brezelbrezel schrieb am 11. Juni 2004 23:11
> DFrank schrieb am 11. Juni 2004 17:24
> > Vermutlich meinst du Geräte die NAPT/NAT machen und dabei keine
> das war doch vollkommen klar.
Nein, ist es nicht. Wenn du NAT/NAPT meinst, solltest du das auch
schreiben. Der 08/15 ISDN-/DSL-Router kann dies fast immer, darüber
brauchen wir uns wohl nicht zu streiten. Trotzdem ist die Gleichung
Router = NAT/NAPT einfach nur falsch.
> > eingehenden Verbindungen zulassen. Aber auch das schützt nicht, denn
> > der Wurm kann immer noch Verbindungen nach aussen aufbauen und sich
> > darüber Befehle holen.
>
> nur wenn der user bloed genug war, den wurm selbst zu installieren
> (ie bug, mail attachment,...).
Oder wenn der User ein Programm mit einer noch unbekannten
Sicherheitslücke benutzt... siehe die letzten paar Meldungen zum IE
auf heise online. Unbekannte Sicherheitslücken gibt es wahrscheinlich
auch bei Mozilla, Samba, im Linuxkernel, etc.
> bei wuermern wie sasser hilft ein router sehrwohl.
Siehe unten, der Wurm Sasser hat einfach für das Szenario "Angriff
gegen einen Computer hinter Router mit NAT/NAPT" keine Lösung
eingebaut. z.B. Mailviren/-würmer haben mit diesem Szenario keine
Probleme.
Ich bestreite nicht, das NAT/NAPT die Hürde für Viren/Würmer erhöht,
aber ein Allheilmittel ist er bei weitem nicht.
> > Beispiel gefällig? Gern:
> > Wurm lädt wie jeder Webbrowser auch eine Datei von einem Webserver
> > und sieht nach, ob in dieser Datei Befehle stehen.
> > Ein Beispiel reicht nicht? Ok, noch ein zweites:
> > Wurm verbindet sich zu einem IRC-Server (evtl. sogar noch per SSL
> > verschlüsselt), geht in einen Kanal und wartet, das darüber Befehle
> > kommen.
>
> ahja, grc.com auswendig gelernt, ja?
Da ich die Seite bis eben nicht kannte, kann ich Sie nicht auswendig
gelernt haben. Ich habe nur überlegt, wie man einem Gerät das man
nicht selbst kontaktieren kann Befehle geben kann. Das sind die
beiden Möglichkeiten die mir zuerst eingefallen sind.
> > In keinem dieser Fälle hilft ein Router. Nur eine Firewall (bzw. ein
> > NAPT/NAT mit entsprechenden Funktionen) hilft hier weiter.
> wenn der router ein privates subnetz NATed hilft der sehrwohl.
Und wo ist der Unterschied in unseren Aussagen hier? Ein Router
allein hilft nicht weiter, das sagst du an dieser Stelle ja auch
grade aus. Nur hattest du meine zweite Zeile einfach übergangen, ich
habe Sie mal an der korrekten Stelle wieder eingefügt.
> genau das ist, was ein router machen kann. er routet zwischen
> subnetzen.
Routing findet auf OSI-Layer 3 (IP-Ebene) statt. NAT/NAPT ist aber
auf Layer 4 (TCP/UDP). D.h. ein normaler Router kann kein NAT/NAPT.
Um zusätzliche Funktionen anzubieten, können viele Router aber
mittlerweile auch die üblichen Layer 4 Protokolle.
> > Allerdings: solange irgendein Programm auf dem Rechner eine
> > Verbindung ins Internet aufbauen kann, kann ein Wurm es theoretisch
> > auch, nur der Aufwand kann so groß sein, dass der Programmierer des
> > Wurms dein spezielles Szenario nicht berücksichtigt hat.
>
> richtig :)
Endlich sind wir uns mal bei etwas uneingeschränkt einig.
> > > [Behauptung: Hinter Router mit NAT/NAPT kann man einem Trojaner
> > > auf dem Rechner keine Befehle mehr geben]
> > S.o. Fernsteuerung ist immer noch möglich. Und wer keinen
> nur wenn der user keine ahnung hat und IE einsetzt und alle
> attachments ausfuehrt. ansonsten ist fernsteuerung unmoeglich zumal
> ja der server (trojaner) erstmal ins private netz reinmuss, was ohne
> user interaktion unmoeglich ist.
Wenn auf dem Computer kein Programm läuft, das sich Daten aus dem
Netz zieht, stimme ich zu. Aber E-Mail abrufen kann auch automatisch
geschehen (viele Programme fragen alle 10 Mins oder so ab, je nach
Konfiguration.
> > Virenscanner einsetzen will, weiß entweder genau, was er macht (d.h.
> > der Rechner holt sich wirklich keine Daten von aussen bzw. kann auch
> > nicht über X Umwege von aussen kontaktiert werden und hat keinen
>
> genau das ist der punkt, wenn du in einem privaten subnetz hinter
> einem router sitzt (ja einem der das private netz nach aussen DNATed)
> ist ein virenscanner vollkommen um sonst.
Genau das ist auch mein Punkt. NAT/NAPT erhöht die Hürde, aber z.B.
E-Mail wird von innen abgefragt, d.h. ein Computer von drinnen holt
sich den Wurm/Trojaner rein. Ob er dann auch ausgeführt wird, hängt
von Sicherheitslücken ab. Und davon, ob ein Virenscanner der auf dem
Rechner läuft, den Wurm/Trojaner vor der Ausführung abfangen kann.
