lsass.exe verursacht fehler = absturz
- Ersteller Bigman007
- Erstellt am
Manitou
Lounge-Member
Der Phatbot nutzt Bugs, sprich Sicherheitslöcher in Windows in dem er bestimmte Ports anspricht und im antwortenden Service einen Bufferoverflow auslöst, der es ihm ermöglicht, seinen Code einzuschleusen. Die Firewall, die ja, wie Albu schon sagte, am besten physikalisch vom Surf-PC getrennt ist und nicht von M$ stammen sollte, fängt diesen Portrequest ab und lässt ihn ins Leere laufen.
brainshock
Lounge-Member
Software kann man (gemeine Leute) immer einfacher umgehen als Hardware.
Albu
New member
Ganz einfach, weil durch eine physikalische Trennung schon per Definition bestimmte Attacken ausgeschlossen werden.gery schrieb:
Blaster, SQLSlammer, Sasser, Agobot, Phatbot, et al. kommen alle über einen bestimmten TCP/IP Port ins System. Das können sie, weil das Programm (Software), welches diesen Port zu einem bestimmten Zweck aufgemacht hat, nicht sauber programmiert wurde. z.B. durch Übergabe von ewig langen Zeichenketten kann eine Funktion zum Absturz gebracht werden, so daß es möglich wird eigenen Code auszuführen...
Ein Personal Firewall läuft auf dem gleichen Rechner, auf dem auch diese Ports offen stehen. Wohlgemerkt die Ports sind dann nicht geschlossen, sondern der Personal Firewall wacht nur, wer von wo aus Zugriff auf die Ports nimmt und unterbindet diesen je nach Regelset. Ist das Regelset fehlerhaft, oder hat der PF selbst einen Fehler, so werden plötzlich keine Pakete und Zugriffe mehr gefiltert -> Offenes Scheunentor.
Bei physikalischer Trennung hat der Virus ein Problem: Der Surf-PC hat selbstdefinierte interne IP Adresse x.x.x.x und lauter lustige, verlockende, offene Ports, Router hat externe IP Adresse vom Provider und Firewall ohne offene Ports. Der Virus sieht von draussen lediglich den Router, weil der Surf-PC hat eine IP Adresse, die niemand kennt und an die er auch nicht direkt herankommt -> Er hat keine Möglichkeit den Surf-PC direkt anzufallen.
Nur wenn am Router / Firewall einer der gefährlichen Ports explizit geöffnet und zum Surf-PC weitergereicht wird, dann kann der Virus was damit anfangen (aber so dumm muß man dann erstmal sein, um einen Port derart zu öffnen
). Fällt der Firewall aus, weil er z.B. durch eine Sicherheitslücke zum Absturz gebracht wird, dann sind immer noch keine Ports offen, weil niemand mehr die Pakete von Router zu Surf-PC schaufelt. Schlimmstenfalls kann man also bis zum nächsten Reset des Routers nicht mehr surfen.Anderes Beispiel Dialer: Wenn der Router die Einwahl vornimmt und man selbst im Rechner gar kein Modem / ISDN-Adapter hat, dann können sich die Dialer auf dem Surf-PC tummeln und es juckt keinen (obwohl es schon nicht sonderlich angenehm wäre solche Viechers zu beheimaten).
Natürlich ist auch ein solches Szenario nicht 100% sicher, aber es ist auf jeden Fall nicht automatisiert ausnutzbar, d.h. ein Scriptkiddie wird schon seinen Grips einsetzen müssen, um das zu knacken -> viel zu viel Aufwand.
Viren zielen eher auf den Fall der Einheitskonfiguration, die Windows standardmäßig ja mitbringt. Deswegen mein Rat zu nicht standard-Microsoft Produkten, denn dadurch bringt man Abweichungen hinein, die helfen viele der Einbruchsszenarien zu vermeiden.
Natürlich ist das alles kein Schutz gegen z.B. ein Notebook, welches infiziert in das interne Netzwerk gesteckt wird (dies ist im Übrigen die Hauptursache für Virusinfektionen in Unternehmen, falls sich jemand wundert, warum die keinen Firewall haben, oder warum ein Virus trotz Firewall sein Unheil anrichten konnte), aber für ein privates oder ein kleines bis mittleres Firmennetzwerk sind diese Maßnahmen durchaus ausreichend.
