ZDF-Bericht ueber "Online-Spione"
Christoph Sternberg
auf die Gefahr hin, da� ich mich jetzt als v�llig ahnungslos oute:
Im ZDF wurde vergangenen Donnerstag in der Sendung "Reporter" folgender
Beitrag gebracht:
Darin demonstriert ein "Experte" (Guido Hey, http://www.hey-tech.info/),
wie er auf freigegebene Daten in Netzwerken zugreift.
Solange es am Anfang des Beitrages um ungesch�tzte WLANs geht, ist ja
noch alles klar. In der zweiten H�lfte behauptet er aber, Firewalls und
Router seien kein Schutz, wenn auf einem Rechner im lokalen Netz
Freigaben eingerichtet sind. Man k�nne mit einem entsprechenden frei
zug�nglichen Programm von �berall im Internet auf diese Freigaben
zugreifen wenn sie nicht kennwortgesch�tzt seien. Beispiele, u.a. von
einem Tierarzt, werden demonstriert, ohne jedoch auch nur ansatzweise zu
schildern, was er gemacht hat, um auf die Freigaben zu kommen. Er
empfiehlt, Freigaben komplett zu entfernen und f�r sensible Daten am
besten einen separaten Rechner zu verwenden, der physikalisch vom
Internet getrennt ist.
Vorausgesetzt, folgende Bedingungen, die IMHO der default sein
/sollten/, treffen zu:
- Der Router ist nicht f�r Konfiguration von au�en eingerichtet
- es sind auf dem Router keine Portweiterleitungen eingrichtet oder er
ist sonstwie zerkonfiguriert
- die Rechner im Netz sind frei von Trojanern und �hnlichem Viechzeug
Da� es grunds�tzlich m�glich ist, Netzwerke hinter einem Router mit
integriertem Portfilter/Firewall zu knacken, will ich ja garnicht
abstreiten. Das ist aber doch eher mit nicht unerheblichem Aufwand
verbunden und nicht so simpel, wie es in dem Beitrag den Anschein hat,
oder bin ich jetzt zu naiv?
Christoph Sternberg */\
Bernd Hohmann
> Solange es am Anfang des Beitrages um ungeschützte WLANs geht, ist ja
> noch alles klar. In der zweiten Hälfte behauptet er aber, Firewalls und
> Router seien kein Schutz, wenn auf einem Rechner im lokalen Netz
> Freigaben eingerichtet sind. Man könne mit einem entsprechenden frei
> zugänglichen Programm von überall im Internet auf diese Freigaben
> zugreifen wenn sie nicht kennwortgeschützt seien.
Dass der Experte von Routern und Firewalls spricht, hab ich nicht
mitbekommen. Der Tierarzt spricht ab 08:30 davon dass er glaubte mit
Antiviren-Programm und Firewall hinreichend geschützt zu sein, der
Kommentar dazu noch was von Lücken und falschen Einstellungen in den
Firewalls.
Und ab da machts einfach die Statistik: scanne eine komplette DSL
IP-Range eines beliebigen Providers durch und Du findest neben komplett
offenen PCs auch hinreichend viele fehlkonfigurierte Router und
Paketfilter (aka Personal-Firewalls) die problemlos auszuhebeln sind.
Sofern ich zum testen aufgefordert werde, langt eigentlich ein "nmap"
auf die IP um das Gröbste zu finden.
> Daß es grundsätzlich möglich ist, Netzwerke hinter einem Router mit
> integriertem Portfilter/Firewall zu knacken, will ich ja garnicht
> abstreiten. Das ist aber doch eher mit nicht unerheblichem Aufwand
> verbunden und nicht so simpel, wie es in dem Beitrag den Anschein hat,
> oder bin ich jetzt zu naiv?
Sofern die von Dir geschilderten Kriterien zutreffen ist das Netz
erstmal gegen solche publikumswirksamen Angriffe geschützt.
Bernd
--
Visit http://www.nixwill.de and http://www.spammichvoll.de
jean....@nixwill.de & bernado....@spammichvoll.de
Christoph Sternberg
Bernd Hohmann meinte:
>Dass der Experte von Routern und Firewalls spricht, hab ich nicht
>mitbekommen.
Oh doch, das machte mich ja so stutzig. PC ohne od. mit
fehlkonfigurierter Firewall direkt per Modem im Internet ist klar, aber
wenn ein Router dazwischen ist (vorausgesetzt, der ist nicht auch
kaputtkonfiguriert).
>Der Tierarzt spricht ab 08:30 davon dass er glaubte mit
>Antiviren-Programm und Firewall hinreichend gesch�tzt zu sein
"man hat den Router laufen" hat er auch noch gesagt. Das war genau der
Punkt, der mich bei dem ganzen Beitrag stutzig gemacht hat. Ich hatte
den Beitrag am Do. auch nur beim Zappen erwischt, aber nicht von vorn.
Daher hatte ich ihn mir heute extra nochmal �ber die "ZDF Mediathek"
angesehen, da ich hoffte, da w�rde n�heres dazu gesagt. Aber nix,
keinerlei n�here Infos, warum der Experte auf die Daten der Opfer
zugreifen konnte.
Wenn das nur durch zerschossene Konfigurationen m�glich war, mu� das
auch gesagt werden, sonst ist das so, als w�rde ein �hnlich rei�erischer
Artikel unter der �berschrift "mit jedem Auto k�nnen Sie jederzeit gegen
die Wand fahren" gemacht und dabei verschwiegen, da� das nur bei
kaputter Bremse geht.
>Und ab da machts einfach die Statistik: scanne eine komplette DSL
>IP-Range eines beliebigen Providers durch und Du findest neben komplett
>offenen PCs auch hinreichend viele fehlkonfigurierte Router und
>Paketfilter (aka Personal-Firewalls) die problemlos auszuhebeln sind.
Klar, kaputtkonfigurierte Rechner und/oder Router, da� dabei alles
m�gliche passieren kann ist klar. Aber es wurde in dem Beitrag der
Eindruck erweckt, sobald auf einem Rechner Freigaben eingerichtet sind,
seien die auch �ber das Internet erreichbar (ab 3:52). Gegenma�nahme
soll laut Experten Verzicht auf Freigaben sein und sensible Daten auf
separaten Rechner ohne Netzanschlu� (ab 7:14). Das ist IMHO reine
Panikmache. Aber warscheinlich geh�rt ER ohnehin zu IHNEN, man achte
darauf, wo er angeblich sein B�ro haben soll: in Ovryrsryq ;-)
Christoph Sternberg */\
Bernd Hohmann
> Aber es wurde in dem Beitrag der Eindruck erweckt, sobald auf einem
> Rechner Freigaben eingerichtet sind, seien die auch über das Internet
> erreichbar (ab 3:52).
Nein, das verstehst Du fehl.
Im ersten Teil des Beitrags ist man via offenem WLAN im Intranet und
kann dort auf bestehende Freigaben zugreifen.
Im zweiten Teil werden vermittels eines Portscanners DSL-Netze nach
zugreifbaren Shares abgeklappert.
Ob die nun zugänglich sind, weil das ein klassischer "Fritzcard-DSL"
Rechner ohne Paketfilter oder eine kaputtkonfigurierte Router/PC
Kombination ist, wird nur sehr schwammig dargestellt.
Michel Schweegmann
die Netzwerkerkennung ausgeschaltet sowie die Datei- und
Druckerfreigabe. Auch wenn ich eine Firewall (AVG) habe,
ich brauche die Freigaben zu Hause nicht.. das ist das schï¿œne unter
Windows 7: Braucht man die Netzwerkerkennung und die Netzwerkdienste,
lassen sich diese ganz einfach wie ein Schalter ein- und ausschalten.
