Salem alaikum,

an alle, die immer noch glaubenm, die seien hinter einer Personal Firewall sicher:
Kauft euch die aktuelle Ausgabe der PC Professional! Dorst steht zum ersten Mal umfassend erläutert und getestet, warum und vor allem dass KEINE PFW einen PC sicherer machen kann. Denn keine der PFWs konnte verhindern, dass an ihr vorbei Daten ins Internet gesendet worden. Und es kommt noch schlimmer: viele PFWs haben Sicherheitslücken bzw. Features, die eine Eindringen bzw. Ausspionieren erst möglich machen! Und den PC vor Angriffen von außen zu schützen, kann man auch mit Boardmitteln erreichen; dazu braucht man keine PFW.
Also Zugabe gibt es auf der Heft-CD noch das Video des CCC-Ulm, die in einem Seminar vorführen, wie man mit einem kleinen, selbstgeschriebenen Tool den PC an jeder PFW vorbei fernsteuern kann.
Fazit: Keine PFW kann halten, was sie verspricht und setzt das System zusätzlichen Gefahren aus. Sie ist nutzlos!

Wer keine Lust hat, sich das Heft zu kaufen, kann auch hier nachlesen und -sehen:


Gesammelte Links zum Thema PFWs und Sicherheit: http://www.ntsvcfg.de/linkblock.html

Allgemeines zu Diensten und Sicherheit: www.ntsvcfg.de --- www.dingens.org

Video und Folien des CCC-Seminars: http://www.ulm.ccc.de/chaos-seminar/personal-firewalls/

Ich wette ganz ohne, haste schneller was, als du "Personal Firewall" sagen kannst. ;)

Weil für irgendwas müssen die ja gut sein, weil ich hab öfters sowas wie port scan lokalisert und geblockt wenn ich in irc bin oder sowas eben.

Moin, ich ha mir die Links zwar noch nicht zu Gemüte geführt, aber deine Aussage "PFW seien generell nutzlos" kann ich nicht teilen. Es mag sicher sein, dass der CCC ein Tools schreibt, welches im Stande ist eine PFW zu umgehen oder sogar zu missbrauchen. Aber zumindest bieten sie (die PFW's) der breiten Allgemeinheit einen grundlegenden Schutz gegen Hackerangriffe oder Viren ala Blaster oder Sasser, die sich nicht durch e-mail übertragen.

Jede vernünftige Firma mit mehr als 2 PC's im Netzwerk, sollte sich eine vernünftige Hardware-Firewall zulegen (Router), soviel ist schon klar. Aber die Praxis sieht da anders aus, ich bin electronic banker bei einer Sparkasse und sehe das "Elend" leider allzu oft, das nicht mal ne PFW eingesetzt wird und sich die Leute ständig neue Viren einfangen und gar nicht wissen warum.
In dieser Situation kann ich den Leuten zwar empfehlen sich nen Router anzuschaffen, es machen aber die wenigsten. Da bin ich denn immer froh, wenn ich meinen Memory-Stick ziehen und zumindest ZoneAlarm installieren kann. Die Leute feut's erstmal, denn die Virenattacken gehören erstmal der Vergangenheit an.

"Nutzlos" heißt für mich, ich installiere so eine Software-Firewall und die Leute fangen sich trotzdem jeden Tag nen anderen "Blaster" ein. So ist es ja denn nun auch nicht !!!

Allerdings bin ich der Meinung, dass solch aufgeblähte Softwarepakete wie Norton Internet Security vollkommmen überteuert sind für die Leistung die da erbracht wird ! (bzw. dem Rechner abgesaugt wird :wink: )

Moin, ich ha mir die Links zwar noch nicht zu Gemüte geführt, aber deine Aussage "PFW seien generell nutzlos" kann ich nicht teilen. Es mag sicher sein, dass der CCC ein Tools schreibt, welches im Stande ist eine PFW zu umgehen oder sogar zu missbrauchen. Aber zumindest bieten sie (die PFW's) der breiten Allgemeinheit einen grundlegenden Schutz gegen Hackerangriffe oder Viren ala Blaster oder Sasser, die sich nicht durch e-mail übertragen.

Eine PfW bietet keinen Schutz gegen Viren.
Und lass mal einen Anfänger eine PfW einstellen - spätestens bei den Filterregeln wird er scheitern.

Jede vernünftige Firma mit mehr als 2 PC's im Netzwerk, sollte sich eine vernünftige Hardware-Firewall zulegen (Router), soviel ist schon klar.

Ein Hardwarerouter ist ja auch was anderes, der lässt sich ja nicht so leicht kicken wie ein Dienst (=PfW).

