Moderatoren: Matthias Niess und Timon Royer
Themen:
Diesmal gibt es statt Shownotes als zusätzliche Information zur Sendung einen umfassenden Artikel zum Thema.
Moderatoren: Matthias Niess und Timon Royer
Die Sendung zum herunterladen:
Thema: Sicherheit im Internet
Das Thema (Un)Sicherheit im Internet hat viele Aspekte. Die grössten Sorgen der Nutzer sind wohl Identitätsklau und der Befall des eigenen Rechners mit Viren, Trojanern oder Würmern. Die Möglichkeiten, diesem Problemen zu begegnen, sind nicht für jeden Nutzer ganz einfach zu verstehen und können unterschiedlichste Formen annehmen. Die wichtigste häufig verkannte Methode ist - wie in der Sendung besprochen - der Mensch der vor dem Computer sitzt. D.h. konkret, dass man sich beim Umgang mit dem Internet jederzeit der Gefahren bewusst sein sollte, denn gegen Unachtsamkeit des Menschen hilft (meist) keine technische Lösung.
Firewalls
Die meisten denken hier zuerst an Personal Firewalls (PFW), auch Desktop Firewalls genannt. Dazu muss man wissen, dass das Wort Firewall im Fachgebrauch kein konkretes Produkt beschreibt, sondern ein Sicherheitskonzept, welches unterschiedlichste Produkte und Vorgehensweisen enthalten kann. In den Anfangszeiten des Internet (und davor) mussten sich nur die Netzwerkexperten in Firmen mit diesen Konzepten auseinander setzen. Heute wird es immer wichtiger für den einfach Nutzer am Heim-PC, sich ein solches Sicherheitskonzept zuzulegen.
Personal Firewalls wie Kerio Personal Firewall (unsere Empfehlung) oder das beliebte ZoneAlarm (welches wir nicht empfehlen) laufen als Software auf dem eigenen Rechner und bieten leider nur einen rudimentären Schutz. Die Hauptkritik ist folgende: “eine Firewall, die auf einem System läuft, welches selbst geschützt werden soll, ist meistens sinnfrei, da sie es gerade verhindern muss, dass schädigende Datenpakete zum zu schützenden System vordringen können. So sind evtl. anfällige Komponenten, welche hätten geschützt werden sollen, bereits durchlaufen worden, bevor die Firewall überhaupt wirksam eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.” (Quelle)
Will man seinen Rechner schützen, sollte man PFWs also bestenfalls als zusätzlichen, aber nicht alleinigen Schutz nutzen. Besser ist es Angreifern aus dem Internet erst garkeine Angriffsfläche zu bieten, indem man nicht benötigte Dienste einfach deaktiviert (mit dieser Anleitung von Hand oder automatisch). Richtig guten Schutz erhält man erst, wenn man den heimischen PC über einen Router mit dem Internet verbindet.
Router
Router ermöglichen es mehrere PCs und Notebooks gleichzeitig über einen einzigen Anschluss mit dem Internet zu verbinden. Durch geringe Anschaffungskosten (€50-€70) lohnen sie sich aber auch schon, wenn man nur einen einzelnen PC hat. Neben erhöhter Sicherheit bieten Router auch zusätzlichen Komfort. Man kann (bei einem WLAN-Router) auf Netzwerkkabel im Haus verzichten und muss sich ausserdem nicht mehr in das Internet “einwählen”. Da man von seinem Provider jedoch nur eine IP Adresse bekommt besteht nun aber das Problem, dass bspw. eine Internetseite nicht weiss an welchen Rechner im Heimnetzwerk die Inhalte gesendet werden sollen. Diese weiss nämlich nicht, dass sich hinter dieser IP-Adresse mehrere Rechner verbirgen. Dieses Dilemma wird über eine Technik namens NAT (Network Address Translation) gelöst. Hier merkt sich der Router, welcher Rechner eine Internetseite anfordert und schickt die Antwort des Servers auch nur an den entsprechenden Rechner im Heimnetzwerk zurück.
