Heimnetzwerke - WIFI, LAN, Router und Co 16.516 Themen, 81.098 Beiträge

Verfolgung starten Optionen

Zugriff auf NAS überNetzlaufwerk möglich trotz FW-Einstellung

Aphex Junior / 9 Antworten / Baumansicht Nickles

Hi zusammen,

ich sichere gerade meinen Windows-PC von anderen PCs im Netzwerk ab, da ich keine Kontrolle über die anderen Computer habe.

In Windows selbst habe ich "öffentliches Netzwerk" eingestellt und zudem nutze ich seit Jahren Comodo Free Firewall. Fahre damit ganz gut bzw. habe mich in die Funktionalität gut eingearbeitet, so dass ich damit umgehen kann und weiß auch recht gut, was ich da einstelle.

Bei den globalen Regeln habe ich folgendes drin (in dieser Reihenfolge):

1. Zulassen IP aus von MAC beliebig nach MAC beliebig

2. Zulassen ICMPv4 von MAC beliebig nach MAC beliebig für die ICMP Nachricht FRAGMENTATION NEEDED

2. Zulassen ICMPv4 von MAC beliebig nach MAC beliebig für die ICMP Nachricht TIME EXCEEDED

3. Blockieren IP ein von MAC beliebig nach MAC beliebig

Das heißt, dass mein Rechner vom angeschlossenen Netzwerk nicht mehr erreichbar sein sollte?! (Regel 3). Weder für Dateifreigabedienste noch sonst irgendwas?!

Allerdings habe ich in dem Netzwerk auch ein Netzwerkdrucker und ein NAS, auf das ich den Zugriff benötige. Natürlich könnte ich dafür spezielle Ausnahme definieren z. B. Zugriff auf bestimmte MAC erlaubt oder so, kein Thema, aber....

...mit den obigen Regeln kann ich bereits auf das NAS zugreifen (über ein normales Netzwerklaufwerk (gemountet) im Arbeitsplatz). Hat das seine Richtigkeit? Ich stelle mir die Frage deshalb, weil doch diesbezüglich zwar Regel 1 den Zugriff auf das NAS erlaubt, jedoch eine Verbindung zum NAS auch ebenfalls gleichzeitig eine eingehende Verbindung erfordert oder?

Oder braucht ein Zugriff auf ein Netzlaufwerk nur eine ausgehende Verbindung seitens der Firewall her?

Danke euch.

bei Antwort benachrichtigen
mi~we Aphex Junior „Zugriff auf NAS überNetzlaufwerk möglich trotz FW-Einstellung“
Optionen

Bei "ausgehend" und "eingehend" geht es nicht darum, in welche Richtung Daten fließen dürfen. Es geht darum, welche Verbindungsanfragen zulässig sind. Da gibt es ja 2 Möglichkeiten:

1) Irgendein anderer Rechner (bzw. ein Programm auf dem) will eine Verbindung zu deinem Rechner aufbauen. Solche Verbindungsanfragen ("eingehend") sollen blockiert werden.

2) Ein Programm auf deinem Rechner will eine Verbindung zu einem anderen Rechner/Gerät (z.B. das NAS) aufbauen. Solche Verbindungsanfragen ("ausgehend")  sollen erlaubt sein.

Wenn eine solche Netzwerkverbindung erst mal von der Firewall erlaubt wurde und steht, dann können immer Daten in beide Richtungen fließen! (Sonst wurden die meisten Netzwerkprotokolle auch gar nicht funktionieren). Die Firewall lässt dann alle Datenpakete, die zu dieser Verbindung gehören, in beiden(!) Richtungen durch. Es geht also nur um die Frage, wer eine Verbindung anleiern darf.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Aphex Junior mi~we „Bei ausgehend und eingehend geht es nicht darum, in welche Richtung Daten fließen dürfen. Es geht darum, welche ...“
Optionen

Plausible Erklärung. So hätte ich es mir auch gedacht, aber war mir nicht 100%ig sicher.

Mit der dritten Regel kann ich dann ja auch zumindest sicher sein, dass sich etwaige Malware von anderen PCs im Netzwerk (sofern vorhanden und mit entsprechenden Netzwerkfähigkeiten) nicht automatisch auf mein PC überträgt (rein übers Netzwerk)?

bei Antwort benachrichtigen
mi~we Aphex Junior „Plausible Erklärung. So hätte ich es mir auch gedacht, aber war mir nicht 100 ig sicher. Mit der dritten Regel kann ich ...“
Optionen

In wieweit moderne Malware sich (evtl. trotz Firewall) per Netzwerk verbreiten kann, da bin ich jetzt auch nicht der große Experte. Malware könnte ja z.B. versuchen, die Netzwerkverbindung eines anderen Programms zu "kapern". Keine Ahnung, ob so was geht, oder was da überhaupt der aktuelle Stand des technisch machbaren ist.
Allzu viel graue Haare würde ich mir deswegen jetzt aber auch nicht machen, sonst müsste man sich ja das Internet komplett verkneifen.Lächelnd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Aphex Junior mi~we „In wieweit moderne Malware sich evtl. trotz Firewall per Netzwerk verbreiten kann, da bin ich jetzt auch nicht der große ...“
Optionen

Ja das stimmt wohl. Weiß auch nicht, was es da so gibt. Mir gehts auch nur darum, das einfachste erstmal zu machen, was man so standardmäßig machen kann und dazu gehört eben auch die FW richtig einstellen. Denke die Regel an sich sollte passen.

bei Antwort benachrichtigen
mawe2 Aphex Junior „Plausible Erklärung. So hätte ich es mir auch gedacht, aber war mir nicht 100 ig sicher. Mit der dritten Regel kann ich ...“
Optionen
Mit der dritten Regel kann ich dann ja auch zumindest sicher sein, dass sich etwaige Malware von anderen PCs im Netzwerk .... nicht automatisch auf mein PC überträgt

Denkbar wäre aber, dass die Malware sich zunächst (von einem anderen PC aus) auf das NAS kopiert. Und von dort kommt sie dann evtl. auch auf Deinen PC, weil Du ja Zugriff auf das NAS hast.

Ich bin da auch kein Experte, das Szenario könnte ich mir aber schon vorstellen.

Die Frage ist halt, wer aus Deinem Netzwerk noch alles Zugriff auf das NAS hat und ob Du Dateien benutzt, die andere dort ablegen?

Gruß, mawe2

bei Antwort benachrichtigen
Aphex Junior mawe2 „Denkbar wäre aber, dass die Malware sich zunächst von einem anderen PC aus auf das NAS kopiert. Und von dort kommt sie ...“
Optionen

Also auf dem NAS bin ich der einzige, der Zugriff hat und dies nutzt. Wie sieht das mit dem Netzwerkdrucker aus? Dieser wird gemeinsam genutzt.

bei Antwort benachrichtigen
mawe2 Aphex Junior „Also auf dem NAS bin ich der einzige, der Zugriff hat und dies nutzt. Wie sieht das mit dem Netzwerkdrucker aus? Dieser ...“
Optionen
Wie sieht das mit dem Netzwerkdrucker aus?

Ich kann mir eine Infektion darüber nur schwer vorstellen. Ganz unmöglich ist sie wahrscheinlich nicht.

bei Antwort benachrichtigen
gelöscht_323936 Aphex Junior „Also auf dem NAS bin ich der einzige, der Zugriff hat und dies nutzt. Wie sieht das mit dem Netzwerkdrucker aus? Dieser ...“
Optionen
Wie sieht das mit dem Netzwerkdrucker aus

Hier mal als Info - aber am besten erst -zu Beginn - das Ende lesen und dann die Geschichte.
2011 -Spiegel Hackertreffen: Sicherheitslücke Netzwerkdrucker

Anfang 2014 machte eine Nachricht (heise.de) die Runde, dass über einen Trojaner IP-Telefone abgehört werden konnten.
heise 2014: PDF-Trojaner verwandelt IP-Telefone in Wanzen

Aber das sind jetzt schon ältere Nachrichten, und dazu habe ich (Angsthase) inzwischen nichts derartiges weiter gehört.

Anne

bei Antwort benachrichtigen
Wiesner Aphex Junior „Zugriff auf NAS überNetzlaufwerk möglich trotz FW-Einstellung“
Optionen

Zu den Netzwerkdruckern:

Alles was du nicht benötigst im Druckermenü oder Webconfig deaktivieren. (Apple-Talk,...)

Druckermenü mit neuem Passwort versehen.

Den Tftp Server zum (automatischen)Firmware Update deaktivieren.

Allgemeines: Upnp deaktivieren, dies wird beim Härten meist vergessen.

Nicht als Admin arbeiten.

Auf der Nas: 

Alle Funktionen deaktivieren die nicht benötigt werden.

Backups auf tauschbare Datenträger machen.

Ebenfalls Upnp deaktivieren.

Weiteres ev. externer Zugriff nur über VPN und einen vernünfigen Router vorschalten wo nur die absolut nötigsten Zugriffe von extern gestattet werden.

ins Internes Netz nur vertrauenswürdige Personen und Geräte lassen.

bei Antwort benachrichtigen