Aber die Praxis sieht da anders aus, ich bin electronic banker bei einer Sparkasse und sehe das "Elend" leider allzu oft, das nicht mal ne PFW eingesetzt wird und sich die Leute ständig neue Viren einfangen und gar nicht wissen warum.

Weil sie keinen/einen veralteten/schlechten Virenscanner haben?
Unpepatchte Systeme? Leichtsinn der Mitarbeiter (pr0n-sites etc.)?


In dieser Situation kann ich den Leuten zwar empfehlen sich nen Router anzuschaffen, es machen aber die wenigsten. Da bin ich denn immer froh, wenn ich meinen Memory-Stick ziehen und zumindest ZoneAlarm installieren kann. Die Leute feut's erstmal, denn die Virenattacken gehören erstmal der Vergangenheit an.

Warum nicht Dienste deaktivieren?

"Nutzlos" heißt für mich, ich installiere so eine Software-Firewall und die Leute fangen sich trotzdem jeden Tag nen anderen "Blaster" ein. So ist es ja denn nun auch nicht !!!

Warum nicht das OS patchen?

Allerdings bin ich der Meinung, dass solch aufgeblähte Softwarepakete wie Norton Internet Security vollkommmen überteuert sind für die Leistung die da erbracht wird ! (bzw. dem Rechner abgesaugt wird :wink: )

Ich kann zwar nur von Norton 03 (Virenscanner, nicht Suite) sprechen, die war tatsächlich extrem langsam.

Btw, klick (http://www.forum-3dcenter.de/vbulletin/showthread.php?t=199213)

Ich wette ganz ohne, haste schneller was, als du "Personal Firewall" sagen kannst. ;)


Andererseits, ist ein auf Sicherheit getrimmtes XP mit einer PFW angreifbarer als ohne, da es dann die PFW ist, die die Möglichkeit zur kompromittierung des Rechners bietet. (Ich kenn Tools, die so ziemlich jeden Virenscanner und jede PFW aushelben, und sich so Zugang zum Rechner verschaffen - was ohne PFW schon weitaus schwieriger ist, sofern div. "unnötige" Services (und damit auch offene Ports) deaktiviert wurden.

Ich bitte einaml darum, nur mit zu diskutieren, wenn man sich mit dem Thema wirklich auskennt oder den Artikel und/oder die Links genau gelesen hat!

Ich war auch lange Zeit Verfechter von PFWs und wollte nicht glauben/einsehen, dass diese völlig nutzlos sind, da sie nicht das halten können, was sie versprechen. Alles andere kann man auch ohne PFW genauso gut erreichen!

Jeder, der eine PFW einsetzt, sollte sich fragen, zu welchem Zweck er das tut. Würde mich mal interessieren.

Eine PfW bietet keinen Schutz gegen Viren.
Und lass mal einen Anfänger eine PfW einstellen - spätestens bei den Filterregeln wird er scheitern.

Nun, gegen Viren wie die Blaster- und Sasservarianten schon, da sie die offenen Ports des OS schließt (hervorgerufen durch diverse Dienste, das stimmt schon, ok).



Ein Hardwarerouter ist ja auch was anderes, der lässt sich ja nicht so leicht kicken wie ein Dienst (=PfW).

Das meine ich ja !



Weil sie keinen/einen veralteten/schlechten Virenscanner haben?
Unpepatchte Systeme? Leichtsinn der Mitarbeiter (pr0n-sites etc.)?

Viren kann ich mir auch einfangen, wenn der beste Scanner im Hintergrund läuft. Anschliessend kann ich das Teil zwar entfernen, aber ich kann immer nur reagieren mit nem Virenscanner. Aktuell sollte er schon sein, da geb ich dir natürlich recht.




Warum nicht Dienste deaktivieren?

Weil es einfcher ist, ein Programm zu installieren, welches das für mich tut, bzw. die Löcher stopft, die so ein aktivierter Dienst reißt !



Warum nicht das OS patchen?

Weil die meisten Laien gar nicht wissen, was sie dabei machen sollen bzw.was das heißt.
Also summasummarum, ist ein Laie mit allem überfordert, was IT-Sicherheit angeht ! Ob nun Dienste deaktivieren, OS patchen oder PFW installieren, konfigurieren oder sonst was. Deshalb sind die Leute mit wenig Erfahrung immer arm dran. ;)



Ich kann zwar nur von Norton 03 (Virenscanner, nicht Suite) sprechen, die war tatsächlich extrem langsam.

Genau... glaub mir, die Nachfolger sind noch langsamer geworden.