Da ich nicht weiᅵ ob ich meine Firewall wirklich gut konfiguriert habe,
gehe ich lieber auf Nummer sicher ... ich habe keine Lust, dass
irgendjemand auf die Kontoauszï¿œge etc. zugreifen kann. Auch wenn der
Router ebenfalls eine Firewall hat (FB 7170), ohne das irgendein Port
geï¿œffnet ist ... Sicher ist sicher.
Bernd Hohmann schrieb:
> Christoph Sternberg schrieb:
>
>> Aber es wurde in dem Beitrag der Eindruck erweckt, sobald auf einem
>> Rechner Freigaben eingerichtet sind, seien die auch ï¿œber das Internet
>> erreichbar (ab 3:52).
>
> Nein, das verstehst Du fehl.
>
> Im ersten Teil des Beitrags ist man via offenem WLAN im Intranet und
> kann dort auf bestehende Freigaben zugreifen.
>
> Im zweiten Teil werden vermittels eines Portscanners DSL-Netze nach
> zugreifbaren Shares abgeklappert.
>
> Ob die nun zugï¿œnglich sind, weil das ein klassischer "Fritzcard-DSL"
Christoph Sternberg
Bernd Hohmann meinte:
>Christoph Sternberg schrieb:
>
>> Aber es wurde in dem Beitrag der Eindruck erweckt, sobald auf einem
>> Rechner Freigaben eingerichtet sind, seien die auch �ber das Internet
>> erreichbar (ab 3:52).
>
>Nein, das verstehst Du fehl.
Sehe ich nicht so. /Ich/ wei�, welche Voraussetzungen erf�llt sein
m�ssen, damit Freigaben zug�nglich sind. Im Beitrag hei�t es aber
lediglich:
Experte:
|Was aber viele garnicht wissen, da� das ganze auch hintenrum
|funktioniert �bers Internet und v�llig ohne WLAN.
Kommentator darauf:
|Das bedeutet, Unbefugte aus aller Welt k�nnen �bers Internet auf private
|Dateien zugreifen, wenn die freigegeben worden sind. Dazu braucht man
|lediglich ein spezielles Computerprogramm
Bei dem Tierarzt kommt dann mal ein Hinweis auf nicht funktionierende
Firewalls. Zumindest wenn damit auch die auf dem Router gemeint sind,
dann mu� aber der Nutzer schon ziemlich heftig an den Einstellungen
rumgefummelt haben. Bei PFWs ist das was anderes, da kann man leicht mal
verkehrt klicken, aber beim Router? Au�er den ISP-Zugangsdaten braucht
der gute Tierazt da aber normalerweise nix einstellen, und wenn doch,
dann gilt allerdings der Hinweis am Schlu� des Beitrages:
|Guido Hey gibt ihm den Rat: im Zweifel lieber einen Computerexperten
|beauftragen
Christoph Sternberg */\
Thomas Einzel
> Bei PFWs ist das was anderes, da kann man leicht mal
> verkehrt klicken, aber beim Router?
Mal angenommen dieser hat wie viele Kombinationsger�te einen Paketfilter
und dieser funktioniert mit Stateful Packet Inspection, zus�tzlich sind
alle eingehenden TCP und UDP Ports gesperrt. Mir ist keine Methode
bekannt, die ohne interen Hilfe ("Dienstprogramm") eine eingehenden
Verbindung erm�glicht.
Wenn doch, wie soll das gehen?
Thomas
Jens Hoffmann
> aber
> wenn ein Router dazwischen ist (vorausgesetzt, der ist nicht auch
> kaputtkonfiguriert).
Steigt die Sicherheit nicht wesentlich.
Gegen mal eben anklopfen hilfts, gegen gezielte Angriffe eher weniger.
> Aber es wurde in dem Beitrag der
> Eindruck erweckt, sobald auf einem Rechner Freigaben eingerichtet sind,
> seien die auch �ber das Internet erreichbar
Das ist natuerlich falsch.
> (ab 3:52). Gegenma�nahme
> soll laut Experten Verzicht auf Freigaben sein
Das kann je nach Situation mehr als nuetzlich sein.
Andersherum wird auch ein Schuh draus: Wenn man keine Freigaben braucht,
warum richtet man sie dann ein? (Ja, windows default ist ein bischen doof)
> und sensible Daten auf
> separaten Rechner ohne Netzanschlu� (ab 7:14).
Das gehoert sich so. Meine Aerztin wollte mir auch nie glauben, dass
sowas hilfreich ist. Und irgendwann fragte sie sich, wo die Viren auf
Ihrer Maschine im Arztzimmer herkamen.
Und spaetestens dann ists eh egal, was da noch an anderen "Massnahmen"
ergriffen wurde, auch separate FWs isnd dann bequem von innen zu umgehen.
Gruss,
Jens
Wolfgang Meiners
>
> Wenn doch, wie soll das gehen?
>
um genau zu sein, wei� ich es auch nicht. Es gibt aber sogenannte
ftp-helper. Und die sind in der Regel auf den handels�blichen Routern
installiert. Damit kann man tats�chlich auf Ports von Rechnern
zugreifen, die hinter einer Firewall liegen. Unsch�n, aber m�glich. Also
einfach mal nach ftp-helper googlen.
> Thomas
Gr��e
Wolfgang
Richard W. Könning
>Bernd Hohmann meinte:
>
>>Der Tierarzt spricht ab 08:30 davon dass er glaubte mit
>>Antiviren-Programm und Firewall hinreichend gesch�tzt zu sein
>
>"man hat den Router laufen" hat er auch noch gesagt. Das war genau der
>Punkt, der mich bei dem ganzen Beitrag stutzig gemacht hat. Ich hatte
>den Beitrag am Do. auch nur beim Zappen erwischt, aber nicht von vorn.
>Daher hatte ich ihn mir heute extra nochmal �ber die "ZDF Mediathek"
>angesehen, da ich hoffte, da w�rde n�heres dazu gesagt. Aber nix,
>keinerlei n�here Infos, warum der Experte auf die Daten der Opfer
>zugreifen konnte.
>
>Wenn das nur durch zerschossene Konfigurationen m�glich war, mu� das
>auch gesagt werden, sonst ist das so, als w�rde ein �hnlich rei�erischer
Du stellst zu hohe Anspr�che an Fernsehbeitr�ge, die f�r ein breites
Publikum gedacht sind.
>Artikel unter der �berschrift "mit jedem Auto k�nnen Sie jederzeit gegen
>die Wand fahren" gemacht und dabei verschwiegen, da� das nur bei
>kaputter Bremse geht.
Das geht auch mit funktionierender Bremse, man braucht nur den Fu�
kr�ftig aufs Gaspedal zu setzen.
>>Und ab da machts einfach die Statistik: scanne eine komplette DSL
>>IP-Range eines beliebigen Providers durch und Du findest neben komplett
>>offenen PCs auch hinreichend viele fehlkonfigurierte Router und
>>Paketfilter (aka Personal-Firewalls) die problemlos auszuhebeln sind.
>
>Klar, kaputtkonfigurierte Rechner und/oder Router, da� dabei alles
>m�gliche passieren kann ist klar. Aber es wurde in dem Beitrag der
>Eindruck erweckt, sobald auf einem Rechner Freigaben eingerichtet sind,
>seien die auch �ber das Internet erreichbar (ab 3:52). Gegenma�nahme
>soll laut Experten Verzicht auf Freigaben sein und sensible Daten auf
>separaten Rechner ohne Netzanschlu� (ab 7:14). Das ist IMHO reine
>Panikmache.