NAT an sich bietet bereits einen gewissen Schutz, da nicht angeforderte Daten aus dem Internet vom Router ignoriert werden. Will man bewusst unangeforderte Daten aus dem Internet erhalten (z.B. für Filesharing oder Internetspiele) muss man dies für jede Anwendung im Router freigeben. Nun wurde NAT aber nur für den o.g. Zweck konzipiert und nicht als Sicherheitslösung. Daher sollte der Router zusätzlich über eine integrierte Firewall verfügen (was auf die meisten aktuellen Router zutrifft). Zum Schluss bleibt noch das Sorgenkind Universal Plug and Play (UPnP) zu nennen. Dieser Dienst soll es dem Nutzer ersparen, Anwendungen im Router selbst freigeben zu müssen. Er kann allerdings auch von Schadprogrammen (Malware) genutzt werden, weshalb er unbedingt zu deaktivieren ist.
Uneingeschränkt empfehlen können wir sämtliche Inkarnationen der Linksys WRT54G Router. Sie sind günstig und qualitativ sehr hochwertig. Besonders empfehlenswert ist der WRT54GL, da er es ermöglicht kostenlose alternative Firmware wie DD-WRT zu installieren. Damit hat man noch mehr Möglichkeiten, den Router auf die persönlichen Bedürfnisse anzupassen.
Viren, Würmer und Trojaner...
... vermeidet man am Besten folgendermassen:
- nicht den Internet Explorer benutzen, da er vor Sicherheitslücken nur so strotzt (Alternativen: Opera, Firefox)
- nicht Outlook oder Outlook Express verwenden, da diese z.T. Email-Anhänge automatisch öffnen und Schlimmeres (Alternativen: Thunderbird, Opera, Pegasus)
- grundsätzlich Emails mit Anhängen misstrauen, auch wenn diese angefordert wurden
- grundsätzlich keine Programme von nicht-vertrauenswürdigen Seiten downloaden
- den gesunden Menschverstand einsetzen
- ...
Beherzigt man diese Ratschläge ist eine Antiviren-Software, wie das kostenlose AntiVir, fast unnötig. Beherzigt man sie nicht könnte neben einem Antiviren-Programm auch ein Spyware-Entferner wie Spybot S&D nützlich sein. Wenn nichts mehr hilft sollte man nochmal einen Blick auf das neue kostenlose Prevx1 werfen (nur auf Englisch erhältlich).
Updates
Kaum etwas ist wichtiger als das Betriebssystem ständig auf dem aktuellsten Stand zu halten. Man sollte also regelmäßig auf Updates prüfen. Unter Windows besuche man dazu die Seite windowsupdate.microsoft.com. Da dies nur mit dem Internet Explorer funktioniert, sei dessen Benutzung zu diesem einen Zeck gestattet.
Schlusswort
Es wurde hoffentlich deutlich, dass man für seine Sicherheit im Internet heutzutage (leider) einiges tun muss. Die Gefahren sollten nicht unterschätzt werden. Die genannten Massnahmen dienen nicht der Beruhigung der eigenen Paranoia, sondern sollen vor tatsächlichen Gefahren schützen. Man muss nicht einmal das Opfer eines gezielten Angriffs sein. Cracker durchsuchen das Internet automatisiert nach Rechnern mit Schwachstellen, um dort Kreditkartendaten oder Bankdaten zu stehlen oder die Rechner in Zombie-PCs zu verwandeln. Neben den oben genannten Massnahmen ist und bleibt die beste Waffe dagegen der aufgeklärte Nutzer.
Länge: 30:00
Wer sich zu den Sendungen äußern möchte kann dies gerne über unsere
Kommentarfunktion hier auf der Website tun. Wichtig: Eure E-Mail
Adresse wird zu eurem Schutz bei den Kommentaren nicht eingeblendet!
Außerdem könnt ihr auch gerne uns eine E-Mail an dialogATz-podPUNKTde schicken.
RSS Feed (MP3)
Hier noch ein kurzer Nachtrag zum Thema NAT, weil ich den Artikel nicht unnoetig aufblaehen wollte. Einige moegen sich fragen: “Wozu eine extra Firewall? NAT ist doch nun wirklich sicher!”