Stichwort MSBlaster, ohne patch und/oder pfw war man als normaler Homeuser, der direkt am Internet haengt, dem Wurm machtlos ausgeliefert. Klar haette man damals den Patch rechtzeitig installieren koennen, aber wer sagt denn, dass nicht einmal eine Sicherheitsluecke ausgenutzt wird, fuer die noch kein Patch erhaeltlich ist? Dann bringt es schon etwas eine pfw die eingehenden TCP-Pakete blocken zu lassen, wenn sie an nicht explizit freigegebene Ports gehen. Den RPC-Dienst zu deaktivieren ging da ja auch nicht, weil der fuer Windows benoetigt wird.

Aqua

Nun, gegen Viren wie die Blaster- und Sasservarianten schon, da sie die offenen Ports des OS schließt (hervorgerufen durch diverse Dienste, das stimmt schon, ok).

Weil es einfcher ist, ein Programm zu installieren, welches das für mich tut, bzw. die Löcher stopft, die so ein aktivierter Dienst reißt !

Weil die meisten Laien gar nicht wissen, was sie dabei machen sollen bzw.was das heißt.
Also summasummarum, ist ein Laie mit allem überfordert, was IT-Sicherheit angeht ! Ob nun Dienste deaktivieren, OS patchen oder PFW installieren, konfigurieren oder sonst was. Deshalb sind die Leute mit wenig Erfahrung immer arm dran. ;)


Also die Patches gegen Blaster und Sasser waren schon 1 Monat vor deren großflächigem Ausbrechen verfügbar. Man hätte sein Windows nur auf dem neusten Stand halten müssen (ich sag nur Auto-Update)!

Hätte man die Ports geschlossen, wäre das alles auch kein Problem gewesen.

Und noch etwas: eine PFW schließt keine Ports, sondern versucht sie nur zu verstecken! Und das gelingt ihr nicht, womit jder Angreifer weiß, dass da ein PC mit offenen Ports ist, wenn er deinen PC scannt. Ist der Dienst aber geschlossen, kann der Angreifer scannen wie er will - er findet nicht, wo er angreifen könnte.

Stichwort MSBlaster, ohne patch und/oder pfw war man als normaler Homeuser, der direkt am Internet haengt, dem Wurm machtlos ausgeliefert. Klar haette man damals den Patch rechtzeitig installieren koennen, aber wer sagt denn, dass nicht einmal eine Sicherheitsluecke ausgenutzt wird, fuer die noch kein Patch erhaeltlich ist? Dann bringt es schon etwas eine pfw die eingehenden TCP-Pakete blocken zu lassen, wenn sie an nicht explizit freigegebene Ports gehen. Den RPC-Dienst zu deaktivieren ging da ja auch nicht, weil der fuer Windows benoetigt wird.

Aqua
Dem schliess ich mich mal an, das ist für mich auch der Grund warum bei mir eine PFW läuft.

Zu dem hervorgehobenen Punkt möchte ich noch ergänzen, dass ich die Autoupdatefunktion nicht benutze, deshalb den Patch auch nicht rechtzeitig gehabt hätte.
Warum ich sie nicht nutze?
Es kommt immer mal wieder vor, dass Updates neue Probleme schaffen, also installiere ich nur einige unbedingt benötigte Updates von Hand, wenn sie schon einige Zeit (über einen Monat) im Umlauf sind.

Edit: das -> dass

Schon wieder dieses Thema, hatten wir das nicht schon zu genüge?

Erstmal muss gesagt gesagt werden, das es zwischen Homeuser und Business-User signifikante Unterschiede gibt.
Ein Homeuser benötigt kein High-End-Sicherheitssystem, weil er nur in den seltensten Fällen das Ziel eines "Hackers" werden wird, denn diese sind bekanntlich an etwas größeres interessiert.

Noch dazu: JEDE Software hat Fehler, die meisten werden gepatcht oder sind noch gar nicht bekannt.
Selbst ein gut konfiguriertes System ist NICHT sicher, denn könnt ihr vorhersagen, welche Sicherheitslücke als nächstes aufgedeckt wird? ...

Selbst Router-Firewalls sind nicht sicher, wie die Meldungen bei heise.de (http://www.heise.de/security/suche.shtml?type=hn&type=ha&T=Router&Suchen=los) beweisen.

Wenn schon die nicht sicher ist, was dann? Wieso sollte ein gut konfiguriertes System ohne PFW oder Router-Firewall sicherer sein, als eines mit?
Sollte man nicht davon ausgehen können, das ein Betriebssystem aufgrund seines riesigen Umfangs anfälliger ist, als z.B. ein einfacher Router mit Sicherheitsfunktionen?

