Firewallregeln zur Detektion von Verbindungen zu Botnetzen?

[wolfgang-12]

Einen wunderschönen guten Tag,

derzeit sitze ich vor meinen alten Firewallregeln (die von meinem alten Router) und überlege, ob es noch Sinn macht einen bestimmten Satz von Regeln weiter zu verwenden.

Die Idee hinter diesen Regeln war Folgende: ich wollte für den Fall eines nicht bemerkten und erfolgreichen Angriffes auf meine Rechner einen Hinweis haben, dass etwas nicht stimmt. Dazu bin ich damals von folgenden Annahmen ausgegangen. Viren und Trojaner und ähnliches Gewürm neigen dazu, zu Botnetzen im Internet Verbindung aufzunehmen. Eine Reihe von Zieladressen sind hier erste Wahl.

Eines der Hauptkandidaten sind zum Beispiel die IPs, die von einem Provider wie der Telekom vergeben werden bei der DSL einwahl. Mit einer einfachen Abfrage bei irgendeiner Webseite finde ich zum Beispiel meine heutige IP mit „84.160.50.166“. Diese gehört zu einem Bereich, der der Telekom gehört 84.128.0.0 - 84.191.255.255. Kann ich nun annehmen, dass eine Verbindung zu diesem Bereich mit hoher Wahrscheinlichkeit eine Trojanerverbindung ist? Oder werden diese IPs auch für andere Dinge verwendet?

In ähnlicher Weise könnte man vorgehen bei IP Bereichen, die zu Russland gehören oder China. Ich kann zunächst einmal annehmen, dass der Anwender solche IPs nicht braucht und diese ggf. Landesweit sperren. Falls eine URL deswegen gespert ist, müsste man händisch den Zugang prüfen und ggf. Teilbereiche wieder freigeben.

Meine Fragen: Machen solche Regeln eigentlich einen Sinn? Gäbe es gegebenenfalls fertige Listen, die man verwenden kann?

Herzliche Grüße
Wolfgang

[Bernie137]

Hallo Wolfgang,

Kann ich nun annehmen, dass eine Verbindung zu diesem Bereich mit hoher Wahrscheinlichkeit eine Trojanerverbindung ist? Oder werden diese IPs auch für andere Dinge verwendet?

Natürlich können diese IPs auch für andere Dinge Verwendung finden. Betreiben einer privaten Webseite, Mailserver, VPN - alles über Dyndns denk Dir was aus.

Es macht eher Sinn, bestimmte Ports zu sperren. Aber das ist ein sehr 2-schneidiges Schwert, da die Ports variieren können bzw. Ports von normalen Programmen auch benutzt werden. Also Ports oder auch IPs in der Firewall zu sperren macht nur Sinn, wenn ein konkretes Problem vorliegt und man dann gezielt mit blocken abstellt.

Die Lösung, die Du möchtest macht keine Firewall, sondern ein Contentfilter mit integriertem Spam- und Virenschutz.

Gruß Heiko

[wolfgang-12]

Hallo Heiko

Natürlich können diese IPs auch für andere Dinge Verwendung finden. Betreiben einer privaten Webseite, Mailserver, VPN - alles über Dyndns denk Dir was aus.

Vielleicht noch mal konkret meine Annahme: "Ein Trojaner nimmt Verbindung auf mit anderen Rechnern und nutzt dabei HTTP oder HTTPS."

Wenn ich diese Annahme als Vorraussetzung habe, dann sind alle Art von Kommunikation verboten, lediglich diese auf einer gesonderten Liste sind dann erlaubt:

• Mailserver

Wenn dann ist es nur mein Mailserver, der hier relevant wäre. Die anderen gehen mich nichts an. Ich liefere zum Beispiel meine Mails an einen Mailserver ab, der nur unter einer einzigen IP erreichbar ist und nur hier erlaube ich eine SMTP-Verbindung. Ich hatte früher mal einen Vertrag mit 1und1 und hier habe ich noch einen Bereich von 16 IPs unter denen dies dann eingeliefert werden dürfen. Also bei den Mailservern habe ich keine Ausschlussregel, sondern Einschlussregeln. Ich benenne die IP unter denen eine Mail rausgehen darf. Alle anderen IPs sind ohnehin verboten.