Dem ist nicht so. NAT hat nur einen Zweck, und zwar die Zuweisung von Paketen an den richtigen Rechner im Netz. NAT ist nicht zur Sicherung des Netzwerkes bestimmt, auch wenn es dies indirekt leistet.
Ein Angreifer koennte NAT leicht umgehen indem er auf dem Quellrechner eine statische Route zur LAN IP des Zielrechners mit der WAN IP des Routers als Gateway setzt. Damit kann er direkt mit dem entsprechenden Rechner kommunizieren und bspw. auf dessen Freigaben zugreifen. Dies kann nur durch eine Firewall im Router verhindert werden. NAT ist keine Firewall!
Hi,
in der letzten Sendung habt ihr den Linksys Router so gelobt.
Das hörte sich für mich schon fast nach einer Werbesendung an.
Dagegen wurde die FritzBox runtergemacht, weil man das “antworten auf Pings” nicht abschalten kann.
1. Kann man das bei der Fritzbox auch abschalten, ist zwar ein bischen aufwändig aber es geht.
Auf der Fritzbox läuft nämlich auch ein Linux:-)
2. Verstehe ich den Grund nicht, warum der Router nicht auf Pings antworten soll ?
Jedenfalls ist das nicht das Killerargument gegen einen Router.
Ansonsten erklärt doch mal genau welchen gravierenden Sicherheitsnachteil es hat, wenn der Router auf ein Ping antwortet?
MfG
Olaf
Hi Olaf,
auf deine Fragen sind wir in der aktuellen Sendung eingegangen, aber kurz:
1. Linksys WRT54G ist einfach der Router schlechthin. Die Fritzbox ist nicht schlecht, aber sie laesst einiges an Funktionalitaet und konfigurierbarkeit vermissen. Das Linux, was auf der FritzBox laeuft ist auch nicht wirklich vergleichbar mit z.B. DD-WRT..
2. Pings erlauben es Hackern Netze zu “mappen”. Das will man eigentlich nicht. Vor Allem: ueber ICMP (das protokoll, was pings nutzen) kann man auch tunneln. D.h. wenn auf deinem rechner bspw. ein trojaner laeuft, der das nutzt, dann kann allein die Moeglichkeit “anpingbar” zu sein genuegen, dass jemand auf deinen Rechner zugreifen kann. Dazu muss aber wie gesagt schon was auf dem Rechner laufen. In Firmen wuerde es aber z.B. schon reichen, wenn ein Netzwerkteilnehmer bewusst die Software installiert
Hallo Matthias,
also, so wie ich das in anderen Foren gelesen habe, nützt es garnichts, wenn ein Router nicht auf ein Ping antwortet.
Siehe:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken
Zitat
-----
Wie kann ich mich unsichtbar machen?
Um “unsichtbar” zu sein, müßtest Du mit der IP Adresse Deines nächsten Routers “ICMP - Host/Network unreachable” senden.
Merke: Bei ICMP ist keine Antwort gleichbedeutend mit “ich bin hier”.
Weil wenn Du nicht da wärst, würde jemand anderes sagen “Der ist nicht da”. Nämlich der nächste Router. (Der steht bei Deinem Provider und Du hättest kein Internet.)
----------
Zitat ende
Zudem wüsste ich garnicht ob dann noch das Voip der Fritzbox gehen würde ?
>Fritzbox ist nicht schlecht, aber sie >laesst einiges an Funktionalitaet und >konfigurierbarkeit vermissen
Was denn genau?
Ich habe die FRITZ!Box Fon WLAN 7050 Firmware-Version 14.04.06
und einen Netgear FR114P.
Im Gegensatz zum Netgear, kommen bei der Fritzbox noch regelmässige Updates und Verbesserungen.
Beim Netgear ist das letzte Update von 09.2005 und im Vergleich wüsste ich nicht was der Netgear besser kann?!
Ich weiss jetzt nicht wie das beim Linksys aussieht aber ich kann mir nicht vorstellen das der soooo viel mehr Funktionen hat.
