Windows Firewall Zugriff Exe von NAS

+A -A
Autor
Beitrag
Questioner2004
Ist häufiger hier
#1 erstellt: 02. Feb 2020, 14:15
Hallo Leute,

nachdem ich nun endlich mal etwas Zeit gefunden habe, beschäftige ich mich gerade etwas mit der Windows Firewall (Win10).
Zunächst habe ich mal grob die Regeln bereinigt und dann ausgehende Anfragen per default blockiert. Ich will explizit zulassen und nicht explizit verbieten... Für die meisten Programme hat das dann auch bisher sehr gut funktioniert.

Probleme bereitet mir aber mein portabler Tunderbird, der auf meinem NAS liegt. Er bekommt einfach keine Verbindung.
Dabei denke ich bereits alles versucht zu haben und denke es liegt wohl an fehlendem Wissen...

Zunächst habe ich ausgehende Regeln angelegt:
Programm "\\nas\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
Programm "\\[NAS-IP]\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
Eingebunden als Netzlaufwerk:
Programm "Z:\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
[NAS-IP] darf zugreifen (Reiter "Bereich") -> geht nicht

Danach natürlich der Blick ins Logfile, der aufzeigt, dass Zugriffe vom NAS blockiert wurden:

2020-02-02 14:10:13 DROP UDP [NAS-IP] 239.255.255.250 1900 1900 428 - - - - - - - RECEIVE


Mich wunder zwar der eingehende Verkehr, da ich davon ausgegangen bin, dass die Thinderbird-Instanz wohl auf meinem Rechner läuft, aber gut... Habe ich noch eingehende Regeln hinzugefügt (und die ausgehenden natürlich belassen):

Programm "\\nas\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
Programm "\\[NAS-IP]\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
Eingebunden als Netzlaufwerk:
Programm "Z:\Programme\Tunderbird\Thinderbird.exe" darf zugreifen -> geht nicht
[NAS-IP] darf zugreifen (Reiter "Bereich") -> geht nicht

So, jetzt stehe ich auf dem Schlauch... Warum blockiert die Firewall eingehende Verbindungen meiner NAS-IP?! Handelt es sich hierbei um ein besonderes Konsturkt, das noch weitere Einstellungen bedarf? Bin echt ratlos und wäre für Hilfe sehr, sehr dankbar!!!

Beste Grüße!

Edit: Ach ja: Der Tunderbird startet ganz normal, kann aber keine Mails abrufen... Es erscheint die Meldung, dass die Verbindung verweigert wurde. Lasse ich per default alle ausgehenden Zugriffe zu, läufts...


[Beitrag von Questioner2004 am 02. Feb 2020, 14:20 bearbeitet]
DB
Inventar
#2 erstellt: 02. Feb 2020, 17:14
Hallo,

Du hast doch sicher einen Router, über den Du aufs Internet zugreifst. Da brauchst Du auch keine Firewall auf dem PC.


MfG
DB
Questioner2004
Ist häufiger hier
#3 erstellt: 03. Feb 2020, 11:54
Wie kommst Du darauf, dass ich dann keine Firewall brauche?! Wenn ich z.B. nicht möchte, dass irgendwelche Programme ohne mein Wissen Daten nach Hause senden, finde ich hierzu keinerlei Einstellungen auf meinem Router...
DB
Inventar
#4 erstellt: 03. Feb 2020, 16:32
Weil Desktopfirewalls, wenn sie Sicherheitslücken haben, dann aufgrund ihrer Verankerung im System erst recht große Löcher reißen (das gilt übrigens auch für Virenkiller). Und weil ihre Arbeit die Rechenleistung des PCs mindert. Und weil man nicht sicher sein kann, daß damit alle Prozesse erwischt werden.

Überhaupt, weshalb willst Du Thunderbird sperren, bei einem Windows 10, der Datenschleuder, wie es sie größer nicht gibt?
Den Einsatz von Win10 halte ich unter diesem Gesichtspunkt zuhause für naiv, in öffentlichen Einrichtungen für fahrlässig.

Was Du bräuchtest, wäre ein UTM, welches auf einem vorgeordneten Rechner (ein ausrangierter alter Dualcore mit zwei oder drei Netzwerkanschlüssen reicht da) läuft. Der wirkt dann gleichzeitig als Router, Zeitserver, Firewall, Virenkiller, Proxy, Spamfilter, Eindringlingserkenner, Email-Schrottanhangwegwerfer usw.
Schau Dir halt mal Endian Community an.


MfG
DB


[Beitrag von DB am 03. Feb 2020, 16:33 bearbeitet]
roger23
Stammgast
#5 erstellt: 03. Feb 2020, 17:07
Was auch immer da oben im Logfile aufgetaucht ist, nach Mailprogramm sieht das erst mal nicht aus. UDP vom NAS zum PC?

Ich gehe mal davon aus, dass der Thunderbird startbar war, nur keine Verbindung mit dem Mailhost bekommen hat. Oder?

Ich würde zunächst DNS-Verkehr (für die Namensauflösung) mit dem Router erwarten, und danach SMTP und IMAP/POP3 mit dem Mailhost.
dan_oldb
Stammgast
#6 erstellt: 03. Feb 2020, 17:20
Die geblockte Anfrage ist eine Suche im Netzwerk nach uPNP Geräten, hat mit Thunderbird erstmals rein gar nichts zu tun.

Warum hast du TB nicht direkt auf dem Rechner installiert, und warum nutzt du die Portable Version?

Ciao, Daniel
Questioner2004
Ist häufiger hier
#7 erstellt: 03. Feb 2020, 22:49

DB (Beitrag #4) schrieb:
Weil Desktopfirewalls, wenn sie Sicherheitslücken haben, dann aufgrund ihrer Verankerung im System erst recht große Löcher reißen (das gilt übrigens auch für Virenkiller). Und weil ihre Arbeit die Rechenleistung des PCs mindert. Und weil man nicht sicher sein kann, daß damit alle Prozesse erwischt werden.

Darüber müssen wir ja wohl beim Windows Defender nicht sprechen... Der ist da und felsenfest im System verankert - ob ich ihn nun nutze oder nicht...

