owen 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Hallo zusammen, mal eine allgemeine Frage in die Runde. Ich habe einen Windows 2000 Server (mit SP4+allen Sicherheitspatches) installiert. Nun ist Routing und RAS aktiviert und dadrüber mache ich NAT für ein paar Windows XP Clients. Jetzt meine Frage: Ist es möglich, dass sich durch das NAT der Sasser Wurm auf die WinXP Clients über das Internet kopieren, wenn sie nicht gepatched sind, obwohl sie über das NAT von dem Server ins Internet gehen? Noch zur Anmerkung: Der Server verfügt auch über eine Firewall. Ich würde mich um regen Gedankenaustausch freuen :) Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Hi owen. NAT stellt gegenüber Sasser keinen Schutz dar. Es wird ja nichts gefiltert oder geblockt. Sind die XP-Clients nicht gepacht, fangen sie sich das Teil ein. Es sei denn, die erwähnte Firewall ist aktiv und blockiert Zugriffe von aussen nach innen. Damian Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 7. Mai 2004 Autor Melden Teilen Geschrieben 7. Mai 2004 Hoi, eigentlich schon, also du bist der Meinung, die XP Clients können sich nur den Sasser über den "Server weg" einfangen oder? Mhh eigentlich sind die Ports alle dicht ... der BlasterWurm ist damals auch nicht durch gekommen :D Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Richtig. Der Server ist gepacht und sicher. Aber ohne Firewall werden die ungepachten XP-Clients befallen. Diese Ports müssen gesperrt sein: UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593. Damian Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 7. Mai 2004 Autor Melden Teilen Geschrieben 7. Mai 2004 mhhh irgendwie ist mir das nicht ganz koscher .... ich habe gerade noch mal die firewall gescannt und soweit sind die ports alle dicht ... werde wohl das NAT überall raus nehmen und einfach über einen Proxy laufen lassen, außer die PCs die NAT brauchen .... weil Proxy ist wenigstens sehr sicher ;-) Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Die Clients sollten alle gepatcht werden und eine Firewall ist mit Sicherheit kein Fehler. Virenscanner nicht vergessen.:wink2: Damian Zitieren Link zu diesem Kommentar
launedernatur 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 nabend...@owen.... mhhh irgendwie ist mir das nicht ganz koscher .... kann ich verstehen. ich habe hier einen noch ungepatchten xp-gateway stehen auf dem router/firewall von kerio läuft. so ganz, wie du so nett sagst, *koscher*, ist mir auch nicht. heute nacht wird gefixt! immerhin klopfen sasser und konsorten 10-15mal die minute an meine haustür. sieht nicht gerade toll aus im log wenn man ca. 22.000 mal angepingt wird in 24h. bisher aber keine klagen :) gruß frank Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Original geschrieben von Damian Aber ohne Firewall werden die ungepachten XP-Clients befallen. Einspruch, Euere Kollegenheit ;) Mit NAT (genauer SNAT) kann von außen nur der erste Rechner gesehen werden, der aber eine Firewall mit den (hoffentlich) passenden geblockten Ports hat. Somit ist auf den PCs im privaten (geNATteten) Netz weder Virenscanner noch Firewall zwingend notwendig. Sasser und Co. kommen nur durch, wenn ein DNAT der entsprechenden Ports auf die inneren PCs stattfindet (und so geistes-uncool kann ja wohl keiner sein). Wir praktizieren das seit Jahren mit einer Linux-FW (Win-Produkten trauen wir da nicht wirklich ;)) und hatten noch nie einen Wurm. Grüße Olaf PS: Und selbst ohne NAT würde ein korrekt konfigurierter Paketfilter alle Sassers der Welt draußen lassen. Zitieren Link zu diesem Kommentar