So, jetzt aber genug kritisiert :-)
macht weiter so !
bis dann
Olaf
Hallo Olaf,
hör dir einfach mal unsere nächste Sendung an. Die ist gerade online gegangen. Vielleicht klärt sich das Thema dann. Ansonsten lassen wir uns natürlich auch gerne eines besseren belehren wenn du technische Informationen dazu hast die wir noch nicht kennen.
Timon
Hi Olaf,
mir ist voellig klar, dass man sich nicht 100% verstecken kann. Es ist um Grunde das gleiche, wie die Tatsache, dass NAT keinen Schutz darstellt. Oder ein MAC-Adressen filter auch nichts bringt. Ich persoenlich habe mich auch fuer anpingbarkeit (lustiges wort) entschieden, weil ich es voellig okay finde, wenn man feststellen kann, dass meine Maschinen da sind (und mein Netz ausserdem sicher ist). Diese Debatte nimmt in vielen Security-Foren fast semi-religoese Zuege an.
Wie auch immer. Wenn eine Massnahme keinen 100%igen Schutz liefert heisst das nicht, dass sie nutzlos ist.
Was du mit dem Netgear sagen willst, habe ich nicht verstanden. Bei der Fritzbox kann man aber faktisch so gut wie nichts konfigurieren. Als Beispiel hier mal zwei Links die zeigen, was mit der Linksys Firmware so moeglich ist.
http://www.dd-wrt.com/wiki/index.php/ConfigurationHOWTOs
http://www.dd-wrt.com/wiki/index.php/FirewallBuilder
Hier ist eine (eingeschraenkte) Demo von der aktuellen Konfigurationsoberflaeche:
http://www.informatione.gmxhome.de/DDWRT/Standard/V23final/
Von dieser Funktionalitaet ist die Fritzbox weit entfernt. D.h. nicht, dass sie nicht gut ist. Aber wenn man mehr von einem Router erwartet kann man fuer weniger Geld auch den zu Recht meistgekauften Router der Welt kaufen ;)
Hallo Matthias,
also lassen wir das mit dem anpingen jetzt dabei bleiben.
Mit dem Netgear habe ich erwähnt, weil Netgear eigentlich einen besseren Ruf hat als die Fritzbox.(Meine ich zu mindest mal gehört zu haben)
Naja, ich bin da halt anderer Meinung.
Hier mal ein Link zur Fritzbox :-)
http://www.wehavemorefun.de/fritzbox/Main_Page
Thema Kosten:
Ich glaube die meisten Leute haben die Frizbox, weil es sie beim DSL Anschluß günstig dazu gab.
Ich habe 35€ dafür bezahlt und dafür ist sie echt gut :-)
Ok, an dem Linksys kann man zwar eine Menge einstellen aber ich glaube der “normale Windows user” ist mit Ausdrücken wie Cron oder Masquerading,um nur mal zwei Beispiele zu nennen, schon reichlich überfragt.
Ich meine, wer viel einstellen kann, der kann auch schnell mal was falsch einstellen.
Warum meinst Du gibt es wohl UPnP?
Genau, damit nicht jeder DAU bei der Hotline anruft und fragt, warum denn jetzt sein Esel nicht mehr rennt.
Falls dann doch einer anrufen sollte, dann braucht die Hotline nur noch sagen: “Dann machen sie mal ein Häkchen bei UPnP.” und dem Kunden ist geholfen.
Fazit:
Wieviel User kennt ihr, die sich mit der Sicherung des Systems auseinander setzen?
Die meisten die ich kenne haben von Antivir noch nie was gehört, kennen sich aber dafür um so besser mit Keymakern aus?!
“Firewall? Norton reicht doch wohl!” bekommt man im besten Fall zu hören:-)
Und falls sie mal wieder einen Virus haben, wird geghosted <-- Tolles Wort.
Da sind welche bei, die hauen sich mindestens einmal im Monat ihr altes Image drauf, weil gar nichts mehr geht.
