Gefahrenabwehr beim Internetzugang
mit Windows-Rechnern durch
systeminterne Maßnahmen und Firewalls
(am Beispiel des Firewall-Setups für die DrayTek-Router
der Vigor 2200-Serie und der Kerio/Tiny Personal Firewall)
2. Auflage
Stand: 19. Februar 2003
von
Michael König, Köln
I. Einleitung, Entwicklungsgeschichte
II. Kommentierte Übersetzung des Firewall-Setups im
DrayTek-Handbuch
III. Begriffserläuterungen
IV.
Hinweise
V. Beispielfilterset für die Router-Firewall
VI. Anmerkungen zu den Beispielen
VII. Konfiguration einer ergänzenden Desktop Firewall
am Beispiel der Kerio Firewall (vormals Tiny Personal
Firewall)
VIII. Quickstart
IX. Fundstellen und weiterführende Hinweise
X.
Index
2
___________________________
Einleitung, Entwicklungsgeschichte
I. Einleitung, Entwicklungsgeschichte
A
lle nachstehenden Angaben mache ich ohne Gewähr. Ich habe mich bemüht, Fehler
zu vermeiden, bin aber natürlich auch auf Angaben in der Literatur und im Internet
angewiesen. Dabei habe ich mich selbst gewundert, wie viele widersprüchliche und
falsche Aussagen zu finden sind. Ich kann daher natürlich nicht ausschließen, dass
ich gelegentlich einer Fehlinformation ausgesessen bzw. mich selbst geirrt habe.
Entwicklungsgeschichte
1. Auflage, Stand: 01. Juni 2002
.
.. war die erste Auflage dieser Anleitung
2.
Auflage, Stand: 19. Februar 2003
.
.. passt die Anleitung an die aktuelle Firmware 2.3 an
� Wenn Sie sich bereits durch die erste Auflage dieser Anleitung durchgearbeitet
haben, gibt es nicht viel zu ändern, insbesondere sind die eigentlichen Firewall-
Regeln gleich geblieben, wenn man davon absieht, dass ich bei der Vigor-
Firewall die Block Source-Regel im Set 3 Nr.
1 gestrichen habe, weil
DrayTek die Source Route-Option im WebInterface entfernt hat. Bei der Kerio-
Firewall habe ich die Bezeichnung der einzelnen Anwendungen an die aktuellen
Programmversionen angepasst.
Die folgenden Punkte könnten trotzdem interessant sein:
�Sollten Sie immer noch mit Administrator-Rechten im Internet surfen, sind
vielleicht die ergänzenden Hinweise im Abschnitt Hinweise � Keine Administrator-
Rechte beim Internet-Surfen wichtig.
�Wie Sie sich davor sichern können, dass die Kerio-Firewall durch ein
Schadprogramm (z. B. den BugBear-Wurm) gewaltsam beendet wird, lesen
Sie in Abschnitt VII.
Dort finden Sie auch weiterführende Links, wenn
Sie Hilfe brauchen oder den Eingangsbildschirm abstellen wollen.
�Falls Sie mit einer Firmware vor 2.3 Regeln eingegeben haben, bei denen
Sie die Source Route-Option aktiviert hatten, lesen Sie bitte die wichtigen
Hinweise unter Source Route bei den Begriffserläuterungen
�Im Abschnitt IV. Hinweise �Kann die Firewall mehr ? finden Sie bei den
Überlegungen zu ,ipf rule' einige interessante Feststellungen und eine
Möglichkeit, sich weitere Infos über die Firewall in einem solchen Umfang
zu beschaffen, dass diese Anleitung nur noch als ,Randnotiz' Bestand haben
kann. Einen persönlichen ,Traum' konnte ich mir an dieser Stelle ebenfalls
nicht verkneifen.
�Ebenfalls unter IV.
Hinweise �Kann die Firewall mehr ? wird erstmals die
Option ,Branch to Other Filter Set' erklärt
3
___________________________
Kommentierte Übersetzung des Handbuches
�In den Begriffserläuterungen finden Sie jetzt auch Abschnitte zu DDoS und
DoS
� Im übrigen ist folgendes neu:
�Alle Links sind geprüft und erforderlichenfalls angepasst. Die Liste der weiterführenden
Hinweise und Links wurde erheblich erweitert.
�Keep State wird jetzt in den Begriffserläuterungen (hoffentlich) richtig erklärt
�Der Abschnitt NetBIOS in den Begriffserläuterungen wurde komplett überarbeitet.
In diesem Zusammenhang wird das direct hosting und das SMB
(Server Message Block)-Protokoll kurz angesprochen.
�Source Route wird in den Begriffserläuterungen vollständig erklärt (leider
zu spät: Die Firmware 2.3 unterstützt diese Option nicht mehr).
�In den Begriffserläuterungen finden Sie zusätzliche Abschnitte zu ActiveX,
Cookies, Java, dem Referrer und Web Bugs (Clear GIFs).
�Die Hinweise (Wie kann/sollte man den Rechner weiter absichern ?) enthalten
einen Mini-Erfahrungsbericht über die Tiny Personal Firewall 3.0,
eine Empfehlung für einen Autostart-Manager und Überlegungen zu einem
Content-Filter für ausgehende Datenpakete.
�In den Hinweisen habe ich mir außerdem Gedanken darüber gemacht, ob
Firewalls wegen der sogenannten Tunnel-Programme überhaupt einen
Sinn machen.
�Das neue Kapitel VIII. enthält ein Quickstart-Regelwerk für den ersten Anfang
II.
Kommentierte Übersetzung des Handbuches
Vorbemerkung
Die folgende Übersetzung gibt den Abschnitt 5.6 des Handbuches wieder, welches
mit meinem Vigor 2200X (Firmware bei Auslieferung: 2.0a) ausgeliefert wurde. Der
englische Text kann unter
f
tp://ftp.draytek.com.
tw/VIGOR2200/MANUAL/USER'S%20GUIDE.zip
nach wie vor heruntergeladen werden (im ZIP-Archiv ist es die Datei IPFILTER.PDF)
Allgemeines
Die Einstellungen finden sich im Advanced Setup unter IP Filter/Firewall Setup.
Der Router enthält zwei Arten von Filtern, nämlich die Anruffilter (Call Filter) und die
Datenfilter (Data Filter).
Die Anruffilter entscheiden, ob bei nicht bestehender Verbindung mit einem bestimmten
Datenpaket eine Verbindung hergestellt werden darf, der Datenfilter entscheidet,
ob der Pakettyp, der versandt werden soll, gesperrt ist oder nicht. Ist er gesperrt, so
wird er verworfen, andernfalls zum Versand freigegeben.
4
___________________________
Kommentierte Übersetzung des Handbuches
Ein ankommendes Paket wird sofort durch den oder die Datenfilter geschickt und
entweder verworfen oder an das LAN (Local Area Network) weitergeleitet.
Es gibt 12 Filter-Sets, die jeweils bis zu 7 Regeln enthalten können, so dass insgesamt
84 Filter-Regeln definiert werden können. In der Standardeinstellung sind die
Anruffilter-Regeln im ,Set 1' und die Datenfilter-Regeln im ,Set 2'.
Um die Arbeitsweise der Filter besser zu verstehen, empfiehlt es sich, zunächst im
Anhang unter Socket den Zusammenhang zwischen IP-Adresse und Port-Nr. nachzuschlagen.
Das Eingangsmenu
3 Menupunkte stehen zur Wahl:
General Setup generelle Einstellungen für die Firewall
Filter Setup die 12 Filter-Sets können erstellt/bearbeitet werden
Set to Factory Default die Filterregeln werden auf die Standardwerte zurückgestellt
General Setup
Call Filter Anruffilter können ein- (Enable) und ausgeschaltet (Disable) werden.
Außerdem kann eingestellt werden, mit welchem Set die
Call-Filter beginnen (Start Filter Set). Standardmäßig beginnen
die Call-Filter vor den Datenfiltern. Das macht deshalb Sinn, weil
man von dem Filter-Set, mit dem die Call-Filter beginnen, auf
weitere Filter-Sets verweisen kann, so dass die später definierten
Datenfilter zugleich als Call-Filter fungieren. (vgl. zum Sinn der
Call-Filter noch unter Einige persönliche Anmerkungen)
Data Filter Datenfilter können ein- (Enable) und ausgeschaltet (Disable)
werden. Außerdem kann eingestellt werden, mit welchem Set die
Datenfilter beginnen (Start Filter Set).
Um es klar zu machen: Durch die Unterscheidung zwischen Anruf- und Datenfilter
habe ich die Möglichkeit, ein Filterset vor die eigentlichen Datenfilter zu
setzen, welches nur durchlaufen wird, wenn keine Internet-Verbindung besteht.
Hierdurch kann ich - wenn mir eine passende Regel einfällt -, die Verbindungsaufnahme
zu einer bekannten IP-Adresse oder über bestimmte Ports
verhindern, um z.B. unnötige Kosten zu verhindern. Gleichzeitig kann ich aber
den Datenaustausch in den Datenfiltern zulassen, wenn bereits eine Verbindung
besteht (z.B.
: Ein Programm gleicht die Uhrzeit im Computer mit der Atomzeit
ab, indem es sich mit einer bestimmten IP-Adresse verbindet. Dies soll
das Programm auch tun, aber eben nur dann, wenn aus anderen Gründen bereits
eine Verbindung besteht).