DB (Beitrag #4) schrieb:

Überhaupt, weshalb willst Du Thunderbird sperren, bei einem Windows 10, der Datenschleuder, wie es sie größer nicht gibt?

Hast Du meinen Post überhaupt gelesen?! Ich habe (anders als im Standard) nun ALLES gesperrt und möchte den Thunderbird FREIGEBEN, nicht sperren.

DB (Beitrag #4) schrieb:

Den Einsatz von Win10 halte ich unter diesem Gesichtspunkt zuhause für naiv, in öffentlichen Einrichtungen für fahrlässig.

Danke, das beantwortet meine Frage aber auch nicht wirklich...

DB (Beitrag #4) schrieb:

Was Du bräuchtest, wäre ein UTM, welches auf einem vorgeordneten Rechner (ein ausrangierter alter Dualcore mit zwei oder drei Netzwerkanschlüssen reicht da) läuft. Der wirkt dann gleichzeitig als Router, Zeitserver, Firewall, Virenkiller, Proxy, Spamfilter, Eindringlingserkenner, Email-Schrottanhangwegwerfer usw.
Schau Dir halt mal Endian Community an.

Ich habe momentan leider nur "etwas" Zeit und wollte daher erstmal die "kleine Lösung". Aber, das werde ich bei Gelgenheit tatsächlich vielleicht mal machen. Vielen Dank.


roger23 (Beitrag #5) schrieb:
Was auch immer da oben im Logfile aufgetaucht ist, nach Mailprogramm sieht das erst mal nicht aus. UDP vom NAS zum PC?
Ja, hat mich auch schon gewundert und scheint auch so zu sein... denn...

roger23 (Beitrag #5) schrieb:

Ich gehe mal davon aus, dass der Thunderbird startbar war, nur keine Verbindung mit dem Mailhost bekommen hat. Oder?

...genau so ist es. Bei dem Versuch von Tunderbird eine Verbindung zum Mailserver aufzubauen werden keine Einträge in das Log geschrieben und...

roger23 (Beitrag #5) schrieb:

Ich würde zunächst DNS-Verkehr (für die Namensauflösung) mit dem Router erwarten, und danach SMTP und IMAP/POP3 mit dem Mailhost.

...davon ist nichts im Log zu sehen... Dennoch muss wohl was blockiert werden, weshalb ich schon davon ausgehe, dass die Verbindung zum Mailserver über meinen Rechner bzw. meine Firewall läuft und dort blockiert wird... Denn gebe ich alles frei, gehts ja auch...


dan_oldb (Beitrag #6) schrieb:
Die geblockte Anfrage ist eine Suche im Netzwerk nach uPNP Geräten, hat mit Thunderbird erstmals rein gar nichts zu tun.

Ja, soweit bin ich mittlerweile auch, danke. Nur scheint die Firewall was zu blocken ohne es zu protokollieren... (siehe oben).

dan_oldb (Beitrag #6) schrieb:

Warum hast du TB nicht direkt auf dem Rechner installiert, und warum nutzt du die Portable Version?

Einfach Bequemlichkeit... Wir haben hier mehrere Rechner und meine Frau kommt dienstlich bedingt immer wieder mit einem anderen Laptop nach Hause. Anstatt jetzt immer wieder und überall TB zu installieren, habe ich eben die gesamte "Installation" aufs NAS gepackt, von wo aus TB auf jedem (Windows-)PC lauffähig ist. Das geht (m.E.) nur mit der portablen Version.

Ich habe das gesamte Log durchforstet. Darin befinden sich ausschließlich geblockte UDP-Protokolle - allsamt "RECEIVE". Die einzigen Verbindnugsversuche mit TCP (dann auch SEND) gehen von meinem Rechner an die IP 52.114.76.35 und die gehört - man darf raten: MS.

Also entweder die Firewall macht nicht was sie soll, oder das Logging ist unbrauchbar, oder ich habe das Logging nicht richtig konfiguriert (sofern das geht).
OldNo7
Inventar
#8 erstellt: 04. Feb 2020, 11:06
hör ma sind bei euch die Aluhütte alle oder ist dir langweilig?

entweder nimmt man eine Hardwarefirewall oder man lässt es sein.
Was du da mit dem NAS und Firewall machst ist reine Zugriffsberechtigung, damit kontrollierst du in keine Weiße die Kommunikation von Programmen ... wenn man eine exe freigibt ... wo her willst du wissen was die Programme im Hintergrund machen?

den Windows Defender muss du nicht nutzen, diesen kannst du ohne weiteres abschalten.

sonst viel spaß beim forschen


[Beitrag von OldNo7 am 04. Feb 2020, 11:07 bearbeitet]
roger23
Stammgast
#9 erstellt: 04. Feb 2020, 21:47
Oder Du packst mal nen Wireshark drauf und schaust mal, was der so alles findet. Dem würde ich deutlich mehr trauen als die Windoof-Firewall...
dan_oldb
Stammgast
#10 erstellt: 04. Feb 2020, 22:53
Nach etwa 15 Jahren im IT Sektor, davon 10 in leitender Position einer Firma die u.a. mit Firewalls, Netzwerken und Co ihr Geld verdient, masse ich mir auch an zu sagen: Wenn man von der Funktionsweise einer Firewall, von Netzwerken, von Ntzwerkprotokollen und Ports, und grundlegenden Diensten nicht allzu viel versteht, schadet man mehr als man sich nützt wenn man daran herumfummelt.

Ich vermute das hier grundlegende Dienste/Ports/wasauchimmer erstmal pauschal geblockt wurden, dann die Anwendung grundsätzlich zwar freigegeben wurde, aber weiterhin auf Portebene geblockt wird. Wie schon geschrieben müssen DNS Abfragen möglich sein, und natürlich müssen mindestens POP/IMAP/SMTP auf ihren jeweiligen Ports (das ist abhängig von den Konten) erlaubt werden.

Im Übrigen: Würde einer meiner MitarbeiterInnen so handeln wie deine Frau, also einen privaten Mailclient auf einem Firmengerät starten, dürften die die Firma nur noch abholen der Papiere betreten.

