Warum ist ein exposed Host für Angriffe gefährdet?

[cbkoerncb]

Hallo zusammen,
mich treibt schon einige Zeit eine ziemlich allgemeine Frage um. Und zwar, warum ein exposed Host im Netz gefährdet ist.

Also angenommen ich nehme meinen Desktop-Rechner und lasse ihn als exposed Host ins Netz. Ich weiß, dass damit das komplette Internet in meinem Netzwerk jeden beliebigen Port aufrufen kann und meine Fritzbox so ziemlich alles durchlässt. Was mich konkret interessiert- wie sieht hier so ein Angriffsszenario genau aus?

Ich meine, ich kann ja nur die Ports aufrufen, die einen Dienst zur Verfügung stellen. Wie kann zum Beispiel mein Rechner von außen übernommen werden? Diese würde ja nur gehen, wenn ich irgendein Fernwartungstool laufen habe und hier auch kein Passwort vergeben habe, oder?

Versteht mich nicht falsch- ich habe nicht vor einen exposed Host ins Netz zu stellen. Ich möchte nur die Gefahren verstehen. Wenn ihr was zu lesen habt, gern her damit. Ich habe bisher immer nur gelesen: gefährlich, weil alle Ports zugänglich sind - tiefer ging es leider nie.

Habt vielen Dank für die Antworten.

 

[scooter010]

Das Risiko besteht darin, dass du entweder

Versehentlich einen Dienst geöffnet hast / vergessen hast, ihn nach Verwendung zu schließen oder

dass der Dienst eine Schwachstelle hat durch Programmierfehler oder Fehlkonfiguration (schwach Passwörter etc.).

So ein Windows stellt standardmäßig viele Dienste bereit, die im Internet nichts verloren haben (z.B. Netzwerkfreigaben usw., wenn man nicht öffentliches Netz konfiguriert hat)

Edit: Ganz vergessen: Es gab schon Schwachstellen im IP-Stack selbst. Also ohne offener Port trotzdem gehackt.

 

[eRacoon]

Ich meine, ich kann ja nur die Ports aufrufen, die einen Dienst zur Verfügung stellen.

In der schönen heilen Welt ist das so... die Erfahrung hat aber gezeigt dass es eben doch hin und wieder mal eine Sicherheitslücke oder Fehlfunktion gibt wo genau das eben nicht klappt oder ausgehebelt werden kann.

 

[Mickey Mouse]

naja, hinter jedem offenem Port (das muss ja kein Fernwartungstool sein!) kann sich eine Schwachstelle verbergen!

konkretes Beispiel: es gab schon Probleme beim ganz einfachen ICMP, das z.B. für Ping genutzt wird. Mit einem entsprechend präparierten Ping (mit der "richtigen" Payload) konnten Rechner attackiert werden!

hast du deinen Rechner hinter der NAT "Firewall", dann kann dem wenig passieren, da muss halt "nur" der Router davor sicher sein. Sowie du von dem Rechner aus auf das Netz zugreifst, sieht es dann wieder anders aus.

 

[Rijndael]

Prinzipiell können auch von Windows eingebaute Features schon ein Sicherheitsrisiko darstellen.
Es hat konnte z.B. in der Vergangenheit auch schon sowas wie eine Druckerfreigabe reichen, .. siehe WannaCry

 

[GrumpyCat]

Wer Angst vor Lücken im TCP/IP-Stack hat, darf sich natürlich auch nicht auf einen Router als Firewall verlassen, denn der hat schließlich auch einen TCP/IP-Stack laufen. Ein Angreifer müsste also nur einen winzig kleinen Umweg über den Router machen.

Einen Desktop stellt man aber trotzdem nicht einfach so ins Netz, denn da läuft viel wechselnde Software drauf, die speziell unter Windows häufig mit heißer Nadel gestrickt ist. Da kann's dann schonmal vorkommen, dass der Treiber für die Tastatur noch schnell einen Webserver mitstartet (weil das nunmal ein bequemer technischer Weg ist, dem Treiber von anderer Software aus Befehle schicken zu lassen), und dieser Server eben nicht nur lokale Verbindungen annimmt. (das ist jetzt nicht aus der Luft gegriffen, das gab's schon)
Ähnliches passiert auch ständig ausgerechnet bei Antiviren, die notorisch schlecht programmiert sind.