Log Flag für die Fehlersuche kann das Verhalten der Filter protokolliert
werden
5
___________________________
Kommentierte Übersetzung des Handbuches
None nichts wird protokolliert
Block alle blockierten (verworfenen) Pakete werden protokolliert
Pass alle Pakete, die die Filter passieren durften, werden protokolliert
No Match alle Pakete, auf die keine Regel zutraf, werden protokolliert
Das Protokoll kann mit TELNET betrachtet werden. TELNET meint in diesem
Zusammenhang das mit Windows mitgelieferte Terminal-Programm (Telnet
heißt aber auch das zu TCP/IP gehörende Protokoll für virtuelle Terminals, s.
Anhang). TELNET wird gestartet mit:
Start->Ausführen und der Eingabe
telnet 192.
168.1.1
wobei die Zahl hinter Telnet die IP-Adresse des Routers angibt. Im obigen
Beispiel wurde die Standard IP-Adresse des Routers verwandt. Falls diese
geändert wurde, muss natürlich die geänderte Adresse angegeben werden.
Nach Abfrage des (hoffentlich vergebenen) Passwortes kann mit
log -f
(Kleinschreibung beachten !)
die Protokoll-Datei betrachtet werden.
Weitere Einzelheiten zu TELNET in
Verbindung mit dem Vigor-Router befinden sich in Kapitel 8 des Original-
Handbuches und nachfolgend unter ,Hinweise'.
MAC Address for Logged Packets Duplication
MAC (Media Access Control) hat in diesem Zusammenhang
nichts mit apple zu tun, sondern gibt eine in alle
Netzwerkkomponenten fest eingebaute Adresse an, die
weltweit einmalig sein soll (nicht mit IP-Adresse verwechseln).
MAC-Adressen sehen z.B. so aus: 00-80-C7-6D-A4-
6E. Die MAC-Adresse des Routers wird im Hauptbildschirm
der Router-Konfiguration angezeigt.
Wenn also ein Duplikat der Protokoll-Datei an eine andere
Netzwerkkomponente versandt werden soll, muss hier die
entsprechende MAC-Adresse (im HEX-Format, Zahlensystem
auf der Basis 16 [0....9 und A..
.F]) eingetragen
werden. Soll diese Funktion abgeschaltet werden, so ist
an Stelle der MAC-Adresse ,0' einzugeben.
Filter Setup
Comments Beschreibung des Filter-Sets (max. 22 Buchstaben)
Filter Regeln ein Klick auf den gewünschten Zahlenschalter ermöglicht
das Erstellen/Bearbeiten der gewählten Regel
Active Ein- und Ausschalten der Regel
Next Filter Set Verweis auf ein weiteres Filter-Set, welches nach dem aktuellen
Filter-Set bearbeitet werden soll. Das Original-
Handbuch weist etwas missverständlich darauf hin, dass
mit den Filtern keine Schleife gebildet werden darf (,The
6
___________________________
Kommentierte Übersetzung des Handbuches
Filters cannot be looped').
Gemeint ist damit, dass nur auf
nachfolgende und nicht auf vorangehende Filter-Sets verwiesen
werden darf.
Wichtig: Der Verweis muss auch dann gesetzt werden,
wenn das nachfolgende Filterset anschließend abgearbeitet
werden soll. Wenn Sie hier ,None' eintragen, macht die
Firewall nach dem Filterset Schluss, was insbesondere
dann fatal ist, wenn Sie Ihren Regelsatz so aufgebaut haben,
dass am Ende im letzten Set eine ,deny all'-Regel alles
blockt, was nicht vorher erlaubt wurde (wird bei den
Filterbeispielen noch erläutert).
Lediglich bei den Call-Filtern kann man überlegen, ob es
Sinn macht, auf die nachfolgenden Datenfilter zu verweisen.
Dies hängt davon ab, welche Regel-Arten man bei
den Call-Filtern definiert hat.
Bearbeiten der Filter-Regeln
Comments Beschreibung der Filter-Regel (max.
14 Buchstaben)
Active Ein- und Ausschalten der Regel
Pass or Block gibt an, was zu tun ist, wenn die Regel zutrifft
Block Immediately Paket wird sofort verworfen, wenn die
Regel zutrifft
Pass Immediately Paket wird sofort weitergeleitet, wenn
die Regel zutrifft (Bei der Verwendung
dieser Option ist natürlich Vorsicht
geboten: Wenn diese Regel zu großzügig
oder fehlerhaft formuliert ist, hilft
es nichts mehr, dass später möglicherweise
sehr detaillierte Sperrregeln
formuliert sind, denn diese Regeln
werden gar nicht mehr abgearbeitet !)
Block If No Further Match das Paket wird verworfen, es sei denn
eine spätere Regel lässt es ausdrücklich
zu. Ich habe diese Option ,bedingte
Verwerfung' genannt. Gemeint ist:
Grundsätzlich sollen Pakete, die die
Regel erfüllen, nicht weitergeleitet
werden; in einer späteren Regel folgt
aber eine Ausnahme für eine Untermenge
aus der Menge der Pakete, für
die die aktuelle Regel zutrifft, und diese
Untermenge soll zugelassen werden.
Pass If No Further Match das Paket wird zugelassen, es sei
denn eine spätere Regel verwirft es
ausdrücklich. Ich habe diese Option
,bedingte Zulassung' genannt. Gemeint
ist: Grundsätzlich sollen Pakete,
die die Regel erfüllen, weitergeleitet
7
___________________________
Kommentierte Übersetzung des Handbuches
werden; in einer späteren Regel folgt
aber eine Ausnahme für eine Untermenge
aus der Menge der Pakete, für
die die aktuelle Regel zutrifft, und diese
Untermenge soll verworfen werden.
Branch to Other Filter Set wenn die Regel zutrifft, verzweigt die
nächste Filter-Regel zu dem hier angegebenen
Filter-Set. Diesen Satz
habe ich möglichst wortgetreu aus
dem Originalhandbuch übersetzt. Die
Beschreibung ist ebenso kurz wie
falsch (genauer wird dies unter IV.
Hinweise �Kann die Firewall mehr ?
erläutert). Lassen Sie möglichst ,None'
stehen. Sie können aber auch irgendetwas
anderes eintragen, wenn Sie es
schaffen.
Hierdurch wird nur Speicherplatz
im Router verschwendet.
Der Router arbeitet in jedem Fall die
nächste aktive Filter-Regel im aktuellen
Set ab (beachte nochmals: bei den
Filter-Sets muss ausdrücklich angegeben
werden, dass das nächste Filter-
Set aufgerufen werden soll).
Log Log-Funktion ein/ausschalten: Das erstellte Protokoll kann
mit dem TELNET-Befehl log -f eingesehen werden (s.o.:
General Setup) (eine genaue Beschreibung, wie Sie mit
TELNET weiterkommen, finden Sie übrigens in den Erläuterungen
zum Beispielfilterset unter ,Was fehlt ?')
Direction bestimmt, ob ein- oder ausgehende Datenpakete von der
Regel betroffen sind (der Menu-Punkt ist daher für Call-
Filter irrelevant)
für Datenfilter:
In Regel gilt für ankommende Pakete
Out Regel gilt für abgehende Pakete
Protocol legt fest für welche Protokollart die Regel gilt (any [=jede],
TCP, UDP, ICMP, IGMP, zur Erläuterung s. Anhang)
I
P Adress bestimmt für welche Source- (=Quell-) Adresse bzw.
für
welche Destination- (=Ziel-) Adresse die Regel gilt. Dabei
gilt es zu unterscheiden: Falls bei ,Direction' ,In' angegeben
wurde, ist mit ,Source' der externe Rechner und mit
,Destination' der lokale Rechner gemeint, bei ,Out' ist es
genau umgekehrt. Ein ,!'-Zeichen vor der Adresse bewirkt,
dass die Regel für diese Adressen nicht gilt (entspricht
8
___________________________
Kommentierte Übersetzung des Handbuches
dem logischen Operator NOT (nicht)). Nicht mit dem unten
beschriebenen Operator-Feld verwechseln. Achtung: die
Angabe bestimmter Adressen für lokale Rechner macht
natürlich nur dann Sinn, wenn diese fest und nicht dynamisch
vergeben werden oder Sie mit einer passenden
Subnetzmaske arbeiten.
Subnet Mask hier kann eine als Filter fungierende Subnet-Maske zur IPAdresse
eingetragen werden (dies führt an dieser Stelle
zu weit, s.
daher unter Begriffserläuterungen und bei der
Beispielkonfiguration)
Operator logischer Operator mit folgenden Möglichkeiten:
= Wenn End Port leer bleibt, gilt die Regel für den bei
Start Port angegebenen Port, andernfalls für alle
Ports, die zwischen Start Port und End Port liegen
(einschließlich Start Port und End Port). Wenn Sie gar
nichts eintragen gilt die Regel für alle Ports.
!= Wenn End Port leer bleibt, gilt die Regel für alle Ports
die nicht den bei Start Port angegebenen Wert haben,
andernfalls für alle Ports, deren Werte nicht zwischen
Start Port und End Port liegen (einschließlich Start
Port und End Port)
> Die Regel gilt für alle Ports, die größer oder gleich
dem bei Start Port angegebenen Wert sind.
< Die Regel gilt für alle Ports, die kleiner oder gleich
dem bei Start Port angegebenen Wert sind.
Keep State Wenn dies angekreuzt wird, wird die Protokoll-Information
über die TCP/UDP/ICMP-Kommunikations-Sitzung von
der IP-Filter/Firewall aufbewahrt. Die Firewall-Protokoll-
Möglichkeit setzt voraus, dass TCP oder UDP oder
TCP/UDP oder ICMP ausgewählt wurde, damit diese
Operation korrekt funktioniert.