Manitou
Lounge-Member
Kann ich nur zustimmen! Sehr ausführliche und genaue Erklärung des Sachverhalts. Albu ist halt unser Bester!
Als Beispiel kann ich nur nennen, das ich einen Linux-Router mit Firewall betreibe, und da ist noch keiner von den genannten Viren durchgekommen, weil Linux damit einfach nix anzufangen weiß. Und Dialer haben schon gar keine Chance. Die andere Seite der Medaille ist halt, dass nicht jeder die einen eigenen Router zuhause betreiben kann, geschweige denn einen Linux-Router. Obwohl dafür ein alter ausrangierter Rechner reicht. Meiner ist ein P200 mit absoluter Minimalausstattung. Aber die Leistung ist mehr als ausreichend.
Als Beispiel kann ich nur nennen, das ich einen Linux-Router mit Firewall betreibe, und da ist noch keiner von den genannten Viren durchgekommen, weil Linux damit einfach nix anzufangen weiß. Und Dialer haben schon gar keine Chance. Die andere Seite der Medaille ist halt, dass nicht jeder die einen eigenen Router zuhause betreiben kann, geschweige denn einen Linux-Router. Obwohl dafür ein alter ausrangierter Rechner reicht. Meiner ist ein P200 mit absoluter Minimalausstattung. Aber die Leistung ist mehr als ausreichend.
RoyalKnight
New member
Was soll das denn sein?Albu schrieb:
Albu
New member
ein veraltetes und nicht mehr weiterentwickeltes Produkt:RoyalKnight schrieb:
http://www.microsoft.com/isaserver/evaluation/previousversions/default.asp
[edit]Proxies sind eine besondere Form von Firewall. Während die "normalen" Firewalls lediglich Pakete filtern, ohne deren (Daten-)Inhalt zu kennen, wissen Proxies sehr wohl was mit den Daten anzufangen und könnten diese viel genauer filtern (könnten machen es aber meistens nicht), weil sie eben genau das Protokoll kennen. Deshalb bräuchte man dann aber auch sehr viele verschiedene Proxies, nämlich für jedes Protokoll, jede Anwenungen einen (HTTP, FTP, Gopher, HTTPS, ICQ, usw.). Da das sehr aufwändig ist und kaum zu managen, gibt es lediglich Proxies für die weit verbreiteten Protokolle (meist HTTP) [/edit]
Zuletzt bearbeitet:
RoyalKnight
New member
Es muss ja nicht gleich ein richtiger PC sein - es reicht doch auch eine "normale" Firewall wie beispielsweise die Zyxel Zywall.Manitou schrieb:
Ich halte diese Zigarettenschachteln in der Metallhaut zum Teil noch sicherer als eben solche Linux-Rechner wie du sie hast. Aber darüber kann man dann wohl lange und breit diskutieren.
Und ja ich hänge auch über einen AP, der an einem Router mit Firewall hängt, der wiederum über einen weiteren Router [EDIT]um genau zu sein einen Proxy[/EDIT] ins Internet geht - also muss man schon einige IP-Adressen herausfinden - bis man überhaupt mal zu meinem PC kommt
Zuletzt bearbeitet:
RoyalKnight
New member
Weiß ich, deshalb hab ich auch nachgefragt - wollte nur wissen ob du auch seinen Nachfolger (ISA-Server) kennst?Albu schrieb:
Albu
New member
Microsoft kann noch so viele verschiedene Firewall und Proxy Produkte rausbringen, sie haben alle einen entscheidenden Nachteil: sie laufen unter Windows!
Desweiteren gehe ich davon aus, daß ISA ein Server Betriebsystem braucht, welches insgesamt ein mittleres Vermögen an Lizenzen und vor allem an Hardware verschlingt. Ein alter Pentium 200 wird da nur müde lächeln und kurz abwinken. Unter Linux kann man damit locker arbeiten.