Nun ja, bei Leuten, die sich einen Haufen L�cher in die Firewall
konfigurieren (lassen), ist das nicht der schlechteste Rat.
M�glicherweise hat der Herr Hey sich sogar differenzierter ausgedr�ckt
und seine entsprechenden Statements sind dem Schnitt zum Opfer
gefallen. Anyway, man sollte bei Fernsehbeitr�gen immer im Hinterkopf
behalten, da� diese sich selten an Fachpublikum richten.
Ciao,
Richard
--
Dr. Richard K�nning He�stra�e 63
Tel.: 089/5232488 80798 M�nchen
Florian Weimer
Als interne Hilfe reicht ein Java-Applet aus. Das haben wir hier ja
schon h�ufiger diskutiert.
Bernd Hohmann
> Möglicherweise hat der Herr Hey sich sogar differenzierter ausgedrückt
> und seine entsprechenden Statements sind dem Schnitt zum Opfer
> gefallen.
Aus mehrfacher Erfahrung ist das nicht nur möglich sondern die Regel.
Nachkontrolle des Beitrags ist nur wenigen vergönnt, also gibt man
seinen guten Namen für ein "friss oder stirb" (ich habs irgendwann nicht
mehr getan, ist aber schon paar Jahre her).
Bernd Hohmann
> Kommentator darauf:
> |Das bedeutet, Unbefugte aus aller Welt können übers Internet auf private
> |Dateien zugreifen, wenn die freigegeben worden sind. Dazu braucht man
> |lediglich ein spezielles Computerprogramm
... und weiter "Unser Computerexperte wird schnell fündig".
Zu sehen ist ein Tool aus der GFI Suite mit einem Filter auf SMB-Shares.
Irgendein Idiot hat da wohl den letzten Satz im Manuskript von "Um diese
Freigaben zu erkennen braucht man lediglich ein spezielles
Computerprogramm" auf die genannte Variante gekürzt (oder das Manuskript
war schon immer so - aber warum bestellen die dann erst einen Experten
wenns niemand Korrektur liest?)
Juergen Ilse
Christoph Sternberg <cster...@nurfuerspam.de> wrote:
> Im ZDF wurde vergangenen Donnerstag in der Sendung "Reporter" folgender
> Beitrag gebracht:
>
> http://www.zdf.de/ZDFmediathek/kanaluebersicht/aktuellste/398#/beitrag/video/905302/Vorsicht-vor-Online-Spionen/
>
> Darin demonstriert ein "Experte" (Guido Hey, http://www.hey-tech.info/),
> wie er auf freigegebene Daten in Netzwerken zugreift.
> Solange es am Anfang des Beitrages um ungeschï¿œtzte WLANs geht, ist ja
> noch alles klar. In der zweiten Hï¿œlfte behauptet er aber, Firewalls und
> Router seien kein Schutz, wenn auf einem Rechner im lokalen Netz
> Freigaben eingerichtet sind. Man kï¿œnne mit einem entsprechenden frei
> zugï¿œnglichen Programm von ï¿œberall im Internet auf diese Freigaben
> zugreifen wenn sie nicht kennwortgeschï¿œtzt seien.
Bei dem Sicherheitskonzept von Windows XP Home kann man auf nicht Passwort-
geschuetzte Freigaben ueber Netz gar nicht zugreifen *ob das bei XP Pro
auch so ist, weiss ich jetzt gerade nicht). Und eine Firewall an der Grenze
des eigenen Netzes, dass NetBIOS ueber IP und direct SMB vollstaendig aus-
filtert, kann man auch nicht "von ueberall aus dem Internet umgehen" wenn
es denn nicht ein generell fehlerhaftes System ist.
> Beispiele, u.a. von einem Tierarzt, werden demonstriert, ohne jedoch
> auch nur ansatzweise zu schildern, was er gemacht hat, um auf die
> Freigaben zu kommen.
Vermutlich meint er eine dieser unsaeglichen "personal firewalls", und
davon gibt es vermutlich genug Schrott, der sich mehr oder weniger trivial
umgehen laesst ...
> Er empfiehlt, Freigaben komplett zu entfernen und fï¿œr sensible Daten am
> besten einen separaten Rechner zu verwenden, der physikalisch vom
> Internet getrennt ist.
Das ist sicherlich kein falscher Ratschlag (wobei man die "administrativen
Freigaben" jedoch noch so einfach los wird ...).
> Vorausgesetzt, folgende Bedingungen, die IMHO der default sein
> /sollten/, treffen zu:
>
> - Der Router ist nicht fï¿œr Konfiguration von auï¿œen eingerichtet
> - es sind auf dem Router keine Portweiterleitungen eingrichtet oder er
> ist sonstwie zerkonfiguriert
> - die Rechner im Netz sind frei von Trojanern und ï¿œhnlichem Viechzeug
Es gibt teilweise Moeglichkeiten, die benoetigten Portweiterleitungen
zu provozieren (je mehr Protokolle auf dem NAT-Router durch "NAT-Helper"
unterstuetzt werden, desto groesser die Chance, die NAT-Helper dafuer
missbrauchen zu koennen: immer wieder beliebt fuer TCP aind dabei die
oftmals nicht restriktiv genug implementierten NAT-Helper fuer FTP ...).
> Daᅵ es grundsᅵtzlich mᅵglich ist, Netzwerke hinter einem Router mit
> integriertem Portfilter/Firewall zu knacken, will ich ja garnicht
> abstreiten. Das ist aber doch eher mit nicht unerheblichem Aufwand
> verbunden und nicht so simpel, wie es in dem Beitrag den Anschein hat,
> oder bin ich jetzt zu naiv?
Das kommt auf den Router an. Viele Router sind fuer bestimmte Angriffe
auf die NAT-Implementierung anfaellig, so dass man u.U. bestimmte Port-
weiterleitungen provozieren kann (siehe oben).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Juergen Ilse
Thomas Einzel <Usene...@einzel.de> wrote:
> Christoph Sternberg schrieb am 22.11.2009 19:37:
>> Bei PFWs ist das was anderes, da kann man leicht mal
>> verkehrt klicken, aber beim Router?
> Mal angenommen dieser hat wie viele Kombinationsgerï¿œte einen Paketfilter
> und dieser funktioniert mit Stateful Packet Inspection, zusï¿œtzlich sind
> alle eingehenden TCP und UDP Ports gesperrt. Mir ist keine Methode
> bekannt, die ohne interen Hilfe ("Dienstprogramm") eine eingehenden
> Verbindung ermï¿œglicht.
> Wenn doch, wie soll das gehen?
Das "intern laufende Programm" dass im Router passende Portweiterleitungen
provoziert, kann ggfs. auch eine Flashanimation auf einer Webseite, der
Webbrowser beim Aufruf einer getuerkten FTP-URL oder ein Schnipsel Java
oder Javascript sein. Bist du jetzt immer noch so sicher, dass das bei
dir nicht passieren koennte?
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Ansgar -59cobalt- Wiechers
>> Er empfiehlt, Freigaben komplett zu entfernen und fï¿œr sensible Daten
>> am besten einen separaten Rechner zu verwenden, der physikalisch vom
>> Internet getrennt ist.
>
> Das ist sicherlich kein falscher Ratschlag (wobei man die
> "administrativen Freigaben" jedoch noch so einfach los wird ...).
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters ^
/v AutoShareWks /t REG_DWORD /d 0 /f
net stop server /y
net start computerbrowser /y
cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Juergen P. Meier
> Vorausgesetzt, folgende Bedingungen, die IMHO der default sein
> /sollten/, treffen zu:
>
> - es sind auf dem Router keine Portweiterleitungen eingrichtet oder er
> ist sonstwie zerkonfiguriert
Auch dann kann man von ausssen auf Wintendo-Freigaben zugreifen.