Wer mit dieser (von mir möglichst wörtlich) übernommenen
Übersetzung aus dem Original-Handbuch etwas anfangen
kann, ist ein Künstler. Eine Erklärung finden Sie
unter Begriffserläuterungen.
Source Route = Quell-Route (in den Handbüchern nicht erläutert, ab
Firmware 2.3 aus dem WebInterface entfernt, wird aber
unter Begriffserläuterungen trotzdem erklärt, beachten Sie
bitte unbedingt die Hinweise dort, wenn Sie auf die Firm9
___________________________
Begriffserläuterungen
ware 2.3 umsteigen und vorher Regeln benutzt haben, bei
denen die Source Route-Option aktiviert war !)
Fragments Behandlung fragmentierter Datenpakete
Don't Care Regel gilt unabhängig davon, ob das Datenpaket
fragmentiert ist oder nicht
Unfragmented Regel gilt nur bei nicht fragmentierten Datenpaketen
Fragmented Regel gilt nur bei fragmentierten Datenpaketen
Too Short Regel gilt nur bei Datenpaketen, die zu klein sind, um
einen kompletten TCP-Header zu haben. Anmerkung
von mir: Bei der so genannten Tiny Fragment Attacke
erzeugt der Hacker extrem kleine Datenpakete, von
denen nur das erste den TCP-Header enthält.
Dadurch
soll der Router veranlasst werden, nur das erste
Fragment zu prüfen und die restlichen ungeprüft
durchzulassen. Nach meiner Auffassung sollte daher
eine Regel verfasst werden, die nur für Pakete gilt, die
,too short' (zu kurz) sind, und die diese Pakete auf allen
Ports verwirft.
10
___________________________
Begriffserläuterungen
III. Begriffserläuterungen
ActiveX ist eine von MicroSoft erfundene Technologie, die es ermöglichen soll,
Funktionen des Windows-Betriebssystems für Web-Seiten nutzbar zu machen. Die
Technologie umfasst ActiveX-Controls, Active Documents und Active Scripting. Mit
Active Documents können Dokumente, die nicht im html-Format geschrieben wurden,
im Browser angezeigt werden.
Mit Active Scripting fasst Microsoft die Skript-
Sprachen JScript (die stark erweiterte MicroSoft-Version von JavaScript) und das auf
Visual Basic-basierende VBScript zusammen. ActiveX-Controls sind kleine Programme
oder Programm-Module, die beim Aufruf einer Web-Seite über den Internet
Explorer auf den Rechner des Surfers geladen und dort mit Hilfe des Internet Explorers
ausgeführt werden. Die ActiveX-Controls können auf andere ,Objekte', insbesondere
Teile des Windows-Betriebssystems (z.B. DLL's), zugreifen und dadurch
praktisch alle Aktionen ausführen, die auch dem aktuellen Benutzer erlaubt sind: Sie
haben Zugriff auf den gesamten Arbeitsspeicher, können alle Betriebssystemfunktionen
aufrufen und auf das Dateisystem des angemeldeten Benutzers und das Netzwerk
zugreifen. Gerade deshalb ist es außerordentlich leichtsinnig, als Administrator
im Internet zu surfen.
MicroSoft hat versucht, mit der selbstentwickelten Authenticode-
Technologie die Risiken einzugrenzen. Die Signatur erlaubt jedoch nur die sichere
Identifizierung des Absenders und den Nachweis der Echtheit des übertragenen
Codes. Die Signatur beinhaltet keine Beschränkung des Funktionsumfangs des Programms
und gibt nur wieder, dass die Programmierer der Auffassung waren, ihr Programmcode
stelle kein Sicherheitsrisiko dar. Unter Sicherheitsgesichtspunkten kann
man daher nur empfehlen, das gesamte ActiveX im Internet Explorer abzuschalten.
Nach meinen persönlichen Erfahrungen ist es dann aber praktisch unmöglich, im Internet
zu surfen. Hier dürfte der Umstieg auf einen anderen Browser als den Internet
Explorer eher zu befriedigenden Ergebnissen führen.
Ergänzende Informationen und
Hilfe bei dem Versuch, einen Kompromiss zu finden, liefert in hervorragender Weise
der Browsercheck der c't [51].
ARP s. (R)ARP
Clear GIFs s. Web Bugs
Cookies (,Kekse') sind kleine Textdateien, die eine angesteuerte Web-Seite auf dem
eigenen Rechner ablegt, z.B. um den Besucher zu identifizieren, zu kontrollieren,
welche Seiten der Besucher auf der Site ansteuert, und bestimmte Daten über den
Besucher zu speichern, um diesem bei einem späteren Besuch, ,das Leben zu erleichtern'.
Welche Daten gespeichert werden, entscheidet der Programmierer der
Web-Seite. Hier entsteht bereits die erste Verwirrung: Teilweise wird einfach behauptet,
die Cookies könnten keine eMail-Adresse und keinen Namen speichern. Das ist
so einfach unrichtig [50]. Die Hilfe zum Internet Explorer 6.0 erklärt es richtig: Wenn
ich der angesteuerten Web-Seite diese Daten freiwillig - z.B.
über ein Formular - zur
Verfügung stelle, können sie auch im Cookie gespeichert werden. Eine andere Frage
ist, ob die angesteuerte Web-Seite dies tut. Hierzu muss ich mir die Privacy Policy
(Erklärung zum Datenschutz) der angesteuerten Seite ansehen (z.B. des Heise Zeitschriften
Verlages [49]). Wenn ich dieser Seite vertraue und hier versichert wird,
dass personenbezogene Daten, wie Name, Adresse, Postanschrift, Telefonnummer,
eMail usw.
, nur auf besonders geschützten Servern in Deutschland abgelegt werden,
11
___________________________
Begriffserläuterungen
kann ich davon ausgehen, dass diese Daten nicht im Cookie enthalten sind, sondern
nur von der Seite, die den Cookie gesetzt hat, über eine Kenn-Nr. im Cookie mit den
Daten auf dem Server abgeglichen werden können. Gibt es auf der angesteuerten
Web-Seite eine solche Erklärung nicht, kann ich eben nicht sicher sein, dass persönliche
Daten nicht im Cookie landen.
Die Verwendung der Cookies ist in den meisten Fällen sicher ,gut gemeint', Sie werden
jedoch durch diese Cookies (auch wenn keine persönlichen Daten gespeichert
werden) ausspioniert und es können ganze Benutzerprofile über Sie angelegt werden.
Die Betreiber verschiedener Web-Seiten schließen sich zu Informations-
Allianzen zusammen [48], durch die Informationen, die eigentlich nur dem Betreiber
einer Web-Seite zur Verfügung stehen, auch anderen Betreibern zugänglich gemacht
werden, so dass sich auf diese Weise umfassende Übersichten über Ihre Vorlieben
erstellen lassen. Richtig gefährlich werden Cookies dann, wenn es einer anderen
Web-Seite gelingt, die von anderen gesetzten Cookies auszulesen.
Werden in Cookies
Kreditkarten-Daten, Passwörter, PIN's und andere geheimhaltungsbedürftige
Daten gespeichert, die eigentlich nur dem Betreiber der Web-Seite übermittelt werden
sollten, der die Cookies gesetzt hat, dann hat man ein sehr ernstes Problem,
wenn diese Cookies zu allem Überfluss auch noch von anderen Personen ausgelesen
werden können. Die diesbezügliche Sicherheitslücke, die der Internet-Explorer in
den Versionen 5.5 und 6 aufwies, soll nach Auskunft von MicroSoft [45] inzwischen
geschlossen worden sein. Wichtig ist es daher zunächst einmal, den Sicherheits-
Patch von MicroSoft einzuspielen. Davon unabhängig tauchen aber immer wieder
neue Methoden auf, mit denen es nach wie vor möglich sein soll, die Cookies auszulesen
[46]. Aus Sicherheitsgründen sollten Cookies daher nicht zugelassen werden
(im IE 6.
0 unter Extras�Internetoptionen �Datenschutz den Regler auf Alle Cookies
sperren schieben). Mit dieser Einstellung werden Sie an allen möglichen Stellen
Probleme bekommen: Insbesondere der Online-Einkauf und viele Seiten, auf denen
Sie sich einloggen müssen (ebay, Foren etc.), werden Sie nicht mehr nutzen können.
Hier müssen Sie selbst entscheiden (nachdem Sie sich die Privacy Policy der Seite
angesehen haben), ob Sie auf diese Angebote verzichten oder das Risiko eingehen
wollen, vorübergehend (!) die Datenschutz-Sicherheitsstufe so weit herunterzuschieben,
bis Sie mit der angesteuerten Seite klarkommen. Im zuletzt genannten Fall würde
ich aber sofort (!) - noch vor Verlassen der Seite - alle Cookies löschen (im IE 6.0
unter Extras �Internetoptionen �Allgemein: Cookies löschen) und die Datenschutz-
Sicherheitsstufe wieder heraufschieben.
Die Möglichkeiten, die der Internet Explorer
selbst bietet, um die Cookies einzudämmen, erklärt die Hilfe zum Internet Explorer
ausführlich und anschaulich. Als sehr nützlich habe ich auch den CookieCop 2 [47]
empfunden, mit dem man nicht nur die Cookies und den Referrer (s. dort) blockieren
(oder zulassen), sondern auch PopUp-Fenster verhindern kann. Ein weiteres nützliches
Programm, welches Cookies, den Referrer und Web Bugs (s. dort) filtert, ist
der WebWasher [59]. Wenn Sie Cookies auch nur eingeschränkt oder gelegentlich
zulassen, würde ich diese aber regelmäßig, spätestens beim Schließen des Browsers,
allerspätestens vor dem Herunterfahren des Rechners löschen.
