Original-URL des Artikels: https://www.golem.de/news/tutorial-portscans-durch-webseiten-unterbinden-2010-150936.html    Veröffentlicht: 30.10.2020 09:18    Kurz-URL: https://glm.io/150936

Tutorial

Portscans durch Webseiten unterbinden

Webseiten können auf das lokale Netzwerk zugreifen oder die Ports des Rechners scannen - zum Glück lässt sich das unterbinden.

Webseiten können per Javascript Verbindungen in das lokale Netzwerk von Webseitenbesuchern aufbauen. Mit der Technik scannen bekannte Webseiten wie Ebay.de oder Ebay.com den lokalen Rechner auf offene Ports, die von Fernwartungstools wie Teamviewer oder für VNC verwendet werden. Manche Schadsoftware auf Javascript-Basis versucht, auf die Konfigurationsoberfläche des Routers oder anderer Geräte zuzugreifen. Auch ein Tracking mittels der ausgelesenen Netzwerktopologie ist möglich.

Derlei Zugriffe auf das lokale Netzwerk oder den Rechner lassen sich jedoch auf verschiedenen Wegen blockieren. Die nächstliegende und einfachste ist es, das Ausführen von Javascript zu unterbinden - werden die Skripte nicht mehr ausgeführt, können auch keine Scans oder Angriffe durchgeführt werden.

In vielen Browsern, beispielsweise in Chrome oder Chromium, kann Javascript über die Einstellungen komplett deaktiviert werden. In Firefox hingegen gibt es die Option nur über die internen Einstellungen, die über die Eingabe von "about:config" in die URL-Zeile aufgerufen werden. Das ist nicht ganz ungefährlich, daher muss man zunächst auf den Button "Risiko akzeptieren und fortfahren" klicken. Anschließend lässt sich nach der Option "javascript.enabled" suchen und diese auf false setzen.

Allerdings funktionieren manche Webseiten ohne Javascript nicht mehr richtig oder gar nicht mehr. Eine flexiblere Alternative ist die Browser-Erweiterung Noscript. Mit ihr lässt sich Javascript je nach Webseite erlauben oder verbieten. So wird in den Standardeinstellungen beispielsweise der Portscan von Ebay.de und Ebay.com unterbunden. Doch wollen wir uns auf Ebay einloggen, um etwas zu kaufen, werden wir darauf hingewiesen, dass wir dafür Javascript aktivieren müssten - doch dann geht der Portscan wieder los. Die Katze beißt sich in den Schwanz.

Javascript den Zugriff auf den lokalen Rechner nehmen

Eigentlich wollen wir Javascript auch gar nicht pauschal verbieten, sondern nur den Zugriff auf das lokale Netzwerk und unseren Rechner unterbinden. Wir stoßen auf die Browsererweiterung Umatrix, eine Firewall für den Browser, mit der uns komplexe Filtermöglichkeiten zur Verfügung stehen. Deren Entwickler Raymond Hill kündigte jedoch an, diese einzustellen.

Mit der Erweiterung Ublock Origin, die ebenfalls von Hill entwickelt wird, steht eine Alternative zur Verfügung. Diese arbeitet mit Filterlisten, die bestimmte Inhalte oder Ressourcen blockieren. Die Standard-Filterlisten unterbinden beispielsweise den Abruf von Werbeeinblendungen und Tracking-Skripte beim Aufruf einer Webseite. Mit diesen werden jedoch die Finanzierungsmodelle der aufgerufenen Webseiten und Dienste umgangen. Wer gewisse Seiten also weiterhin nutzen und unterstützen will, richtet Ausnahmeregelungen für diese ein.



Manche Webseiten - wie Golem.de - bieten neben der werbefinanzierten Seite als faire Alternative ein werbe- und trackingfreies Abo an. Eine weitere Möglichkeit, auf fairem Weg und offiziell das Angebot ohne unerwünschtes Tracking zu nutzen, ist das Absolvieren von kleinen Aufgaben über Golem Act. Für Seiten, die keine dieser Möglichkeiten anbieten, kann die Browser-Erweiterung Ublock Origin ein Werkzeug sein.