> Daᅵ es grundsᅵtzlich mᅵglich ist, Netzwerke hinter einem Router mit
> integriertem Portfilter/Firewall zu knacken, will ich ja garnicht
> abstreiten. Das ist aber doch eher mit nicht unerheblichem Aufwand
> verbunden und nicht so simpel, wie es in dem Beitrag den Anschein hat,
> oder bin ich jetzt zu naiv?
Man praepariert eine Webseite (oder ein Werbebanner) mit ActiveX oder
Flash code, der einen FTP Steuerkanal zu einem praparierten FTP-Server
aufbaut und dann einen Active-FTP Datenkanal mit Client-Port 445 anfragt.
Und schon kann der Angreifer durch dein NAT-Firewallgeraet auf deine
Freigaben zugreifen.
Zum Beispiel.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Juergen P. Meier
> Christoph Sternberg schrieb am 22.11.2009 19:37:
>> Bei PFWs ist das was anderes, da kann man leicht mal
>> verkehrt klicken, aber beim Router?
>
> und dieser funktioniert mit Stateful Packet Inspection, zusï¿œtzlich sind
> bekannt, die ohne interen Hilfe ("Dienstprogramm") eine eingehenden
> Wenn doch, wie soll das gehen?
Du hast idR. immer ein internes Dienstprogramm, dass dir Hilft. Meistens
heist dieses interne Dienstprogramm "Internet Exolorer".
Thomas Einzel
> Thomas Einzel <Usene...@einzel.de> wrote:
...
>> Mal angenommen dieser hat wie viele Kombinationsgerï¿œte einen Paketfilter
>> und dieser funktioniert mit Stateful Packet Inspection, zusï¿œtzlich sind
>> alle eingehenden TCP und UDP Ports gesperrt. Mir ist keine Methode
>> bekannt, die ohne interen Hilfe ("Dienstprogramm") eine eingehenden
>> Verbindung ermï¿œglicht.
>> Wenn doch, wie soll das gehen?
>
> Das "intern laufende Programm" dass im Router passende Portweiterleitungen
> provoziert, kann ggfs. auch eine Flashanimation auf einer Webseite, der
> Webbrowser beim Aufruf einer getuerkten FTP-URL oder ein Schnipsel Java
> oder Javascript sein. Bist du jetzt immer noch so sicher, dass das bei
> dir nicht passieren koennte?
("Mir ist keine Methode bekannt" -> "Bist du jetzt immer noch so sicher"?)
Nein, weder war, noch bin ich das zu 100%.
Hï¿œttest du fï¿œr (o.a.) Beispiele?
Thomas
Ralph Lehmann
Christoph Sternberg schrieb:
> Im ZDF wurde vergangenen Donnerstag in der Sendung "Reporter" folgender
> Beitrag gebracht:
>
> http://www.zdf.de/ZDFmediathek/kanaluebersicht/aktuellste/398#/beitrag/video/905302/Vorsicht-vor-Online-Spionen/
>
> Darin demonstriert ein "Experte" (Guido Hey, http://www.hey-tech.info/),
> wie er auf freigegebene Daten in Netzwerken zugreift.
IMO hat der Beitrag wieder mal nur durch die Verklappung von Halbwissen
versucht, ordentlich Quote zu machen.
Allein beim Begriff "kennwortgesch�tzte Freigaben" hatte ich das Gef�hl,
dass wir nun beim Thema Windows 95 angekommen sind. Von den "�berall im
Internet verf�gbaren Tools" will ich gar nicht reden.
ciao Ralph
--
www.Ralph-Lehmann.de
Christoph Sternberg
Jens Hoffmann meinte:
>Andersherum wird auch ein Schuh draus: Wenn man keine Freigaben braucht,
>warum richtet man sie dann ein? (Ja, windows default ist ein bischen doof)
Dann h�tte er aber auch auf die per default vorhandenen administrativen
Freigaben hinweisen m�ssen. Aber das w�re f�r die Zielgruppe vermutlich
zu hoch gewesen.
>Das gehoert sich so. Meine Aerztin wollte mir auch nie glauben, dass
>sowas hilfreich ist.
Der Tip war nicht an den Arzt gerichtet.
>Und irgendwann fragte sie sich, wo die Viren auf
>Ihrer Maschine im Arztzimmer herkamen.
>
>Und spaetestens dann ists eh egal, was da noch an anderen "Massnahmen"
>ergriffen wurde, auch separate FWs isnd dann bequem von innen zu umgehen.
Wenn bereits Viechzeug auf dem Rechner ist, ist eh alles verloren. Da�
dann der Rechner nicht mehr seinem Besitzer geh�rt ist klar.
Christoph Sternberg */\
Ralph Lehmann
Juergen Ilse schrieb:
> Hallo,
>
> Christoph Sternberg <cster...@nurfuerspam.de> wrote:
>> Beispiele, u.a. von einem Tierarzt, werden demonstriert, ohne jedoch
>> auch nur ansatzweise zu schildern, was er gemacht hat, um auf die
>> Freigaben zu kommen.
>
> Vermutlich meint er eine dieser unsaeglichen "personal firewalls", und
> davon gibt es vermutlich genug Schrott, der sich mehr oder weniger trivial
> umgehen laesst ...
Behauptet wird das oft, gezeigt wurde es selten ...
>> - Der Router ist nicht fï¿œr Konfiguration von auï¿œen eingerichtet
>> - es sind auf dem Router keine Portweiterleitungen eingrichtet oder er
>> ist sonstwie zerkonfiguriert
>> - die Rechner im Netz sind frei von Trojanern und ï¿œhnlichem Viechzeug
>
> Es gibt teilweise Moeglichkeiten, die benoetigten Portweiterleitungen
> zu provozieren
Im Einzelfall mag das stimmen. Ob allerdings der Experte, im Transporter
durch Wohngebiet wardrivend, genau das getan hat, ist mehr als fraglich.
>> Daᅵ es grundsᅵtzlich mᅵglich ist, Netzwerke hinter einem Router mit
>> integriertem Portfilter/Firewall zu knacken, will ich ja garnicht
>> abstreiten. Das ist aber doch eher mit nicht unerheblichem Aufwand
>> verbunden und nicht so simpel, wie es in dem Beitrag den Anschein hat,
>> oder bin ich jetzt zu naiv?
>
> Das kommt auf den Router an. Viele Router sind fuer bestimmte Angriffe
> auf die NAT-Implementierung anfaellig, so dass man u.U. bestimmte Port-
> weiterleitungen provozieren kann (siehe oben).
Ich wï¿œrde gerne mal nachlesen, wie man sowas _in der Praxis_ macht.
Nein, das Script zur Sendung halte ich nicht fï¿œr ausreichend. ;-)
--
www.Ralph-Lehmann.de
Ralph Lehmann
Juergen Ilse schrieb:
> Christoph Sternberg <cster...@nurfuerspam.de> wrote:
>> Man kï¿œnne mit einem entsprechenden frei
>> zugï¿œnglichen Programm von ï¿œberall im Internet auf diese Freigaben
>> zugreifen wenn sie nicht kennwortgeschï¿œtzt seien.
>
> Bei dem Sicherheitskonzept von Windows XP Home kann man auf nicht Passwort-
> geschuetzte Freigaben ueber Netz gar nicht zugreifen *ob das bei XP Pro
> auch so ist, weiss ich jetzt gerade nicht).
[Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen fï¿œr anonyme
Benutzer ermï¿œglichen ... Standardeinstellung: Deaktiviert]
Ingrid
--
www.Ralph-Lehmann.de
Juergen Ilse
Ein Test auf solche "Angreifbarkeit von NAT mittels FTP" findet man unter
Mit anderen Protokollen, fuer die der Router einen "NAT-Helper" implementiert
hat, waere so etwas ggfs. auch denkbar (und dann vielleicht auch fuer UDP
statt TCP ...). Fuer FTP ist ein solcher "NAT-Helper" in praktisch jedem
NAT-Device eingebaut, da sonst FTP durch NAT hindurch gar nicht mehr funktio-
nieren wuerde ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Thomas Einzel
> Thomas Einzel <Usene...@einzel.de> wrote:
>> Hï¿œttest du fï¿œr (o.a.) Beispiele?
>
> Ein Test auf solche "Angreifbarkeit von NAT mittels FTP" findet man unter
>
> http://www.bedatec.de/ftpnat/
Danke, active FTP habe ich im Paketfilter ausgeschaltet und lt. dem
Text in dem von dir geposteten link ist nicht passive FTP, sondern
active FTP das Sicherheitsproblem, da bei passiv FTP der Client Kontrol-
und Datenkanal aufbaut.
> Mit anderen Protokollen, fuer die der Router einen "NAT-Helper" implementiert
> hat, waere so etwas ggfs. auch denkbar (und dann vielleicht auch fuer UDP
> statt TCP ...). Fuer FTP ist ein solcher "NAT-Helper" in praktisch jedem
> NAT-Device eingebaut, da sonst FTP durch NAT hindurch gar nicht mehr funktio-
> nieren wuerde ...
Das habe ich nun leider nicht mehr verstanden, warum ist passive FTP ein
Sicherheitsproblem?
Thomas
Stefan Kanthak
>> und sensible Daten auf
>> separaten Rechner ohne Netzanschlu� (ab 7:14).
>
> Das gehoert sich so. Meine Aerztin wollte mir auch nie glauben, dass
> sowas hilfreich ist. Und irgendwann fragte sie sich, wo die Viren auf
> Ihrer Maschine im Arztzimmer herkamen.
Hast Du sie wenigstens auf die Vorgaben ihrer eigenen Standes-
organisation hingewiesen? Die untersagen das naemlich sehr deutlich!
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Stefan Kanthak
> Bei dem Sicherheitskonzept von Windows XP Home kann man auf nicht Passwort-
> geschuetzte Freigaben ueber Netz gar nicht zugreifen *ob das bei XP Pro
> auch so ist, weiss ich jetzt gerade nicht).
AUTSCH!
Die Standardvoreinstellung sowohl bei XP Home als auch Pro ist die
"Einfache Dateifreigabe". Damit werden ankommende Verbindungen als
"Gast" und OHNE Kennwort authentifiziert. Vom Benutzer eingerichtete
Freigaben sind so parametrisiert, dass "Gast" darauf Zugriff hat.
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen ᅵ823
Abs. 1 sowie ᅵ1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Stefan Kanthak
> Hallo,
>
> Thomas Einzel <Usene...@einzel.de> wrote:
>> Christoph Sternberg schrieb am 22.11.2009 19:37:
>>> Bei PFWs ist das was anderes, da kann man leicht mal
>>> verkehrt klicken, aber beim Router?
>> Mal angenommen dieser hat wie viele Kombinationsgerï¿œte einen Paketfilter
>> und dieser funktioniert mit Stateful Packet Inspection, zusï¿œtzlich sind
>> alle eingehenden TCP und UDP Ports gesperrt. Mir ist keine Methode
~~~~~~~~~~~~~~~~~~~~~
>> bekannt, die ohne interen Hilfe ("Dienstprogramm") eine eingehenden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>> Verbindung ermï¿œglicht.
~~~~~~~~~~~~~~~~~~~~~
>> Wenn doch, wie soll das gehen?
>
> Das "intern laufende Programm" dass im Router passende Portweiterleitungen
> provoziert, kann ggfs. auch eine Flashanimation auf einer Webseite, der
> Webbrowser beim Aufruf einer getuerkten FTP-URL oder ein Schnipsel Java
> oder Javascript sein.
Korrekt. Es aendert aber die oben unterstrichene Aussage nicht!
Die Frage ist immer: ist sich Otto Normalbenutzer dieser Hilfsprogramme
bewusst? Der bemerkt oft genug ja nicht mal, dass er einen Zoo von
$MALWARE auf seinem PC beherbergt.
> Bist du jetzt immer noch so sicher, dass das bei
> dir nicht passieren koennte?
Nur der Tod ist sicher.-(
Michael Landenberger
> Man praepariert eine Webseite (oder ein Werbebanner) mit ActiveX
> oder Flash code, der einen FTP Steuerkanal zu einem praparierten
> FTP-Server aufbaut und dann einen Active-FTP Datenkanal mit
> Client-Port 445 anfragt.
>
> Und schon kann der Angreifer durch dein NAT-Firewallgeraet auf
> deine Freigaben zugreifen.
Ich wï¿œrde bï¿œsartigen Flash-Code oder ActiveX-Controls unter "Trojaner
und sonstiges Viechzeuch" einordnen. Der OP setzte aber voraus, dass
solches auf dem zu knackenden Rechner nicht vorhanden ist. Auch der
"Experte" im ZDF-Beitrag hï¿œtte damit kaum so schnell Erfolg gehabt,
denn er hï¿œtte sich nicht einfach so mit dem Rechner des Opfers
verbinden kï¿œnnen, sondern hï¿œtte zunï¿œchst sein Opfer dazu bringen
mï¿œssen, eine entsprechend prï¿œparierte Webseite aufzurufen. Das wiederum
wï¿œrde ich zusammen mit der Erstellung der prï¿œparierten Webseite als
"nicht unerheblichen Aufwand" bezeichnen, den der OP in seiner Frage
ebenfalls ausgeschlossen hat.
Deine Antwort geht also an der Frage vorbei. Ebenso wird der
ZDF-Beitrag spï¿œtestens dann zur Lachnummer, nachdem der erste Teil mit
den offenen WLANs abgehandelt wurde und im zweiten Teil der Zugriff auf
Freigaben ï¿œbers Internet besprochen wird. In vielen Fï¿œllen hï¿œngen
Rechner via Router am Internet, und Anfragen an Windows-Freigaben
werden schon in der Defaulteinstellung von der Router-Firewall
geblockt. Ohne ein internes Hilfsprogramm oder eine ï¿œnderung an der
Router-Konfiguration (die in der Regel ebenfalls nur aus dem LAN heraus
mï¿œglich ist) kommt man da also nicht drauf. Aber auch wenn der Rechner
direkt am Internetzugang hï¿œngt, gilt es einige Hï¿œrden zu ï¿œberwinden,
zumindest bei Windows XP oder hï¿œher. Beispielsweise ist bei Windows XP
standardmᅵᅵig die Internetverbindungsfirewall aktiv und sperrt Zugriffe
auf Dateifreigaben, sofern diese nicht von einer lokalen IP kommen. Die
Datei- und Druckerfreigaben werden auch nicht mehr wie frï¿œher
automatisch an DFᅵ-Verbindungen gebunden. Beides verhindert einen
Zugriff von auï¿œen zuverlï¿œssig, solange es dem Angreifer nicht gelingt,
einen "Tï¿œrï¿œffner" auf den Rechner zu schmuggeln (was aber der "Experte"
im ZDF-Beitrag offenbar nicht getan hat).