Dateien- und Druckerfreigabe s. NetBIOS
DDoS ,Distributed Denial of Service'-Angriffe unterscheiden sich von DoS-Angriffen
(s. zunächst unter DoS) dadurch, dass sie von einer Vielzahl von Computern geführt
werden. Der eigentliche Angreifer schmuggelt z.B. Trojaner auf die Computer ande12
___________________________
Begriffserläuterungen
rer Anwender, die hierdurch zugleich Opfer und Angreifer werden.
Dies macht zum
einen deshalb Sinn, weil hierdurch die IP des eigentlichen Angreifers geheim bleiben
kann, und ist zum anderen bei den Angriffsmethoden erforderlich, die eine deutlich
höhere Bandbreite auf Seiten des Angreifers erfordern.
DHCP (Dynamic Host Configuration Protocol) ist ein spezielles System, mit dem den
angeschlossenen Rechnern z.B. vom Router automatisch IP-Adressen aus einem
vorbestimmten Kontingent zugewiesen werden
Direct Hosting s. NetBIOS
DNS (Domain Name Service oder Domain Name System) dient dazu, den Internet-
Adressen (Domain-Namen, z.B.
www.xyz.de) konkrete IP-Adressen (z.B.
193.xxx.
xx.xxx) zuzuordnen (Hinweis: An einigen Stellen im Internet wird verbreitet,
die DNS-Server von t-online hätten die Adressen 194.25.2.129 bis 194.25.
2.134,
dies ist in dieser Allgemeinheit nicht richtig: Diese Adressen werden von meinem
System nur in Ausnahmefällen verwandt, vermutlich dann, wenn der eigentlich ,zuständige'
Server ausgefallen oder überlastet ist (s. unter IP-Adresse wegen der Suche
nach den ,richtigen' Adressen). Der Vigor-Router besitzt einen Cache (Zwischenspeicher),
der externe Anfragen speichert und bei der nächsten Anfrage zunächst
versucht, diese aus dem Cache zu beantworten. Teilweise wird in den Vigor-
Handbüchern empfohlen, im Menu Basic Setup > Ethernet TCP/IP and DHCP Setup
im Unterpunkt DNS Server IP Adressen die vom ISP (Internet Service Provider = Internet
Dienste Anbieter, z.B.
t-online) verwandten oder empfohlenen Adressen einzutragen.
Im Original-Handbuch steht dagegen, dass der Cache im Router nur dann
eingreift, wenn beide Adressfelder leer bleiben. Ferner empfiehlt t-online, für die
DNS-Server keine festen Adressen vorzugeben, weil t-online dann automatisch auf
einen anderen Server umschalten kann, wenn einer gestört ist. Bei T-Online ist die
Angabe bestimmter Adressen insbesondere auch deshalb problematisch, weil tonline
über eine Vielzahl von Servern verfügt, die t-online austauscht und beim Router
nur 2 Adressen eingegeben werden können (daher hier - jedenfalls bei t-online -
nichts eintragen).
DoS steht natürlich einmal (mit großem ,O') für das ,Disk Operating System' (Laufwerk-
Betriebssystem), aber auch für ,Denial of Service' (frei übersetzt: Dienstverweigerung).
Bei einer DoS-Attacke werden Dienste auf einem Server z.
B. durch eine
Vielzahl von Anfragen oder dadurch lahm gelegt, dass man versucht, den Server
zum Absturz zu bringen.
Das WebInterface des Vigor-Routers hat unter der Firmware 2.3 unter diesem Menu-
Punkt folgendes zusammengefasst (in der Fw 2.3.1 fehlt das Menu):
· Fraggle: funktioniert wie Smurf, verwendet aber UDP Echo Request-Pakete
statt ICMP Echo Request-Pakete.
· ICMP Flood: Der Angreifer sendet ICMP-Pakete bis der Opferrechner zusammenbricht.
Der Angreifer muss natürlich über eine größere Bandbreite als
sein Opfer verfügen oder mehrere angreifende Rechner ,bündeln' (,Threshold'
und ,Timeout' werden unter SYN Flood erklärt).
13
___________________________
Begriffserläuterungen
· ICMP fragment: Fragmentierte ICMP-Pakete können zum einen dafür verwandt
werden, ein Netzwerk auszuforschen, denn wenn das Opfer nicht alle
Pakete erhält, fordert es die restlichen an. Hierdurch erhält der Angreifer Informationen
über sein Opfer. Zum anderen können solche Pakete, wenn sie in
ausreichender Anzahl verschickt werden, natürlich auch den Opfer-Rechner
stilllegen, weil dieser durch das Nachfordern der fehlenden Pakete ausgelastet
wird.
· IP Options sind ein variables Feld im Header eines jeden IP-Paketes.
Nur das
Feld ist immer in den Paketen enthalten, die Optionen müssen allerdings nicht
gesetzt sein. Ein Beispiel für solche Optionen sind ,Strict Source and Record
Route' und ,Loose Source and Record Route' (s. unter Source Route). Die Optionen
können z.B. aber auch Sicherheitsrestriktionen (von ,unclassified' bis
,Top Secret') enthalten.
Da das Feld im Internet nur selten verwandt wird,
werden Pakete, in denen die IP-Optionen ausgefüllt sind, oftmals nicht richtig
verarbeitet. Dies kann zum Absturz des Systems oder dazu führen, dass Sicherheitsmechanismen
umgangen werden.
· Land: dient wie SYN Flood ebenfalls dazu, mittels des IP-Handshake (s. unter
Keep State) den Rechner zum Absturz zu bringen. Der Angreifer schickt ein
Paket, dessen gefälschte Absenderadresse und Port der angegriffene Rechner
selbst ist. Das SYN-Flag, welches die Verbindungsaufnahme einleitet, ist
gesetzt.
Falls das System keine Absicherung beinhaltet, versucht der Rechner,
sich selbst zu antworten und stürzt irgendwann ab. Dürfte bei neueren
Betriebssystemen keine Gefahr mehr darstellen.
· Ping of Death: Bei dieser Angriffsmethode werden ICMP Echo Request-
Pakete (Pings) mit mehr als 65.535 byte (= maximal zulässige Größe für ein
IP-Paket) verschickt. IP-Pakete, die größer als 65.535 byte sind, werden vor
dem Versenden in Fragmente zerlegt und erst beim Empfänger anhand eines
Offset-Wertes wieder zusammengefügt.
Der Offset des letzten Paketes wird
so manipuliert, dass beim Empfänger ein Paket mit mehr als 65.535 byte entsteht.
In älteren Betriebssystemen lief hierdurch der Buffer für IP-Pakete über.
Der Rechner stürzte ab oder bootete neu. Windows-Rechner ab w98 sind
nicht gefährdet.
· Port Scan detection: Nach der sehr dürftigen Hilfe des WebInterfaces sollen
durch diese Option Port-Scan-Angriffe abgewehrt werden, um dieses Sicherheitsloch
zu schließen.
Leider gibt es eine Vielzahl von Port-Scan-Methoden
und es würde an dieser Stelle zum einen zu weit führen, diese alle zu erläutern,
und zum anderen auch nichts bringen, weil unklar ist, was und wie der
Router solche Angriffe genau abwehrt, wenn man diese Option aktiviert (ein
Beispiel habe ich unter TCP flag scan erklärt). Ganz allgemein gesprochen, ist
ein Port-Scan der Versuch, offene Ports auf einem Rechner zu finden. Zu diesem
Zweck werden alle, in der Regel aber nur speziell ausgesuchte Ports auf
dem Zielsystem der Reihe nach angesprochen, um festzustellen, ob dieser
Port ,offen' ist (wie das gehen kann, ist ebenfalls beispielhaft unter TCP flag
scan aufgeführt). Sinn macht ein solcher Port-Scan z.B., um zu ermitteln, ob
sich auf dem angegriffenen System ein Trojaner eingenistet und einen oder
mehrere Ports geöffnet hat, um seine Dienste anzubieten.
Eine Firewall kann
14
___________________________
Begriffserläuterungen
Port-Scans daran erkennen, dass von einer IP ungewöhnlich viele Verbindungsanfragen
an verschiedene Ports gestartet werden. Die Firewall sollte
solche IP's für eine bestimmte Zeit sperren. Hier sieht man auch gleich die
erste Schwachstelle der ,Port Scan detection' des Vigor: Man kann zwar den
Schwellenwert (,Threshold') in Paketen pro Sekunde einstellen. Wenn der Angreifer
aber sein Angriffsprogramm noch langsamer einstellt, wirkt die Blockade
nicht mehr. Da viele Port-Scanner die Möglichkeit bieten, die Absender-IP
zu fälschen, kann ein Port-Scan auch von beliebig vielen IP's durchgeführt
werden; die Firewall erkennt den Angriff nicht und der Angreifer hat durch die
Fälschung der IP außerdem seine richtige IP getarnt. Die Fälschung kann außerdem
dazu verwandt werden, dem angegriffenen System wichtige Zugänge
zu sperren: Benutzt der Angreifer als Absende-IP z.
B. die Adresse des DNSServers
des angegriffenen Systems, so sperrt die Firewall dem eigenen System
den Zugang zum DNS-Server mit der Folge, dass das angegriffene System
nicht mehr ins Internet kommt. Natürlich kann man auf diese Weise auch
,rechtmäßige' Benutzer des Systems ausschließen, indem man deren IP für
den Angriff benutzt. Wie lange die verdächtigen IP's gesperrt werden, lässt
sich der ,Mini-Hilfe' des Vigors nicht entnehmen. Gut wäre es, wenn man bestimmte
Adressen (z.B.
den DNS-Server) von der Blockade durch die ,Port
Scan detection' ausnehmen könnte.