Ciao, Daniel
roger23
Stammgast
#11 erstellt: 05. Feb 2020, 04:23
In der Tat - das mit dem Firmenlaptop kommt mir jetzt auch komisch vor.

Entweder Deine Frau bekommt jedesmal einen frisch aufgesetzten PC mit nach Haus - oder das Gerät wurde potentiell von Vorbenutzern hinreichend verhunzt (wenn Deine Frau das "kann", dann andere wohl auch), dass ich mir echt überlegen würde, das ins Netz zu lassen. Und auf mein NAS schon mal gar nicht.

Die Arbeitgeber, die ich kenne, unterbinden sowas in der Regel aktiv. Da gehört dann schon kriminelle Energie dazu, fremde Netzfreigaben anzubinden oder Software zu installieren, die reden freiwillig nur über VPN, und danach nur mit dem Firmennetz. Und Betriebsvereinbarungen regeln das juristische Drumherum. Und die, die das per "Mufti-Order" abschalten lassen, fangen sich nicht selten irgendwann was ein. Glaub mal nicht, davon würde keiner was mitbekommen. IT-Support-Leute kommen viel rum.

Vielleicht sollte sich Deine Frau mal mit dem Webclient Eures Mailhosts anfreunden?
Questioner2004
Ist häufiger hier
#12 erstellt: 05. Feb 2020, 11:37

OldNo7 (Beitrag #8) schrieb:
hör ma sind bei euch die Aluhütte alle oder ist dir langweilig?

Werd ich jetzt in einem IT-Forum nach Aluhüten gefragt, wenn ich mir um Datensicherheit Gedanken mache?! Armes Deutschland!


OldNo7 (Beitrag #8) schrieb:
entweder nimmt man eine Hardwarefirewall oder man lässt es sein.

Und die nehme ich dann überall mit hin, wo ich mit meinem Laptop ins Internet gehe?! Könnte natürlich auch jedes Mal über ne VPN-Verbindung über meine Firewall, macht mit der geringen Upload-Bandbreite meines Anschlusses aber nur sehr wenig Spaß den gesamten Verkehr darüber zu filtern. Es geht um ein privates Vorhaben...


OldNo7 (Beitrag #8) schrieb:
wo her willst du wissen was die Programme im Hintergrund machen?

Ich habe nicht vor akribisch einen Schutzwall zu bauen. Mit geht es hauptsächlich darum, dass ich gerne kontrollieren würde WELCHE PROGRAMME ins Internet gehen.


roger23 (Beitrag #9) schrieb:
Oder Du packst mal nen Wireshark drauf und schaust mal, was der so alles findet. Dem würde ich deutlich mehr trauen als die Windoof-Firewall...
Ja, Wireshark wäre nun auch meine nächste Wahl gewesen... Manchmal sind es aber ja nur Kleinigkeiten, die man nicht bedacht hat und ich habe mir hier Hilfe erhoft. Weit gefehlt! - Aber Wireshark ist der bisher einzig lösungsorientierte Vorschlag. Danke.


dan_oldb (Beitrag #10) schrieb:
Nach etwa 15 Jahren im IT Sektor, davon 10 in leitender Position einer Firma die u.a. mit Firewalls, Netzwerken und Co ihr Geld verdient, masse ich mir auch an zu sagen:

Das nenne ich understatement Du könntest diese Kompetenz ja nutzen um zu helfen...


dan_oldb (Beitrag #10) schrieb:

Wenn man von der Funktionsweise einer Firewall, von Netzwerken, von Ntzwerkprotokollen und Ports, und grundlegenden Diensten nicht allzu viel versteht, schadet man mehr als man sich nützt wenn man daran herumfummelt.
Mal abgesehen davon, dass ich mir da schon etwas mehr Ahnung zusprechen würde und die Windows Firewall offensichtlich keiner regulären Firewall gleichkommt, möchte ich auch Erfahrung damit sammeln. Learning by doing... Etwas zu lassen, weil man es nicht in Gänze versteht, bringt einen wie weit ans Ziel?!


dan_oldb (Beitrag #10) schrieb:

Ich vermute das hier grundlegende Dienste/Ports/wasauchimmer erstmal pauschal geblockt wurden, dann die Anwendung grundsätzlich zwar freigegeben wurde, aber weiterhin auf Portebene geblockt wird. Wie schon geschrieben müssen DNS Abfragen möglich sein, und natürlich müssen mindestens POP/IMAP/SMTP auf ihren jeweiligen Ports (das ist abhängig von den Konten) erlaubt werden.

Die gesamte Anwendung ist per Regel freigegeben. Keinerlei Einschränkungen auf Protokolle/Ports/wasauchimmer. Für sämtliche anderen auf dem PC installierten Programme scheint dies problemlos zu funktionieren... Ich kann mich mit meinem Firefox (der nutzt zur Namensauflösung sicher kein DNS ) hier problemlos bemerkbar machen.


dan_oldb (Beitrag #10) schrieb:

Im Übrigen: Würde einer meiner MitarbeiterInnen so handeln wie deine Frau, also einen privaten Mailclient auf einem Firmengerät starten, dürften die die Firma nur noch abholen der Papiere betreten.

Danke! Mit diesem Problembezogenen Beitrag hast Du mir ja sehr geholfen.


roger23 (Beitrag #11) schrieb:
In der Tat - das mit dem Firmenlaptop kommt mir jetzt auch komisch vor.

Entweder Deine Frau bekommt jedesmal einen frisch aufgesetzten PC mit nach Haus - oder das Gerät wurde potentiell von Vorbenutzern hinreichend verhunzt (wenn Deine Frau das "kann", dann andere wohl auch), dass ich mir echt überlegen würde, das ins Netz zu lassen. Und auf mein NAS schon mal gar nicht.

Die Arbeitgeber, die ich kenne, unterbinden sowas in der Regel aktiv. Da gehört dann schon kriminelle Energie dazu, fremde Netzfreigaben anzubinden oder Software zu installieren, die reden freiwillig nur über VPN, und danach nur mit dem Firmennetz. Und Betriebsvereinbarungen regeln das juristische Drumherum. Und die, die das per "Mufti-Order" abschalten lassen, fangen sich nicht selten irgendwann was ein. Glaub mal nicht, davon würde keiner was mitbekommen. IT-Support-Leute kommen viel rum.

