013
Unter MS04-013 finden wir ein kumulatives Sicherheitsupdate für Outlook Express, welches ebenfalls als "kritisch" eingestuft wird. Hiermit werden Löcher in den folgenden Versionen der Software gestopft:

• Outlook Express 5.5 SP2
• Outlook Express 6
• Outlook Express 6 SP1
• Outlook Express 6 (64-Bit Edition)
• Outlook Express 6 für Windows Server 2003
• Outlook Express 6 für Windows Server 2003 (64-Bit Edition)

Zudem wird eine entsprechende Lücke im Internet Explorer berichtigt, jedoch nicht von Microsoft dokumentiert. Beide Programme haben eine Sicherheitslücke beim Umgang mit MHTML (MIME HTML), also HTML-Einbindungen in E-Mails. MHTML-Inhalte können dazu mißbraucht werden, fremden Code mit den Rechten des angemeldeten Benutzern auszuführen, so können z.B. Viren und Trojaner eingeschleust werden:

Codeausführung von Remotestandorten aus:

• Sicherheitsanfälligkeit bei der Verarbeitung von MHTML-URLs

Microsoft Security Bulletin MS04-014
Zwar stuft Microsoft die Sicherheitslücke im Microsoft Jet-Datenbankmodul nur als "Hoch" ein, dennoch raten wir dringend, auch dieses Sicherheitsloch zu stopfen! Abermals dient ein Pufferüberlauf als Angriffspunkt, um Code auf den lokalen Computer einzuschleusen und dort auszuführen:

Codeausführung von Remotestandorten aus:

• Jet-Sicherheitsanfälligkeit

Da auch bei diesem Fehler die Gefahr besteht, daß Außenstehende uneingeschränkte Berechtigungen erlangen, verwundert uns Microsofts Einstufung der Sicherheitslücke doch sehr. Schließlich verwenden etliche Programme das Jet-Datenbankmodul.

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 4/9
01.05.2004 by doelf
Zur HTML-Ansicht

Wozu braucht man eine Firewall?
Jeder Rechner, der mit einem Netzwerk verbunden ist - sei es das lokale Netzwerk über die 100-MBit Netzwerkkarte, W-LAN oder ein Modem zum Internet - hält für verschiedene Anwendungen Türen in das Netz offen. Wenn aber nun eine Türe die ganze Zeit offen steht, brauchen Einbrecher nur die Adresse zu kennen, und blitzschnell ist die Wohnung leer geräumt. Ganz ähnlich sieht es bei Computern aus: Sobald der Rechner seine Türen zum Netzwerk öffnet, erhält er eine IP-Adresse und wird angreifbar. Mit unserer Firewall engagieren wir nun einen Türsteher, der ungebetene Gäste hinauswirft und eingeladene Besucher hereinläßt. Wer eingeladen ist, entscheidet der Computerbenutzer alleine!

Viren und Trojaner
Während Viren zumeist nur auf ihre Vermehrung und Zerstörung aus sind, öffnen Trojanische Pferde Hintertüren auf dem Computer und ermöglichen es Fremden, Zugriff auf Daten und Geräte zu erhalten. Die Eindringlinge erhalten im Ernstfall genau so viel "Macht" wie der Benutzer selbst. Die Grenze zwischen Viren und Trojanern verwischt sich immer mehr, da Trojaner die gleichen Techniken wie Viren für ihre Verbreitung nutzen.

Versteckten sich die Eindringlinge füher lediglich in ausführbaren Dateien (*.exe oder *.com), so finden wir sie heute auch als Makros in Office-Dokumenten oder als unliebsame Anhängsel an einer E-Mail. Eingeschleppt werden Viren auf den lokalen Rechner über Datenträger (Diskette, CD, DVD, externe Festplatte), das Netzwerk und das Internet. Während infizierte Programme - *.exe, *.com aber auch *.scr (Screensaver) - ausgeführt werden müssen, um sich auf andere Programme zu verbreiten, reicht es bei einigen Office und E-Mail Programmen bereits aus, die Datei, welche das Makro enthält, bzw. die E-Mail, an der ein Virus hängt, zu öffnen, um sie anzusehen. Aus diesem Grund sollte man die Programme immer so konfigurieren, daß sie vor dem Ausführen von Makros oder E-Mail-Anhängen nachfragen! So man sollte z.B. bei Microsoft Outlook unter "Ansicht", "Layout" die Option "Vorschaufenster anzeigen" immer deaktivieren, um es erst gar nicht zur Ausführung von gefärhlichem Code kommen zu lassen. Bei Mozilla und Netscape sollte man unter "Einstellungen", "Erweitert", "Scripts und Plugins" für E-Mail und Diskussionsforen Java-Script ausschalten. Sicherheitshalber sollte man zudem neue Programme, Dokumente und Mails immer auf Viren überprüfen!