• VPN

Es ist maximal mein VPN, das für mich relevant ist. Und wenn es mein VPN ist, dann kann ich es in den Regeln entsprechend als ausnahme spezifizieren.

• Betreiben einer privaten Webseite

Das ist wirklich mehr ein privates Vergnügen, der Standardanwender greift hierauf nur sehr selten zu. Ich selbst bin sehr viel im Internet unterwegs und habe sowas insgesamt maximal 3 mal erlebt. In einem Fall gab es da noch Port 8080 statt Port 80. Aber wenn ich für alle Spielchen dieser Art das Tor offen halten möchte, dann brauche ich keine Sicherheitsfunktionen mehr.

Hier sage ich: Besagter Regelsatz ist eine Detektionsregel. Im Zweifel kann diese per Mail gemeldet werden und trozdem freigeschaltet sein. Man kann aber auch kurz den Regelsatz deaktivieren, den Zugriff ermöglichen und später wieder sperren.

Ansonsten:

Ansonsten muss ich HTTP und HTTPS allgemein freischalten, sonst ist das Internet nur nervig nutzbar. Und nun wäre meine Regel eine grundsätzliche Freischaltung mit Ausnahme von ...

Herzliche Grüße
Wolfgang

[Dr.Einstein]

Die Trojaner, die ich immer wieder gesehen habe, waren alle möglichen Ports mit allen möglichen ZielIPs.

Sah dann so aus, Trojaner 1:

2.9.8.2 Port 25
54.8.39.41 Port 25
31.96.5.4 Port 25
...

Trojaner 2

2.9.8.2 Port 3389
54.8.39.41 Port 3389
31.96.5.4 Port 3389

usw. mit allen möglichen Serverdiensten wie RDP, SSH, Telnet, HTTP, SMTP, uvm.

Faktisch bringen alle Regeln in der Firewall nix, da du ja Portbasierend was freischaltest und nicht zielbasierend. Was du brauchst, ist eine "Hardware"-Firewall, die den Inhalt der Pakete auf Layer 7 vernünftig analysieren kann.

Gruß Dr.Einstein

[wolfgang-12]

Hallo Dr. Einstein

usw. mit allen möglichen Serverdiensten wie RDP, SSH, Telnet, HTTP, SMTP, uvm.

Noch einmal: RDP, SSH, Telnet und SMTP sind grundsätzlich verboten, wenn die Ziele nicht auf der Ausnahmeliste stehen.

Das bedeutet: Diese Verbindungen fallen ohnehin auf. Es bleiben nur HTTP und HTTPS. Die kann ich nicht generell verbieten und nach Bedarf freigeben.

Herzliche Grüße
Wolfgang

[cpuprofi]

Hallo Wolfgang,

was Du anscheinend suchst ist eine UTM-Lösung und nicht eine Firewall. Bei einem UTM-Gateway hast Du eine komplette Analyse des Traffic's nach Trojanern, Viren, Spyware und Co., zusätzlich auch noch Firewall, VPN, Content-Filter und noch eine ganze Menge mehr.

Grüße
Cpuprofi

[wolfgang-12]

Hallo Cpuprofi

Ich wollte keinen Virenscanner in der Dose, ich wollte einen Alarm, der ausgelöst wird, wenn ein Rechner befallen ist. Die Idee ist: Ein Bekannter kommt vorbei und hat seinen PC mit. Ich hänge den an meinen DMZ-Anschluss und stelle fest: Ja, auf dem Ding ist wirklich was drauf. Ein Trojaner versucht folgendes ...

Und wenn ich den dann mit einem Tool entfernt habe, dann möchte ich prüfen können ob er wirklich weg ist, oder ob der sich ein Hintertürchen offen gelassen hat.

Ich habe also einen Regelsatz, der von einem befallenen Rechner ausgeht und der eben illegitime Zugriffe melden muss.

Herzliche Grüße
Wolfgang

[Bernie137]

Hi,

ich wollte einen Alarm, der ausgelöst wird, wenn ein Rechner befallen ist.

Und genau dafür gibt es entsprechende Schutzsoftware für Einzelplätze oder Netzwerke. Das macht kein Hardware Router, das ist nicht seine Aufgabe.