Was tut das eigentlich zur Sache?! Anstatt Hilfe zu bekommen (oder halt auch nicht) muss ich mich hier für Dinge rechtfertigen, die weder relevant noch lösungsorientiert sind und gesagt auch keinen was angehen. Dass meine Frau regelmäßig mit anderen Laptops nach Hause kommt hat seinen guten Grund und die Rechner sind vertrauenswürdig. Was aber hat das mit dem Sachverhalt zu tun?!


roger23 (Beitrag #11) schrieb:

Vielleicht sollte sich Deine Frau mal mit dem Webclient Eures Mailhosts anfreunden?
Und auf das akribisch angelegte Regelwerk verzichten? Na danke!


Ich hatte bisher mit der Firewall keine Probleme. Alle auf dem Laptop befindlichen Programme lassen sich ordnungsgemäß konfigurieren.Die Problematik muss mit der Ausführung einer auf dem NAS befindlichen Anwendung korellieren. Somit wollte ich lediglich wissen, ob es da eine Besonderheit gibt, an die ich nicht gedacht habe.
Aber ich frage hier, wie man Spiegeleier kocht und bekomme als Antwort, dass ich besser auf mein Cholesterin achten sollte, ich eh keine Ahnung hätte, da Maultaschen ohnehin besser schmecken und zum Abschluss darf ich mich noch bezüglich der katastrophalen Haltungsbedingungen von Hühnern rechtfertigen... Vielen Dank für die Hilfe!


[Beitrag von Questioner2004 am 05. Feb 2020, 11:42 bearbeitet]
DB
Inventar
#13 erstellt: 05. Feb 2020, 15:45
Mich dünkt, folgend Verweis könnt hilfreich sich erweisen.

Davon aber abgesehen, wenn Du Datenschutz wirklich groß schreiben willst, wird es zweckmäßig sein, MS Windows 10 den Rücken zu kehren.
https://www.heise.de...huetzer-4509119.html
https://www.heise.de...dows-10-4584678.html

Du kannst Dir ja mal einige der gut beleumundeten Linuxdistributionen anschauen, oder mirwegen FreeBSD.
Wenn unbedingt Windows sein muß, würde ich es in eine virtuelle Maschine einsperren.


MfG
DB


[Beitrag von DB am 05. Feb 2020, 15:49 bearbeitet]
dan_oldb
Stammgast
#14 erstellt: 05. Feb 2020, 16:18

Questioner2004 (Beitrag #12) schrieb:
Alle auf dem Laptop befindlichen Programme lassen sich ordnungsgemäß konfigurieren.Die Problematik muss mit der Ausführung einer auf dem NAS befindlichen Anwendung korellieren. Somit wollte ich lediglich wissen, ob es da eine Besonderheit gibt, an die ich nicht gedacht habe.


Die Anwendung, also TB Portable, wird ja eben nicht auf dem NAS ausgeführt. Die Datei liegt zwar auf dem NAS, ausgeführt wird sie aber von deinem Rechner.
Welche Ports du nun genau (Quelle, Ziel, Protokoll) freigegeben hast für TB hast du immernoch nicht erzählt. "TB für alles freigeben" ist wenig aussagekräftig, zu mal es keinen Sinn ergibt wenn du nicht möchtest das die Anwendung nach Hause telefoniert, was ja offenbar dein primäres Ansinnen ist.
Was sagt denn das TB Log dazu? Kommst du per Telnet z.B. auf die IPs und Ports der konfigurierten Konten?

Und ob der Rechner deiner Frau vertrauenswürdig genug für dein Heimnetz ist war nicht der Punkt, sondern andersherum: Dein Heimnetz und darauf abgelegten ausführbaren Dateien wie TB Portable ist nicht vertrauenswürdig für den Firmenrechner! Darum geht es.

Ciao, Daniel
DB
Inventar
#15 erstellt: 05. Feb 2020, 18:52
Weshalb wird TB Portable nicht so verwendet, wie es hier beschrieben wird?
Auf einen Stick damit und von dort aus starten.

MfG
DB
Mikesch_75
Ist häufiger hier
#16 erstellt: 05. Feb 2020, 19:28
Gibt es für Windows eventuell Richtlinien, dass Anwendungen, die von einem Netzlaufwerk gestartet werden, keinen Zugriff auf das Internet bekommen? In einem Unternehmensnetzwerk würde ich dann erwarten, dass die gesetzt sind.
Questioner2004
Ist häufiger hier
#17 erstellt: 05. Feb 2020, 21:13

DB (Beitrag #13) schrieb:
Mich dünkt, folgend Verweis könnt hilfreich sich erweisen.
Danke für den Link. Da steht aber zusammengefasst auch nur, dass es an der Firewall liegen kann... Naja, so schlau war ich ja schon... Einen Speedport nutze ich auch nicht, sondern eine Fritz!Box. Wenn ich also nichts übersehen habe, steht da nichts Neues.

DB (Beitrag #13) schrieb:

Davon aber abgesehen, wenn Du Datenschutz wirklich groß schreiben willst, wird es zweckmäßig sein, MS Windows 10 den Rücken zu kehren.
https://www.heise.de...huetzer-4509119.html
https://www.heise.de...dows-10-4584678.html
Du kannst Dir ja mal einige der gut beleumundeten Linuxdistributionen anschauen, oder mirwegen FreeBSD.

Damit hast Du ganz sicher Recht. Komplett auf Linux umzustellen habe ich mich bisher aber tatsächlich noch nicht getraut... Das liegt vor allem daran, dass es die mir bekannten Anwendungen meist für Linux nicht gibt und sich der Aufwand dann nicht nur auf die Einarbeitung in ein neues BS(-Konzept) beschränkt. Mich in zahlreiche Programme neu einzuarbeiten und vielleicht auch viele Funktionen nicht mehr zu haben, kann ich mir leider nicht leisten.