Gruᅵ
Michael
Juergen Ilse
Michael Landenberger <spameim...@arcor.de> wrote:
> "Juergen P. Meier" <nospa...@jors.net> schrieb:
>> Man praepariert eine Webseite (oder ein Werbebanner) mit ActiveX
>> oder Flash code, der einen FTP Steuerkanal zu einem praparierten
>> FTP-Server aufbaut und dann einen Active-FTP Datenkanal mit
>> Client-Port 445 anfragt.
>> Und schon kann der Angreifer durch dein NAT-Firewallgeraet auf
>> deine Freigaben zugreifen.
> Ich würde bösartigen Flash-Code oder ActiveX-Controls unter "Trojaner
> und sonstiges Viechzeuch" einordnen. Der OP setzte aber voraus, dass
> solches auf dem zu knackenden Rechner nicht vorhanden ist.
Ist ja auch nicht vorhanden, sondern wird mit dem laden der Webseite
erst geladen und sofort vom Brtowser ausgefuehrt (die ausfuehrung kann
dabei schon im Gange sein, bevor das Teil vollstaendig in den Platten-
Cache des Browsers geschrieben wurde, sprich noch bevor ein die Platte
ueberwachendes Programm ueberhaupt eine Chance haette, das ding zu be-
merken, auch wenn es eine passende Signatur dieses Teils kennen wuerde).
> Auch der "Experte" im ZDF-Beitrag hätte damit kaum so schnell Erfolg
> gehabt, denn er hätte sich nicht einfach so mit dem Rechner des Opfers
> verbinden können, sondern hätte zunächst sein Opfer dazu bringen
> müssen, eine entsprechend präparierte Webseite aufzurufen.
In Zeiten von "Bannertausch" und dergleichen findet man so etwas sogar
potentiell auf hoch serioesen Webseiten oder auch auf den Webseiten von
Suchmaschinen (und dieses Ding kann dann sogar noch so nett sein und
den Angreifer darueber informieren, welcher Rechner denn soeben angreif-
bar geworden ist). Es waere zwar nicht einfach einen bestimmten Rechner
damit anzugreifen, aber einfach zu warten, bis ein Anwender in die Falle
tappt, ist voellig trivial ...
> Das wiederum würde ich zusammen mit der Erstellung der präparierten
> Webseite als "nicht unerheblichen Aufwand" bezeichnen, den der OP in
> seiner Frage ebenfalls ausgeschlossen hat.
Das wiederum sehe ich *voellig* anders. Eine passende Flashanimation
erstellen und mittels "Bannertauschboersen" oder dergleichen in Umlauf
bringen duerfte relativ trivial sein ...
> Deine Antwort geht also an der Frage vorbei. Ebenso wird der
> ZDF-Beitrag spätestens dann zur Lachnummer, nachdem der erste Teil mit
> den offenen WLANs abgehandelt wurde und im zweiten Teil der Zugriff auf
> Freigaben übers Internet besprochen wird. In vielen Fällen hängen
> Rechner via Router am Internet, und Anfragen an Windows-Freigaben
> werden schon in der Defaulteinstellung von der Router-Firewall
> geblockt.
Wenn die dynmamisch erzeugten Regeln des "FTP-NAT-Helpers" vor den Regeln
die die "Zugriffe auf Windowsfreigaben" blocken sollen Vorrang haben (das
wird bei vielen Implementierungen sogar der Fall sein), dann nuetzt das
nichts ... Und "NAT" ist da auch kein Schutz, da durch die "Protokoll-Helper"
in der NAT-Engine auszuhebeln.
> Ohne ein internes Hilfsprogramm oder eine Änderung an der
> Router-Konfiguration (die in der Regel ebenfalls nur aus dem LAN heraus
> möglich ist) kommt man da also nicht drauf.
Andy Beck hatte mal eine Liste gefuehrt, welche Devices denn fuer den
Test auf der Webseite anfaellig waren (erstellt aus den Rueckmeldungen
der Leute, die das getestet haben) und kam IIRC zu einem anderen Ergebnis ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Thomas Einzel
> Juergen Ilse schrieb am 23.11.2009 10:52:
>> Mit anderen Protokollen, fuer die der Router einen "NAT-Helper"
>> implementiert
>> hat, waere so etwas ggfs. auch denkbar (und dann vielleicht auch fuer UDP
>> statt TCP ...). Fuer FTP ist ein solcher "NAT-Helper" in praktisch jedem
>> NAT-Device eingebaut, da sonst FTP durch NAT hindurch gar nicht mehr
>
> Das habe ich nun leider nicht mehr verstanden, warum ist passive FTP ein
> Sicherheitsproblem?
Ich mï¿œchte da noch mal nachhaken, welche Gefahren birgt _passive_ FTP
ï¿œber NAT? (deine o.a. Aussage macht keinen Unterschied zwischen active
und passive, oder war das nur versehentlich?)
TIA Thomas
Ansgar -59cobalt- Wiechers
Ich versuche mal, es mit diesem vereinfachten Diagramm zu erklï¿œren:
Server Client (hinter NAT-Router)
| |
|<----------------------| Client ruft per Browser eine prï¿œparierte
| | Webseite auf, die Code des Angreifers
| | enthï¿œlt (z.B. ein Java-Applet)
| |
| | Der so eingeschleuste Code wird auf dem
| | Client ausgefï¿œhrt (trojanisches Pferd)
| |
|<----------------------| Java-Applet baut eine Verbindung zum
| 21/tcp | Server auf (FTP Command-Channel)
| |
|<----------------------| Java-Applet baut eine zweit Verbindung
| 445/tcp | zum Server auf (FTP Data-Channel, aber
| | mit angeblichem Quellport 445)
| |
| | TCP-Verbindungen sind bidirektional
| | => NAT-Helper ï¿œffnet im Paketfilter ein
| | Loch fï¿œr die Antwortpakete
| |
|---------------------->| Server greift mit geeignet prï¿œparierten
| 445/tcp | "Antwort"-Paketen rï¿œckwï¿œrts durch die
| | Firewall auf Port 445/tcp des Clients zu
| |
HTH
Ansgar -59cobalt- Wiechers
> Michael Landenberger <spameim...@arcor.de> wrote:
>> Auch der "Experte" im ZDF-Beitrag hï¿œtte damit kaum so schnell Erfolg
>> gehabt, denn er hï¿œtte sich nicht einfach so mit dem Rechner des
>> Opfers verbinden kï¿œnnen, sondern hï¿œtte zunï¿œchst sein Opfer dazu
>
> In Zeiten von "Bannertausch" und dergleichen findet man so etwas sogar
> potentiell auf hoch serioesen Webseiten
Da ist ein "potentiell" zu viel, das mï¿œssen wir leider abziehen.
http://www.wired.com/techbiz/media/news/2007/11/doubleclick
Juergen Ilse
Thomas Einzel <Usene...@einzel.de> wrote:
> Thomas Einzel schrieb am 23.11.2009 13:47:
>> Juergen Ilse schrieb am 23.11.2009 10:52:
> ...
>>> Mit anderen Protokollen, fuer die der Router einen "NAT-Helper"
>>> implementiert
>>> hat, waere so etwas ggfs. auch denkbar (und dann vielleicht auch fuer UDP
>>> statt TCP ...). Fuer FTP ist ein solcher "NAT-Helper" in praktisch jedem
>>> NAT-Device eingebaut, da sonst FTP durch NAT hindurch gar nicht mehr
>>> funktionieren wuerde ...
>> Das habe ich nun leider nicht mehr verstanden, warum ist passive FTP ein
>> Sicherheitsproblem?
> Ich möchte da noch mal nachhaken, welche Gefahren birgt _passive_ FTP
> über NAT? (deine o.a. Aussage macht keinen Unterschied zwischen active
> und passive, oder war das nur versehentlich?)
