Netzwerk via Router-Firewall absichern – Update

{lang: 'de'}

Seit einigen Monaten wütet nun der Conficker a.k.a. Downadup a.k.a. Conficker B++ bzw. W32.Downadup.C bzw. Kido. Wurm im Internet. Inzwischen waren bzw. sind einige große Einrichtungen wie die Bundeswehr betroffen. Der Wurm hat sich vor allem auf (Firmen)Netzwerke spezialisiert, greift aber auch private Rechner an und verbreitet sich sehr kreativ zum Beispiel über USB-Sticks. Wer einen Router (heute meist WLAN-Router) hat, ist schon vor einigen Gefahren gefeit. Noch besser wenn der Router (wie heute eigentlich Standard) eine intergierte Firewall hat.
Die meisten Schädlinge zielen auf Windows Rechner ab. Dort werden aktiv Sicherheitslücken in Windows Diensten ausgenutzt. Windows und seine Dienste kommunizieren über spezielle Ports miteinander. Zum Beispiel wenn man über das Netzwerk auf eine Freigabe eines anderen Rechners zugreifen möchte werden zur Authentifizierung speziell dafür gedachte Ports von Windows benutzt. Einige dieser Ports möchte man mit Windows normalerweise nicht über das Internet benutzen. Zum Beispiel eine Netzwerkfreigabe soll normalerweise nur intern im Netzwerk verfügbar sein. Aus diesem Grund ist es sinnvoll einige Ports in der Router-Firewall, der Grenze zwischen eigenem Netzwerk und Internet zu sperren. Somit werden Windows-Dienste und Zugriffe auf solche nicht ins Internet verlängert.

Nachfolgend eine Liste mit einigen Ports die Du auf der Administrationsseite deines Routers sperren kannst. Wenn alles richtig eingestellt wird sollte es dadurch keinerlei beeinträchtigungen beim Surfen oder Arbeiten mit dem Internet oder im eigenen Netzwerk geben.

Protokoll	Name			 Port	 eingehend/ausgehend
TCP/UDP		DCE endpoint    	 135	 all
TCP/UDP		Netbios Session 	 139	 all
TCP/UDP		MS-DS (Active Directory) 445     all
TCP/UDP		RPC over HTTP        	 593     all
TCP/UDP		Kerberos 5_2    	 4444    all
TCP/UDP		TFTP            	 69      all

Diese Liste ist nur eine kleine von mir zusammengestellte Liste von Ports basierend auf einem alten Artikel (nachdem ich damals meinen Router konfigurierte) bei heise.de. Leider habe ich den entsprechenden Artikel dort nicht mehr wieder finden können.
Wer weitere Tipps zum Sperren hat, kann diese gerne mitteilen. Ggf. kann ich diese dann in den Artikel einbauen.

Das bietet natürlich nur einen zusätzlichen Schutz. Jeder Computer sollte darüberhinaus selbstverständlich über ein Antivirenprogramm mit aktuellen Signaturdaten und im Idealfall noch über eine (Desktop)Firewall verfügen. Wobei eine Desktopfirewall niemals eine (richtige) Netzwerk-Firewall (wie bspw. im Router eingebaut) ersetzen kann.

Update 10.04.2009

In der Ehrensenf-Folge vom 07.04.2009 wird ein Conficker-Schnelltest namens “Eye Chart” empfohlen. Der Test ist visuell und lädt nur drei Bilder von drei Webseiten von Antivirenherstellern. Der Hintergrund ist, dass Conficker Webseiten von namhaften Antivirenherstellern blockiert. Die erste Reihe (die ersten drei Bilder) sind Logos die von der Webseite von Antivirenherstellern geladen werden. Sind mehrere oder eines der ersten drei Bilder blockiert ist der eigene PC vermutlich mit dem Wurm infiziert. Die unteren drei Bilder sind zur Referenzen da und sollten angezeigt werden. Diese sind Logos von drei Betriebssystemen (Unix-Derivaten). OpenBSD, Linux und FreeBSD.
Wichtig ist zu erwähnen, dass der Schnelltest nicht wirklich testet ob der Wurm auf dem PC ist, sondern nur zeigen kann, ob er sich vermutlich auf dem PC befindet, weil er Webseiten von Antivirenherstellern blockiert. Sprich: Werden die Bilder in der ersten Reihe nicht ordentlich angezeigt, hat man sich vermutlich infiziert. Jedoch gilt umgekehrt nicht zwingend, dass beim Anzeigen aller Bilder der PC auf jeden Fall sauber ist!

Falls der PC mutmaßlich nicht infiziert ist, ist das jedoch kein Grund die obigen Einstellungen am eigenen Router nicht durchzuführen, denn sie dienen dem präventiven Schutz damit man sich erst gar nicht infiziert. Die Ports oben zu sperren bringt also in jedem Fall einen erhöhten Schutz!

Teile diese Seite: