Desktop Firewall / Stealth-Mode unterwandern

• Viele Desktopfirewalls bieten eine art Tarnkappe für den PC an, genannt "Stealth Mode", welcher bewirkt, dass der PC auf keinerlei Anfragen aus dem Netz reagiert (DROP). Der PC soll sich dadurch im Netz so verhalten, als wäre er nicht anwesend. Das Konzept klingt einleuchtend: Was ein Angreifer nicht sieht, kann er nicht angreifen. Nur ist das nicht ganz richtig. Denn wird eine IP-Adresse durch einen Scan per ICMP Echo Requests aus einem anderen Subnetz angesprochen und ist die IP-Adressen ungültig bzw. der PC nicht eingeschaltet, so schickt der Router auf Pings eine „Destination unreachable“-Antwort. Die Desktopfirewall hingegen antwortet einfach nicht. Keine Antwort ist in diesem Fall also auch eine Antwort: Auf diese Weise signalisiert die Desktopfirewall dem Angreifer, dass es sich um eine gültige IP-Adresse eines Rechners handelt, auf dem eine Desktopfirewall installiert wurde. Auch ein Portscann ist noch immer möglich. Das Problem, dass es bei Anfragen zu einer Zeitüberschreitung kommt, lässt sich umgehen, indem der Portscanner die Anfragen parallel zum Rechner schickt. Keine Antwort bedeutet, dass der Port gefiltert wurde. Der Portscan wird durch den „Stealth Mode“ ausgebremst, aber nicht verhindert.
  
  LAN (scan aus dem internen Netz heraus): Diese Methode gehört zur Sicherheitskategorie 1
  K2 (Internet->PC): Diese Methode gehört zur Sicherheitskategorie 3 (der PC ist durch PAT der externen Firewall ohnehin für die Aussenwelt nicht sichtbar)

siehe auch

• Hacker
• Crasher und Cracker
• Ethickerd