Desktop Firewall / Sicherheitskategorien
aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Sicherheitskategorien
- Um eine Vergleichsmöglichkeit zwischen einer externen Firewall für den Heimgebrauch und einer Desktopfirewall zu schaffen, scheint es sinnvoll zu sein, jedem Beitrag zur Umgehung einer Desktopfirewall einer der folgenden Sicherheitskategorien zuzuordnen. Die Sicherheitskategorien beziehen sich wiederum auf eine gebräuchliche externe HOME-Firewall, die üblicherweise als Firewallrouter in Erscheinung tritt und z.B. auf einem DSL-Router aufgesetzt werden kann. Ziel ist es, deren Möglichkeiten im direkten Vergleich zur Desktopfirewall richtig einordnen zu können:
1 Angriffsmethoden, welche auch ein externer Firewallrouter nicht oder nur rudimentär unterbinden kann
2 Angriffsmethoden, bei der ein externer Firewallrouter dabei hilft, den Schaden zu begrenzen
3 Angriffsmethoden, welche sich durch einen externen Firewallrouter verhindern oder deutlich erschweren ließen
- Zudem gibt es die folgenden Unterkategorien, welche die für die jeweilige Attacke benötigten Rechte darstellen:
A Die Malware benötigt Administratorrechte, um die Attacke ausführen zu können. Dies ist natürlich dann gegeben, wenn der Anwender unter einem Administratoraccount arbeitet, während er die Malware unbemerkt startet (oftmals über Autostartmechanismen). Hierbei ist jedoch zu beachten, dass es durchaus genügen kann, wenn die Malware nur ein einziges Mal unter einem Administratoraccount gestartet wurde. Genau wie unter UNIX gibt es auch unter Windows zahlreiche Möglichkeiten, dem Programm von nun ab immer Administratorrechte zu geben (also vollkommen unabhängig von den Rechten der nachfolgenden Anwender => einmal Admin, immer Admin; auch nach jedem Neustart des Rechners).
Hinweis: In einigen Fällen kann sich die Malware auch Administrationsrechte verschaffen, obwohl sie niemals von einem Administrator aufgerufen wurde. Das ist allerdings nur möglich, wenn das System einen veralteten Stand aufweißt und die Malware so eine bekannte und ungeschlossene Sicherheitslücke des Systems ausnutzen kann.
Zudem sollte man wissen, dass sämtliche Kennungen unter Windows 3.x, 9x, ME und XP Home (nicht XP Professional) mit Administratorrechten laufen. Hier gibt es also keinen kennungsbezogenen Schutz gegen die Attacke der Malware.
B Eine normale (unprivilegierte) Benutzerkennung genügt, um die Attacke ausführen zu können.
C Abhängig von der Desktopfirewall funktioniert die Attacke bei einigen Herstellern nur mit Administratorrechten, währenddessen bei anderen Herstellern die Attacke unter jeder Benutzerkennung funktioniert.
- Bei Attacken aus denen die Richtung der Netzwerkkommunikation nicht eindeutig hervorgeht, werden beide Kommunikationsrichtungen separat betrachtet, um deren Sicherheitskategorie festzulegen:
K1 (PC->Internet): Die Malware baut eine Verbindung vom PC zum Internetserver auf. Sie könnte sich z.B. an einen IRC-Server binden, um ihre Anweisungen zu empfangen.
K2 (Internet->PC): Hiermit sind keinesfalls die Antwortpakete gemeint, die eine Malware empfängt, nachdem sie eine externe Verbindung aufgebaut hat (diese fallen weiterhin unter K1). Vielmehr bindet sich in diesem Fall die Madelware an einem Port des PCs und wartet dort auf eine Anfrage aus dem Internet, welche an diesen Port gerichtet ist. Es muss also ein Rechner aus dem Internet die Verbindung zum internen PC herstellen, um auf die Malware zugreifen zu können.
Beispiel: K1 (PC->Internet): Sicherheitskategorie 1B / K2 (Internet->PC): Sicherheitskategorie 3
|