Personal Firewalls sind vorallem dazu zu gebrauchen, um bestimmte Vorfälle zu loggen und sie eventuell zu unterbinden.
In vielen Fällen klappt das sogar ganz gut, vorallem dann, wenn der Benutzer selbst nicht mit Adminrechte arbeitet, denn so kann die Schadsoftware nicht ungehindert, am System herumpfuschen.
Wenn die Schädlinge bereits auf dem System sind, nützt eine (Personal) Firewall nicht mehr viel, wenn der User es nicht merkt.
Aber darum geht es ja gar nicht, die Personal (Firewall) soll von anfang an vermeiden, das es überhaupt so weit kommt.
Bei den meisten Verbindungsversuchen (die es unzweifelhaft gibt, teilweise sind es mehrere hunderttausend in ein paar Wochen), leistet sie gute Arbeit.

Jeder geblockte Versuch ist bereits ein Erfolg. Es ist nicht davon auszugehen, das die Massenattacken die es hin und wieder gibt, darauf getrimmt sind, ALLE Sicherheitslücken und ALLE Firewalls zu umgehen.
Meist geht es nur um eine oder zwei bekannte Sicherheitslücken, die aber nicht auf jedem System vorhanden sind.

Wenn z.B. eine Windows-Sicherheitslücke vollen zugriff gestatten würde, könnte es gut möglich sein, das die (Personal)-Firewall den Zugriff schon vorher blockiert.
Das dies nicht immer klappt, ist klar - hängt von der Sicherheitslücke ab. Aber selbst wenn es nur einmal funktioniert: Ist es dann nicht schon ein Erfolg?

Mal abgesehen davon: Es interessiert mich herzlich wenig, was die da sagen, ich nutze (Personal)-Firewalls schon aus einem Grund: Um zu sehen, welche Programme auf das Internet zugreifen wollen. Das hat bis jetzt zuverlässig funktioniert, wieso sollte ich es dann ändern? Never change a running System! :tongue:

Die Befürworter der PFW sollten mal die Erklärungen in den Links lesen. Die Personal Firewall bietet einfach keinen Schutz, da sie einfach nur ein Programm wie jedes andere auf dem Rechner ist und somit von anderen Programmen mit gleichen Rechten manipuliert werden kann. Und damit schützt das Ding auch ganz sicher nicht gegen Würmer indem es Ports schließt. Die Würmer machen die Firewall entweder tot oder haben halt ihre eigenen TCP/IP Routinen.

Und je unerfahrener der Nutzer ist desto größer wird die Gefahr. Er ist sich des Probleme nicht bewußt und vertraut auf seine achsosichere Firewall. Und ein unerfahrener User wird wohl auch nicht sonderlich oft Patches einspielen.

Und ein sicheres Computersystem gibt es wohl nicht. Man kann es potentiellen Angreifern einfach nur schwer machen.

Jeder, der eine PFW einsetzt, sollte sich fragen, zu welchem Zweck er das tut. Würde mich mal interessieren.
Ich hatte hier eine Zeit lang just4fun vier Honeypots (Win2000 Systeme via VMWare) mit BlackICE laufen (Key damals über Ultima Online gewonnen) - Zum Auswerten sind PFWs gar nicht so verkehrt, insbesondere wenn sie solch detaillierte Logs liefern wie BlackICE. Als Schutz würde ich das aber auch nicht betrachten/nutzen.

Die Befürworter der PFW sollten mal die Erklärungen in den Links lesen. Die Personal Firewall bietet einfach keinen Schutz, da sie einfach nur ein Programm wie jedes andere auf dem Rechner ist und somit von anderen Programmen mit gleichen Rechten manipuliert werden kann. Und damit schützt das Ding auch ganz sicher nicht gegen Würmer indem es Ports schließt. Die Würmer machen die Firewall entweder tot oder haben halt ihre eigenen TCP/IP Routinen.

Und je unerfahrener der Nutzer ist desto größer wird die Gefahr. Er ist sich des Probleme nicht bewußt und vertraut auf seine achsosichere Firewall. Und ein unerfahrener User wird wohl auch nicht sonderlich oft Patches einspielen.

Und ein sicheres Computersystem gibt es wohl nicht. Man kann es potentiellen Angreifern einfach nur schwer machen.

Dazu muss der Wurm aber erstmal auf den Rechner, oder nicht?

Die Befürworter der PFW sollten mal die Erklärungen in den Links lesen. Die Personal Firewall bietet einfach keinen Schutz, da sie einfach nur ein Programm wie jedes andere auf dem Rechner ist und somit von anderen Programmen mit gleichen Rechten manipuliert werden kann.