In letzter Zeit liest man häufiger von Fehlalarmen im Zusammenhang mit Port-
Scans. Anwender glauben, das Ziel von Hackern geworden zu sein, weil sie
eine Vielzahl von Verbindungsversuchen auf einen bestimmten Port feststellen.
In Wirklichkeit hängt dies mit der dynamischen IP-Vergabe und der Tatsache
zusammen, dass Tauschbörsen immer weitere Verbreitung finden. Wird
nämlich eine IP vergeben, die vorher ein Teilnehmer an einer solchen Börse
hatte, so versuchen die anderen Teilnehmer der Börse auch nach der Neuvergabe
der IP mit dem früheren Inhaber dieser IP Kontakt aufzunehmen. Ob
der Vigor die Blockade auch dann aktiviert, wenn er eine Vielzahl von Verbindungsversuchen
auf denselben Port oberhalb des Schwellenwertes feststellt,
lässt sich der Beschreibung nicht entnehmen.
· Smurf Attack: Es werden eine Vielzahl von Anfragen (ICMP Echo Request
[Ping]) an die Broadcast-Adresse (255.255.255.255) eines Netzwerkes abgeschickt.
Auf diese spezielle Adresse sollen alle in das Netzwerk eingebundenen
Geräte antworten (auf diese Weise sucht z.B.
auch der bei den Vigors
mitgelieferte Virtual TA den Router). Als Source Adresse, also als Adresse des
scheinbar Anfragenden, wird die IP des Opfers angegeben, welches vor lauter
,Antworten' zusammenbricht.
· SYN Flood: Der Angreifer schickt eine Vielzahl von Datenpaketen mit gesetztem
SYN-Flag und gefälschter Absenderadresse an den Opferrechner, und
täuscht dadurch Verbindungsabsichten vor. Das Opfer schickt Antwortpakete
mit gesetztem SYN- und ACK-Flag, bekommt aber keine Pakete mit gesetztem
ACK-Flag zurück, wie es richtig wäre (s. auch unter Keep State), sondern
weiter Pakete mit SYN-Flag, die eine weitere Verbindungsaufnahme ankündigen.
Das Opfer schreibt die Verbindungsdaten in seine Connection Table.
Sobald
diese voll ist, werden bis zum Timeout keine neue Verbindungen angenommen.
Der Server ,steht'. Das WebInterface erlaubt es, diesen ,Timeout'
15
___________________________
Begriffserläuterungen
einzustellen und den Schwellenwert (,threshold'), mit dem angegeben werden
soll, wie viele Datenpakete pro Sekunde ankommen müssen, bevor die Regel
greift.
· SYN fragment: Fragmentierte Datenpakete mit gesetztem SYN-Flag dienen
dazu, das Opfer zu veranlassen, eine Vielzahl von Paketen mit gesetzten
SYN- und ACK-Flags abzuschicken. Ein Paket mit gesetztem SYN-Flag dient
dazu, eine Verbindung einzuleiten (s. im einzelnen unter Keep State) und wird
im ,normalen' Verkehr mit einem Paket mit SYN/ACK-Flag beantwortet.
Der
Sender des Paketes mit gesetztem SYN-Flag müsste jetzt eigentlich mit einem
Paket mit gesetztem ACK-Flag antworten. Wenn es ihm durch die Fragmentierung
des Paketes mit gesetztem SYN-Flag gelingt, die SYN/ACKPakete
,ins Leere' laufen zu lassen, wartet der Opfer-Rechner vergeblich auf
die Antwort und kann abstürzen, wenn man nur eine ausreichende Anzahl an
,kaputten' SYN-Paketen schickt.
· TCP flag scan: Nach der im WebInterface angezeigten Kurzbeschreibung
werden TCP-Pakete mit irregulären Flags geblockt, wenn man diese Option
aktiviert. Unter Keep State habe ich erklärt, wie eine Verbindung unter TCP
zustande kommt (3-way-handshake: 1. Paket mit SYN-Flag - 2. Paket mit
SYN+ACK-Flag - 3.
Paket mit ACK-Flag). Leider können Angreifer Datenpakete
so manipulieren, dass darin Flag-Kombinationen enthalten sind, die im
Protokoll nicht vorgesehen sind. Wenn die Firewall auf diese Pakete nicht richtig
reagiert, kann ein solcher Scan benutzt werden, um das angegriffene System
auszuforschen. So kann man z.B. Pakete erzeugen, in deren TCP-Header
überhaupt kein oder umgekehrt alle Flags gesetzt sind.
Ein geschlossener
Port sendet als Antwort ein Paket mit gesetzten RST+ACK-Flags (der Empfang
des Paketes wird bestätigt, gleichzeitig wird die Verbindung sofort abgebrochen).
Ein offener Port antwortet nicht und verwirft diese ,verbogenen'
Pakete. Der Angreifer hat auf einfache Weise einen offenen Port gefunden.
Auch bei dieser Option der Router-Firewall scheint es mit etwas merkwürdig,
sie im ,DoS defense setup' unterzubringen, weil der Angriff eher der Ausforschung
dient und nicht einfach nur den angegriffenen Server lahm legen will
(letzteres wäre eher die Folge einer etwas zu intensiven ,Suche').
· Tear Drop: Wie bei ,Ping of Death' macht sich der Angreifer den Umstand zu
Nutze, dass große IP-Pakete in kleine zerlegt (fragmentiert) werden. Die Stelle,
an die die Stücke im Paket gehören, wird durch einen Offset-Wert angegeben.
Manipuliert man diesen Offset-Wert dergestalt, dass ein späteres Paket
in ein anderes Paket ,hineingeschrieben' wird, entstehen negative Werte, die
den Rechner zum Absturz bringen. Der Angriff funktioniert auf Windows-
Rechnern nur mit w95 und NT4.
· Trace Route: Mit entsprechenden Programmen (z.B. unter Windows mit tracert.
exe) können UDP-Daten-Pakete verschickt werden, um zu ermitteln, welche
Route ein Datenpaket wahrscheinlich nehmen wird.
Die Pakete werden
dabei für einen nicht verwendeten Dienst (UDP-Pakete der Transportschicht
mit ungültiger Portnummer) verschickt. Die sendenden Programme setzen dabei
den TTL-Wert (time to live) im header des Paketes zunächst auf 1 und erhöhen
diesen schrittweise. Jede Zwischenstation des Paketes reduziert den
16
___________________________
Begriffserläuterungen
TTL-Wert um 1. Ein Host, der ein Paket mit dem TTL-Wert 0 erhält, sendet eine
ICMP-Nachricht vom Typ ICMP_TIME_EXCEEDED an den Sender zurück.
Dadurch hat der Sender die IP-Adresse der Zwischenstation und zeigt sie an.
Das gleiche Paket wird nunmehr mit einem TTL-Wert, der um 1 erhöht ist,
verschickt.
Der Sender hat jetzt die IP-Adresse der nächsten Zwischenstation.
Dieses Spiel wiederholt sich bis das Paket sein Ziel erreicht hat. Jetzt sendet
der Zielrechner eine ICMP-Nachricht vom Typ PORT_UNREACHABLE, weil
das Paket für einen nicht verwendeten Dienst verschickt wurde. Auf diese
Weise erkennt der Sender, dass das Ziel erreicht wurde. Der TTL-Wert kann
höchstens 255 annehmen, was ausreichen dürfte.
Die sehr knappe Hilfe zu dem Menu-Punkt ,Block Trace Route' im DoS defense
Setup führt aus, durch diese Option werde ein Sicherheits-Loch geschlossen,
welches ein Ausforschen von außen ermögliche.
Dies deutet darauf hin,
dass der Router auf Traceroute-Anfragen überhaupt nicht mehr antwortet,
wenn die Option aktiviert wird. Dies würde allerdings nur noch mittelbar mit
DoS-Attacken zusammenhängen, denn hierfür würde es ausreichen, wenn der
Router solche Anfragen nur dann blockte, wenn Sie überhand nähmen. Leider
ist es mir nicht möglich, genau herauszubekommen, was der Router macht,
wenn man ,Block Trace Route' aktiviert.
· UDP Flood: vom Prinzip her ähnlich wie SYN Flood und Smurf, allerdings wird
das Opfer hier mit UDP-Paketen überflutet. Wie dies relativ einfach funktioniert,
beschreibt PivX Solution [57]. Der Angreifer missbraucht einen Gameserver,
indem er diesem per UDP eine Anfrage schickt.
Die Gameserver beantworten
solche Anfragen, indem sie Auskunft über ihren Zustand, die Anzahl
der Spieler usw. liefern. Das anfragende UDP-Paket enthält eine falsche IP,
nämlich die des Opfers. Der Gameserver kann dies nicht feststellen, weil UDP
,verbindungslos' arbeitet, und schickt seine Antworten an den vermeintlich Anfragenden,
in Wirklichkeit aber an das Opfer, welches vor lauter Antworten irgendwann
zusammenbricht. (,Threshold' und ,Timeout' werden unter SYN
Flood erklärt)
· Unknown Protocol: Das Internet Protokoll hat eine Reihe von IP-Protokoll-
Typen, die undefiniert oder für eine spätere Verwendung reserviert sind [55].
Mit dieser Option im DoS defense Setup (!) soll es möglich sein, diese Typen
zu sperren.