Wenn der "NAT-Helper fuer FTP" in der NAT-Implementierung auch aktives
FTP unterstuetzt, reicht das auch, denn auch wenn du selbst kein aktives
FTP nutzt, kann ein JAVA-Applet, ein Flash-Programm oder dergleichen doch
eine passende "aktive FTP-Verbindung" aushandeln, die dem Angreifer den
Weg zu z.B. "direct SMB" oeffnet ... Du muesstest also schon im Router
den Support fuer aktives FTP *explizit* *ausschalten* koennen. Bei einer
Cisco PIX oder Cisco ASA geht das. Bei dem Billig-DSL-Router von Hans
Mustermann auch???
Thomas Einzel
> Thomas Einzel <Usene...@einzel.de> wrote:
...
>> Ich möchte da noch mal nachhaken, welche Gefahren birgt _passive_ FTP
>> über NAT? (deine o.a. Aussage macht keinen Unterschied zwischen active
>> und passive, oder war das nur versehentlich?)
>
> Wenn der "NAT-Helper fuer FTP" in der NAT-Implementierung auch aktives
> FTP unterstuetzt,
Ich hatte in <hee090$pvv$03$1...@news.t-online.com> geschrieben dass ich
aktive FTP deaktiviert hatte, die Frage dreht sich einzig nur noch um
_passive_FTP.
> reicht das auch, denn auch wenn du selbst kein aktives
> FTP nutzt,
Mir ist durchaus klar dass diese "feature" im Router ist und dem
potenziellen Angreifer egal ist ob ein LAN User aktive oder passive oder
gar kein FTP nutzt und es natürlich im Router abgeschaltet werden muss.
> kann ein JAVA-Applet, ein Flash-Programm oder dergleichen doch
> eine passende "aktive FTP-Verbindung" aushandeln, die dem Angreifer den
> Weg zu z.B. "direct SMB" oeffnet ... Du muesstest also schon im Router
> den Support fuer aktives FTP *explizit* *ausschalten* koennen. Bei einer
> Cisco PIX oder Cisco ASA geht das. Bei dem Billig-DSL-Router von Hans
> Mustermann auch???
Bei Lancom z.B. geht das auch, ich schrieb doch dass ich aktive FTP
abgeschaltet hatte...? Active ftp funktioniert auch nicht mehr, passive
schon. Die Tests von http://bedatec.dyndns.org/ftpnat/test.html bringen
"Port: xyz Result: IO error while reading PORT reply" und zahlreiche
SMNP Nachrichten.
Missverständnis?
Thomas
Thomas Einzel
> Thomas Einzel <Usene...@einzel.de> wrote:
...
>> ï¿œber NAT? (deine o.a. Aussage macht keinen Unterschied zwischen active
>> und passive, oder war das nur versehentlich?)
>
> Ich versuche mal, es mit diesem vereinfachten Diagramm zu erklï¿œren:
>
> Server Client (hinter NAT-Router)
> | |
> |<----------------------| Client ruft per Browser eine prï¿œparierte
> | | Webseite auf, die Code des Angreifers
> | | enthï¿œlt (z.B. ein Java-Applet)
> | |
> | | Der so eingeschleuste Code wird auf dem
> | | Client ausgefï¿œhrt (trojanisches Pferd)
> | |
> |<----------------------| Java-Applet baut eine Verbindung zum
> | 21/tcp | Server auf (FTP Command-Channel)
> | |
> |<----------------------| Java-Applet baut eine zweit Verbindung
> | 445/tcp | zum Server auf (FTP Data-Channel, aber
> | | mit angeblichem Quellport 445)
> | |
> | | TCP-Verbindungen sind bidirektional
> | | => NAT-Helper ï¿œffnet im Paketfilter ein
> | | Loch fï¿œr die Antwortpakete
> | |
> |---------------------->| Server greift mit geeignet prï¿œparierten
> | 445/tcp | "Antwort"-Paketen rï¿œckwï¿œrts durch die
> | | Firewall auf Port 445/tcp des Clients zu
> | |
Die prinzipielle Funktionsweise dï¿œrfte auf auf viele Schadprogramme zu
treffen, was von innen geï¿œffnet wird, lï¿œsst die SPI auch wieder von
auï¿œen nach innen passieren, so die Ports nicht explizit geschlossen
sind, das Schadprogramm kï¿œnnte auch auf noch unauffï¿œlligeren Ports
fragen. In wie weit wird das durch passive ftp (im Router)
"unterstï¿œtzt"? (ich frage tatsï¿œchlich nur)
Danke.
Thomas
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers schrieb am 24.11.2009 21:04:
>> Server Client (hinter NAT-Router)
>> | |
>> |<----------------------| Client ruft per Browser eine prï¿œparierte
>> | | Webseite auf, die Code des Angreifers
>> | | enthï¿œlt (z.B. ein Java-Applet)
>> | |
>> | | Der so eingeschleuste Code wird auf dem
>> | | Client ausgefï¿œhrt (trojanisches Pferd)
>> | |
>> |<----------------------| Java-Applet baut eine Verbindung zum
>> | 21/tcp | Server auf (FTP Command-Channel)
>> | |
>> |<----------------------| Java-Applet baut eine zweit Verbindung
>> | 445/tcp | zum Server auf (FTP Data-Channel, aber
>> | | mit angeblichem Quellport 445)
>> | |
>> | | TCP-Verbindungen sind bidirektional
>> | | => NAT-Helper ï¿œffnet im Paketfilter ein
>> | | Loch fï¿œr die Antwortpakete
>> | |
>> |---------------------->| Server greift mit geeignet prï¿œparierten
>> | 445/tcp | "Antwort"-Paketen rï¿œckwï¿œrts durch die
>> | | Firewall auf Port 445/tcp des Clients zu
>> | |
>
> Die prinzipielle Funktionsweise dï¿œrfte auf auf viele Schadprogramme zu
> treffen,
Nein.
> was von innen geï¿œffnet wird, lï¿œsst die SPI auch wieder von auï¿œen nach
> innen passieren, so die Ports nicht explizit geschlossen sind, das
> Schadprogramm kï¿œnnte auch auf noch unauffï¿œlligeren Ports fragen.
Das ist nicht der Punkt
> In wie weit wird das durch passive ftp (im Router) "unterstï¿œtzt"?
Ich hab' dir die entscheidenden Stellen oben noch mal unterstrichen.
Michael Landenberger
> In Zeiten von "Bannertausch" und dergleichen findet man so etwas
> sogar potentiell auf hoch serioesen Webseiten oder auch auf den
> Webseiten von Suchmaschinen
Weiß ich. Im hier zur Debatte stehenden ZDF-Beitrag hat der "Experte"
aber die Behauptung aufgestellt, er könne ohne Zutun und Wissen des
Opfers übers Internet auf dessen Freigaben zugreifen. Es war nirgends
die Rede davon, dass der "Experte" das Opfer zunächst dazu veranlasst
hat, eine präparierte Webseite o. ä. abzurufen. Und unter diesen
Umständen ist die Aussage des "Experten" Blödsinn, es sei denn, er
stößt zufällig auf folgende, eher selten anzutreffende Konstellationen:
1. ein Netzwerk mit Router, bei dem Port 445/TCP auf einen Client mit
Netzwerkfreigaben geforwardet ist (warum sollte jemand so etwas tun?