> DFrank schrieb am 11. Juni 2004 17:24
> > Vermutlich meinst du Geräte die NAPT/NAT machen und dabei keine
> das war doch vollkommen klar.
Nein, ist es nicht. Wenn du NAT/NAPT meinst, solltest du das auch
schreiben. Der 08/15 ISDN-/DSL-Router kann dies fast immer, darüber
brauchen wir uns wohl nicht zu streiten. Trotzdem ist die Gleichung
Router = NAT/NAPT einfach nur falsch.
> > eingehenden Verbindungen zulassen. Aber auch das schützt nicht, denn
> > der Wurm kann immer noch Verbindungen nach aussen aufbauen und sich
> > darüber Befehle holen.
>
> nur wenn der user bloed genug war, den wurm selbst zu installieren
> (ie bug, mail attachment,...).
Oder wenn der User ein Programm mit einer noch unbekannten
Sicherheitslücke benutzt... siehe die letzten paar Meldungen zum IE
auf heise online. Unbekannte Sicherheitslücken gibt es wahrscheinlich
auch bei Mozilla, Samba, im Linuxkernel, etc.
> bei wuermern wie sasser hilft ein router sehrwohl.
Siehe unten, der Wurm Sasser hat einfach für das Szenario "Angriff
gegen einen Computer hinter Router mit NAT/NAPT" keine Lösung
eingebaut. z.B. Mailviren/-würmer haben mit diesem Szenario keine
Probleme.
Ich bestreite nicht, das NAT/NAPT die Hürde für Viren/Würmer erhöht,
aber ein Allheilmittel ist er bei weitem nicht.
> > Beispiel gefällig? Gern:
> > Wurm lädt wie jeder Webbrowser auch eine Datei von einem Webserver
> > und sieht nach, ob in dieser Datei Befehle stehen.
> > Ein Beispiel reicht nicht? Ok, noch ein zweites:
> > Wurm verbindet sich zu einem IRC-Server (evtl. sogar noch per SSL
> > verschlüsselt), geht in einen Kanal und wartet, das darüber Befehle
> > kommen.
>
> ahja, grc.com auswendig gelernt, ja?
Da ich die Seite bis eben nicht kannte, kann ich Sie nicht auswendig
gelernt haben. Ich habe nur überlegt, wie man einem Gerät das man
nicht selbst kontaktieren kann Befehle geben kann. Das sind die
beiden Möglichkeiten die mir zuerst eingefallen sind.
> > In keinem dieser Fälle hilft ein Router. Nur eine Firewall (bzw. ein
> > NAPT/NAT mit entsprechenden Funktionen) hilft hier weiter.
> wenn der router ein privates subnetz NATed hilft der sehrwohl.
Und wo ist der Unterschied in unseren Aussagen hier? Ein Router
allein hilft nicht weiter, das sagst du an dieser Stelle ja auch
grade aus. Nur hattest du meine zweite Zeile einfach übergangen, ich
habe Sie mal an der korrekten Stelle wieder eingefügt.
> genau das ist, was ein router machen kann. er routet zwischen
> subnetzen.
Routing findet auf OSI-Layer 3 (IP-Ebene) statt. NAT/NAPT ist aber
auf Layer 4 (TCP/UDP). D.h. ein normaler Router kann kein NAT/NAPT.
Um zusätzliche Funktionen anzubieten, können viele Router aber
mittlerweile auch die üblichen Layer 4 Protokolle.
> > Allerdings: solange irgendein Programm auf dem Rechner eine
> > Verbindung ins Internet aufbauen kann, kann ein Wurm es theoretisch
> > auch, nur der Aufwand kann so groß sein, dass der Programmierer des
> > Wurms dein spezielles Szenario nicht berücksichtigt hat.
>
> richtig :)
Endlich sind wir uns mal bei etwas uneingeschränkt einig.
> > > [Behauptung: Hinter Router mit NAT/NAPT kann man einem Trojaner
> > > auf dem Rechner keine Befehle mehr geben]
> > S.o. Fernsteuerung ist immer noch möglich. Und wer keinen
> nur wenn der user keine ahnung hat und IE einsetzt und alle
> attachments ausfuehrt. ansonsten ist fernsteuerung unmoeglich zumal
> ja der server (trojaner) erstmal ins private netz reinmuss, was ohne
> user interaktion unmoeglich ist.
Wenn auf dem Computer kein Programm läuft, das sich Daten aus dem
Netz zieht, stimme ich zu. Aber E-Mail abrufen kann auch automatisch
geschehen (viele Programme fragen alle 10 Mins oder so ab, je nach
Konfiguration.
> > Virenscanner einsetzen will, weiß entweder genau, was er macht (d.h.
> > der Rechner holt sich wirklich keine Daten von aussen bzw. kann auch
> > nicht über X Umwege von aussen kontaktiert werden und hat keinen
>
> genau das ist der punkt, wenn du in einem privaten subnetz hinter
> einem router sitzt (ja einem der das private netz nach aussen DNATed)
> ist ein virenscanner vollkommen um sonst.
Genau das ist auch mein Punkt. NAT/NAPT erhöht die Hürde, aber z.B.
E-Mail wird von innen abgefragt, d.h. ein Computer von drinnen holt
sich den Wurm/Trojaner rein. Ob er dann auch ausgeführt wird, hängt
von Sicherheitslücken ab. Und davon, ob ein Virenscanner der auf dem
Rechner läuft, den Wurm/Trojaner vor der Ausführung abfangen kann.