Die Aussage kann man so nicht stehen lassen, denn durch die Windows-Benutzerverwaltung ist es möglich, mit Benutzerrechten zu arbeiten.
So kann man z.B. erreichen, das andere Programme und Schädlinge auf bestimmte Verzeichnisse nicht mehr zugreifen können. Die meisten PFWs lassen sich außerdem noch per Passwort schützen.
Wenn ein Schädling weder Zugriffsrechte auf die Dateien und auf das Passwort hat, wie soll es dann etwas manipulieren können? ...

Durch die Windows-Benutzerverwaltung kann außerdem festgelegt werden, das keine zusätzliche Software installiert werden darf.

Um das zu umgehen, bedarf es schon mehrere kritische Sicherheitslücken.
Wie wahrscheinlich ist es, das man sich einen Schädling einfängt, der gerade diese Softwareversionen umgehen kann?
Wenn es sich nicht gerade um einen gezielten Angriff handelt (=recht selten bei einem Homeuser mit dynamischer IP), ist dies relativ unwahrscheinlich.

Nun, gegen Viren wie die Blaster- und Sasservarianten schon, da sie die offenen Ports des OS schließt (hervorgerufen durch diverse Dienste, das stimmt schon, ok).
Blaster und Sasser sind Würmer und keine Viren.
Die Verbreitung von Viren erfolgt fast immer per Mail und setzt ein handeln des Users zum weiterverbreiten voraus (z.B. unbekannten Anhang öffnen).
Würmer verbreiten sich, einmal freigesetzt, eigenständig über das Netz.
Diesen Unterschied sollte man schon kennen.
Viren kann ich mir auch einfangen, wenn der beste Scanner im Hintergrund läuft. Anschliessend kann ich das Teil zwar entfernen, aber ich kann immer nur reagieren mit nem Virenscanner. Aktuell sollte er schon sein, da geb ich dir natürlich recht.
Ein guter Wächter fängt den Virus/Wurm beim runterladen ab und zeigt eine Warnung an.
Da hat er noch keinen Schaden angerichtet weil er unter Quarantäne steht.
Das heißt aber nicht das ich mir trotzdem keinen Virus einfangen kann.
Kein Scanner/Wächter arbeitet perfekt.
Weil es einfcher ist, ein Programm zu installieren, welches das für mich tut, bzw. die Löcher stopft, die so ein aktivierter Dienst reißt !
Die PFW stopft keine Löcher sondern versteckt sie nur.
Sie patcht weder das Sys noch schaltet sie unnötige Dienste ab.
Was noch schlimmer ist, das sie als weiterer Dienst im Hintergrund arbeitet.
Anstatt weiniger Dienste wird gleich noch ein/mehrere Dienst(e) installiert.

trotzdem würde ich auf jeden fall eine verwenden. auch wenn es nicht wirklich sicher ist, komplett ohne fw kann man es gleich vergessen (in maximal 5min hat man mit mehreren viren und trojanern zu kämpfen). ich habe zum glück ein router mit fw....

Wenn schon die nicht sicher ist, was dann? Wieso sollte ein gut konfiguriertes System ohne PFW oder Router-Firewall sicherer sein, als eines mit?
Sollte man nicht davon ausgehen können, das ein Betriebssystem aufgrund seines riesigen Umfangs anfälliger ist, als z.B. ein einfacher Router mit Sicherheitsfunktionen?

Personal Firewalls sind vorallem dazu zu gebrauchen, um bestimmte Vorfälle zu loggen und sie eventuell zu unterbinden.
In vielen Fällen klappt das sogar ganz gut, vorallem dann, wenn der Benutzer selbst nicht mit Adminrechte arbeitet, denn so kann die Schadsoftware nicht ungehindert, am System herumpfuschen.
Wenn die Schädlinge bereits auf dem System sind, nützt eine (Personal) Firewall nicht mehr viel, wenn der User es nicht merkt.
Aber darum geht es ja gar nicht, die Personal (Firewall) soll von anfang an vermeiden, das es überhaupt so weit kommt.
Bei den meisten Verbindungsversuchen (die es unzweifelhaft gibt, teilweise sind es mehrere hunderttausend in ein paar Wochen), leistet sie gute Arbeit.


Ich habe NUR von den PFWs gesprochen! Bei einem DSL-Anschluss ist ein Router mit NAT imho Pflicht.
Ansonsten wie gehabt: ja, ein System MIT PFW ist UNSICHERER als ein System ohne. Warum das so ist, kann man im Heft und/oder in den Links nachlesen.

