bis list alles ok, dannach alles vorbei

[bondiblue]

hallo

habe mir heute tc downgeloaded... alles ging prima nur die verzeichnisse kann tc nicht lesen. hier ein auszug:


startdir=
*********.de=********
220 FTP Server ready.
USER ********
331 Password required for *********.
PASS ***********
230 User ****** logged in.
SYST
215 UNIX Type: L8
FEAT
211-Features:
MDTM
REST STREAM
SIZE
211 End
Connect ok!
PWD
257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A
PORT 10,0,1,239,4,105
200 PORT command successful
LIST
Taste 'Abbrechen' betätigt!


hm... weiss jemand was das soll?

lg
bondiblue

[Cineatic]

Hallo!

...
Taste 'Abbrechen' betätigt!
...

Du hast nicht zufällig/ausversehen genau das gemacht? Also auf Abbrechen geklickt? Zum Beispiel durch das Drücken der Eingabetaste, während des Verbindungsaufbaus?

[ghisler(Author)]

Das ist ein typischer Fall von Firewall/Router, welche(r) keine Verbindungen von aussen zulässt. Lösung: Passivmodus verwenden. Das geht via Strg+F - Verbindung bearbeiten (oder neu anlegen).

[Telepski]

Hallo,

bei meinem neuen Router habe ich diverse Ports gesperrt und nur die
Standardports für FTP, Email, HTTP usw. offengelassen - mit dem folgenden Ergebnis:

* Verbinden zu einem FTP-Server klappt
* LIST Befehl schlägt fehl und läuft ins Timeout

Wenn ich die Portsperre ganz rausnehme, funktioniert FTP auch wieder im aktiven Modus. Möchte ich aber ungern wegen der derzeitigen RPC Flaws, die wohl noch nicht alle gepatcht sind.

Passiver Modus funktioniert.

Trotzdem neugierdehalber: Auf welchen Ports erfolgen die Befehle an den FTP-Webserver?

Für jede Antwort Dank im voraus!

[icfu]

20 incoming TCP
21 outgoing TCP

Du solltest Dir zusätzlich zur Routerfirewall eine PFW installieren, damit Du den Zugriff auch nur auf den TC beschränken kannst. Was nützt Dir die Hardwarefirewall, wenn Du Dir irgendwann einen Trojaner fängst, der ausgerechet auf Port 21 kommuniziert? Davon bekommst Du nur mit Hardwarefirewall nicht mal was mit, weil der Port allen Applikationen zur Verfügung steht...

Die Kerio Personal Firewall ist sehr zu empfehlen, aber jede andere bekannte, bis auf ZoneAlarm, sollte ebenfalls ihren Zweck erfüllen.

Icfu

[Telepski]

Hallo icfu,

vielen Dank, Port 20 war der Kasus Knacktus; ich hatte nur 21 freigegeben.

Was die Personal Firewall angeht - ich werde es mal testen.

Wobei ich für diesen Fall über eine bösartig programmierte Website, die einen von MS noch ungepatchten Flaw ausnutzt, mir ein brandneues Mistviech einfangen müßte, das mein Virenscanner noch nicht kennt ...

Gab's eingentlich noch keinen Trojaner, der auf Port 80 kommuniziert (z.B. über eine eigene verborgene cmd oder Browser-Instanz)? Dagegen wäre dann doch selbst die PFW machtlos, oder mache ich einen Denkfehler?

Auf jeden Fall nochmals Danke für den raschen Tip!

[icfu]

Wobei ich für diesen Fall über eine bösartig programmierte Website, die einen von MS noch ungepatchten Flaw ausnutzt, mir ein brandneues Mistviech einfangen müßte, das mein Virenscanner noch nicht kennt ...