Nachdem die Erweiterung über den jeweiligen Add-on-Marktplatz des Browsers installiert wurde, können eigene Filter von Hand hinterlegt werden. Die entsprechende Option findet sich in den Einstellungen unter dem Reiter "Meine Filter". Damit der Zugriff auf den lokalen Rechner, den "localhost", unter der IP-Adresse 127.0.0.1 unterbunden wird, wird folgende Filterliste ergänzt:

||localhost^$important,third-party ||127.*^$important,third-party ||[::1]^$important,third-party

Wird der Code in das entsprechende Feld kopiert und auf "Änderungen anwenden" geklickt, unterbindet Ublock Origin den Zugriff auf den lokalen Rechner durch Drittseiten. Auf dem Computer gespeicherte HTML-Seiten oder lokale Konfigurationstools, die direkt aufgerufen werden, beispielsweise der Druckdienst CUPS unter Linux (http://localhost:631/), funktionieren weiterhin. Eine Webseite aus dem Internet kann jedoch nicht mehr auf sie zugreifen oder die Ports des lokalen Rechners scannen.

Auf ähnliche Weise lässt sich auch der Zugriff auf das lokale Netzwerk unterbinden.

Den Zugriff von Webseiten auf das lokale Netzwerk unterbinden

Trotz unserer bisher gesetzten Einstellungen können Webseiten weiterhin auf das lokale Netzwerk zugreifen, in dem sich der Computer befindet. Aber auch das lässt sich mit Regeln unterbinden, die alle IPs von lokalen Netzwerken für Aufrufe über Webseiten blockieren:

||10.*^$important,third-party ||172.16.*^$important,third-party ||172.17.*^$important,third-party ||172.18.*^$important,third-party ||172.19.*^$important,third-party ||172.20.*^$important,third-party ||172.21.*^$important,third-party ||172.22.*^$important,third-party ||172.23.*^$important,third-party ||172.24.*^$important,third-party ||172.25.*^$important,third-party ||172.26.*^$important,third-party ||172.27.*^$important,third-party ||172.28.*^$important,third-party ||172.29.*^$important,third-party ||172.30.*^$important,third-party ||172.31.*^$important,third-party ||192.168.*^$important,third-party

Direkt aufrufen lassen sich lokale Netzwerkressourcen, beispielsweise die Weboberfläche des Routers oder eines NAS, wie im obigen Beispiel weiterhin, der Aufruf einer Netzwerkressource durch eine externe Webseite wird jedoch unterbunden.

Alternativ kann auf eine bereits vorgefertigte Filterliste des Privacy Handbuches gesetzt werden, die neben den genannten Filtern explizit den Zugriff auf Fritzboxen von AVM und diverse andere Router unterbindet.

Alles blockieren

Wer noch weitergehen und jegliche Zugriffe auf den Rechner oder das lokale Netzwerk unterbinden will, kann das ",third-party" am Ende der jeweiligen Filter-Zeile entfernen. Auch ein direkter Aufruf von lokalen Konfigurationsoberflächen oder Geräten im lokalen Netzwerk wird dann unterbunden. Bei einem Aufruf erscheint ein Hinweis, dass die entsprechende Ressource durch Ublock Origin blockiert worden sei. Dort kann auch eine temporäre oder dauerhafte Ausnahmeregelung mit einem Klick gesetzt werden.



Alternativ kann ein Zweit-Browser eingerichtet werden, mit dem auf lokale oder Netzwerkressourcen zugegriffen werden kann. Statt einen neuen Browser zu installieren, kann auch ein weiteres Browser-Profil erstellt werden, das parallel zum vom Browser bisher verwendeten Browser-Profil geöffnet werden kann. So ist es beispielsweise möglich, zwei Firefox-Instanzen parallel zu nutzen - einmal mit Blockade, einmal ohne.

Hinweis: Der Golem.de-Werkzeugkasten ist unser How-To-Format. Wir zeigen anhand von Tutorials und Erlebnisberichten, wie sich Hard- oder Software im Praxisalltag effektiv einsetzen lassen.

Die Golem-Community ist gefragt: Habt Ihr Ideen oder Anregungen für einen künftigen Werkzeugkasten? Dann schickt uns bitte Eure Vorschläge an: werkzeugkasten@golem.de  (mtr)


Verwandte Artikel:
Portscan: Ebay.de scannt den Rechner auf offene Ports   
(25.05.2020, https://glm.io/148690 )
Shelter: Apps unter Android isolieren   
(05.11.2020, https://glm.io/151841 )
Nikola Motor, Umatrix, Wechat: Sonst noch was?   
(21.09.2020, https://glm.io/150991 )
Manifest v3: Microsoft will weiter Adblocker in Edge erlauben   
(16.10.2020, https://glm.io/151547 )
Windows 10: Cortana hilft Nutzern durch die Systemsteuerung   
(13.10.2017, https://glm.io/130609 )

© 1997–2021 Golem.de, https://www.golem.de/