Desweiteren gehe ich davon aus, daß ISA ein Server Betriebsystem braucht, welches insgesamt ein mittleres Vermögen an Lizenzen und vor allem an Hardware verschlingt. Ein alter Pentium 200 wird da nur müde lächeln und kurz abwinken. Unter Linux kann man damit locker arbeiten.
RoyalKnight
New member
Bringt jedoch hier zum Teil auch Vorteile - zwar nicht was die Sicherheit angeht, aber siehe auch weiter unten.Albu schrieb:
Das ist richtig - ISA Server braucht ein Server OS auf dem es aufsetzt. Ich hab es mir nur mal kurz auf einem schon konfigurierten Rechner angesehen - also man kann das "Surfverhalten" der User gezielt einschränken, da es auch irgendwie in ActiveDirectory "integriert" ist - frag mach aber nicht genauer.Albu schrieb:
Ein entscheidender Nachteil: Wie du bereits erwähnt hast die Lizenzen die nötig sind, wobei ich mir nicht sicher bin, ob man dafür welche braucht, wenn man den nur als ISA Server einsetzt.
Ein weiterer Nachteil: ändert man an einer Stelle was, hat es gleich 50 Nebenwirkungen und nichts geht mehr
Albu
New member
Es soll Proxy Server und Firewalls geben, bei denen ebenfalls eine genaue Einstellbarkeit bezgüglich wer darf was und wieviel vorgenommen werden kann.
Ob man dazu allerdings extra eine Active Directory Anbindung benötigt, die ja bedeutet, daß ein gewisses Vertrauensverhältnis besteht und womit der Rechner plötzlich wieder eine Verbindung aus der DMZ ins Intranet braucht, ist zumindest vom sicherheitstechnischen Standpunkt äußerst fraglich. Auch wenn der Admin dann alles schon zusammenklicken kann.
Ob man dazu allerdings extra eine Active Directory Anbindung benötigt, die ja bedeutet, daß ein gewisses Vertrauensverhältnis besteht und womit der Rechner plötzlich wieder eine Verbindung aus der DMZ ins Intranet braucht, ist zumindest vom sicherheitstechnischen Standpunkt äußerst fraglich. Auch wenn der Admin dann alles schon zusammenklicken kann.
RoyalKnight
New member
Jop
Also ich muss auch dazu sagen, dass dort wo ich den ISA mal kurz angeschaut habe, die einen Linux Proxy hatten, dann mal für ein paar Wochen den ISA Server und dann wieder auf Linux umgestiegen sind.
Also ISA gekauft installiert und wieder ab in die Kiste zum Verstauben.
Und ja ich persönlich habe auch eine höhere Meinung von Linux Proxies bzw. Firewalls
Also ich muss auch dazu sagen, dass dort wo ich den ISA mal kurz angeschaut habe, die einen Linux Proxy hatten, dann mal für ein paar Wochen den ISA Server und dann wieder auf Linux umgestiegen sind.
Also ISA gekauft installiert und wieder ab in die Kiste zum Verstauben.
Und ja ich persönlich habe auch eine höhere Meinung von Linux Proxies bzw. Firewalls
gery
New member
also vielen dank für diese vielen antworten an euch alle!!
so habe ich schon wieder was mehr gelernt
dazu kommt mir noch ne frage... ich habe den m$ 2003 server, was für einen antivirus dazu soll ich nehmen... ich habe mir mal die von trendmicro angeschaut... zahlen will ich aber nicht , da ich vor habe auf dauer hin wie her auf linux umzusteigen. will vorher noch etwas meine linux kenntnisse steigern bzw. welche bekommen
wer hat windows, und welches system würdet ihr empfehlen?
so habe ich schon wieder was mehr gelernt
dazu kommt mir noch ne frage... ich habe den m$ 2003 server, was für einen antivirus dazu soll ich nehmen... ich habe mir mal die von trendmicro angeschaut... zahlen will ich aber nicht
, da ich vor habe auf dauer hin wie her auf linux umzusteigen. will vorher noch etwas meine linux kenntnisse steigern bzw. welche bekommen wer hat windows, und welches system würdet ihr empfehlen?