Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

Überlistung der Firewall?





Frage

Hi ich habe eine Frage an die Experten: Meine Firewall (Zone Labs) habe ich so konfiguriert, daß nur ganz wenige Programme Internetzugriff haben. Anderen Programmen, insb. denen, die als Server laufen, habe ich nur Zugriff auf die "Sichere Zone" erlaubt. Der PC läuft auch ganz gut. Jetzt habe ich einen Proxy installiert, der über die IP 127.0.0.1 angesprochen wird. Im Browser habe ich den Proxy mit der o.g. IP-Adr. eingetragen (und dem Port natürlich). Läuft ebenfalls alles gut. Allerdings habe ich mir überlegt, daß die Firewall nun nicht mehr mitkriegen kann, wenn ein Programm auf das Internet zugreift, weil die IP 127.0.0.1 ja als "Sichere Zone" gilt und die Firewall - meiner Meinung nach - darin einen "Berechtigten Zugriff" sieht und diesen - bei verbotenem Internetzugriff - erlaubt und das Programm, quasi durch die Hintertür "Proxy" dann doch aufs inet zugreifen kann ... Wenn ich recht hätte, wäre das nicht so toll. Wer weiß Rat oder ist meine Denke ein Trugschluß? Wie unterscheidet eine Firewall zwischen einem Zugriff auf den lokalen PC (localhost, 127.0.0.1) und einem Internetzugriff über den Proxy, der ja auch über IP 127.0.0.1:Port läuft ??? Ich habe mir schon den Kopf zermartet, komme aber nicht drauf. Vielen Danke für die Hilfe. LG Susan

Antwort 1 von Susan1987

Weiß denn hier keiner Rat? ...

Antwort 2 von wunnie

nun ja .. da müsste ein programm ja erstmal wissen, dass es über den lokalen proxy rauskommt und auf welchem port der läuft. normal wär das nicht. kannst ja vielleicht einen exotischen port einstellen.
das grössere problem ist, falls du den internetexplorer freigeschaltet hast. über den kann jedes programm "surfen", auch ohne ein fenster zu öffnen. diese lücke durch eine firewall ist bekannt. darum gibt es vielleicht auch trojaner oder spyware die diesen tunnel nutzt.

Antwort 3 von wunnie

denkbar wäre, dass es proxserver gibt, bei denen man nur mit benutzernamen und passwort durchkommt und man diese vielleicht manuell im browser so eingeben kann:
benutzername:passwort@localhost

das wäre dann sicherer, solang ein schädling nicht den proxyeintrag aus dem browser holt...

weiss aber nicht, ob das geht, ist nur geraten. kenn mich zu wenig aus.

Antwort 4 von wunnie

wenn ichs mir recht überleg, ist die gefahr, dass zb. ein trojaner die proxyeinträge der bekannten browser durchsucht sehr gross. schliesslich gibt es computer, die nur über einen proxy überhaupt internetzugang haben. deshalb würd ich sagen: der proxy ist ein echtes sicherheitsproblem für dich! da helfen auch keine passwörter oder exotische ports.

Zitat:
Wie unterscheidet eine Firewall zwischen einem Zugriff auf den lokalen PC (localhost, 127.0.0.1) und einem Internetzugriff über den Proxy, der ja auch über IP 127.0.0.1:Port läuft ???

meines wissens gar nicht. es ist ja in dem moment auch kein internetzugriff. dieser erfolgt ja erst später durch das proxyserverprogramm.

Antwort 5 von Susan1987

Hallo @wunnie danke für deine Antworten.

Was mich erstaunt (falls du recht hast) ist zum einen die Tatsache, daß über ein so wichtiges Thema offenbar kaum jemand Bescheid weiß oder meine Überschrift war schlecht gewählt. Meine Kombination "Proxy und Firewall" ist doch nun wirklich nichts außergewöhnliches (?) Wenn das dazu führt - so wie auch du es nicht ausschließt - daß die Firewall "durchlässig", wozu brauche ich dann überhaupt eine Firewall? Auch ich gehe davon aus, daß eine professionelle Spyware einen Portscanner mit "on board" hat.

Überall diskutiert man sich die Köpfe heiß, welche Firewall die beste ist - aber ein solcher Schwachpunkt (wenn es so ist) scheint merkwürdigerweise keinen zu interessieren oder ist bisher nicht bekannt (was ich sehr bezweifeln möchte). Soll mir bitte jetzt keiner kommen, daß das kein "Schwachpunkt" ist, sondern daß ich selbst schuld bin, weil ich einen Proxy verwende ...

Ich bin nach wie vor der Meinung, daß das nicht sein kann, daß die Firewall ALLE Internetzugriffe, die über 127.0.0.1 laufen, ungeprüft durchlässt. Leider scheint es aber genau so zu sein.

