Wie mache ich meinen vernetzten PC internetsicher?
Okay, die Frage wie man seinen PC durch den Einsatz von geeigneter Software relativ internetsicher macht, habe ich ja bereits in einem anderen Report behandelt. Ergänzend dazu möchte ich heute eine kurze Anleitung geben, wie ich einen vernetzten PC relativ effektiv gegen Nuke-Angriffe schützen kann.
Dazu ist kurz anzumerken, dass im privaten Bereich häufig die Ports 137-139 als Angriffspunkt für Nuke-Attacken genutzt werden. Dabei ist es dem Angreifer möglich, über das Internet einen Rechner zu überlasten und zum Absturz zu bringen.
Ermöglicht wird diese Angriffsmethode durch eine Art „Bug“ in Windows 9x. Wenn ich mir neben dem Internetzugang ein privates Netzwerk z.B. auf TCP/IP-Basis installiere, dann setzt Windows standardmäßig alle möglichen Überkreuzverbindungen bei den Netzwerkprotokollen und Adaptern fest. Dabei entsteht leider das oben genannte Problem. Die Ports 137-139 werden geöffnet und sind über Internet ohne weiteres zu erreichen.
Dabei werden diverse Verbindungen für ein korrektes Funktionieren des Netzwerkes und des Internets gar nicht benötigt.
Okay. Ich gebe euch nachfolgend eine Schritt-für-Schritt-Anleitung für die korrekte Konfiguration eures Rechners. Das Ergebnis wird sein, dass ihr eure Ports 137-139 manuell geschlossen habt und demzufolge vor Standard-Nuke-Angriffen über das Internet geschützt seid. Hier (FAQ) findet ihr die Version mit Bildern.
Da ich diesen Bericht nicht mit Screenshots versehen werde, solltet ihr euch gegebenenfalls vorher mal unter http://grc.com/su-rebinding9x.htm (WWW) umschauen. Auf diesen Sites wird das Problem noch einmal ausführlich mit Bildern dargestellt. Das einzige Manko ist dabei, dass der Text komplett in englisch geschrieben ist.
So. Dann wollen wir mal loslegen.
Zunächst rufen wir mal die Netzwerkumgebung auf. Das geht entweder über das Netzwerksymbol auf dem Desktop (mit der rechten Maustaste draufklicken und im Kontextmenü Eigenschaften aufrufen) oder über Start – Einstellungen – Systemsteuerung – Netzwerk.
Warnung an unerfahrene User:
Falls ihr überhaupt keine Ahnung von der Materie „Netzwerk“ habt, sichert euch eure Systemdateien zuvor mit dem hier bereits vorgestellten Tool QuickSave. Falls die Sache richtig in die Hose gehen sollte, könnt ihr so eure alten Einstellungen leicht wiederherstellen.
Als Ergebnis geht eine Box auf, in dem wir alle auf unserem Rechner installierten Clients, Netzwerkkarten und Protokolle sehen.
Bei mir standen z.B. folgende Einträge in der Box:
- Client für Microsoft Netzwerke
- Compex RL2000 PCI Ethernet Adapter
- DFÜ-Adapter
- IPX/SPX-kompatibles Protokoll -> Compex RL2000 PCI Ethernet Adapter
- IPX/SPX-kompatibles Protokoll -> DFÜ-Adapter
- TCP/IP -> Compex RL2000 PCI Ethernet Adapter
- TCP/IP -> DFÜ-Adapter
- Datei- und Druckerfreigabe für Microsoft-Netzwerke
(Anmerkung: Die Einträge können bei euch durchaus verschieden sein, jeweils in Abhängigkeit von der Netzwerkkarte, den bereits installierten Protokollen – IPX/SPX muss man nicht immer haben – und dem verwendeten Netzwerk.)
Nun klicken wir mal nacheinander die Adapter (Compex RL2000 und DFÜ-Adapter) sowie die Protokolle (IPX/SPX -Protokoll und TCP/IP -Protokoll) an und sehen uns über den Punkt Eigenschaften die Bindungen an. Dabei können wir feststellen, dass jeder Client mit jedem Protokoll und jedes Protokoll wiederum mit jedem Adapter verknüpft ist.
Man kann sich die Verbindungskette also wie folgt vorstellen:
Client für Microsoft-Netzwerke -> IPX/SPX –Protokoll -> Compex RL 2000
bzw.
Client -> Protokoll -> Adapter
Nun ist es aber so, dass man für eine funktionierende Internetverbindung lediglich eine Verbindung zwischen dem TCP/IP -Protokoll und dem DFÜ-Adapter benötigt. Weitere Verbindungen sind unnütz und sorgen nur dafür, dass die oben genannten Ports für unsere Hackerfreunde geöffnet werden.
Was also tun?
Um das Problem zu beheben, installieren wir zunächst ein neues Protokoll namens NetBEUI. Wird drücken also den Punkt Hinzufügen, wählen Protokoll aus und drücken erneut Hinzufügen. Es geht eine Box auf, in der wir aufgefordert werden, ein Netzwerkprotokoll auszuwählen. Wir wählen als Hersteller Microsoft und als Netzwerkprotokoll NetBEUI. Anschließend bestätigen wir unsere Wahl mit OK und lassen dem PC einen Moment Zeit, um das Protokoll zu installieren.