OK, zum mitloggen kann man eine PFW eingeschränkt nutzen, aber wenn ein Programm eine Verbindung ins I-Net aufbaut, OHNE dass die PFW das merkt, ist das auch hinfällig. Außerdem gibt es zum loggen andere, bessere Tools.
Und ich muss mich noch mal wiederholen: keine PFW kann wirksam verhindern, dass sich ein Programm eine Datenverbindung aufbaut! Die PFW hat versagt! Sollte sich ein Programm von einer PFW am Datenverkehr hindern lassen, dann nur, weil es das Programm so will! Und selbst jetzt kannst du nicht wissen, wieviele deiner Programme tatsächlich geblockt werden - sind es 99,9% oder vielleicht nur 50%, oder doch nur 0,001%? Keiner kann es dir sagen.

Ansonsten wie gehabt: ja, ein System MIT PFW ist UNSICHERER als ein System ohne. Warum das so ist, kann man im Heft und/oder in den Links nachlesen.

Ein eindeutiger Beweis fehlt trotzdem noch und so lange es den nicht gibt, ist diese Diskussion hier mehr oder weniger sinnlos.
Ich habe damals versucht, das System (mit abgeschalteten Diensten) auf den aktuellsten Stand zu halten und ohne Firewall auszukommen, aber schon nach sehr kurzer Zeit, war ein Trojaner auf dem System (sogar mit ankündigung eines ICQ-Users ;-)).
Da hätte die PFW definitiv geholfen, denn sie hätte die Verbindung schon von vornerein geblockt.

Und selbst jetzt kannst du nicht wissen, wieviele deiner Programme tatsächlich geblockt werden - sind es 99,9% oder vielleicht nur 50%, oder doch nur 0,001%? Keiner kann es dir sagen.

Selbst wenn nur ein Programm wirkungsvoll geblockt wird: Eins ist immer noch besser, als gar keines. :)

Viele der Schädlinge setzen auf längst bekannte Sicherheitslücken auf, für die es schon Patches gibt.
Wer diese regelmässig einspielt und zusätzlich eine (Personal) Firewall nutzt, der hat vor den meisten 0815-Schädlingen seine Ruhe.

Das Tool von http://www.ntsvcfg.de/ ist übrigens auch sehr schlecht programmiert, denn die Unterscheidungen zwischen LAN, Standard und Alles sind viel zu ungenau.

Jeder User benötigt andere Dienste, was bei dem einen noch funktioniert, kann bei dem anderen zu Fehlern führen...

ich nutze (Personal)-Firewalls schon aus einem Grund: Um zu sehen, welche Programme auf das Internet zugreifen wollen. Das hat bis jetzt zuverlässig funktioniert, wieso sollte ich es dann ändern?

Jo. PFW`s sind Tools wie ne Menge anderer auch - mit eng umrissenem Nutzen.
Als solche haben sie durchaus ihre Berechtigung.

Dieses Thema gibt es wirklich in jedem Board :)

Ich halte einen PC mit einer PFW sicherer als einen ohne,egal was irgendeine Zeitung dort schreiben mag.

z.b.mein kleines Netzwerk
1.Rechner bringt das INET ins Netzwerk,dort wird mittels ATGuard(ja eine PFW) die Port(80,443,5190,Mail,53,6697) an bestimmte IPs freigegeben und der Rest mit einer Regel geblockt.

2.AUf jedem Rechner im Netzwerk läuft auch noch einmal ATGuard,aber dort wird jetzt nach Applikationsebenen unterschieden,also welchen Programm braucht wirklich welchen Port und bekommt auch wirklich nur diesen.

Ohne PFW wäre das Netzwerk bei weitem nicht so sicher und Viren/Trojaner wie MS Blaster würden ohne PFW viel mehr Opfer finden.Ja bitte kommt jetzt jemand damit,das der Patch fuer MS Blaster schon seit Monaten bei MS bereit lag,aber wer ist denn wirklich nur dabei sein System zu updaten.

Fazit:Mit einer gut eingestellten PFW lässt es sich leichter Leben :)

PS:Routerfirewall/Hardwarefirewall mögen ja ganz gut sein,aber dort fehlt mir einfach die Applikationsebene,also ist eine PFW auf dem Client nicht verkehrt...

Ein eindeutiger Beweis fehlt trotzdem noch und so lange es den nicht gibt, ist diese Diskussion hier mehr oder weniger sinnlos.
Ich habe damals versucht, das System (mit abgeschalteten Diensten) auf den aktuellsten Stand zu halten und ohne Firewall auszukommen, aber schon nach sehr kurzer Zeit, war ein Trojaner auf dem System (sogar mit ankündigung eines ICQ-Users ;-)).
Da hätte die PFW definitiv geholfen, denn sie hätte die Verbindung schon von vornerein geblockt.