Die Chancen stehen nicht allzu schlecht, daß einem genau das irgendwann passiert. Wenn Symantec es schafft, eine nicht infizierte Exe als infiziert zu erkennen, ist auch der umgekehrte Fall denkbar. Die sogenannte Heuristik, um auch neue Viren bei noch nicht aktueller Virendefinition zu erahnen, ist nunmal alles andere als narrensicher.
Muß im übrigen ja weder eine Webseite sein, noch ein Leak seitens MS, noch eine vireninfizierte Datei, die Du Dir einfängst, gibt ja auch noch Hijacker, Spyware und Konsorten, für die Du Zusatzprogramme wie Spybot S&D brauchst.

Gab's eingentlich noch keinen Trojaner, der auf Port 80 kommuniziert (z.B. über eine eigene verborgene cmd oder Browser-Instanz)? Dagegen wäre dann doch selbst die PFW machtlos, oder mache ich einen Denkfehler?

Der Vorteil einer PFW ist, daß sie in der Grundfunktion applikationsbasiert arbeitet. Du gibst also beim einfachen Klick auf "OK, Zugriff erlauben" nicht spezifische Ports für Datenverkehr frei sondern erlaubst nur der jeweiligen Applikation Zugriff auf alle Ports.
Der Trojaner ist ein eigenständiges Programm, somit meldet ihn die PFW bei Erstzugriff.
Als Besitzer einer Hardware Firewall kannst Du bequem steuern, welche Ports überhaupt für den Datenverkehr freigegeben werden, damit ersparst Du Dir eine kostenpflichtige Personal Firewall, mit der Du die genaue Portnutzung natürlich ebenfalls (applikationsbasiert) steuern kannst.

Über welchen Port ein Trojaner kommuniziert entscheidet für gewöhnlich nur der Autor. Eine gute Firewall muß Datenpakete nicht nur portweise erkennen sondern auch analysieren, da scheiden sich dann die guten von den schlechten Firewalls.

Icfu

[Hacker]

icfu,
Schon, dass du uns nicht verlassen hast!

Die Kerio Personal Firewall ist sehr zu empfehlen, aber jede andere bekannte, bis auf ZoneAlarm, sollte ebenfalls ihren Zweck erfüllen.

Was hast du denn gegen ZoneAlarm??

TIA
Roman

[icfu]

Schon, dass du uns nicht verlassen hast!

Danke, bin halt inkonsequent und irgendwie gefällt's mir hier, trotz der konservativen Übermacht, doch noch ganz gut.

Was hast du denn gegen ZoneAlarm??

Wenn Du wirklich viel Zeit hast gepaart mit guten Englischkenntnissen, zieh Dir diesen Augenöffner rein:
http://www.radsoft.net/resources/software/reviews/za/

Enthalten ist auch eine Abrechnung mit Steve Gibson, der den Großteil des ZoneAlarm-Hypes mitverschuldet hat.

Kurz und knapp, offensichtlich ist es den Machern von ZoneAlarm wichtiger, ein Gefühl der Sicherheit möglichst gut zu verkaufen als Ihr Produkt wirklich sicher zu machen. Im Gegensatz zur Konkurrenz läßt es Datenpakete, die es nicht versteht, weil sie sich nicht an den Windowsstandardweg der Paketübertragung halten, einfach fallen.
Die ganze Firewall müßte redesigned werden, das haben die Jungs aber vor Jahren verschlafen und nun gibt's kein Zurück mehr.

Icfu

[Lefteous]

2icfu

Ich habe von der Firewall-Thematik nicht so die riesen Ahnung, aber sag mir mal was Du von folgendem Konzept hälst:

Die Freigabe von Ports wird in das Sicherheitskonzept von NTFS eingebettet. Somit verfügt jede Datei über ein neues Attribut "Portfreigaben ändern". Hat ein Benutzer dieses Recht darf er in der neuen Eigenschaftsregisterkarte "Port-Freigaben" explizit Ports freigeben. Natürlich sind vorgabemäßig keine Ports freigegeben.
Versucht ein Programm auf einen Port zuzugreifen, für den es keine Portfreigabe hat, zeigt das Betriebssystem von sich aus eine Meldung an. Sie würde in etwa so aussehen: "Programm xyz hat versucht Daten über Port 1234 zu senden. Bitte passen sie Port-Freigabe entsprechend an. Wollen Sie die Registerkarte Port-Freigabe jetzt öffnen?"