Als Folge unserer Aktion haben wir neben den beiden Protokollen IPX/SPX und TCP/IP nun NetBEUI als drittes Protokoll in unserer Liste stehen.
Falls wir das IPX/SPX -Protokoll nicht benötigen (was meistens der Fall sein sollte), dann entfernen wir es jetzt einfach, indem wir das Protokoll anklicken und die Taste Entfernen drücken.
So. Nun müssen wir unsere Bindungen nur noch anpassen.
Dazu gehen wir von oben nach unten unsere Adapter und Protokolle durch und rufen jeweils über den Punkt Eigenschaften – Bindungen die Liste der aktiven Bindungen auf.
Compex RL 2000 ->
Der Adapter muss mit TCP/IP und NetBEUI verbunden sein. (TCP/IP könnten wir eigentlich auch herausnehmen, ich habe es aber bei mir stehen gelassen. Es frisst ja kein Brot.) Bei Änderungen muss mit OK bestätigt werden.
DFÜ-Adapter ->
Die Verbindungen mit TCP/IP und NetBEUI müssen beide zwingend stehen bleiben.
NetBEUI Compex RL 2000 ->
Verbindungen mit dem Client für Microsoft-Netzwerke und der Datei- und Druckerfreigabe stehen lassen.
NetBEUI DFÜ-Adapter ->
Genauso.
TCP/IP Compex RL 2000 ->
Alle Verbindungen sind zu entfernen.
TCP/IP DFÜ-Adapter ->
Genauso.
Unsere Liste schaut zum Schluss so aus:
- Client für Microsoft Netzwerke
- Compex RL2000 PCI Ethernet Adapter
- DFÜ-Adapter
- NetBEUI -> Compex RL2000 PCI Ethernet Adapter
- NetBEUI -> DFÜ-Adapter
- TCP/IP -> Compex RL2000 PCI Ethernet Adapter
- TCP/IP -> DFÜ-Adapter
- Datei- und Druckerfreigabe für Microsoft-Netzwerke
Jetzt müsst ihr nur noch darauf achten, dass die primäre Netzwerkanmeldung (Kasten) auf Client für Microsoft-Netzwerke steht. Falls nicht, einfach umstellen.
So. Das war schon fast alles. Überprüft noch einmal alle eure Einstellungen und schließt denn dann die Netzwerk-Box mit OK. Ihr werdet aufgefordert, den PC neu zu starten, was ihr auch macht.
Schlusskonfiguration
Nach dem Hochbooten des Rechners rufen wir noch einmal die Netzwerkeinstellungen auf. Beim Protokoll TCP/IP sehen wir uns über dem Punkt Eigenschaften – NetBIOS an, ob die Einstellung NetBIOS über TCP/IP aktivieren auch wirklich deaktiviert ist. Falls nicht entfernen wir einfach den Haken und booten den Rechner erneut hoch.
Nacharbeiten
Okay. Nun testen wir erst mal aus, ob wir noch eine Internetverbindung hinbekommen. Falls nicht, haben wir bei den Einstellungen irgend etwas falsch gemacht. Schaut die Eigenschaften der Netzwerkeinstellungen noch mal durch und korrigiert gegebenenfalls den Fehler.
Falls die Verbindung einwandfrei hinhaut, nehmt diese Netzwerk-Einstellungen auch bei den anderen PCs des Netzwerkes vor. Probehalber würde ich es zunächst mal nur bei einem zweiten Rechner versuchen.
Anschließend sollte ein Funktionstest des Netzes erfolgen. Falls alles noch einwandfrei läuft, dann habt ihr eure Sache gut gemacht. Falls nicht, müsst ihr eben die Einstellungen überprüfen. Solltet ihr trotz aller Bemühungen euer Netzwerk nicht wieder zum Laufen bringen, dann bleibt euch nur die Rückgängigmachung der Schritte übrig.
Am einfachsten klappt das, wenn ihr eure Systemdateien vorher mit Quick Save gesichert habt. Einfach zurückspielen und alles ist wieder beim alten.
Was hat denn das alles überhaupt gebracht?
Wenn ihr euch vorher mal die Mühe gemacht habt und an der MS-DOS Eingabeaufforderung den Befehl netstat –a eingegeben habt, dann konntet ihr feststellen, dass diverse Ports (137-139) offen standen. Nach unserer Behandlung dürften beim erneuten Ausführen des Befehls diese Ports nicht mehr in der Liste angezeigt werden. Das liegt ganz einfach daran, dass sie nun geschlossen sind.
Hinweis:
Ihr könnt euch eine wesentlich ausführlichere Version dieses Reports unter http://grc.com/su-rebinding9x.htm (WWW) auf englisch ansehen.
Für alle von euch durchgeführten Änderungen an den Netzwerkeinstellungen übernehmt ihr alleine die Verantwortung. Wenn ihr also überhaupt keinen Plan habt, lasst besser die Finger von den Einstellungen. Holt euch gegebenenfalls lieber jemanden, der Ahnung von der Sache hat und die Anpassungen für euch vornimmt.