Mit dem Blaster-Worm hat eine neue Generation von Viren Einzug gehalten, die sich nicht über Programme, Dokumente oder E-Mails verbreitet, sondern sich durch eine Schwachstelle des Betriebssystems einschleicht. Moderne Betriebssysteme beinhalten die Möglichkeit, Updates automatisch oder auf Nachfrage aus dem Internet zu beziehen, Programme und Programmteile von entfernten Servern zu laden, Daten mit Programmen auszutauschen, die auf anderen Rechnern laufen. All diese Möglichkeiten bieten auch ein Gefahrenpotential, da Angreifer durch Pufferüberläufe fremden Code auf den heimischen Rechner schleusen können. Die zuvor genannten Updates von Microsoft stopfen die gröbsten Lücken und sind ABSOLUTE PFLICHT! Dennoch MUSS zusätzlich ein Team aus Virenscanner und Firewall die Abwehrkette bilden: Wenn ein fremder Wurm vor eine Tür rumlungert, hält unser Türsteher ihn vom Einschleichen ab!

Während Blaster, Agobot, Phatbot und Sasser die RPC-Lücke (TCP-Ports 135 und 445) ausnutzen, um auf ein fremdes System zu gelangen, verschicken sich andere Viren wie die W32/Bagle-Familie und die W32/Netsky-Varianten via E-Mail - ein SMTP-Server ist in diesen Würmern integriert. Zudem öffnen viele Viren auf den angegriffenen Rechnern einen oder mehrere Ports, um Daten verschicken oder empfangen zu können - hier einige Beispiele:

• Sasser: FTP-Server auf TCP-Port 5554
• W32/Bagle: Nimmt über TCP-Port 2535 Kontakt mit seinem Programmierer auf
• W32/Netsky: Öffnet TCP-Port 6789 um Programme nachzuladen und auszuführen

Die Viren verbreiten sich somit weitgehend unbemerkt, einzig die regelmäßige (am Besten tägliche) Aktualisierung des Virenscanners bietet einen wirksamen Schutz! Wer den am weitesten verbreiteten Plagegeistern bzw. deren zukünftiger Verwandtschaft einen Strich durch die Rechnung machen will, schließt vorsorglich die gefährdeten Ports. Allerdings kann man nicht alle Ports versperren, da sonst auch der Weg ins lokale Netzwerk versperrt wird.

Wie groß ist die Gefahr durch Viren? Wird da nicht etwas übertrieben?
Keinesfalls! Moderne Viren sind wahre Multitalente, Phatbot bietet z.B. folgende Funktionen:

• FTP-Server
• IRC-Client
• DCOM ein- und ausschalten
• Systeminformationen ermitteln
• Dateien hoch- und herunterladen
• Dateifreigaben manipulieren
• Automatische Updates des Virencodes durchführen
• PC herunterfahren oder neu starten
• Prozesse oder Dienste beenden (z.B. Virenscanner oder Firewall)
• Umleitung von Internetdiensten (z.B. um Kreditkartennummern abzufangen)

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 5/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sygate Personal Firewall: Programme überwachen
Die Sygate Personal Firewall ist für den privaten Gebrauch kostenlos und sehr einfach zu konfigurieren. Wer sich allerdings nicht mit Netzwerken auskennt, wird sich ein wenig in die Materie einlesen müssen. Anhand der folgenden Anleitung möchten wir einen Leitfaden bieten, den Computer erst einmal ausreichend abzusichern.

Die Firewall bewacht sozusagen die Ein- als auch die Ausgänge. Nachdem man die Firewall installiert hat, fragt diese bei jedem Programm, welches ins Internet will, nach, ob dieses auch die Erlaubnis hierfür haben soll:

Diese Erlaubnis kann der Benutzer geben oder verwehren. Zudem kann sich die Firewall die Antwort des Benutzers für die Zukunft merken, so daß nicht bei jedem Aufruf für jedes Programm nachgefragt werden muß. Unter dem Menüpnkt "Tools" finden wir "Applications...", hier lassen sich die Einstellungen für jedes Programm und jeden Systemdienst einsehen und verändern. Die Optionen "Allow" (erlauben), "Block" (verwehren) oder "Ask" (Rückfrage) stehen zur Auswahl:

Somit haben wir schon einmal Kontrolle darüber, welches Programm von unserem Rechner aus in das Internet "funken" darf und welches nicht. Kümmern wir uns im nächsten Schritt um ein paar wichtige Türen!