Defaulteinstellung ist das jedenfalls nicht),
2. ein Netzwerk mit Router, dessen Konfigurationsmenü aus dem Internet
erreichbar und nicht ausreichend geschützt ist, so dass es möglich ist,
das unter 1. genannte Forwarding remote einzurichten (auch das ist nur
selten die Defaulteinstellung gängiger Router),
3. ein per DFÜ angebundener Einzelplatzrechner, bei dem die
Windows-Freigaben an die DFÜ-Verbindung gebunden sind und bei dem
außerdem die Internetverbindungsfirewall deaktiviert wurde (auch das
ist seit Windows XP SP2 nur noch möglich, wenn der Benutzer seinen
Rechner manuell zerkonfiguriert hat).
All das sind zwar mögliche Szenarien, die kamen aber in dem ZDF-Beitrag
nicht zum Einsatz. Ergo ist der ZDF-Beitrag Blödsinn.
Gruß
Michael
Juergen Ilse
Thomas Einzel <Usene...@einzel.de> wrote:
> Ansgar -59cobalt- Wiechers schrieb am 24.11.2009 21:04:
>> Thomas Einzel <Usene...@einzel.de> wrote:
> ...
>>> Ich möchte da noch mal nachhaken, welche Gefahren birgt _passive_ FTP
>>> über NAT? (deine o.a. Aussage macht keinen Unterschied zwischen active
>>> und passive, oder war das nur versehentlich?)
>>
>> Ich versuche mal, es mit diesem vereinfachten Diagramm zu erklären:
>>
>> Server Client (hinter NAT-Router)
>> | |
>> |<----------------------| Client ruft per Browser eine präparierte
>> | | Webseite auf, die Code des Angreifers
>> | | enthält (z.B. ein Java-Applet)
>> | |
>> | | Der so eingeschleuste Code wird auf dem
>> | | Client ausgeführt (trojanisches Pferd)
>> | |
>> |<----------------------| Java-Applet baut eine Verbindung zum
>> | 21/tcp | Server auf (FTP Command-Channel)
>> | |
>> |<----------------------| Java-Applet baut eine zweit Verbindung
>> | 445/tcp | zum Server auf (FTP Data-Channel, aber
>> | | mit angeblichem Quellport 445)
>> | |
>> | | TCP-Verbindungen sind bidirektional
>> | | => NAT-Helper öffnet im Paketfilter ein
>> | | Loch für die Antwortpakete
>> | |
>> |---------------------->| Server greift mit geeignet präparierten
>> | 445/tcp | "Antwort"-Paketen rückwärts durch die
>> | | Firewall auf Port 445/tcp des Clients zu
>> | |
>
> Die prinzipielle Funktionsweise dürfte auf auf viele Schadprogramme zu
> treffen, was von innen geöffnet wird, lässt die SPI auch wieder von
> außen nach innen passieren, so die Ports nicht explizit geschlossen
> sind, das Schadprogramm könnte auch auf noch unauffälligeren Ports
> fragen. In wie weit wird das durch passive ftp (im Router)
> "unterstützt"? (ich frage tatsächlich nur)
Wenn der Router prinzipiell auch NAT fuer aktives FTP unterstuetzen wuerde
(das kann man bei vielen Routern noch nicht einmal abschalten), nuetzt es
dir rein gar nichts, wenn *du* kein aktives FTP verwendest. Das Schadpro-
gramm (Java, Javascript, Flash, was auch immer) oeffnet ja noch nicht einmal
wirklich eine FTP-Datenverbindung, sondern handelt nur anscheinend auf der
Kontroll-Connection eine solche aus. Das fuehrt dann im Router zur vom An-
greifer begehrten Port-Weiterleitung im Router (weil der NAT-Router unzu-
treffenderweise davon ausgeht, es wuerde sich wirklich um aktives FTP
handeln). Damit muss dann die Verbindung noch nicht einmal von innen ge-
oeffnet werden ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Thomas Einzel
>> In wie weit wird das durch passive ftp (im Router)
>> "unterstützt"? (ich frage tatsächlich nur)
>
> Wenn der Router prinzipiell auch NAT fuer aktives FTP unterstuetzen wuerde
> (das kann man bei vielen Routern noch nicht einmal abschalten), nuetzt es
<hehje8$paa$03$1...@news.t-online.com> übersehen?
?
Thomas
Thomas Einzel
> Thomas Einzel <Usene...@einzel.de> wrote:
>>> |<----------------------| Java-Applet baut eine zweit Verbindung
> ^^^^^^^^^^^^^^^^
>>> | 445/tcp | zum Server auf (FTP Data-Channel, aber
>>> | | mit angeblichem Quellport 445)
> ^^^^^^^^^^^^^^^^^^^^^^^^^
...
>> In wie weit wird das durch passive ftp (im Router) "unterstï¿œtzt"?
>
> Ich hab' dir die entscheidenden Stellen oben noch mal unterstrichen.
Vielen Dank fï¿œr deine Mï¿œhe.
Warum "funktioniert" dann mit abgeschaltetem aktive FTP
http://bedatec.dyndns.org/ftpnat/test.html nicht?
(Port: xyz Result: IO error while reading PORT reply)
Passive FTP funktioniert.
Ich versuche es nur besser zu verstehen und ggf. noch weitere unnï¿œtige
Verbindungsmï¿œglichkeiten zu finden.
Thomas
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers schrieb am 25.11.2009 00:02:
>> Thomas Einzel <Usene...@einzel.de> wrote:
>>>> |<----------------------| Java-Applet baut eine zweit Verbindung
>> ^^^^^^^^^^^^^^^^
>>>> | 445/tcp | zum Server auf (FTP Data-Channel, aber
>>>> | | mit angeblichem Quellport 445)
>> ^^^^^^^^^^^^^^^^^^^^^^^^^
> ...
>>> In wie weit wird das durch passive ftp (im Router) "unterstï¿œtzt"?
>>
>> Ich hab' dir die entscheidenden Stellen oben noch mal unterstrichen.
>
> Vielen Dank fï¿œr deine Mï¿œhe.
>
> Warum "funktioniert" dann mit abgeschaltetem aktive FTP
> http://bedatec.dyndns.org/ftpnat/test.html nicht?
>
> (Port: xyz Result: IO error while reading PORT reply)
Da ich weder weiᅵ, was genau dein Paketfilter treibt, noch wie der Code
des Java-Applets aussieht, kann ich dir diese Frage leider nicht
beantworten. Mï¿œglicherweise versucht das Applet ja nur aktives FTP.
Ralph Lehmann
Michael Landenberger schrieb:
> Ergo ist der ZDF-Beitrag Blödsinn.
Hätten alle Diskutanten das OP gelesen, wäre Deine Behauptung
unstrittig. Haben sie aber nicht. Daher das übliche Gezänk über
Billig-Router, NAT-Helper, "NAT ist kein Sicherheits-Fietscher", etc. :-/
War hier aber nicht anders zu erwarten. ;-)
ciao Ralph
--
www.Ralph-Lehmann.de
Wolfgang Ewert
> Juergen Ilse <jue...@usenet-verwaltung.de> wrote:
> > In Zeiten von "Bannertausch" und dergleichen findet man so etwas sogar
> > potentiell auf hoch serioesen Webseiten
>
> Da ist ein "potentiell" zu viel, das m�ssen wir leider abziehen.
>
> http://www.wired.com/techbiz/media/news/2007/11/doubleclick
Yep:
http://www.heise.de/security/meldung/Webseiten-infizieren-Windows-PCs-ueber-neue-DirectShow-Luecke-7271.html
http://www.heise.de/security/meldung/Zehntausende-Webseiten-fallen-Massenhack-zum-Opfer-220581.html
--
Nirgendwo h�ngt der Schulerfolg so stark von Einkommen und Vorbildung
der Eltern ab wie in D'land. Das dt. Schulsystem versagt bei der
F�rderung von Arbeiter- und Migrantenkindern. (dpa/FTD 22.11.04)