DB (Beitrag #13) schrieb:

Wenn unbedingt Windows sein muß, würde ich es in eine virtuelle Maschine einsperren.
Auch das würde ich gerne machen. Aber auch hier wird es spätestens mit dem Gaming (oder 3D-BluRays) doch etwas schwierig, da mir keine erschwingliche Lösung bekannt wäre, dass das virtuelle System "verlustfrei" auf die Grafikkarte durchgreifen kann.
Ich habe hier aber durchaus Windows10-PCs, die aufgrund sensibler Daten nicht auf das Internet zugreifen dürfen (Zugriff über Router gesperrt).
Wie gesagt geht es mir nicht darum die betroffenen PCs völlig abzusichern, sondern nur wenig mehr Kontrolle zu erhalten. Prinzpiell kann jede Anwendung Daten über den Browser versenden, sofern dieser Internetzugriff hat.


dan_oldb (Beitrag #14) schrieb:

Die Anwendung, also TB Portable, wird ja eben nicht auf dem NAS ausgeführt. Die Datei liegt zwar auf dem NAS, ausgeführt wird sie aber von deinem Rechner.

Vielleicht war das der richtige Gedankenstoß... Ich gebe ja in der Firewall-Regel den Dateipfad zur Anwendung an... Wird diese aber vielleicht in ein lokales temporäres Verzeichnis geladen und dann ausgeführt?! In diesem Fall wird die Anwendung eben von einem anderen (nicht freigegebenen) Verzeichnispfad ausgeführt - das könnte tatsächlich ein Ansatz sein! VIELEN DANK!!!

dan_oldb (Beitrag #14) schrieb:

Welche Ports du nun genau (Quelle, Ziel, Protokoll) freigegeben hast für TB hast du immernoch nicht erzählt. "TB für alles freigeben" ist wenig aussagekräftig, zu mal es keinen Sinn ergibt wenn du nicht möchtest das die Anwendung nach Hause telefoniert, was ja offenbar dein primäres Ansinnen ist.

Jein... Mir geht es darum, dass es Programme gibt, die für ihre Funktionsweise Internet brauchen und Programme, die denken sie brauchen ihn. Warum muss mir z.B. mein PowerDVD ständig sagen, dass ich eine neue Version kaufen soll?! Warum muss die XBOX-Anwendung (die ich schon zig mal deinstalliert habe und bei jedem Updaten wieder aufs System kommt) ins Internet?! Das sind die Dinge die mich stören.

Und wie sieht so eine Regel in der Win-Firewall aus...
- Im Reiter "Allgemein" kann ich Namen und Beschreibung vergeben (irrelevant) und angeben ob ich die Verbindung zulassen oder blockieren will -> "Verbindung zulassen".
- Im Reiter "Programme und Dienste" kann ich die Programme, Anwendungspakete und/oder Dienste auswählen, für welche die Regel gilt -> Programm=Thunderbird (Dateipfad zu Thunderbird)
- Im Reiter" Remotecomputer" kann ich die Regel auf bestimmt Computer einschränken -> keine Einschränkung (keine Angabe)
- Im Reiter "Protokolle und Ports" kann man die Regel auf bestimmte Protokolle, lokale und Remoteports einschränken -> keine Einschränkung (Alle Protokolle, Alle lokalen Ports, alle Remoteports)
- Im Reiter "Bereich" kann die Regel auf IP-Adressen oder IP-Adressbereich eingeschränkt werden > keine Einschränkung (beliebige IP-Adressen für lokal und remote)
- Im Reiter "Erweitert" kann angegeben werden, für welches Profil die Regel gelten soll -> Regel soll für alle Profile gelten (Domäne, Privat und Öffentlich (alle) angehakt).
- Und zuletzt kann auf dem Reiter "Lokale Prinzipzentrale" der Zugriff nur für bestimmte Nutzer (und Ausnahmen) zugelassen werden -> keine Einschränkung (nicht aktiviert).

Im Endeffekt, heißt das: Lasse Thunderbird ohne weitere Einschränkungen zu.


dan_oldb (Beitrag #14) schrieb:

Was sagt denn das TB Log dazu? Kommst du per Telnet z.B. auf die IPs und Ports der konfigurierten Konten?

Ja, mit Telnet komme ich auf die Konten.


dan_oldb (Beitrag #14) schrieb:

Und ob der Rechner deiner Frau vertrauenswürdig genug für dein Heimnetz ist war nicht der Punkt, sondern andersherum: Dein Heimnetz und darauf abgelegten ausführbaren Dateien wie TB Portable ist nicht vertrauenswürdig für den Firmenrechner! Darum geht es.

Die Rechner sind speziell für den externen Einsatz konfiguriert und werden nicht direkt ins Firmennetz eingebunden. Sie dienen lediglich dazu eine RDP-Verbindung aufgebaut - ein Datentrasfer ist nicht möglich. Das aber will ich gar nicht weiter diskutieren...

DB (Beitrag #15) schrieb:
Weshalb wird TB Portable nicht so verwendet, wie es hier beschrieben wird?
Auf einen Stick damit und von dort aus starten.

Ich verbinge schon wieder mehr Zeit mit Rechtfertigen als mit der Lösung... Hat doch bis zur blöden Firewall-Regel (um DIE mein Hilfegesuche eigentlich geht) super funktionert... Warum sollte ich es also nicht so verwenden?! Ich muss kein Stick rumschleppen, kann ihn nicht verlieren, er kann schwer geklaut werden und durch die Benutzerverwaltung kann jeder direkt auf seine Mails (und nur seine) zugreifen - abgesehen von der Ausfallsicherheit des NAS (auch wenn das speziell in diesem Fall nicht so sehr zum Tragen kommt). Hilft mir jetzt aber kein bisschen weiter...


Mikesch_75 (Beitrag #16) schrieb:
Gibt es für Windows eventuell Richtlinien, dass Anwendungen, die von einem Netzlaufwerk gestartet werden, keinen Zugriff auf das Internet bekommen? In einem Unternehmensnetzwerk würde ich dann erwarten, dass die gesetzt sind.

Danke für die sachbezogene Überlegung. Allerdings funktioniert der Zugriff ja, sobald man die Firewall so konfiguriert, dass standardmäßig alle ausgehenden Zugriffe erlaubt sind. Wäre dies über Richtlinien gesperrt, dürfte es auch dann nicht funktionieren - zumal es diese bei meinem privaten Rechner auch nicht gibt...


Ich werde dem Ansatz des temporären Verzeichnises nun mal nachgehen - klingt für mich zumindest logisch, auch wenn ich einen Logeintrag der geblockten Verbindung erwarten würde, die es aber nicht gibt. Ist aber der vielversprechenste Ansatz.

Natürlich bin ich für weitere Hilfe und Hilfeversuche sehr dankbar, will meine Zeit aber nicht weiter mit sinnlosen Rechtfertigungen vertun und werde entsprechende "Antworten" zukünftig ignorieren.
Mikesch_75
Ist häufiger hier
#18 erstellt: 05. Feb 2020, 21:22
Wenn die Firewall den Zugriff sperrt, wird Wireshark nichts anzeigen können, weil es gar nicht so weit kommt.

Windows-Logs?

https://it-learner.d...firewall-aktivieren/
Questioner2004
Ist häufiger hier
#19 erstellt: 06. Feb 2020, 00:42

Mikesch_75 (Beitrag #18) schrieb:
Wenn die Firewall den Zugriff sperrt, wird Wireshark nichts anzeigen können, weil es gar nicht so weit kommt.

Windows-Logs?

https://it-learner.d...firewall-aktivieren/

Ich meinte in meinem Ausgangspost ja die Windows-Logs. In eben genau diesen tauchte kein geblockter Eintrag auf, wenn Thunderbird versuchte eine Verbindung aufzubauen. Und genau das verwundert mich ja auch so... Denn eigentlich müsste eine geblockte Verbindung doch in diesem Log auftauchen... (auch wenn mich das der Lösung des Problems nicht weiter gebracht hätte).

Da Thunderbird aber eine Verbindung herstellten konnte, wenn ich alle ausgehenden Verbindungen zuließ, konnte ich davon ausgehen, dass es an den ausgehenden Verbindungen liegt... Ich hatte mir das Log gestern zum Glück gespeichert und heute nochmals durchforstet - darin sind keine geblockten Verbindungsversuche (außer an IPs von MS) zu erkennen... Heute sah das aber ganz anders aus: So finden sich z.B. die IPs 212.227.17.170 (GMX) und 212.227.17.186 (1&1 - also zugehörig) im Log. Beides ausgehende Verbindungen auf Port 993 - für mich klare Sache.

Warum auch immer gestern nichts im Log zu finden war... Die Firewall blockte offensichtlich und protokollierte dann auch (wenn auch nicht sofort). Für mich war damit klar, dass irgendwas mit der Freigaberegel nicht stimmen konnte und hatte schon die ganze Zeit den Verzeichnispfad im Verdacht.

Naja, und so war es dann nun auch... Ich habe das Problem gefunden - und es war so simpel wie ich befürchtet hatte...
Ich habe Mittels Powershell sämtliche ausführbaren Programme im Thunderbird-Pfad ermittelt und einen entsprechenden Eintrag in der Firewall angelegt. Und siehe da: Verbindung erfolgreich. Obwohl ich dann schon einen naheliegenden Verdachte hatte, deaktivierte ich eine Regel nach der anderen und testete das Verhalten. Und siehe da... Es gibt im Unterverzeichnis "App" erneut eine Thunderbird.exe, die wohl das eigentliche Programm darstellt und die wohl von der im Stammverzeichnis befindlichen Exe aufgerufen wird. Eine entsprechende Regel mit der richtigen Datei und schon rollt's.

Schön, dass ich mich für so eine simple Lösung für so blöd verkaufen lassen und mich dann auch noch über Sinn und Unsinn des Vorhabens sowie in Frage gestellte Sicherheitskonzepte rechtfertigen sowie belanglose Grundsatzdiskussionen führen musste, die mit der ganzen Sache absolut nichts zu tun hatten... Die Zeit und Neven spar ich mir zukünftig.


dan_oldb (Beitrag #10) schrieb:
Im Übrigen: Würde einer meiner MitarbeiterInnen so handeln wie deine Frau, also einen privaten Mailclient auf einem Firmengerät starten, dürften die die Firma nur noch abholen der Papiere betreten.
Und wer anderen Leuten so "lösungorientiert" die Zeit stiehlt (noch dazu ohne die Hintergründe zu kennen), der dürfte mein Unternehmen gar nicht mehr betreten - das ist die Post effizienter.
Mikesch_75
Ist häufiger hier
#20 erstellt: 06. Feb 2020, 09:59
Na, gut, dass es dann doch zu einem erfolgreichen Ende gekommen ist.

Es gibt übrigens bei Heise ein Raspberry-Image, mit dem man den Datenverkehr nach draußen sichtbar machen kann indem man einen Raspi als mitm zwischen das interne Netz und den Router setzt.

Das kann helfen zu überprüfen, ob die Rechner jetzt wirklich dicht sind.
OldNo7
Inventar
#21 erstellt: 06. Feb 2020, 12:34

Questioner2004 (Beitrag #12) schrieb:


OldNo7 (Beitrag #8) schrieb:
hör ma sind bei euch die Aluhütte alle oder ist dir langweilig?

Werd ich jetzt in einem IT-Forum nach Aluhüten gefragt, wenn ich mir um Datensicherheit Gedanken mache?! Armes Deutschland!

Ja in der Tat ist Deutschland arm es ist aber kein reines IT Forum, dass sollte dir klar sein.




OldNo7 (Beitrag #8) schrieb:
entweder nimmt man eine Hardwarefirewall oder man lässt es sein.