 

[cbkoerncb]

OK, danke- dieser Zusatz wird in den Erklärungen meist weggelassen. Also grundsätzlich wäre der exposed Host gar nicht so schlimm, wenn die Dienste dahinter alle sicher sind. Da dies aber nicht/selten der Fall ist, ist ein exposed Host Selbstmord :-) .

Habt vielen Dank!

 

[GokuSS4]

reicht ja schon, dass du deine Windows Firewall nicht auf öffentlich, sondern privat gestellt hast und dein Rechner einfach komplett im Internet erreichbar ist

 

[Cokocool]

reicht ja schon, dass du deine Windows Firewall nicht auf öffentlich, sondern privat gestellt hast und dein Rechner einfach komplett im Internet erreichbar ist

Ne. Jeder normale Consumer-Router droppt eingehende Pakete, wenn diese nicht explizit erlaubt sind (z.B. durch SPI Firewall oder Port-Forwarding). Denk auch mal an NAT

Die Windows-Firewall braucht man nicht zwingend.

 

[GokuSS4]

Ne. Jeder normale Consumer-Router droppt eingehende Pakete, wenn diese nicht explizit erlaubt sind (z.B. durch SPI Firewall oder Port-Forwarding). Denk auch mal an NAT

Die Windows-Firewall braucht man nicht zwingend.

er spricht hier von exposed host??

 

[Raijin]

Bei exposed host macht die Firewall vom Router rein gar nichts, null, nada, niente, Das einzige, was der Router macht, ist, alle eingehenden Pakete auf der WAN-Schnittstelle (=Internet) 1:1 an den exposed host durchzureichen, ungesehen, ungefiltert. Dadurch werden buchstäblich alle Dienste, die der exposed host anbietet, aus dem Internet erreichbar, wenn dessen Firewall nicht blockend eingreift. Das gilt dann auch für Dienste, die gar nicht für das Internet vorgesehen und womöglich komplett unverschlüsselt sind.

Ab Werk ist die Windows-Firewall zwar so eingestellt, dass die meisten Dienste lediglich aus dem lokalen Subnetz erreichbar sind. Das muss aber nicht zwingend für alle Dienste gelten und im Zweifelsfall muss man davon ausgehen, dass das eben nicht der Fall ist.

Ohne Kenntnisse welche Dienste tatsächlich auf dem exposed host angeboten werden und ohne das Wissen wie man diese Dienste absichert, ist es grob fahrlässig, wenn nicht sogar der pure Wahnsinn, insbesondere einen Windows-PC als exposed host zu betreiben. Das soll im übrigen kein Windows-Gebashe sein, sondern ist schlicht und ergreifend der Tatsache geschuldet, dass ein frisch installiertes Windows bereits etliche Dienste mit offenen Ports beinhaltet.

Man kann ja mal den Test machen und mit "netstat -ano" nachsehen wie viele Ports auf "LISTEN" oder "ABHÖREN" stehen. Das sind alles Dienste, die auf eingehende Verbindungen warten und die auf einem exposed host potentiell auch aus dem Internet erreichbar sind, wenn die Windows-Firewall nicht explizit Zugriffe von außerhalb des lokalen Subnetzes blockiert.

Es gibt im übrigen auch Dienste, die normalerweise sogar nicht mal im lokalen Netzwerk verfügbar sein sollten, sondern lediglich via localhost / 127.0.0.1 benutzt werden. Der Computer fragt sich also gewissermaßen selbst, ohne das auch nur ein einziges Bit jemals den Computer verlässt. Wenn's ganz dumm läuft, sind selbst solche Dienste dann aus dem www erreichbar. Da gehört dann allerdings noch etwas mehr dazu, weil diese Dienste "eigentlich" auch wirklich nur auf 127.0.0.1 zu erreichen sind oder sein sollten und nicht über die Netzwerk-IP.

