Weil es ja immer wieder einmal Fragen dazu gibt und dann selten einer mal schnell ein paar links zur Hand hat.

ICS/Hauptseite

[url=http://www.netzadmin.org/server/router-proxy/ics/ics-clients.htm]
ICS-Client Konfigurationen Win9x-ME/2k/XP[/url]
Klicken Sie hier um den Beitrag im pdf Format zu laden

[url=http://netzadmin.org/server/router-proxy/ics/ics-win2000.htm]
Internetverbindungsfreigabe unter Windows 2000 [/url]
Klicken Sie hier um den Beitrag im pdf Format zu laden

Internetverbindungsfreigabe unter Windows 98/ME
Klicken Sie hier um den Beitrag im pdf Format zu laden

Die ICS Einrichtung unter XP ist dort nicht beschrieben.
Ich denke es wird analog zu 2k funktionieren.

quote:

---

Gelesen in NG spline.fli4l.de

[...]
Sinn der Übung soll eben tatsächlich sein, mich mit meinem ISDN-Anschluss so
konkret krass stealth wie möglich zu machen. Welche Information würdest du
benötigen um mir eine konkretere Hilfestellung zu geben?

Dem Rechner korrekt unsichtbar zu machen ist ja kein fett Selbstzweck, Alder. Dem Frage ist konkret, ob das überhaupt Sinn macht bzw. ob und wenn ja wie das konkret möglich ist. ;o)

Ausgangspunkt der Überlegungen muss IMHO sein: welche Kommunikation mit meinem Rechner soll möglich und welche nicht möglich sein? Das kann man nur unter Berücksichtigung der Betriebssysteme und der Software entscheiden. Man hat die Wahl: entweder schalte ich unerwünschte Dienste ab oder binde benötigte Dienste nicht an das Interface, dass nach außen geht. Dann brauche ich mich auch am Router nicht großartig um diese Ports kümmern. Wenn sich der Dienst nicht entsprechend konfigurieren lässt, dann muss ich halt am Router was machen. Die erste Lösung ist natürlich die elegantere und einleuchtendere.

Beispiele:
- Wenn ich keinen Mailserver laufen lasse, brauche ich Port 25 eingehend am Router nicht explizit sperren.
- Wenn ich einen Webserver laufen lassen möchte, muss ich Port 80 eingehend am Router freigeben und diesen mittels Portforwarding auf den Webserver weiterleiten.
- Ich habe Windows-Maschinen im Netz und benutze SMB oder habe alternativ einen Samba-Server laufen? Dann mache ich die Ports 137-139 in beide Richtungen zu.

fli4l kommt da mit ziemlich rigiden Voreinstellungen. Alle Ports <1024 sind auf Verdacht dichtgemacht (bis auf zwei wohlbegründete Ausnahmen), und 137-139 werden in keine Richtung geforwardet. Der Rechner von Otto Normalamwender ist dadurch schon ziemlich gut gesichert.

Zum Thema "wie mache ich meinen Rechner unsichtbar" (bzw. warum das nicht auf die Weise geht, die einem Z*neAlarm und ähnlicher Schrott immer suggerieren will) gibt es m.W. einen Artikel in der fli4l-FAQ. Aber ob mein Rechner nun sichtbar oder unsichtbar ist, ist doch egal, wenn keine Dienste ungewollt nach außen angeboten werden. "Na, komm' doch her, Scriptkiddie. Du siehst zwar mein Haus, aber wo keine Tür vorhanden ist, kannst Du auch keine eintreten. Also schönen Tag noch und geh' endlich sterben."

Ich habe zu Deny vs. Reject unterschiedliche Empfehlungen bekommen, so dass
ich ein wenig unschlüssig bin.

Hast du den entsprechenden Abschnitt zu REJECT vs. DENY in der fli4l-FAQ gelesen? Der macht eigentlich ziemlich deutlich, warum DENY kein mehr an "Unsichtbarkeit" oder Sicherheit bringt. REJECT macht unmissverständlich klar, dass an dieser Adresse nichts zu holen ist. Ein möglicher Angreifer wird sich dann ein neues Opfer suchen und dich in Ruhe lassen.

Ich hätte da noch einen generellen Lesetipp: abonniere die Gruppen de.comp.security.misc und de.comp.security.firewall. Nur mitlesen, mache ich genau so. Die Teilnehmer da haben sehr viel Sachverstand, und man kann eine Menge lernen. Und nach einer Weile kann man über die Empfehlungen der C*mputerBild bezüglich Norton Imaginated Security und ähnlicher Zaubertools nur noch kotzen. Aber gut, die Leute kaufen halt lieber irgendein buntes Programm und wiegen sich in Scheinsicherheit, anstatt das Gehirn einzuschalten. Threads bezüglich ZA und Konsorten in dcsf haben übrigens einen hohen Unterhaltungswert, besonders wenn das Norton-Gedöns mit "NIS" abgekürzt wird. ;o)

Gruß, Jan

---