Nach meiner persönlichen Auffassung gehört diese Sperre aber
nicht ins DoS defense Setup und kann ebenso gut im ,Filter Setup' mit geregelt
werden.
ftp (File Transfer Protocol) Mit diesem Protokoll können Daten von einem entfernten
Rechner geladen oder dort abgelegt werden
http (HyperText Transfer Protocol) Standarddatenübertragungsverfahren im Internet
https Absicherung des http-Übertragungsverfahrens durch SSL (Secure Socket Layer);
,sichere Verbindung'
17
___________________________
Begriffserläuterungen
ICMP (Internet Control Message Protocol) dient hauptsächlich dem Austausch von
Status- und Fehlermeldungen. Eigentlich sollte ICMP auf allen Ports verboten werden,
weil hierdurch Firewalls ausgehebelt werden können (vgl. Jürgen Schmidt c't
11/97, S. 332). Allerdings funktioniert dann auch ,Ping' nicht mehr.
Eigentlich sollte
es keine nennenswerten Schwierigkeiten geben, wenn ICMP bei einem privaten Internet-
Rechner generell verboten wird (s. auch die Erläuterungen bei der Beispielkonfiguration).
I
GMP (Internet Group Management Protocol) ist ein Hilfsprotokoll und unterstützt die
Gruppenkommunikation. Es benutzt Class-D-IP-Adressen und wird für das Rundsenden
an mehrere Interfaces eingesetzt. Eine Multicasting-Übertragung (z.B.
für
eine Videokonferenz) ist wirkungsvoller als eine Punkt zu Punkt Übertragung. Das
Protokoll kann ebenfalls für Hackerangriffe missbraucht werden.
I
MAP (Internet Message Access Protocol) ist ein Verwaltungs- und Übertragungsverfahren
für e-mails (wird von den Providern seltener unterstützt, bietet im Gegensatz
zu POP3 die Möglichkeit, die elektronische Post bereits auf dem Server zu bearbeiten/
zu löschen)
I
P (Internet Protocol) dient der Adressierung und Fragmentierung der Datenpakete
und übermittelt diese vom Sender zum Empfänger
I
P-Adresse (s. Socket, IP-Adressen) So kann man die IP-Adresse zu einem bestimmten
Hostnamen finden:
Wenn Sie Windows NT/2000/XP benutzen geben Sie ein:
Start � Ausführen nslookup [Enter] {Hostname} [Enter] eingeben
Für Windows 95/98 können Sie unter www.pcpitstop.com/internet/nslook.
asp das
kleine Programm nslook kostenlos herunterladen, das ähnliche Funktionen hat.
Auf www.swhois.net unter ,nslookup' kann ebenfalls der Hostname in eine IPAdresse
aufgelöst werden.
Schließlich habe ich unter https://www.atelier89.
de/users/dirk/index.html die gültigen
Adressen der DNS-Server von t-online gefunden.
Für t-online lauten die Host-Namen
www-proxy.t-online.de für den DNS-Server
pop.btx.
dtag.de für den Posteingangsserver
mailto.btx.dtag.de für den Postausgangsserver
news.btx.
dtag.de für den Newsserver
ftp-proxy.btx.dtag.de für den ftp-Proxy
Meine praktischen Erfahrungen mit den verschiedenen Ermittlungsmöglichkeiten sind
folgende: Völlig korrekt arbeitet das w2k-Programm nslookup. www.
swhois.net ermittelt
alle Server richtig mit Ausnahme des DNS-Servers. Das w95/98-Programm
nslook findet diesen und den Newsserver richtig, die Mailserver aber nur unvollständig.
Unter www.atelier89.de/users/dirk/index.
html kann nur der DNS-Server gesucht
werden; dieser wird richtig gefunden.
18
___________________________
Begriffserläuterungen
I
P-Adressen werden im Format x.x.x.x dargestellt, wobei die Punkte nur der besseren
Lesbarkeit dienen; die Netzwerkkomponenten lesen die dargestellte Zahl als eine
Zahl. Jedes ,x' kann (theoretisch) Werte zwischen 0 und 255 (28 = 1 byte = 8 bit) annehmen.
Die IP-Adresse ist also eine Zahl mit 32 bit.
Um dieses Zahlenformat zu verstehen, muss man sich klarmachen, dass ein bit nur
die Werte 0 und 1 annehmen kann. Daher werden die IP-Adressen häufig in dualer
Schreibweise dargestellt, Beispiele:
Wertigkeit 27 26 25 24 23 22 21 20
Bit-Nr. 7 6 5 4 3 2 1 0
Bit-Wert 1 1 1 1 1 1 1 1
Dezimalwert 128 64 32 16 8 4 2 1
Summe 255
Wertigkeit 27 26 25 24 23 22 21 20
Bit-Nr. 7 6 5 4 3 2 1 0
Bit-Wert 1 0 1 0 1 0 1 0
Dezimalwert 128 0 32 0 8 0 2 0
Summe 170
Das duale Zahlensystem basiert also auf der Zahl 2, während wir es gewohnt sind,
mit dem dezimalen Zahlensystem zu arbeiten, das auf der Zahl 10 basiert. Beim dezimalen
Zahlensystem ist die rechte Ziffer einer jeden Zahl mit 100 (also mit 1), die
nächste, links danebenliegende Ziffer mit 101 (also mit 10) usw.
zu multiplizieren,
beim dualen System ist mit 20 (also mit 1), 21 (also mit 2) usw. zu multiplizieren.
Von den Standardisierungsgremien sind die IP-Adressen in fünf Klassen aufgeteilt
worden, von denen nur die drei Klassen A, B und C von praktischer Bedeutung sind.
Klasse A Adressen können theoretisch Werte von 1.0.0.
0 bis 126.255.255.255, Klasse
B Adressen von 128.0.0.
0 bis 191.255.255.255 und Klasse C Adressen von
192.0.0.
0 bis 223.255.255.255 annehmen.
Tabellarisch sieht das wie folgt aus:
Adress-
Klasse
als Standard
vorgegebene
bits
resultierender
Wertebereich
des ersten
Byte
(dezimal)
Netzwerk-
(N)/
Rechner- (R)
Teil*
Anzahl der
möglichen
Netze
Anzahl der verfügbaren
Rechneradressen
Klasse A 0xxx xxxx 0 - 127 N.R.
R.R 256 16.777.216
Klasse B 10xx xxxx 128 - 191 N.N.R.
R 65.536 65.536
Klasse C 110x xxxx 192 - 223 N.N.N.R 16.
777.216 256
* wird im Zusammenhang mit der Subnetzmaske erläutert
Wie Sie der Tabelle entnehmen können, ist für ein Klasse A-Netz das erste bit des
ersten bytes vorgeschrieben (muss ,0' sein), während für Klasse-B- bzw. Klasse-CNetze
die ersten beiden bzw. drei bits vom Standardisierungsgremium vorgegeben
sind.
19
___________________________
Begriffserläuterungen
Für lokale Netze ohne Internetanbindung gibt es ausgesuchte Nummernkreise, die
von keinem Router nach außen gegeben werden und mit denen man daher lokale
Netze betreiben kann. Diese "privaten" Adressen sind:
· Class-A-Netz: 10.
0.0.0 - 10.255.255.255
· Class-B-Netz: 172.
16.0.0 - 172.31.255.255
· Class-C-Netz: 192.
168.0.0 - 192.168.255.255
Die Werkseinstellung der Vigor-Routers hat sich aus diesem Nummernkreis die Nr.
192.168.1.1 für die eigene Adressierung herausgesucht und schlägt vor, den angeschlossenen
Rechnern bei aktiviertem DHCP-Server 50 Nummern ab der Nr.
192.168.
1.10 zuzuteilen. Diese Nr. vermittelt der Router nicht in das Internet, weil die
Nrn. für den externen Verkehr gar nicht zugelassen sind. Vielmehr erhält der Router
bei der Einwahl entweder vom Provider eine (in der Regel ständig wechselnde) IPAdresse
bzw.
nimmt die Verbindung mit einer vom Provider fest zugeteilten IPAdresse
auf. Im Internet verkehrt der Rechner daher mit der vom Provider zugeteilten
IP-Adresse, die der Router für den internen Verkehr auf die Adresse umsetzt
(z.B. 192.168.1.
10 bis 192.168.1.59), die er diesem Rechner selbst zugeteilt hat
(bzw. bei fester Vergabe der IP-Adresse: mit der Adresse, unter der er mit dem
Rechner in Verbindung steht).
Es leuchtet ohne weiteres ein, dass insbesondere ein Klasse-A-Netz mit bis zu
16.
777.216 möglichen Rechnern unmöglich von einer Person verwaltet werden kann.
Aus diesem Grunde gibt es die Möglichkeit, ein Netz durch eine so genannte Subnetzmaske
(Subnet Mask) zu unterteilen. Dabei muss man sich diese Maske wie eine
Art Filter vorstellen, der die IP-Adresse in einen Netzwerk-Teil und in einen Rechner-
Teil aufspaltet. Jedes bit, welches in der Subnet-Maske auf ,1' gesetzt ist, gibt
an, dass es sich bei dem korrespondierenden Teil der IP-Adresse um einen Teil der
Netzadresse handelt, während eine ,0' angibt, dass das korrespondierende bit der
IP-Adresse zur Rechneradresse gehört.
Einige Beispiele:
Die Default-Subnetzmasken, also die Masken, die anzuwenden sind, wenn man keine
weitere Unterteilung haben will, sehen wie folgt aus:
Adress-Klasse Default-Subnetzmaske (binär) Subnetzmaske (dezimal)
Klasse A 11111111.