Verstehen tue ich das aber nicht: Damit wären Viren und Spyware doch Tür und Tor geöffnet. Klar, Zugriffe von außen werden weiterhin abgewehrt, aber die Programme, die als "Server" auftreten und denen ich "verboten" habe, nach außen "zu telefonieren", die können das nun tun, ohne daß ich das mitkriege, denn Zugriff auf 127.0.0.1 mußte ich ja erlauben, weil das Programm sonst nicht arbeitet.

Weiß noch jemand Rat? Ich finde das Thema absolut wichtig für jeden, der wirklich Wert legt auf eine funktionierende Firewall.

LG Susan

Antwort 6 von ralfb

ein paar Gedanken dazu:

Ich hatte früher, als ich noch keinen Router benutzte, den JanaProxy auf einem alten Rechner laufen, der über DSL-Modem einwählte, musste mit Einschränkungen leben, weil dann nicht alles mit dem Internet funktioniert (Spiele z.B)

- Ein lokal installierter Proxy ist nicht besonders üblich
wozu genau hast Du ihn installiert? Darüber kommen nur Programme raus, die Proxyeinstellungen unterstützen

- wenn Du einen Router benutzt (ist das so?) ...und alle Internetverbindungen über Proxy laufen sollen, muss der Gatewayeintrag aus der LAN-Verbindung entfernt werden, sonst kann man weiterhin am Proxy vorbei aufs Internet zugreifen ...es sei denn die Desktop-Firewall filtert hier.

- bei DFÜ-Einwahl sieht es ähnlich aus wie mit Router


Übrigens weiss ich leider auch nicht ob die Firewall Verbindungen über Proxy als Internetzugriff erkennt ...ich meine aber doch. Teste es einfach mit einem Programm, z.B. IE ...lösche alle IE-Einträge in ZoneAlarm oder stelle sie um auf "nachfragen" o.ä., dann sollte sich Zonealarm melden

mfg Ralf

Antwort 7 von Susan1987

Hallo @ralfb

Zitat:
Ein lokal installierter Proxy ist nicht besonders üblich

Mit "Proxy" meine ich Torpark, JAP, Proxomitron, Privoxy u.v.m. Auch Einwahl-Proxies (z.B. Wingate) wären betroffen. Diese werden ja i.d.R. alle über 127.0.0.1:[Port] angesteuert.

Zitat:
Darüber kommen nur Programme raus, die Proxyeinstellungen unterstützen

Das ist ok so, denn nur der Browser und der emailclient soll den Proxy benutzen

Zitat:
wenn Du einen Router benutzt (ist das so?) ...

Ja, die Problematik besteht aber auch bei GPRS/UMTS und Modemverbindungen.

Zitat:
...und alle Internetverbindungen über Proxy laufen sollen, muss der Gatewayeintrag aus der LAN-Verbindung entfernt werden, sonst kann man weiterhin am Proxy vorbei aufs Internet zugreifen ...es sei denn die Desktop-Firewall filtert hier.

Letzteres. Ich stelle es mal bildlich dar:
Browser ==> Proxy ==> Firewall ==> [ Router ] ==> Internet

Die Firewall fragt nur beim ersten Zugriff, ob dem Proxy Zugriff gewährt werden soll, danach ist "Polen offen" für alle www-Zugriffe, die über 127.0.0.1 laufen.

Zitat:
Übrigens weiss ich leider auch nicht ob die Firewall Verbindungen über Proxy als Internetzugriff erkennt ...ich meine aber doch. Teste es einfach mit einem Programm, z.B. IE ...lösche alle IE-Einträge in ZoneAlarm oder stelle sie um auf "nachfragen" o.ä., dann sollte sich Zonealarm melden

Schon getestet, negativ. Wenn der Firewall der erste Zugriff erlaubt ist, geht jeder Browser ohne Nachfrage raus. Daher denke ich, daß jede x-beliebige Software, die das "mitkriegt", ebenfalls auf diesem Weg "nach Hause telefonieren" kann.

Eine Anfrage bei einem der großen Firewallhersteller hat folgendes ergeben: Zunächst gab man sich ratlos. Nach Schilderung des Problems gestand man ein (zumindest beim deutschen Support) von diesem Problem nichts zu wissen (???) . Man bat um schriftliche Schilderung, um das Problem dem Muttterkonzern in USA zu melden.

Dennoch bin ich nach wie vor der Meinung, daß das nicht sein kann. Die o.g. Proxies werden mittlerweile von vielen PC-Anwenderen benutzt, sei es, um Werbung zu filtern oder unerwünschte Popups zu verhindern. Eine firewall hat jeder. Daher muß das Problem bekannt sein und in den Firewalls implementiert sein.

Hat noch jemand eine Idee?

VG Susann

Antwort 8 von wunnie

Zitat:
Dennoch bin ich nach wie vor der Meinung, daß das nicht sein kann.

stimmt, aber es ist ein problem deiner firewall. bei norton zb. kann man abgehende verbindungen zu 127.0.0.1 genauso mit regeln absichern, wie jede externe ip/adresse im internet.
allerdings ist freier zugang zu localhost voreingestellt. vielleicht findest du ja auch noch den passenden schalter in den einstellungen deiner firewall?

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: