Hi,
ich habe ein paar Fragen zum Thema Sicherheit (und beziehe mich hauptsächlich auf Sicherheit im Internet / Netzwerk):
1. Ein Server, der nur auf bestimmten Ports lauscht, sollte auch nur auf diesen angreifbar sein.
D.h. das einzige Sicherheitsrisiko sind Sicherheitslücken in der Software, die auf diesen Ports lauscht.
Eine andere Möglichkeit hat ein Cracker (sei er auch noch so gut...) doch garnicht um Schaden auf dem Server anzurichten, oder?
2. Der standard Home-Internet Nutzer hat meistens diese Kombination:
DSL-Modem, das direkt mit dem Rechner verbunden ist (ohne Router) und (noch) Windows XP.
Besonders von Linux liest man oft, dass die meisten Distributionen von Haus aus auf keinen Ports lauschen und somit den Rechner absichern.
Auf welchen Ports lauscht Windows XP (vista) von Haus aus und stellt damit Sicherheitsrisiken dar?
Es muss ja einen Grund geben, warum man ein (frisch installiertes) Windows 98 ohne Firewall keine halbe Stunde dem Internet aussetzen kann, ohne das es gleich kompromitiert ist...
Ports als Sicherheitslöcher... Windows und Linux
Das stimmt so schon alles. Ein aktiver Zugriff kann immer nur über offene Ports erfolgen. Wenn der Rechner hinter einem Router ist, ist gar nichts mit aktivem Zugriff, da der Router keinen Zugriff erlaubt bzw. nicht an interne Rechner weiterleitet. Daher ist es wichtig, dass man als Windows-Benutzer einen DSL-Router hat.
Server und Client brauchst Du gar nicht unterscheiden. Es gibt eigentlich keine Server und Clients, sondern nur Serverdienste bzw. die von Dir angesprochenen offenen Ports.
Neben den offenen Ports gibt es aber andere Risiken. Wenn man z.B. Viren, Trojaner usw. sich einfängt, dann zerstören diese Programme das System von innen und bauen evtl. Verbindungen von innen nach außen auf, die dann jedoch danach auch von außen nach innen genutzt werden können. Hierfür reicht ein einfaches HTTP-Protokoll, welches im Normalfall von keinem Rechner nach außen gesperrt ist. Der DSL-Router hilft hier dann auch nicht mehr.
Also Gefahrbehebung unter Windows:
- DSL-Router einsetzen gegen aktive Internetangriffe, evtl. Personal Firewall
- Virenschutz gegen interne Angriffe durch z.B. Downloads, alternativ Linux einsetzen
Server und Client brauchst Du gar nicht unterscheiden. Es gibt eigentlich keine Server und Clients, sondern nur Serverdienste bzw. die von Dir angesprochenen offenen Ports.
Neben den offenen Ports gibt es aber andere Risiken. Wenn man z.B. Viren, Trojaner usw. sich einfängt, dann zerstören diese Programme das System von innen und bauen evtl. Verbindungen von innen nach außen auf, die dann jedoch danach auch von außen nach innen genutzt werden können. Hierfür reicht ein einfaches HTTP-Protokoll, welches im Normalfall von keinem Rechner nach außen gesperrt ist. Der DSL-Router hilft hier dann auch nicht mehr.
Also Gefahrbehebung unter Windows:
- DSL-Router einsetzen gegen aktive Internetangriffe, evtl. Personal Firewall
- Virenschutz gegen interne Angriffe durch z.B. Downloads, alternativ Linux einsetzen
-
ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Re: Ports als Sicherheitslöcher... Windows und Linux
Naja...nicht ganz. Du weisst ja sicher das ALLES auf einem Rechner per Software gesteuert wird. Es gibt ein paar wenige Dinge die hardwaremässig ablaufen (z.B. Counter als triviales Beispiel). Aber gerade die Netzwerkfähigkeit eines Computers wird durch Software gesteuert. Entsprechend kann diese Software fehlerhaft sein, sprich es existieren Fallkonstellationen die nicht bedacht wurden und zu Fehlern führen könnten. Allerdings sind diese Funktionen im Kernel von Linux (und Windows) und meist sehr gut ausgereift.tobb hat geschrieben: 1. Ein Server, der nur auf bestimmten Ports lauscht, sollte auch nur auf diesen angreifbar sein.
D.h. das einzige Sicherheitsrisiko sind Sicherheitslücken in der Software, die auf diesen Ports lauscht.
Eine andere Möglichkeit hat ein Cracker (sei er auch noch so gut...) doch garnicht um Schaden auf dem Server anzurichten, oder?
Bei Windows 98 gabs ja mal den "Ping of death"; d.h. ein entsprechend manipuliertes Paket mit dem der Kernel schlicht nicht umgehen könnte und daraus resultierte ein Totalabsturz des Systems. Wurde - soweit ich recht weiß - auch nie gefixt durch Microsoft da niemals geplant war so tief im Kernel Änderungen (= Updates) einzuspielen.
Aus solchen Fehlern lernt man und simuliert nun alle möglichen Konstellationen vor dem Ausliefern durch. Im Linux-Kernel wurde das auch nicht anders gemacht.
Daher kannst du dir in der Praxis recht sicher sein und hast mit deinem Satz Recht: Geschlossene Ports sind in der Regel sicher.
Logisch. Je mehr Software eingesetzt wird, desto höher ist die Wahrscheinlichkeit eines Fehlers in der Software. Setzt du Apache ein, so sind alle Sicherheitslöcher des Apaches potenzielle Angriffsziele. Wenn aber standardmässig alles erstmal deaktiviert oder am Besten erst gar nicht auf dem Server ist, brauchst du auch keine Angst vor den Sicherheitslücken zu haben.tobb hat geschrieben:2. Der standard Home-Internet Nutzer hat meistens diese Kombination:
DSL-Modem, das direkt mit dem Rechner verbunden ist (ohne Router) und (noch) Windows XP.
Besonders von Linux liest man oft, dass die meisten Distributionen von Haus aus auf keinen Ports lauschen und somit den Rechner absichern.
Daher ist es auch wichtig auf stabilen Servern nicht immer zur neusten Version zu greifen: da sind meist eben noch einige unentdeckte Fehler drin und erst die Zeit zeigt, wie stabil und fehleranfällig eine Software wirklich in der Praxis ist.
Auf welchen Ports bei Windows was lauscht kann ich dir auch nicht sagen. Da musst du eher bei MSDN oder so schaun.tobb hat geschrieben:Auf welchen Ports lauscht Windows XP (vista) von Haus aus und stellt damit Sicherheitsrisiken dar?
Es muss ja einen Grund geben, warum man ein (frisch installiertes) Windows 98 ohne Firewall keine halbe Stunde dem Internet aussetzen kann, ohne das es gleich kompromitiert ist...
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Ernest Hemingway