00000000.00000000.00000000 255.0.0.0
Klasse B 11111111.
11111111.00000000.00000000 255.255.0.0
Klasse C 11111111.
11111111.11111111.00000000 255.255.255.0
Ändert z.
B. der Verwalter eines Klasse-B-Netzes die vorbeschriebene Default-
Subnetzmaske für dieses Netz nicht, liegen alle 65.536 Rechner, die ein solches
Netz umfassen kann, in einem Netz, denn die beiden letzten byte jeder IP-Adresse
geben bereits konkrete Rechner und nicht Netzwerke an (Beispiel: Der Betreiber des
Klasse-B-Netzes hat die Nr. 128.159.xxxx.
yyyy für sein Netz zugeteilt bekommen.
Gleichgültig welche Zahlen für xxxx oder yyyy (zwischen 0 und 255) eingesetzt wer20
___________________________
Begriffserläuterungen
den, werden immer Rechner in demselben Netz angesprochen: 128.159.133.1 liegt
in demselben Netz wie z.B.
128.159.1.189, 128.159.1.
23, 128.159.77.89 usw.)
Ändert der Verwalter dagegen die Default-Subnetzmaske für ein Klasse-B-Netz in
255.255.
255.0, so hat er damit 253 Subnets geschaffen (0, 127 und 255 sind für besondere
Zwecke reserviert): Jetzt liegen im oben gebildeten Beispiel zwar die Adressen
128.159.2.1 und 128.159.
2.15 in demselben Netz, jedoch nicht die Adressen
128.159.12.1, 128.159.
12.15, 128.159.78.1, 128.159.
78.187 usw..
Will der Verwalter nur zwei Netze schaffen, so kann er das mit der Subnetzmaske
255.255.128.
0 (binär 11111111.11111111.10000000.00000000) schaffen. Bei dieser
Subnetzmaske ist nur das erste bit im dritten byte gesetzt, was bedeutet, dass die
Rechner mit der Adresse 128.159.
1.xxxx bis 128.159.126.xxxx in dem einen und die
Rechner mit der Adresse 128.159.
128.xxxx bis 128.159.254.xxxx im anderen Netz
liegen.
Mit der Subnetzmaske 255.
255.192.0 (binär
11111111.11111111.11000000.00000000) lassen sich in einem B-Klasse Netz vier
Subnetze bilden.
Für ein C-Klasse-Netz sehen die Subnetzmasken wie folgt aus:
255.255.255.0 (binär 11111111.11111111. 11111111.
00000000) >
255 Rechner in einem Netz
255.255.255.128 (binär 11111111.11111111. 11111111.
10000000) >
2 Netze mit ca. 128 Rechnern
255.255.255.192 (binär 11111111.11111111.
11111111.11000000) >
4 Netze mit ca. 64 Rechnern
Sie werden sich jetzt an dieser Stelle natürlich fragen, welchen Sinn eine Subnetzmaske
bei den Filterregeln eines Routers machen soll, denn durch diese Filterregeln
werden natürlich keine Subnetze gebildet. Die Antwort lautet, dass die Subnetzmaske
als Filter fungiert, um ganze Bereiche von IP-Adressen zuzulassen oder zu sperren.
Wenn Sie eine Regel definieren, nach der eine ausgehende Verbindung auf Port
25 (=SMTP=ausgehende Mail) nur an die Adresse 194.25.
134.97 gerichtet werden
darf und jetzt als Subnetzmaske 255.255.255.255 angeben, dann darf wirklich nur an
die Adresse gesendet werden, die sie angegeben haben. Wenn Sie hingegen bei
derselben Regel die IP-Adresse 194.
25.134.0 und die Subnetzmaske 255.255.255.0
angeben, dann sind alle IP-Adressen von 194.
25.134.0 bis 194.25.134.255 zugelassen.
Jetzt wird vielleicht auch klar, warum in der Router-Konfiguration hinter den
möglichen Einstellungen bei der Subnetzmaske immer ..../32, ..
./31 usw. eingeblendet
wird: Die Zahlen hinter dem Schrägstrich geben an, welche Zahlen in dualer
Schreibweise für den Router entscheidend sein sollen:
255.255.255.255/32 = 11111111.
11111111.11111111.11111111 = alle Zahlen
255.255.255.000/24 = 11111111.
11111111.11111111.00000000 = alle Zahlen außer
denen hinter dem letzten Punkt
21
___________________________
Begriffserläuterungen
Mit dieser Information kommen Sie schon relativ weit, wenn Sie sich auf Subnetzmasken
beschränken, die ganzzahlig durch 8 teilbar sind (.../32, .
../24, .../16, .
../8 =
255.255.255.255.
, 255.255.255.0, 255.255.0.
0, 255.0.0.0): Bei 255.255.255.
255
muss die IP-Adresse exakt stimmen. Bei 255.255.255.0 müssen nur die Zahlen vor
dem letzten Punkt übereinstimmen, um die Regel in Kraft zu setzen usw..
Wollen Sie
auch Zwischenwerte (.../31) definieren, so wird Ihnen nichts anderes übrig bleiben,
als die zu sperrenden/zuzulassenden IP-Adressen zunächst in dualer Schreibweise
zu notieren und mit einer entsprechenden Subnetzmaske in dualer Schreibweise zu
,überlagern': Überall, wo in der Subnetzmaske eine ,1' steht, prüft die Firewall auf
exakte Übereinstimmung, überall, wo eine ,0' steht, ist die Übereinstimmung
gleichgültig.
Beispiel:
Zugelassen bzw. gesperrt werden sollen die Adressen 194.
127.127.127 und
194.127.127.126
Sie geben als Subnetzmaske ein:
255.
255.255.254/31 = 11111111.11111111.11111111.11111110
und als IP-Adresse:
194.
127.127.127 = 11000010.01111111.01111111.01111111
Die ,0' in der Subnetzmaske blendet die letzte duale Ziffer aus, so dass der Router
nur auf Übereinstimmung der ersten 31 dualen Ziffern prüft; die letzte Ziffer ist
gleichgültig (11000010.
01111111.01111111.0111111x wird durchgelassen/
gesperrt, egal welchen Wert ,x' hat).
Durch die Subnetzmaske haben Sie mithin zugelassen/gesperrt:
194.127.127.
127 = 11000010.01111111.01111111.01111111
194.127.127.
126 = 11000010.01111111.01111111.01111110
Ein letztes Beispiel:
Sie geben als Subnetzmaske ein:
255.255.255.
128/25 = 11111111.11111111.11111111.10000000
Dies bewirkt, dass nur die ersten 25 Stellen (in dualer Schreibweise !) der von Ihnen
in der Konfiguration der Firewall angegebenen IP-Adresse maßgebend sind.
I
n der Konfiguration können Sie jetzt für die IP-Adresse z.B.
Werte von
194.127.127.0 bis 194.127.127.
127 angeben; das Ergebnis bleibt gleich: Wenn eine
Verbindung zu einer Adresse angefordert wird, die zwischen 194.127.127.0 und
194.127.127.
127 liegt, greift die Regel, wird eine Verbindung angefordert mit einer
IP-Adresse zwischen 194.127.127.128 und 194.127.127.
255, greift die Regel nicht.
22
___________________________
Begriffserläuterungen
Geben Sie hingegen für die IP-Adresse Werte von 194.127.127.128 und
194.127.
127.255 an, so ist es genau umgekehrt: Wenn eine Verbindung zu einer
Adresse angefordert wird, die zwischen 194.127.127.128 und 194.127.
127.255 liegt,
greift die Regel, wird eine Verbindung angefordert mit einer IP-Adresse zwischen
194.127.127.0 und 194.127.
127.127, greift die Regel nicht.
Vergleichen sie hierzu die dualen Schreibweisen:
Subnetzmaske:
255.255.255.128/25 = 11111111.
11111111.11111111.10000000
IP-Adresse
194.127.127.000 = 11000010.
01111111.01111111.00000000
.
.
.
194.
127.127.126 = 11000010.01111111.01111111.01111110
194.
127.127.127 = 11000010.01111111.01111111.01111111
194.
127.127.128 = 11000010.01111111.01111111.10000000
194.
127.127.129 = 11000010.01111111.01111111.10000001
194.
127.127.130 = 11000010.01111111.01111111.10000010
.
.
. 194.127.127.255 = 11000010.
01111111.01111111.11111111
Die kursiv und unterstrichen dargestellten Teile der IP-Adresse sind unerheblich. Erst
wenn an der 31. Stelle eine Abweichung auftritt, entscheidet sich, ob die Regel eingreift
oder nicht.
I
PX/SPX-kompatibles Protokoll (Internetwork Packet Exchange/Sequential Packet
Exchange-kompatibles Protokoll): Das IPX/SPX-Protokoll wurde ursprünglich von
Novell entwickelt.
Die Microsoft Version entspricht diesem Protokoll. In Netzen mit
älteren Novell-Servern ist dieses Protokoll zwingend erforderlich (neuere Novell-
Versionen unterstützen TCP/IP). In (reinen) Windows-Netzen kann es als Alternative
zu NetBEUI eingesetzt werden, insbesondere wenn große Netze vernetzt werden
müssen. Das Protokoll ist - jedenfalls mit entsprechenden Vorkehrungen - routingfähig.
I
SN (Initial Sequence Number) s. Keep State
Java ist eine im Jahre 1995 von der Firma Sun Microsystems eingeführte plattformunabhängige
Programmiersprache.