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 6/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sygate Personal Firewall: Ports sperren (TCP)
Unter dem Menüpunkt "Tools" finden wir die "Advanced Rules...":

Hier werden Regeln festgelegt, die alle anderen Einstellungen beeinflussen. Wenn z.B. eine Software ins Internet darf, wir unter den Advanced Rules die benötigten Ports jedoch versperren, kann die Software keine Verbindung aufbauen. Wir nutzen diese Funktion, um ein paar wichtige Türen zu verschließen. Mit "Add" fügen wir eine neue Regel hinzu, wir taufen sie auf den Namen "TCP 135,139,445,593,4444" und versperren den Zugang für alle Netzwerkkarten und Internetverbindungen:

Unter "Hosts" wird "All adresses" angeboten, dies lassen wir so. Unter "Ports and Protocols" wählen wir als "Protocol" nun "TCP" aus und geben in den Feldern "Remote" und "Local" die folgenden Ports ein: "135,139,445,593,4444". Als "Traffic Direction" wählen wir "Both":

"Scheduling" (wann diese Regel benutzt werden soll, Default=immer) und "Applications" (welche Programme betroffen sind, Default=alle) können wir erst einmal außen vor lassen und unsere neue Regel mit "OK" bestätigen. Nun werden alle Anfragen aus dem Internet sowie alle Sendungen unseres eigenen PC, die über die TCP-Ports 135, 139, 445, 593 oder 4444 gehen sollen, blockiert. Allerdings ist TCP nicht das einzige wichtige Protokoll, weshalb wir uns nun noch um die UDP-Türen kümmern müssen.

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 7/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sygate Personal Firewall: Ports sperren (UDP)
Wir fügen analog zu unserem Vorgehen beim TCP-Protokol eine neue Regel mit "Add" hinzu. Diese nennen wir "UDP 69,135,139,445". Wieder versperren wir den Zugang für alle Netzwerkkarten und Internetverbindungen:

Unter "Ports and Protocols" wählen wir als "Protocol" diesmal "UDP" aus und geben in den Feldern "Remote" und "Local" die folgenden Ports ein: "69,135,139,445". Als "Traffic Direction" wählen wir wieder "Both":

Wir bestätigen die Eingabe mit "OK". Nun werden zusätzlich zu den TCP-Ports 135, 139, 445, 593 und 4444 auch die UDP-Ports 69, 135, 139 und 445 blockiert.

Für alle, die ein wenig mehr über die blockierten Ports wissen möchten, haben wir ein paar Informationen zusammengestellt:

• Port 69 TCP, UDP:
  Name: tftp
  Beschreibung: Trivial FTP Server
• Port 135 TCP, UDP:
  Name: msrpc
  Beschreibung: Microsoft Remote Procedure call, wird für SMB Datei/Drucker-Sharing benutzt
• Port 139 TCP, UDP:
  Name: netbiosssn
  Beschreibung: NNetBIOS Session Service, wird für SMB Datei/Drucker-Sharing benutzt
• Port 445 TCP, UDP:
  Name: microsoftds, win2kcifs
  Beschreibung: Microsoft Domain Service, Windows 2000/XP Common Internet File Sharing
• Port 593 TCP, UDP:
  Name: httprpcepmap
  Beschreibung: HTTP RPC Ep Map
• Port 4444 TCP, UDP:
  Name: krb524
  Beschreibung: Kerberos 5 to 4 ticket xlator | NV Video default

Kommen wir zuletzt noch zu ein paar Feinheiten bei der Konfiguration der Sygate Personal Firewall...

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 8/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sygate Personal Firewall: Passwortschutz
Diesmal wählen wir im Menu "Tools" den Unterspunkt "Options":

Hier finden wir unter "General" die Möglichkeit, ein Passwort einzugeben. Sobald die Firewall durch ein Passwort geschützt wird, wird es für Menschen und Programme deutlich schwerer, die Firewall zu deaktivieren. Benutzt man ein Passwort, kann niemand ohne dieses auf die Konfiguration der Firewall zugreifen:

Weiterhin finden wir unter General die Option "Ask password while exiting". Sobald jemand versucht, die Firewall zu beenden (sei es der Benutzer oder eine feindliche Software), verlangt diese das Passwort. Somit ist nur noch ein bewußtes Deaktivieren der Firewall möglich und man läuft nicht Gefahr, versehentlich ohne Schutz zu surfen.

Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 9/9
01.05.2004 by doelf
Zur HTML-Ansicht

Sygate Personal Firewall: Netzwerkzugriffe
Das Windows-Netzwerk erlaubt es, Drucker und Daten für andere Benutzer freizugeben. Im lokalen Netzmerk macht dies durchaus Sinn und sollte, falls gewünscht, aktiviert werden:

Benutzer aus dem Internet haben im Normalfall nichts mit den lokalen Daten und Druckern zu schaffen, wir verbieten ihnen also den Zugriff:

Geschafft! Die Firewall ist installiert, überwacht den Internetzugriff lokaler Programme, blockiert gefährdete Ports, wird selber durch ein Passwort geschützt und gibt Dateien und Drucker nur noch für das lokale Netzwerk frei.

Fürs heute wollen wir es hierbei belassen - aber die nächste Sicherheitslücke kommt bestimmt. Also Augen auf, und Anti-Viren-Software sowie die Firewall regelmäßig updaten.
UND IMMER SCHÖN PARANOID BLEIBEN! Es lohnt sich!

www.Au-Ja.de - http://www.au-ja.de/artikel-firewall-print.phtml