Natürlich wäre diese Lösung ein Dorn im Auge der Personal Firewall Hersteller, aber ich denke das Thema ist so wichtig, dass Port-Freigabe fester Bestandteil des Betriebssystems werden sollte. Ich weiß, dass Microsoft beim Service Pack 2 für Windows XP Neuerungen bei der eingebauten Firewall plant, aber ich weiß nicht, ob die Änderungen in diese Richtung gehen.

[icfu]

Na, ich hab auch keine tiefe Ahnung von der zugrundeliegenden Netzwerktechnik, ich kann auch nur beurteilen, was mir die Experten erklären und alleine durch den Briefwechsel, den ich oben gepostet habe, lernt man eine Menge dazu. Das Ding liest sich wie ein Krimi, zumindest, wenn man einmal drin ist.

Das, was Du vorschlägst, ist ja quasi genau das, was PFWs heutzutage machen. Allerdings sehe ich den Zusammenhang zum Dateisystem NTFS nicht. Sollen FAT32-Verwender ohne Schutz rumlaufen oder wie?
Das Dateisystem selbst hat eh keine Chance festzustellen, ob die Datei, die auf Ihr drauf sitzt, gerade kommunizieren will, das wird von völlig anderen Komponenten geregelt. Vielleicht ein Mißverständnis, meinst Du wirklich NTFS?

Mein grundsätzliches Problem mit irgendeiner Form von Firewallsicherheit auf Betriebssystemebene ist, daß ich ausgerechnet den Programmierern, die für unzählige Sicherheitslecks verantwortlich sind, z.T. sogar vorsätzlich geschaffene wie aktivertes DCOM außerhalb des LANs, einfach unfaßbar, allerhöchstens zutraue, ihre eigenen Lecks zuzukleistern, siehe Blaster...

Ich hätte ein besseres Gefühl dabei, wenn Microsoft zuerst ihre Energie darauf verwenden würde, das System selbst so sicher zu machen, daß der Einsatz von Firewalls nur noch zur bequemen Steuerung des Zugriffs (Phonehome) sinnvoll ist, nicht jedoch zur Abwehr von "realer" Gefahr.
Also, nicht nur Löcher stopfen sondern Hacker, die sie bisher verfolgen, als Programmierer einstellen, damit statt eines Flickwerks ein logisches und vor allen Dingen praxisbezogenes Sicherheitskonzept entwickelt werden kann.

Beim SP2 soll sich zwar einiges ändern, dieser Artikel hier läßt einiges erwarten, ich bin jedoch bis auf das geniale AMD-Flag skeptisch:
http://www.wcm.at/modules.php?name=News&file=article&sid=6139

Vermutlich werde ich mir die neue Firewall nur anschauen und dann wieder deaktivieren, das Vertrauen ist einfach nicht da. Aber ich will mal nicht zu vorschnell urteilen, vielleicht werden Virenscanner-, Firewall- und Malwaredetektoren-Hersteller eines Tages wirklich arbeitslos...

Icfu

[Lefteous]

2icfu

Das, was Du vorschlägst, ist ja quasi genau das, was PFWs heutzutage machen.

Ja, im Grunde schon, aber die Integration in das Betriebssystem ist bei vielen Personal Firewalls oftmals nicht so sehr gut gelungen.

Allerdings sehe ich den Zusammenhang zum Dateisystem NTFS nicht.

Das ist ja der Clou an der Sache.

Sollen FAT32-Verwender ohne Schutz rumlaufen oder wie?

FAT32-Benutzer haben nicht mal Dateischutz. Microsoft empfiehlt NTFS zu verwenden. Sicherlich wären hierfür dann Personal Firewalls wohl die beste Wahl.