Selbst wenn nur ein Programm wirkungsvoll geblockt wird: Eins ist immer noch besser, als gar keines. :)

Viele der Schädlinge setzen auf längst bekannte Sicherheitslücken auf, für die es schon Patches gibt.
Wer diese regelmässig einspielt und zusätzlich eine (Personal) Firewall nutzt, der hat vor den meisten 0815-Schädlingen seine Ruhe.

Das Tool von http://www.ntsvcfg.de/ ist übrigens auch sehr schlecht programmiert, denn die Unterscheidungen zwischen LAN, Standard und Alles sind viel zu ungenau.

Jeder User benötigt andere Dienste, was bei dem einen noch funktioniert, kann bei dem anderen zu Fehlern führen...

Wieso fehlt der Beweis? Wer z.B. regelmäßig heise.de liest kennst Beweise und auch in der aktuellen PC Pro werden Beweise genannt. Was willst du denn noch sehen?

Wie genau ist denn der Trojaner über ICQ auf dein System gekommen?

Woher weißt du, dass dich die PFW vor dem Trojaner geschützt hätte?

Noch mal: kein Programm kann wirksam geblockt werden! Wenn es um Sicherheit geht, muss man leider vom Worst-Case ausgehen und dass heißt, dass du davon ausgehen musst, dass alle Programme ungefragt und ungehindert durch deine PFW ins Internet gehen können!

Zu dem Tool: Es steht dir und jedem anderen völlig frei, die Entwickler zu kontaktieren und Verbesserungsvorschläge einzubringen oder Bugs zu melden. Außerdem gleube ich, dass der normale Home-User sehr wohl gut mit diesen 3 Einstellungen zurecht kommt. Wer tatsächlich spezielle Dienste benötigt, sollte auch über das Wissen zu deren Nutzung und sicherer Konfiguration haben.

Ohne PFW wäre das Netzwerk bei weitem nicht so sicher und Viren/Trojaner wie MS Blaster würden ohne PFW viel mehr Opfer finden.Ja bitte kommt jetzt jemand damit,das der Patch fuer MS Blaster schon seit Monaten bei MS bereit lag,aber wer ist denn wirklich nur dabei sein System zu updaten.

Fazit:Mit einer gut eingestellten PFW lässt es sich leichter Leben :)

PS:Routerfirewall/Hardwarefirewall mögen ja ganz gut sein,aber dort fehlt mir einfach die Applikationsebene,also ist eine PFW auf dem Client nicht verkehrt...

Wer sein System nicht aktuell hält, ist selber Schuld! Wofür gibt es denn die Auto-Update-Funktion von Windows? Und wer, warum auch immer, diese nicht benutzen will, der sollte eben regelmäßig mal auf der Windows-Update-Seite vorbei schauen und manuell die wichtigsten Fixes einspielen.

Mit installierter PFW lässt es sich vielleicht leichter Leben, aber nicht sicherer.

Es stimmt, dass den Routern die Applikations-Ebene fehlt, aber wie ich schon mehrfach sagte: keine PFW kann wirksam verhindern, dass eine Anwendung eine Netzverbindung aufbaut! Und da man in Sicherheitsfragen lieber vom Worst-Case ausgehen sollte, kannst du davon ausgehen, dass jedes Programm auf deinem PC ungefragt und ungehindert durch eine PFW ins Netz gehen kann.

Die Aussage kann man so nicht stehen lassen, denn durch die Windows-Benutzerverwaltung ist es möglich, mit Benutzerrechten zu arbeiten.
So kann man z.B. erreichen, das andere Programme und Schädlinge auf bestimmte Verzeichnisse nicht mehr zugreifen können. Die meisten PFWs lassen sich außerdem noch per Passwort schützen.
Wenn ein Schädling weder Zugriffsrechte auf die Dateien und auf das Passwort hat, wie soll es dann etwas manipulieren können? ...

Durch die Windows-Benutzerverwaltung kann außerdem festgelegt werden, das keine zusätzliche Software installiert werden darf.

Um das zu umgehen, bedarf es schon mehrere kritische Sicherheitslücken.
Wie wahrscheinlich ist es, das man sich einen Schädling einfängt, der gerade diese Softwareversionen umgehen kann?
Wenn es sich nicht gerade um einen gezielten Angriff handelt (=recht selten bei einem Homeuser mit dynamischer IP), ist dies relativ unwahrscheinlich.