Das sollte es eigentlich zum Thema Sicherheit gewesen sein :-)
bis dann
Olaf
Vielen Dank für den Link zur Fritz!Box, den kannte ich noch nicht.
Also mal einfach gesprochen, wer unsere Sendung hört, gehört sicherlich nicht zu denen die dumm sterben wollen. Von daher gehen wir davon aus, dass wir uns hier auch mit Vorteilen eines Routers wie Cronjobs oder konfigurierbaren iptables beschäftigten. Wobei iptables sich z.B. auch recht komfortabel über shorewall konfigurieren lassen.
Und ich denke du scheinst ja durchaus zu verstehen worum es geht. :-)
Hallo Timon,
Kann es sein das die Kommentare nur eine begrenze Länge haben dürfen?
Von meinem letzten Kommentar wurde der Schluss weggelassen :-(
Zu eurer Sendung:
Ihr setzt teilweise Wissen vorraus, welches ein normalen Windows User garnicht haben kann.
Ihr müsst davon ausgehen, dass sich die Sendung auch jemand anhört, der als BS nur Windows kennt und nur Anwenderprogramme benutzt.
In Folge 27 hab ihr gesagt, das man auf eine Virenscanner verzichten kann, wenn man nur Mails von bekannten Personen öffnet, die keinen unaufgeforderten Anhang haben.
Ich glaube, da halten sich die wenigsten dran, von daher würde ich auf jeden Fall einen Virenscanner empfehlen.
Ich habe hier auch schon Mails bekommen, da konnte man vor lauter riesen Smilies und Hintergrundgrafik den Text kaum noch erkennen, es fehlte wirklich nur noch die Hintergrundmusik:-)
Aber Du hast recht, ich glaube kaum das die User sich jemals einen Podcast runter laden würden.
Von daher macht weiter so.
Jetzt werde ich erstmal die neue Folge hören!
bis dann
Olaf
moin,
also ich hab gesagt, dass man emails mit anhaengen ungelesen loeschen soll. Und grundsaetzlich haben wir dazu geraten virenscanner zu benutzen. wir haben nur gesagt, dass wir das persoenlich nicht tun. Aber bei dem was du schreibst faellt mir noch was ein: HTML mails immer im klartext darstellen und eingebundene bilder von aussen ignorieren ;)
matthias
Hi Matthias,
es wäre schon vorteilhaft, wenn man nicht unbedingt Outlook Express als Mailprogramm benutzen würde, sonder z.B. Thunderbird.
Thunderbird warnt z.B. bei Pishing versuchen etc.
bis dann
Olaf
Richtig, so haben wir es ja auch auf dieser Seite unter “Viren, Würmer und Trojaner...” geschrieben.
Was spricht eigentlich gegen security through obscurity - sprich: Nutzung von MacOS X? Ich habe den Eindruck, dass das bislang der besten Kompromiss aus vielseitiger Nutzung und Sicherheit ist, zumal sich Apple durchaus wirksam Gedanken zur Systemsicherheit macht.
Da spricht erstmal nichts gegen. Microsoft macht es ja auch oft so. Das Problem ist nur es ist auch nicht sicherer. Ich denke es kommt eigentlich mehr darauf wie lange der Programmcode schon im Einsatz ist. Software die lange im Produktiveinsatz ist, ist einfach deswegen schon sicherer weil sie länger geprüft wurde. Aber selbst da werden immer wieder Lücken gefunden, z.B. fällt mir Debian dazu ein, das momentan über einen sehr langen Zeitraum seinen 3.1 stable tree gepflegt hat.
Mir gefällt es auch gut was mit Mac OS X gemacht wurde, die Sicherheit ist für mein Empfinden recht gut konzipiert und man läuft nicht standardmässig mit allen Rechten durchs System.
Wie sicher Mac OS X tatsächlich ist wird sich aber wohl erst zeigen wenn es wesentlich stärker am Markt vertreten ist. Momentan hat man einfach ein gewisses Mehr an Sicherheit dadurch, dass sich niemand stark für das Ausnutzen von Sicherheitslücken bei Mac OS X interessiert.