Weingeist 157 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 Hallo Leute, Seit einiger Zeit beschäftige ich mich - wieder einmal - etwas ausführlicher mit der erweiterten Firewall bzw. vor allem mit dem ausgehenden Datenverkehr. Für den eingehenden Verkehr gibt es ja wunderbare, vorgefertigte Regeln für Rollen, Anwendungen oder Dienste. Das trifft für den ausgehenden Verkehr leider nicht im gleichen Masse zu, dieser ist standardmässig auf Durchzug gestellt. Möchte man also standardmässig Blockieren und nur den gewünschten Verkehr zulassen, fangen die Probleme an und Windows funktioniert nicht mehr Out-Of-The-Box mit Standardeinstellungen. Auch vorgefertigte Regelsätze sucht man vergebens. Nicht einmal für DNS/AD gibts solche die eine zuverlässige Kommunikation ermöglichen. Kennt jemand Literatur - am liebsten von Microsoft - welche für die verschiedenen Windows-Dienste und Rollen nich nur die notwendigen Ports, sondern auch die entsprechenden Dienste, Programme, Anwendungsgruppen auflistet? Wenn Windows schon die Voraussetzungen bietet die Ports nur für den entsprechenden Zweck freizugeben, wäre es schön, wenn man auch wüsste wer was genau braucht. Leider habe ich trotz bereits mehrfacher, stundenlanger Recherche keine Möglichkeit gefunden, der Firewall ein besseres Log zu verpassen wo neben der IP sowie den Ports auch Programme, Dienste etc. mitgeschrieben werden welche einen Zugriff ausgelöst haben. Dann wäre die Bildung eigener Regeln relativ einfach auch wenn vorgefertigte Regelsätze von MS natürlich wünschenswert wären. Grüsse und vielen Dank! Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 wozu sollte man ausgehenden Datenverkehr filtern wollen? Schalte doch einfach die Dienste ab die nichts verschicken sollen. Ich persönlich sehe ja nicht mal viel Sinn darin eingehende Daten direkt auf dem Server zu filter. Da sollte mab lieber direkt die Dienste ordentlich konfigurieren... Zitieren Link zu diesem Kommentar
daabm 1.189 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 Eventlog Microsoft-Windows-Windows Firewall With Advanced Security/Firewall - da sollte das auftauchen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 Kennt jemand Literatur - am liebsten von Microsoft - welche für die verschiedenen Windows-Dienste und Rollen nich nur die notwendigen Ports, sondern auch die entsprechenden Dienste, Programme, Anwendungsgruppen auflistet? Wenn Windows schon die Voraussetzungen bietet die Ports nur für den entsprechenden Zweck freizugeben, wäre es schön, wenn man auch wüsste wer was genau braucht. ausgehende Ports werden meist dynamisch vergeben (1023 - 65536). Die kannst du also nicht fest freigeben oder sperren. Bei ausreichender Schizophrenie könnte man sich überlegen, sich die Blacklists böser IPs regelmäßig zu organisieren und diese in die Windows-Firewall dynamisch per PS reinzupumpen. https://dshield.org/suspicious_domains.html https://www.blocklist.de/downloads/ BSI etc. Im Normalfall überlässt man das aber den Kollegen, die an den richtigen Firewalls sitzen. Die Kollegen erkennen beispielsweise an den FW-Logs, ob sich irgendwo im Netz ein Trojaner eingenistet hat, der versucht zu einer dieser bösen IPs nach Hause zu telefonieren. Auf die SourceIP im eigenen Netz wird dann gezielt zugegangen. blub Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 Ausgehenden Datenverkehr kann man maximal nach verursachender Anwendung oder mach Ziel-Port filtern. Quellport ist ziemlich sinnfrei, da der dynamisch ausgewählt wird. Nur mies entwickelte Anwendungen oder Protokolle verwenden immer den gleichen Quell-Port. Nach verursachender Anwendung zu filtern kann auch sinnfrei sein. Gerade bei Windows poppen da die gleichen Anwendungen hoch, auch wenn es sich um unterschiedliche Dienste handelt. Ergo: Selbst ist der Mann. Alles zu und dann sukzessive öffnen. Oder einfach ausgehend alles erlauben und dann am Perimeter ansetzen. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 27. Dezember 2015 Autor Melden Teilen Geschrieben 27. Dezember 2015 (bearbeitet) Dankeschön für die Antworten. @daabm: Schön wärs. Da wird leider gar nix punkto Paket drop gelogt sondern nur wenn an den Regeln geschraubt wird. @magheinz: Nun, das kann man sehen wie man möchte. Meine Beweggründe sind - neben gewissen Sicherheitsbedenken - eher in meiner Abneigung gegenüber moderner OS und Apps und deren Datensammlungswut und Nachhause-telefoniererei begründet die sich nicht ohne weiteres für einen einfachen User per GUI abdrehen lässt. Das soll aber hier nicht das Thema sein. Ich möchte nur wissen wie ich zuverlässig aufzeichnen kann, welches Programm, Dienst, Prozess etwas senden möchte oder gesendet hat. Nichts weiter. @blub: Du meinst Paranoia ;) Naja, die meisten kleineren Unternehmen haben ja nicht wirklich eine "richtige" Firewall sowie einen extra Kollegen der den Kram auswertet. Da hat man den Provider der einem einen Teil davon abnimmt und sonst hängen die Kisten quasi direkt im Netz. Ein wenig Selbstschutz - selbst wenn es "nur" die Windowsfirewall ist - kann nicht schaden. Danke für die Links! @DocData: "Ergo: Selbst ist der Mann. Alles zu und dann sukzessive öffnen. Oder einfach ausgehend alles erlauben und dann am Perimeter ansetzen." Und genau deshalb möchte ich ja etwas, wo ich sehen kann wer was und wo sendet und geblockt wird, damit ich das selektiv zulassen kann. Aktuell geht das nur sehr mühsam via Tasklist und arp zusammen mit dem Firewallprotokoll und etwas Rätselraten. Wenn der Prozess aber bereits beendet ist, sieht mans ned mal. Etwas gefunden habe ich doch noch, mal sehen ob es den gewünschten Effekt bringt. Auditpol.exe. Mal sehen ob die Prozess-ID tatsächlich mitgeloggt wird. bearbeitet 27. Dezember 2015 von Weingeist Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 Schizophrenie (lt. Wikipedia) ....Häufig ist das sogenannte Stimmenhören sowie der Wahn, verfolgt, ausspioniert oder kontrolliert zu werden..... so in etwa meinte ich das auch Wenn's dir um Port/ ProzessID geht, kommst du auch mit "netstat -aon" hin http://poshcode.org/3139 liefert dir noch den Prozessnamen dazu. Manuell erhältst du aus der ProzessID den Prozessnamen über den Taskmanager oder "get-process" in PSH Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 27. Dezember 2015 Autor Melden Teilen Geschrieben 27. Dezember 2015 Hehe, ist doch tatsächlich ein Krankheitsbild davon... =) Da flüstert immer einer ins Ohr ich müsse die Software möglichst am Sammeln und übermitteln hindern. Muss ich mir Sorgen machen oder darf man es als "geht-mir-auf-die-Eier" abtun oder läuft das schon unter Verleugnung und forgeschrittenem Krankheitsbild? *lach* Danke für das Script, sieht vielversprechend aus! Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 (bearbeitet) Wenn du wirklich mit "bösartiger" Software rechnest wird dir ein Paketfilter im OS nicht helfen. Die "böse" app kann einfach alles z.B. per DNS übertragen. Als Serverbetreiber kannst du DNS-Anfragen ala "nslookup $USERNAME-$ANDERE_PERSOENLICHE_DATEN.example.com" problemlos auswerten. Willst du DNS verbieten? Und das ist nur ein Beispiel. Wenn du sogar dem "modernen OS" misstraust, wieso denkst du das dessen call-home-Anfragen überhaupt von der Firewall detektiert werdne? Ich verstehe was du erreichen willst, da geht nur so nicht. bearbeitet 28. Dezember 2015 von magheinz Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 28. Dezember 2015 Autor Melden Teilen Geschrieben 28. Dezember 2015 @MagHeinz: Da hast Du sicher nicht unrecht. Vielleicht ist es aber immerhin ein Anfang. Vielleicht auch nicht. Richtig helfen würde diesbezüglich sowieso nur, alles Offline zu nehmen. =) Die Illusionen das es gegen professionelle Angriffe/Software etwas nützt habe ich natürlich nicht. Egal ob von Extern oder durch eine Applikation. Dem OS an sich misstraue ich ned. Nur gewissen Diensten, Aufgaben und Apps. Wenn es nix nützt, war es immerhin gut um die Verkettungen/Abhängigkeiten der Dienste, Programme und Server besser zu begreifen. ;) Ansonsten für alle die es interessiert: Auditpol hat die gewünschten Ergebnisse im Ereignislog ausgespuckt. Zusammen mit ProzessID, Programmname, Protokoll etc. Also das was meiner Meinung nach eigentlich das Log der Windows-Firewall ausspucken müsste. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:disable /failure:enableDeutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Zitieren Link zu diesem Kommentar
daabm 1.189 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Weingeist: Genau das meinte ich.... Eventlog halt :) Meine Antwort war wohl etwas zu schnell dahingetippt... Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 30. Dezember 2015 Autor Melden Teilen Geschrieben 30. Dezember 2015 (bearbeitet) @daabm: Nicht ganz. Das Eventlog spuckt den Kram nicht einfach so aus. Das der Firewall auch nicht. Ohne Nachhilfe mit Auditpol gibts nix, das an einem tatsächlich weiterhilft. Taucht auch nicht da auf wo Du und auch ich es vermutet hat sondern im Haupt-Reiter Sicherheit wo auch Benutzeranmeldungen geloggt werden. bearbeitet 30. Dezember 2015 von Weingeist Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.