OK, mit Lancom hast Du ein sehr professionelles Gerät, welches die ein- oder andere Möglichkeit bietet. Und prinzipiell ist es nicht verkehrt, dass Du eine DENY-ALL Strategie in der Firewall fährst. Aber es ist unmöglich damit, einen befallenen Rechner "ganz sicher" aufzuspüren. Es gibt genug Mist im Netz, der auch über http, https, ftp, smtp und pop3 genug Müll anrichtet. Was soll dann die Firewall melden?

Bin mal neugierig: Reden wir bei Deinem Vorhaben vom Einsatz zu Hause, oder im Firmennetz?

Gruss Heiko

[cpuprofi]

Hallo Wolfgang,

...Ich hänge den an meinen DMZ-Anschluss und stelle fest: Ja, auf dem Ding ist wirklich was drauf. Ein Trojaner versucht folgendes ...

Du weißt aber schon, das in einer DMZ normalerweise keine Firewall aktiv ist und das Rechner in der DMZ direkt im Internet stehen? Sofern man denn die DMZ auch richtig konfiguriert hat.

Ich denke mal, Dein Anliegen kannst Du über ein zweites Netz (z.B. 1. Netz: 192.168.1.x ; 2.Netz:192.168.2.x) lösen, bei diesem zweiten Netz definierst Du dann für die Firewall eine Deny-All Strategie und erlaubst bis auf http/s gar nichts. Dann siehst Du ja im LANmonitor die Firewall-Meldungen und kannst dann diese auch auswerten.

Grüße
Cpuprofi

[wolfgang-12]

Hallo Heiko

Bin mal neugierig: Reden wir bei Deinem Vorhaben vom Einsatz zu Hause, oder im Firmennetz?

Gemischt, ich bin selbständig und mein Heimrechner ist mein Firmenrechner. Und besagte Regeln waren auf dem alten Router im Einsatz. Ich wollte nur die Gelegenheit nutzen, diese in dem Forum mal zu diskutieren. Vielleicht übersehe ich ja etwas.

Es gibt genug Mist im Netz, der auch über http, https, ftp, smtp und pop3 genug Müll anrichtet. Was soll dann die Firewall melden?

Ok, nehmen wir das Beispiel eines ftp/sftp-Zugangs. Hier habe ich drei Server bei denen ich das mache. Ich verbiete also grundsätzlich diese Kommunikation und erlaube sie für zwei fixe IPs und einem IP-Range.

Wenn nun irgendwas einen FTP-Upload versucht, dann wird dieser Vorgang geblockt und gemeldet. Damit weiß ich von dem Zugriff, habe ihn verhindert und kann ggf. - so ich den für meine Arbeit brauche - auch freischalten.

So mache ich es mit allen anderen Protokollen auch.

Bei HTTP/HTTPS muss ich andere Wege gehen - einfach vom Aufwand her. Ich muss diesen Weg freischalten und nun überlege ich, welche IPs von einem typischen Gewürm gebraucht werden, die ich aber garantiert nicht brauche. Ist der Rechner in einem Bot-Netz, dann baut er möglicherweise eine Verbindung auf zu einer Einwahl-IP. Dann hätte ich hier das gleiche wie oben. Ich habe den Zugrff auf eine IP, unter der keine Webseite angeboten wird. Der wird geblockt und gemeldet.

Wenn ich diese Verbindung will, schalte ich sie frei, ansonsten weiß ich, dass irgendwas auf dem Recher drauf ist.

Und genau dafür gibt es entsprechende Schutzsoftware für Einzelplätze oder Netzwerke.

Was wäre das zum Beispiel? Ein Virenscanner ist es nicht, der der prüft die Software vorher.

Hallo cpuprofi

Du weißt aber schon, das in einer DMZ normalerweise keine Firewall aktiv ist und das Rechner in der DMZ direkt im Internet stehen?

Ich kannte den Begriff DMZ nur vom der Software IPCOP, ich habe seinerzeit mal das Manual gelesen. Dort kommte man den Anschluss als 2. Netz konfigurieren. Aber es ist richtig, das mit dem 2. Netz ist der korrekte Ausdruck.

Herzliche Grüße
Wolfgang