Das Dateisystem selbst hat eh keine Chance festzustellen, ob die Datei, die auf Ihr drauf sitzt, gerade kommunizieren will, das wird von völlig anderen Komponenten geregelt. Vielleicht ein Mißverständnis, meinst Du wirklich NTFS?

Ich stelle mir das so vor: Die Kommunikationskomponente möchte Daten über Port 1234 senden. Um das zu dürfen muss die Datei die entsprechende Port-Berechtigung haben.
Das ist doch im Grunden dasselbe als wenn ein Programm eine Datei zum Schreiben öffnen will. Auch hier muss das entsprechende Sicherheitsattribut der Datei gesetzt sein.

Mein grundsätzliches Problem mit irgendeiner Form von Firewallsicherheit auf Betriebssystemebene ist, daß ich ausgerechnet den Programmierern, die für unzählige Sicherheitslecks verantwortlich sind, z.T. sogar vorsätzlich geschaffene wie aktivertes DCOM außerhalb des LANs, einfach unfaßbar, allerhöchstens zutraue, ihre eigenen Lecks zuzukleistern, siehe Blaster...

Wenn man es so sieht, hat das natürlich keinen Sinn. Meinst Du es sind eher konzeptionelle oder handwerkliche Fehler, die da gemacht werden?

Ich hätte ein besseres Gefühl dabei, wenn Microsoft zuerst ihre Energie darauf verwenden würde, das System selbst so sicher zu machen, daß der Einsatz von Firewalls nur noch zur bequemen Steuerung des Zugriffs (Phonehome) sinnvoll ist, nicht jedoch zur Abwehr von "realer" Gefahr.
Also, nicht nur Löcher stopfen sondern Hacker, die sie bisher verfolgen, als Programmierer einstellen, damit statt eines Flickwerks ein logisches und vor allen Dingen praxisbezogenes Sicherheitskonzept entwickelt werden kann.

Also ich finde mein Sicherheits-Konzept garnicht so übel

Vermutlich werde ich mir die neue Firewall nur anschauen und dann wieder deaktivieren, das Vertrauen ist einfach nicht da. Aber ich will mal nicht zu vorschnell urteilen, vielleicht werden Virenscanner-, Firewall- und Malwaredetektoren-Hersteller eines Tages wirklich arbeitslos...

Bislang nutze ich die XP-Firewall auch nicht.

[icfu]

Ich stelle mir das so vor: Die Kommunikationskomponente möchte Daten über Port 1234 senden. Um das zu dürfen muss die Datei die entsprechende Port-Berechtigung haben.

Jo, da hab ich zu kompliziert gedacht. Habe Dich so verstanden, daß Du den Portzugriff unmittelbar auf Dateisystemebene aktiv unterbinden willst, was nicht ginge. Deine mittelbare Lösung per Port-Flag hört sich gut an, ich weiß allerdings nicht, ob die Konfiguration von betriebssystemeigenen Komponenten, so z.B. die svchost.exe für den Anwender leicht zu durchschauen wäre.
Wenn man es auf "normale" Anwendungsprogramme beschränken würde, evtl. sogar mit vorkonfigurierten Standardports, die bequem an- und abgewählt werden können (beim Total Commander z.B. Port 20/21) wäre das 'ne feine Sache und würde manche Frage der Kategorie "Keiner kann auf meinen FTP-Server connecten, woran liegt das?" erübrigen.

Meinst Du es sind eher konzeptionelle oder handwerkliche Fehler, die da gemacht werden?

