/me

ICMP abgeschaltet

hab gestern noch fix an meiner Firewall gebastelt. die
kommt zwar mit einer GUI, aber darin sind nicht alle
einstellungen enthalten, also also ging ich mit
linux:~ # vi /etc/sysconfig/SuSEfirewall2

und änderte eine zeile, so daß der rechner jetzt nicht
mehr auf ICMP-Pakete (zb. ping) antwortet. der rechner
erscheint somit vom i-net aus gesehen als nicht anwesend,
soweit es ICMP angeht. wenn also jemand meine IP scannt,
würde er als ergebnis sowas wie "host nicht online"
erhalten. port 113 ist sowieso geschlossen (dient der
identifizierung des betriebssystems), mein browser
übermittelt weder seine noch die kennung des
betriebssystems und auf anderen ports (Telnet, smtp, ssh,
ftp ...) ist kein dienst aktiv. schon erstaunlich, was man
alles abschalten kann ohne spürbare einbußen hinnehmen zu
müssen.

ICMP = Internet Control Message Protocol. wenn ich eine
website aufrufe und diese mir zugesendet wird, fragt der
sender sowas wie "Und? Alles angekommen?" und mein rechner
antwortet dann sowas wie "Ja, alles angekommen." oder
aber "Nee, irgendwas fehlt, sende mir die Seite nochmal."
ICMP ist auch dafür zuständig mir zu sagen, daß eine seite
die ich aufrufen will, nicht existiert, doer derzeit nicht
erreichbat ist.

das programm "ping" fragt nach, ob ein rechner erreichbar,
also online ist. z.b.

[email protected]:~ ping google.com
PING google.com (64.233.187.99) 56(84) bytes of data.
64 bytes from 64.233.187.99: icmp_seq=1 ttl=244 time=152
ms
64 bytes from 64.233.187.99: icmp_seq=2 ttl=244 time=151
ms
64 bytes from 64.233.187.99: icmp_seq=3 ttl=244 time=149
ms
...
...
--- google.com ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time
9024ms
rtt min/avg/max/mdev = 149.244/150.595/152.028/0.947 ms

"ping" stellt keine unmittelbare gefahr da. aber ein
cracker (cracker und hacker sind verschiedene typen.
cracker sind die bösen, hacker sind die guten), der in
meinen rechner eindringen will, würde vermutlich zuerst
testen, ob mein rechner überhaupt erreichbar ist.
der rechner google.com ist erreichbar.

nun könnte der cracker ein programm anmens "nmap"
benutzen, um festzustellen, welche ports am rechner
google.com offen sind. über die offenen ports könnte er
dann in den rechner google.com eindringen. es sei denn,
die ports werden durch eine firerwall gegen angriffe
gesichert.
[email protected]:~ nmap -v google.com

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at
[datum und uhrzeit]
Warning: Hostname google.com resolves to 3 IPs. Using
64.233.167.99.
Machine 64.233.167.99 MIGHT actually be listening on probe
port 80
DNS resolution of 1 IPs took 0.06s.
Initiating Connect() Scan against py-in-f99.google.com
(64.233.167.99) [1679 ports] at 10:24
Discovered open port 443/tcp on 64.233.167.99
Discovered open port 80/tcp on 64.233.167.99
Connect() Scan Timing: About 40.41% done; ETC: 10:25
(0:00:44 remaining)
caught SIGINT signal, cleaning up [bedeutet, daß ich den
scan abgebrochen habe]

nun weiß ich, daß der rechner goole.com die ports 443 und
80 offen hat. beide dienen dem protokoll TCP
(=Transmission Controll Protocol. sorgt u.a. dafür, daß
die einzelnen bestandteile einer website auf dem
anfragenden rechner in der richtigen reihenfolge
zusammengebaut werden. eine website wird nämlich nicht in
einem stück übers i-net geschickt, sondern in kleinen
häppchen, die ihrerseits voneinander unabhängige wege
durch das i-net nehmen können. das dient der erhöhung der
geschwindigkeit. deshalb kommen die päckchen aber
durcheinander am anfragenden rechner an und der muß sie
dann in der richtigen reihenfolge wieder zusammenbauen.)
für google sind die beiden offenen ports in ordnung,
schließlich bietet google dienste an (google ist eine
suchmaschine, nicht wahr. siehste deshalb muß google deine
suchanfrage nach pornographie entgegennehmen können).

mein rechner bietet keinerlei dienste für das i-net an und
deshalb ist es unnötig, daß mein rechner auf ICMP-pakete
antwortet.

da distributoren wie NOVELL, der meine SUSE
zusammengebastelt habt, gern damit protzen, was sie so
alles könnnen, sind viele dienste installiert, die ich
nicht benötige. damit ich im falle, das ich doch mal
irgendeinen serverdienst anbieten will, nicht alles selbst
konfigurieren muß, schließlich haben user es gern bequem,
konfiguriert NOVELL daß schon im werk. somit laufen auf
meinem rechner unnötig viele programme.
jedes programm ist ein potentielles sicherheitsrisiko.
also sollte man programme die man nicht benötigt,
abschalten, am besten, deinstallieren. abschalten kann man
sie in der Runlevelverwaltung. dort stehen die dienste
drin, die automatisch hochgefahren werden (die
Runlevbelverwaltung sieht wie eine tabelle aus). unter
anderem ist das ein mailserver. den benötige ich nicht,
nutze ich nicht, also wird er abgeschaltet.

richtig gefärlich sind sogenannte "Remote"-dienste, wie
sie auf Widnowsrechner standardmäßig laufen. die erlauben
es einem angreifer, sich auf einem fremden rechner
einzuloggen ohne das der sich reinhacken muß. diese
dienste sind dafür da, einen login *anzubieten*. aber, wer
Windows wählt, macht sich sowieso keine gedanken um die
sicherheit seines rechners. da "remote"dienste mit der
berechtigung des users laufen, nützt eine firewall gar
nichts, denn der user erlaubt diese dienste schließlich.
und die keisten Windowsuser sitzen in der funktion des
administrators am rechner, meist ohne daß sie das wissen.
ein angreifer würde dann ebenfalls administratorrechte
erlangen können und dann kann er auf dem gekaperten
rechner tun und lassen was er will.

diese "remote"dienste sollte man also unbedingt
abschalten. ich kenne auch niemanden, der sie nutzt. mit
dem programm "nmap" könnte man gezielt nach rechnern
suchen, die diese remoteports offen haben.

als nebeneffekt, wenn man unnötige dienste abgeschaltet
hat, bootet der rechner dann natürlich auch schneller,
schließlich muß er weniger dienste aufwecken und zum
laufen kriegen.