Kryptische Meldungen diverser Firewalls
--------------------------------------------------
Oft erreichen uns Anfragen besorgter Besucher unserer Seiten, die durch die mitunter sehr kryptischen Meldungen diverser Firewalls verunsichert sind und einen Befall mit einem Trojaner befürchten, was auch durchaus verständlich ist. Denn die Meldung der Firewall ist immer ein Hinweis auf eine aussergewöhnliche Aktivität, die wenig mit der normalen Kommunikation zwischen Internet und lokalem PC zutun hat.
Allerdings muss nicht jede Meldung gleich auf einen Trojanerbefall hindeuten. Einerseits reagieren verschiedene Firewalls sehr empfindlich schon auf harmlose Pings (ein Anklopfen an den PC zur Überprüfung der Verfügbarkeit), was sehr häufig bei der beliebten Firewall Zonealarm vorkommt, andererseits können andere und harmlosere Ursachen dafür verantwortlich sein.
Wir geben Ihnen hier einen Überblick über die möglichen Ursachen und hoffen, Ihnen damit einige Aufregungen zukünftig zu ersparen. Was allerdings nicht heissen soll, dass Sie zukünftig nicht mehr Anfragen sollen wenn Ihnen etwas suspekt erscheint. Mir ist lieber, Sie fragen einmal mehr als einmal zu wenig ;-)
Gehen wir mal von der häufigsten Ursache aus...
Um einen Rechner mit einem Trojaner zu infizieren und anschließend Kontakt zu ihm aufzunehmen, müssen einige Dinge passieren, denn ein Zugriff ohne entsprechende Tools ist nicht möglich:
Der Angreifer muss seinem potentiellen Opfer zunächst den Server eines Trojaners unbemerkt zuspielen und hoffen, das dieses Opfer den Server auch tatsächlich installiert. Passiert dies, werden unbemerkt Einträge in die Windows-Registry vorgenommen, die einen automatischen Start des Servers bei jedem Systemstart garantieren.
Um nun Kontakt zum installierten Server aufzunehmen, benötigt der Angreifer Ihre IP-Adresse und einen offenen Port, anders kann kein Zugriff auf Ihrem Rechner erfolgen. In einem TCP/IP Netzwerk können Sie sich die IP-Adresse als Strasse und Hausnummer Ihres Rechners vorstellen, denn sie dient der eindeutigen Identifikation eines jeden PC in einem Netzwerk. Die Ports sind die Zimmertüren und geben einen Zugang zu verschiedenen Funktionen.
Jetzt wird es für den Angreifer zunächst etwas schwieriger, denn er kennt Ihre momentan genutzte IP nicht, vorausgesetzt Ihr Provider hat Ihnen keine feste IP-Adresse übergeben und Sie arbeiten nicht mit einer Standleitung im Netz. Call by Call Provider vergeben IP-Adressen bei der Einwahl ins Netz temporär aus einem Pool gerader freier Adressen, die nur für den Moment Ihrer Online-Verbindung gültig sind.
Der nächste Abschnitt beschreibt einen möglichen und häufigen Grund, warum Ihre Firewall anschlägt !!!
Um jetzt festzustellen welcher infizierte PC mit welcher IP-Adresse und welchem offenen Port gerade online ist, muss der Angreifer diese Daten ermitteln. Hierzu führt er IP-, und Portscans durch, für die es im Netz unzählige spezielle Tools gibt. Der Angreifer durchsucht mit Hilfe dieser Tools komplette Adressräume und erreicht dann irgendwann auch mehr zufällig Ihren Rechner. Diese Scans bemerkt Ihre Firewall, unterbindet sie und gibt Ihnen darüber eine entsprechende Warnmeldung aus. Selbst wenn Ihr Rechner mit einem Trojaner infiziert wurde, ist immer noch keine Kontaktaufnahme möglich, wenn die Firewall diese Kontaktaufnahme bemerkt und blockiert. Das heisst, Ihr Rechner ist auch dann noch sicher.
Aus diesem Grund ist es leichtsinnig, nur einzelne, nicht unbedingt notwendige Ports zu verschliessen und andere ungeschützt offen zu halten. Erkundigen Sie sich daher beim Kauf einer Firewall, ob diese sämtliche Ports verschließt oder mit einem speziellen "Stealth-Verfahren" unsichtbar macht. Ca. 65.000 Ports stehen zur Verfügung und unsere allseits geliebten Script-Kiddies werden immer phantasievoller, diese auch zu nutzen.
Gruß blindfish