Beides.
Das Konzept zeugt davon, daß Microsoft seine Kunden als dumme Schafe sieht und deshalb fast alle erdenklichen Betriebssystemfunktionen per Default freischaltet, obwohl kein normaler Anwender sie braucht.
Das Handwerk ist unbestritten eine einzige Katastrophe, dazu reicht es aus, wenn man den Umfang/die Resourcenlast/etc. der heutigen Windows-Betriebssysteme mit den Anfängen vergleicht. Diese steigen exponentiell zur Featurevermehrung, nicht linear.
Zunehmende Festplatten- und RAMgrößen erwecken beim Durchschnittsanwender die Vorstellung, daß Programme ruhig immer fetter werden können, es "kostet" ja nix.
Das perfekte Gegenstück sind die meisten Programme auf tinyapps.org und der TC. Oops, ich gleite ab ins OT...

Also ich finde mein Sicherheits-Konzept garnicht so übel

ACK.

Icfu

[Lefteous]

2icfu

ich weiß allerdings nicht, ob die Konfiguration von betriebssystemeigenen Komponenten, so z.B. die svchost.exe für den Anwender leicht zu durchschauen wäre.

Das müsste entsprechend vorkonfiguriert sein. Andernfalls wird der Benutzer nach oder während der Installation des Betriebssystems mit vielen Fragen (Frage siehe oben) belästigt, die er meist sinnvoll ohnehin nur mit ja beantworten kann.
Der Vorteil meiner Idee liegt in der Transparenz. Jeder, der sich dafür interessiert kann sofort sehen, welche Ports ein Programm benutzen möchte.

Wenn man es auf "normale" Anwendungsprogramme beschränken würde, evtl. sogar mit vorkonfigurierten Standardports, die bequem an- und abgewählt werden können (beim Total Commander z.B. Port 20/21) wäre das 'ne feine Sache und würde manche Frage der Kategorie "Keiner kann auf meinen FTP-Server connecten, woran liegt das?" erübrigen.

Ich denke was Standardports sind, ist für den nicht versierten Anwender nicht nachzuvollziehen. Es wäre viel einfacher den Benutzer zu fragen, ob den Port 1234 (oder auch gleich ein ganzes Paket von Ports) für eine spezifische Anwendung freigeben will oder nicht. Die Entscheidung die der Anwender treffen muss ist im Wesentlichen nicht "gefällt mir der Port", sondern "ist die Anwendung vetrauenswürdig?".

Das Konzept zeugt davon, daß Microsoft seine Kunden als dumme Schafe sieht und deshalb fast alle erdenklichen Betriebssystemfunktionen per Default freischaltet, obwohl kein normaler Anwender sie braucht.

Das Traurige ist, dass Microsoft in seinem Betriebssystem viele (wenn nicht alle) System-Funktionen eingebaut hat, um es dem Benutzer so einfach wie möglich zu machen, diese Funktionen werden aber nicht genutzt. Eines der besten Beispiele ist die Eingabe des Admin-Passworts on demand. Z.B bei der Konfiguration von Sicherheitsattributen wäre das enorm praktisch. Besser wir geben dem Benutzer ein Adminkonto ohne Passwort...
Wenn die MAC-Benutzer das schnallen, dann schnallen das auch die Windows-Benutzer.

Das Handwerk ist unbestritten eine einzige Katastrophe, dazu reicht es aus, wenn man den Umfang/die Resourcenlast/etc. der heutigen Windows-Betriebssysteme mit den Anfängen vergleicht. Diese steigen exponentiell zur Featurevermehrung, nicht linear.
Zunehmende Festplatten- und RAMgrößen erwecken beim Durchschnittsanwender die Vorstellung, daß Programme ruhig immer fetter werden können, es "kostet" ja nix.
Das perfekte Gegenstück sind die meisten Programme auf tinyapps.org und der TC. Oops, ich gleite ab ins OT...

Ich sehe ehrlich gesagt bei Microsoft kaum neue Features. Beim TC werden es aber immer Funktionen ohne das die Programmgröße explodiert.

[Hacker]

icfu,
Danke fur den Link, hab es gerade zu Ende gelesen. Wo ist denn die Keryo Homepage? Ich werde aus den Google Ergebnissen nicht schlau...

TIA
Roman