Und die nehme ich dann überall mit hin, wo ich mit meinem Laptop ins Internet gehe?! Könnte natürlich auch jedes Mal über ne VPN-Verbindung über meine Firewall, macht mit der geringen Upload-Bandbreite meines Anschlusses aber nur sehr wenig Spaß den gesamten Verkehr darüber zu filtern. Es geht um ein privates Vorhaben...


ja wenn du schon deine NAS und anderen PC's mit sensiblen Daten mitnimmt dann kannst auch wohl eine kleine HW Firewall mitnehmen

Was du da betreibst hat aber in keinster weise mit IT Sicherheit oder Datensicherheit zu tun .... aber wenn's dich beruhigt und es Spaß macht sich das leben unnötig schwer zu machen dann gutes gelingen
roger23
Stammgast
#22 erstellt: 07. Feb 2020, 08:35
Es hat hier sicher keiner ein Problem damit, dass Du Dir Gedanken um Datensicherheit machst. Das tun viele andere auch, ich eingeschlossen.

Aber Du musst nicht beleidigt sein, wenn man Dein Konzept für wenig schlüssig und im Kern nicht für zielführend hält.

Und da hier keiner ein Produkt verkaufen will, sind die Antworten auch mal wenig diplomatisch, aber dafür ziemlich ehrlich.

Die Beschäftigung mit der Windows-Firewall habe ich vor Jahren aufgegeben, weil ich schlicht keine Lust habe, mich mit komplexen Aufrufketten von Programmen zu beschäftigen, wenn am Ende die Hälfte der Außenverbindungen von einer "server.exe" laufen, die kaum in den Griff zu bekommen ist. Da ist eine Hardware-Firewall oder zumindest die Firewall-Möglichkeiten halbwegs vernünftiger Router oft zuverlässiger und einfacher zu handhaben. Und ich muss nicht darüber nachdenken, ob MS oder sonstwer eine Backdoor in die Firewall gebohrt hat.

Und das, was mit den Firmenrechnern Deiner Frau läuft, wirkt auf den ersten Blick extrem fragwürdig und stellt für mich (mit den hier vorliegenden Informationen) eine deutlich größere Sicherheitslücke dar als den MS-Kram, vor dem Du Dich schützen willst. Entweder der wird bei jedem Besitzerwechsel komplett plattgemacht oder er käme bei mir nicht ins Netz. Verschlüsselungstrojaner lassen grüßen.

Aber das musst Du selbst wissen.

-- Roger
953068
Hat sich gelöscht
#23 erstellt: 07. Feb 2020, 11:56

OldNo7 (Beitrag #8) schrieb:

entweder nimmt man eine Hardwarefirewall oder man lässt es sein.


Hmm im RZ der Firma wo ich arbeite hat der Admin eine virtuelle Appliance als Firewall installiert. Das ist reine Software nicht ein bisschen HW, da virtuelle Maschine von Watchguard: https://www.watchgua...l-and-cloud/fireboxv

Ich glaub ich muss mal mit im reden...
Mikesch_75
Ist häufiger hier
#24 erstellt: 07. Feb 2020, 15:49
Weder mit einer Hardware, noch mit einer Appliance ist man sicher. Es erhöht nur den Schwierigkeitsgrad des Eindringens mit technischen Methoden. Da sollte sich keiner etwas vormachen.

Es kann daher durchaus im Sinne des Erfinders sein, lokal noch Applikationsfirewalls zu haben. Aber auch die decken ihrerseits nur einen Teilbereich ab. OSI Layer 8 lässt sich technisch kaum überwachen und ist grundsätzlich als verwundbar anzusehen.

Mal ehrlich, was würdest du machen, wenn du eine Mail bekommst von jemand, mit dem du üblicherweise kommunizierst. In der Mail wird Bezug genommen auf Dinge in Deiner letzten Mail oder gar auf Themen die noch früher im Faden erwähnt waren. An diese Mail ist ein Dokument angehängt mit der Bitte, es heute noch zu sichten und Feedback zu geben.

Würdest Du vor dem Schicksalsklick noch innehalten und dir vergegenwärtigen, dass die Mail auch von einer KI stammen könnte, und dass der Zweck der Mail sein könnte, Dich zu überrumpeln und Deinen Rechner zu infizieren?

Aktuell ist mit einer Infektionswelle zu rechnen, die auf diese Weise zustandekommt. Sie geht aus von den gestohlenen Buchbinderdaten und verteilt sich dann wie beschrieben. Spätestens wenn tausende von Empfängern mail von Buchbinder bekommen, in der auf einen realweltlichen Vorgang bezogen wird und die Leute die schicksalhaften Anhänge öffnen. Die Mails sind dabei völlig individuell, "Bitte prüfen Sie den Sachverhalt umgehend anhand der beiliegenden Unfallfotos", "Sie können noch Schadenersatz bekommen aber Verjährung droht, bitte prüfen Sie die Liste mit den gestohlenen Gegenständen noch heute", "Bitte bestätigen Sie mir kurz, dass es sich um den im Anhang abgebildeten Kratzer handelt, am besten heute noch.", - KI machts möglich. Man geht davon aus, dass es diesmal eher den Mittelstand als die großen Konzerne treffen wird, ein neuer Markt mit neuen Methoden. Und die Zahl der primär gefährdeten ist hoch, die Gauner haben die Aufzeichnungen der letzten zehn, fünfzehn Jahre. Also ist jeder, der in der Zeit mal ein Auto beim Marktführer oder einem seiner Wiederverkäufer gemietet hat, ein Ziel des ersten Angriffs.

Als Admin würde ich im Moment mehr Zeit damit verbringen, darüber nachzudenken, wie ich im Fall einer Infektion des Intranet meine Daten behalte, und zwar als einziger. Unverschlüsselt...

Red mal mit deinem Admin, was er in der Richtung so drauf hat, denn es droht wirklich eine neue Dimension des KI-unterstützten Trickbetrugs.

953068
Hat sich gelöscht
#25 erstellt: 07. Feb 2020, 17:16
Admin meint:

Layer 8 bekommt Ausbildung - das schützt vor Fehlern nicht.

Notebooks und Thin Clients sind nicht im klassischen Firmennetz. Äusserer Ring wird wie WWW klassifiziert. Arbeitsplätze sind VDI Instant Clones, werden jedes Mal beim auslogen vapporisiert und neu erstellt.

Attachments müssen über ein Portal / Sandbox.

Nebst virtueller Appliance Firewall ist auch das Netzwerk virtuell mit div Perimetern die zusätzliche Firewalls / Scanner enthalten: https://www.vmware.com/products/nsx.html.