Alle gängigen Browser (insbesondere Internet Explorer,
Netscape Navigator, Opera) sind in der Lage, sogenannte Java-Applets auszuführen.
Im Gegensatz zu den Java-Applikationen, die ,richtige' Programme sind,
handelt es sich bei den Applets nicht um eigenständige Programme. Vielmehr lädt
der Browser den sogenannten Byte- oder Pseudocode, der eine Vorstufe zu ,richti23
___________________________
Begriffserläuterungen
gem' Maschinencode darstellt, in die Java Virtual Machine (JVM). Der Java-
Quellcode und der vom Java-Compiler erzeugte Bytecode sind für alle Plattformen
identisch. Die JVM muss für jede Plattform speziell angepasst werden, denn die JVM
sorgt dafür, dass der Bytecode von der konkreten ,Maschine' (dem Prozessor) verstanden
wird. Damit von den Java-Applets nicht dieselben Gefahren ausgehen wie
vom Active Scripting, hat Java das sogenannte ,Sandkastenmodell' (Sandbox) entwickelt.
Den Applets steht nur ein abgeschotteter Bereich zur Verfügung, so dürfen sie
insbesondere keine Dateien schreiben, lesen, modifizieren oder löschen, keine beliebigen
Betriebssystemkommandos oder externen Programme ausführen. Sie dürfen
keine Internet-Verbindungen aufbauen außer zu dem Server, von dem sie geladen
wurden. Leider ist nicht Java sondern die JVM und der Security Manager dafür
verantwortlich, dass diese Beschränkungen auch eingehalten werden. Die JVM für
den Internet Explorer stammt von MicroSoft [54] ...
Damit ist die eigentlich von Java
angestrebte Sicherheit auch wieder dahin. MicroSoft hat unlängst vor acht schweren
Sicherheitslücken in der VM gewarnt und einen Patch zur Verfügung gestellt [53].
Dies dürfte nicht der letzte sein. Java ist weniger gefährlich als das Active Scripting,
aber letztlich auch nicht ,sicher'.
Verwechseln Sie bitte Java und Java-Applets nicht mit Java-Script und Jscript. Java-
Script ist eine von Netscape in den Navigator eingeführte Scriptsprache, die sich in
der Syntax an Java anlehnt, im übrigen aber außer dem Namen wenig mit Java zu
tun hat, insbesondere bei weitem nicht dieselben Sicherheitseinrichtungen hat.
Jscript ist die von MicroSoft ,aufgebohrte' Version von Java-Script. Java-Script und
Jscript müssen als wesentlich gefährlicher eingestuft werden als Java (s. dazu unter
ActiveX).
Java-Script s. unter ActiveX (nicht mit Java [s. dort] zu verwechseln)
JScript s.
unter ActiveX (nicht mit Java [s. dort] zu verwechseln)
Keep State (Status halten) Um diese Checkbox bei den Filter-Regeln des WebInterfaces
zu verstehen, muss man sich klarmachen, wie der Verbindungsbau unter dem
TCP-Protokoll abläuft, wobei ich mich bemühe, dies hier stark vereinfacht wiederzugeben:
Der Client, der eine Verbindung zu einem Server aufbauen will, schickt ein
Datenpaket, bei dem das SYN-Flag gesetzt ist und welches eine zufällig gewählte
Sequenznummer (ISN = Initial Sequence Number) enthält. Der angesprochene Server
schickt ein Datenpaket, in dem das ACK- und das SYN-Flag gesetzt sind, das
eine eigene Sequenznummer enthält und welches außerdem die Sequenznummer
des Clienten als Quittung enthält (tatsächlich werden die Sequenznummern bei jeder
Antwort um die Anzahl der übertragenen Datenpakete, mindestens aber um eins,
erhöht).Der Client antwortet wiederum mit einem Datenpaket mit richtiger Sequenzund
Bestätigungsnummer, in dem das ACK-Flag gesetzt ist. Damit ist die Verbindung
aufgebaut. Der Verbindungsabbau kann von beiden Seiten durch ein Paket mit gesetztem
FIN-Flag eingeleitet werden, nachdem der Sendepuffer geleert wurde.
Die
Gegenstelle antwortet mit einem Paket mit gesetztem FIN-Flag, leert ebenfalls den
Sendepuffer und versieht das letzte Paket nochmals mit einem FIN-Flag, was der
Auslöser des Verbindungsabbaus mit einem Paket mit gesetztem ACK-Flag quittiert.
Wie man der vorstehenden Beschreibung entnehmen kann, ist jede etablierte Verbindung
über die Sequenznummern, eindeutig identifizierbar (allerdings werden im24
___________________________
Begriffserläuterungen
mer wieder Warnungen veröffentlich, aus denen sich ergibt, dass das Verfahren
missbraucht werden kann, indem Angreifer die ISN ermitteln oder erraten). Mit Keep
State macht sich der Router diese Identifizierungsmöglichkeit zunutze, weil es einfach
keinen Sinn macht, innerhalb derselben Verbindung nur den Anfang haben zu
wollen. Wenn die Keep State-Option gesetzt ist, prüft der Router nur noch das erste
ein- oder ausgehende Datenpaket mittels der Firewall-Regeln. Wenn dieses zugelassen
ist, werden auch alle Folgepakete derselben Verbindung zugelassen. Ist das
erste Paket nach dem Regelsatz zu blocken, gilt dies auch für alle Folgepakete.
Loopback (Rückschleife) bezeichnet in IP-Netzen eine spezielle Diagnoseart, bei
der ein Datenpaket an eine der reservierten Adressen 127.xxx.xxx.xxx versandt wird.
Datenpakete mit diesen Adressen sollen und dürfen nicht in das Internet, sondern
sind an den absendenden lokalen Rechner selbst gerichtet. Dieses Verfahren dient
eigentlich der Überprüfung der korrekten Installation von TCP/IP.
Manche Internetprogramme
nutzen Loopback für eigene Zwecke (z.B. der Internet-Explorer, Outlook
[Express] und diverse andere MicroSoft-Programme, nach meinen Informationen aber
auch Virenscanner, die aus- und eingehende Mails prüfen, bevor sie den Rechner
verlassen bzw. bevor diese den Mail-Klienten erreichen). Bei der Router-Firewall
ist eine spezielle Filterregel für solche Loopback-Pakete nicht erforderlich, weil diese
eben nicht an den Router gelangen sollen, sondern auf dem einzelnen Rechner bleiben.
Desktop-Firewalls brauchen eine spezielle Regel, die Loopback zumindest für
die Programme freischaltet, die von dem Verfahren Gebrauch machen.
MAC (Media Access Control) gibt eine in alle Netzwerkkomponenten fest eingebaute
Adresse an, die weltweit einmalig sein soll (nicht mit IP-Adresse verwechseln). MACAdressen
sehen z.B. so aus: 00-80-C7-6D-A4-6E. Die MAC-Adresse des Routers
wird im Hauptbildschirm der Router-Konfiguration angezeigt. Wer sich wundert, dass
IP-Adressen notwendig sind, obwohl alle Netzwerkkomponenten weltweit bereits eine
eindeutige MAC-Nr.
haben, sollte sich klar machen, dass die gesamte Software
bei einem Hardware-Austausch (z.B. dem Auswechseln der Netzwerkkarte) neu konfiguriert
werden müsste, wenn die Adressierung über die MAC-Adresse erfolgte.
NetBEUI (NetBIOS Extended User Interface) ist ein Netzwerkprotokoll, das als Weiterentwicklung
aus NetBIOS (s. dort) entstanden ist. Es wird zur Vernetzung (kleinerer)
Windows-Netze verwandt und ist nicht routingfähig.
Unter Windows XP wird das
Protokoll nicht mehr automatisch installiert, ist aber auf der CD enthalten. Eine Anleitung
zur Installation finden Sie unter [23].
NetBIOS (Network Basic Input / Output System) ist eine Programmierschnittstelle
(API = Application Program Interface) zur Einrichtung von Kommunikationssitzungen,
zum Senden und Empfangen von Daten und zur Benennung von Netzwerkobjekten.
NetBIOS ist kein Netzwerkprotokoll, kann aber an eine Vielzahl von Protokollen (u.a.
IPX/SPX und TCP/IP) gebunden und - obwohl selbst nicht routingfähig - über
TCP/IP geroutet werden, wodurch erhebliche Sicherheitsrisiken entstehen können
(s.
u.). Die Schnittstelle wurde ursprünglich 1984 von IBM entwickelt und danach von
Microsoft in die MS-Betriebssysteme integriert. Sie ist (noch) in allen Windows-
Versionen enthalten und Teil des Betriebssystems, so dass sie weder gesondert installiert
noch mit normalen Konfigurationsmenus aus dem Windows-Betriebssystem
entfernt werden kann (im Internet finden sich allerdings Tools und Tipps, wie NetBIOS
entfernt oder zumindest deaktiviert werden kann [28]).
25
___________________________
Begriffserläuterungen
Um NetBIOS zu verstehen muss man eine Stufe vorher ansetzen. Alle Windows-
Betriebssysteme nutzen das SMB (Server Message Block)-Protokoll, um auf Netzwerkressourcen,
insbesondere Dateien und Drucker, zuzugreifen.
Über das genannte
Protokoll sendet der Client eine Anfrage an den Server mit der Bitte, bestimmte
Netzwerkressourcen nutzen zu dürfen. Um diese Anfrage starten zu können, benötigt
der Client Transportmechanismen, um Kommandos (SMBs) an den Server schicken
zu können. Die wichtigsten Transportmechanismen sind in der PC-
| impressum | datenschutz