Im Zweifelsfall sollte man bei einem exposed host immer vom schlimmsten ausgehen, weil es besser ist, übervorsichtig zu sein, als hinterher dumm aus der Wäsche zu gucken, wenn ein Angriff erfolgreich war und womöglich brisante private Daten runtergeladen wurden oder sonstiger Schaden entstanden ist.

Ergänzung (9. November 2021)

Vielleicht mal ein sehr plastisches Beispiel was passieren kann (nicht direkt exposed host, aber artverwandt):

Mich hat mal jemand hier im Forum via PN angeschrieben und gefragt warum ich bei Fernzugriffen auf das Heimnetzwerk immer auf VPN verweise. Er mache das immer mit einzelnen Portweiterleitungen und das ginge doch super, auch bei seinem Drucker - meinte er zumindest. Nachdem er mir auf Nachfrage seine öffentliche IP genannt hatte, habe ich ihm mal demonstriert, dass er nicht der einzige ist, der von außen auf seinem Drucker drucken konnte. Es waren "nur" 3 Seiten mit irgendeinem Quatsch drauf, aber ich hätte ihm seinen gesamten Papiervorrat volldrucken können. Hunderte Bilder von Geschlechtsteilen oder was auch immer so ein Skript-Kiddie lustig finden mag.

Ok, der Schaden würde sich lediglich auf einen Stapel Papier und etwas Tinte/Toner beschränken, aber hier im Forum gab es schon Fragen ob man nicht auch Netzlaufwerke via SMB-Portweiterleitung aus der Ferne anbinden könne. Ja, das aktuelle SMBv3 ist da robuster, verschlüsselt und all sowas, aber wenn man faul war und als Benutzer nur "admin/123456" eingerichtet hat, ist es nur eine Frage der Zeit wann die Wörterbuch-Attacke einen Erfolg vermeldet und die Bilder von Rai.......mund in Strapsen überall im Internet zu sehen sind .... 😂

 

[GlockMane88]

@Raijin

Sehr guter Beitrag, aber ist es denn überhaupt mit überschaubarem Aufwand möglich einen Windows Server (nicht Windows 10) als Exposed Host zu betreiben und alles dicht zu machen? Also das Ganze z.B. auf einem vServer laufen lassen..

 

[Raijin]

Sicher ist es möglich. Man benötigt das entsprechende KnowHow, um die Firewall richtig zu konfigurieren. Damit ist aber nicht die Bedienung der GUI gemeint, sondern das Verständnis wie Verbindungen funktionieren, welche Parameter es gibt und anhand welcher man die guten von den schlechten Verbindungen unterscheiden kann, um an Ende eine Firewall zu haben, die alles blockt bis auf die erwünschten Verbindungen.

Ein guter Ausgangspunkt wäre das Profil "Öffentlich", da Windows alle (vermutlich/hoffentlich) Ports zumacht, wenn das lokale Netzwerk als öffentlich eingestuft wird. So könnte man anschließend nur die tatsächlich benötigten Ports einzeln öffnen. Bereits nach der Installation hat Windows aber schon Dutzende von Regeln, die man überprüfen muss damit nichts durchrutscht, ist also relativ anstrengend.

Wie es konkret bei Windows Server aussieht, kann ich nicht wirklich beurteilen, weil ich keine Berührungspunkte damit habe. Ich mutmaße aber, dass das Firewall-Konzept da nicht viel anders ist, lasse mich aber gerne eines besseren belehren.

 

[t-6]

Also das Ganze z.B. auf einem vServer laufen lassen..

Ob das Blech oder vServer ist ist ziemlich egal. Im KMU-Umfeld wird man - zurecht - als Dorftrottel verschrieen, wenn man einen Windows-Server direkt (sei es per NAT/Exposed Host o. Ä. freischaltet) ins Internet stellt.

Exchange SMTP? Gehört hinter einen SMTP-Proxy.
Exchange CAS (IIS)? Steht hinter einem Reverse Proxy/WAF.
SMB? SQL? UDP 9100? Dorftrottel.