Für Daten wird CDP Continous Data Protection verwendet: https://www.falconstor.com/products/continuous-data-protector

Admin sagt. Trotz allem, 100% ist nur der Tod .

P.S.
Admin betreibt und pflegt Viren Zoo, statt Terrarium zu Hause und quält gerne VMs damit. Was für'n Sadist!


[Beitrag von 953068 am 07. Feb 2020, 17:23 bearbeitet]
Mikesch_75
Ist häufiger hier
#26 erstellt: 07. Feb 2020, 17:53
Grundsätzlich glaube ich, dass euer Admin schon das richtige tut. Er ist neugierig und Neugier ist die Mutter des Erfolgs. Wie sieht es mit System- und Softwareupdates aus? Der letzte große Kryptotrojaner kam meines Wissens zehn Tage nach dem Patch und hat trotzdem haufenweise verwundbare Systeme gefunden.

DB
Inventar
#29 erstellt: 09. Feb 2020, 09:40
@Mikesch_75: wenn email-Anhänge Schadsoftware mitschleppen oder verlinken, müssen in den meisten Fällen aber verschiedene Umstände eintreten:
- email muß als html dargestellt werden
- Dateiendungen müssen ausgeblendet sein
- die Dateien müssen nach Versand überhaupt ausführbar sein
- im Falle von Officedokumenten muß die Ausführung von Makros gestattet sein oder werden.
Es ist in der Tat vielfach ein Layer-8-Problem. Hier wäre zuerst anzusetzen.
Zweifelhafte email-Anhänge (.doc, .xls, doppelte Endungen, ...) kann gleich der Mailproxy verwerfen.


MfG
DB
953068
Hat sich gelöscht
#30 erstellt: 09. Feb 2020, 11:41

DB (Beitrag #29) schrieb:
Es ist in der Tat vielfach ein Layer-8-Problem. Hier wäre zuerst anzusetzen.
Zweifelhafte email-Anhänge (.doc, .xls, doppelte Endungen, ...) kann gleich der Mailproxy verwerfen.


MfG
DB


Das ist korrekt. Ich persönlich glaube, dass man nie alle User in den Griff bekommt. Da kann man noch so viel Ausbildung rein investieren. Ich meine damit nicht, dass Ausbildung obsolet wird, aber man kann sich nicht nur darauf verlassen.

Interessant war ja, wie zum Beispiel Heise von Ransomware getroffen wurde. Ich gehe davon aus, dass die Redaktoren dort zu überdurchschnittlichen IT-Usern gehören, trotzdem ist es geschehen. So nebenbei, ich fand es sehr gut wie sie öffentlich mit dem Fall umgegangen sind, damit andere daraus lernen können.

Mikesch_75 hat auch Recht, dass die Werkzeuge der 'bösen Buben' immer ausgefeilter werden, eben von wegen KI, etc.

Darum bleibt wohl gar nichts anderes, als eine mehrstufige technologische Absicherung vorzunehmen. Problematisch dabei ist, dass das ins Geld geht. Nicht jede Firma will sich das leisten, zuweilen es am Problembewusstsein fehlt, man es unterschätzt, etc. Und ich habe immer wieder erlebt, wie die Informatik von den Firmenchefs geringgeschätzt wird, obwohl man total von ihr abhängig ist.
Der Vorfall letzthin mit Citrix hat es einem wieder Mal vor Augen geführt https://www.infosecu...x-flaw-exploited-by/. Die Problematik war bewusst und bekannt, trotzdem haben viele die Systeme nicht gepatcht. Ein Kunde mit Citrix-Infra hat mir gesagt, dass Citrix ihre Kunden extra angeschrieben hat, weil das Problem so heiss war. Da könnte man sagen, wenn ihr schon zu faul zum patchen seid geht doch in die Cloud. Ja, ja, klar die Cloud wird alles von selbst lösen...

Denke darüber könnte man einen neuen Therad auftun. Gäbe sicher immer wieder genug Stoff. Vielleicht wäre dazu aber auch ein anderes Forum besser geeignet.


[Beitrag von 953068 am 09. Feb 2020, 15:02 bearbeitet]
Suche:
Das könnte Dich auch interessieren:
Zugriff auf ein NAS
expatriate am 03.01.2013  –  Letzte Antwort am 05.05.2013  –  10 Beiträge
Medion NAS Smartphone Online Zugriff
TWG71V am 03.05.2012  –  Letzte Antwort am 07.05.2012  –  4 Beiträge
Seagate NAS Zugriff Sortierreihenfolge / Titelreihenfolge
dizzy_piano am 30.01.2016  –  Letzte Antwort am 06.02.2016  –  3 Beiträge
Zugriff auf NAS über Internet
_DerMett2.0 am 22.03.2016  –  Letzte Antwort am 24.03.2016  –  11 Beiträge
Mit Tablet zugriff auf NAS
Weisz am 28.08.2015  –  Letzte Antwort am 01.09.2015  –  6 Beiträge
W724V Kinder NAS und Zugriff von TV
Michael_Meister am 12.12.2014  –  Letzte Antwort am 14.12.2014  –  5 Beiträge
Windows Server + NAS + TV
PeterMueller123 am 30.10.2012  –  Letzte Antwort am 13.11.2012  –  6 Beiträge
zugriff auf NAS vom Smartfone über Mobiledaten
rafaya am 08.01.2018  –  Letzte Antwort am 12.01.2018  –  4 Beiträge
Firewall-Problem Router Asus R-NU56
Abschaffel am 22.09.2015  –  Letzte Antwort am 23.09.2015  –  8 Beiträge
Windows 7 Problem mit NAS
ChrisiVander am 27.12.2012  –  Letzte Antwort am 07.01.2013  –  3 Beiträge
Foren Archiv
2020

Anzeige

Produkte in diesem Thread Widget schließen

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder877.423 ( Heute: 5 )
  • Neuestes MitgliedNolarskx
  • Gesamtzahl an Themen1.463.327
  • Gesamtzahl an Beiträgen19.828.556

Hersteller in diesem Thread Widget schließen