launedernatur 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Off-Topic: :D geistesuncool :D Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Original geschrieben von launedernatur Off-Topic: :D geistesuncool :D Naja, alle anderen Ausdrücke, die mir dazu einfallen, würden dem Wortfilter des Boards zum Opfer fallen, z. B. **********, *******, ************, *****-********* usw. :D:D Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 @ edv-olaf "geistes-uncool" ist gut. Bl**e darf man ja nicht schreiben. :D :D :D Was NAT betrifft, da hätte ich bei owen genauer nachfragen sollen. Im ersten Beitrag schrieb er von einer Firewall, aber nicht davon, ob und wie sie konfiguriert ist. Von einer Firewall auf den Clients habe ich nichts erwähnt. Die ist überflüssig. Damian Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Original geschrieben von Damian Von einer Firewall auf den Clients habe ich nichts erwähnt. Die ist überflüssig. Full ACK und OK, mein Denk- und Lesefehler, Kollege ;) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Da will ich doch gleich mal einhacken. @olaf Ich erinnere mich, wo ich mal meinte, NAT ist doch schon ein gewisser Firewallschutz. Jedenfalls geht da mal so nix ohne weiteres durch. Klar, mach ich Ports auf, keine Frage. Ich kann mich leider nur noch wage an den Thread erinnern und es geht jetzt auch nicht um das wie. Nur, so wie es jetzt hier steht bestätigt es mir: NAT= ein Teil einer Firewall. Nehmen wir einfach den klassischen Fall. Rechner mit priv. IP's ein Router von mir aus am DSL. Klar das NAT läuft. Nix ist offen. Was brauch ich von nem Virenscanner mal abgesehen eigentlich noch mehr? Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 [etwas OT] Au weia, wieder ein Gespräch mit Roland. *forsichtig formulier* ;););) NAT und FW sind zwei verschiedene Prinzipien. Klar, zu 99% sind sie im selben Dienst/Gerät zusammen. Haben aber von der Funktion nix gemeinsam (siehe im Linux IPTables die Tabellen NAT und Filter). Und da sehr viele Hersteller auf einen Linux-Kern (oder Derivat) mit IPTables zurückgreifen in ihrer Hardware, halte ich es für einen zumindest festzuhaltenden Unterschied (den aber keiner merkt und fast niemand kennt ;)). Ein Paketfilter/FW hat ausserdem die Aufgabe, auch ausgehende Verbindungen zu überwachen, z. B. ausgehendes HTTP ist erlaubt, POP3 ist verboten, eMule-Ports sind verboten usw. Deshalb ist eine FW zusätzlich zu SNAT (was alles ausgehende erstmal durchlässt) auch sinnvoll. Ein letzter Punkt: der NAT-Router muss ja auch geschützt werden gegen Angriffe von Außen (besonders, wenn er Win-Server heisst :)). Beantwortet das deine Frage, Roland? Greetz Olaf [/etwas OT] Zu Owens Frage zurück kommend: Wenn der Verbindungsserver zum INet eine Firewall hat und NAT durchführt (bei Win RRAS), dann kann Sasser zunächst nur auf diesen Server drauf. Sprich, ist dieser Server mit Firewall dicht, passiert den Clients "drinnen" nix. Ein guter und aktueller Virenscanner sollte aber trotzdem drauf sein. Grüße Olaf Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 7. Mai 2004 Melden Teilen Geschrieben 7. Mai 2004 Hi Ihr zwei, ich häng mich mal rein ! ;) Im Prinzip hat Wildi schon recht. W2k/XP-Maschinen hinter einem NAT-Router können den Sasser nicht einfach so "erben". Dazu müßte der Router ein Port-Forwarding auf einen speziellen PC im LAN konfiguriert haben - was ja wohl nur sehr bewußt und gewollt konfiguriert worden sein kann (und dann sicher nicht für den Sasser oder Blaster). Wenn der Router selber eine W2k/XP-Maschine ist, muß DIESE geschützt werden, durch eine Firewall z.B. Die PC hinter dem Router müssen sich nur vor den "üblichen" Viren schützen (e-mail, http usw.- also VirenScanner). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.