Da hast Du recht. Aber ein unbedarfter User wird wohl eher als Hauptuser oder gar Admin an seiner Kiste arbeiten. Von daher ist Dein Argument einfach unpassend. Ein erfahrener User kann sein System schon so einrichten, daß Viren, Trojaner und böse Buben kaum ne Chance haben. Und das ohne ne PFW. Lies einfach mal die verlinkten Texte. Da wird alles genau erklärt warum man ne PFW als unsicher betrachten sollte. Und die Argumente sind einfach richtig. Zumindest in meinen Augen und von meiner Kenntnis der Materie und der User.

Fazit:Mit einer gut eingestellten PFW lässt es sich leichter Leben :)


Sag mir deine IP, und ich knall dir nen Trojaner drauf....

Wieso fehlt der Beweis? Wer z.B. regelmäßig heise.de liest kennst Beweise und auch in der aktuellen PC Pro werden Beweise genannt. Was willst du denn noch sehen?

Welche Beweise werden da geliefert?
Da steht lediglich, das Fehler im Betriebssystem gefunden wurden und hin und wieder (deutlich seltener) Fehler in Personal Firewalls und Router.
Was heißt das jetzt? Gar nichts, denn es wird nirgendwo erwähnt, mit welcher Methode man "sicherer" fährt...

Wie genau ist denn der Trojaner über ICQ auf dein System gekommen?

... Überleg mal: Wenn man das vorher gewusst hätte, wäre es dann überhaupt erst dazu gekommen? ;)

Woher weißt du, dass dich die PFW vor dem Trojaner geschützt hätte?

... weil Verbindungen von "außen" größtenteils korrekt geblockt werden.

Noch mal: kein Programm kann wirksam geblockt werden! Wenn es um Sicherheit geht, muss man leider vom Worst-Case ausgehen und dass heißt, dass du davon ausgehen musst, dass alle Programme ungefragt und ungehindert durch deine PFW ins Internet gehen können!

... Dann muss man aber auch davon ausgehen, das es nichts bringt, die Firewall weg zu lassen und das System sicher zu konfigurieren... so zumindest nach diesem Motto. ;)
Also spielt es doch im Prinzip keine Rolle, wie ich mein System sicher halte, wenn es eh nie wirklich sicher sein kann. :tongue:

Ein erfahrener User kann sein System schon so einrichten, daß Viren, Trojaner und böse Buben kaum ne Chance haben. Und das ohne ne PFW. Lies einfach mal die verlinkten Texte. Da wird alles genau erklärt warum man ne PFW als unsicher betrachten sollte.

Das herumgefrickel am System führt auch nicht dazu, das es sicher ist. Denn irgendetwas übersieht man immer, egal wie gut man informiert ist.

Sag mir deine IP, und ich knall dir nen Trojaner drauf....

Dann versuch es doch mal bei www.ebay.de (http://www.ebay.de/) :)

Wäre schon "komisch", wenn du jede Firewall umgehen kannst, wo selbst Sicherheitsexperten ihre Probleme haben...

Es kommen doch immer wieder die gleichen Kommentare bei diesem Thema zum Vorschein, aber wo sind die Beweise!?

Ich weiss gar nicht , worüber man sich hier aufregt, schließlich hat niemand behauptet, das PFWs 100% sicher sind, die Hersteller schon gar nicht.

Das ein System mit PFW sicherer ist als ohne, ist eindeutig.

Aber irgendwie muss die Kack PC Pro ja reißerisch Auflage machen, inhaltlich ist sie ja unterstes Neveau, und Themen wie "Alles Brennen", "1000 Supi ebay-Tricks" sind selbst denen wohl zu ausgelutscht,

IDas ein System mit PFW sicherer ist als ohne, ist eindeutig.


Und genau das ist falsch! Lies die Links und lies den Artikel, sonst würdest du soo nicht reden.

Und genau das ist falsch! Lies die Links und lies den Artikel, sonst würdest du soo nicht reden.

Pauschalisierte Aussagen sind sowieso falsch, denn vorher müssten sie schon ALLE gängigen Betriebssysteme und ALLE gängigen Personal Firewalls in JEDER aktuellen Version mit ALLEN möglichkeiten durchgeprüft haben.

Haben sie das? Nein? Gut, dann brauchen wir gar nicht erst weiter reden. In den Links steht eh nur das, was hier schon tausend mal gesagt wurde, aber nie zu einem Ergebniss geführt hat. ;)


PS: Pure Zeitverschwendung diese Diskussion. /exit. ;)

OK, zum mitloggen kann man eine PFW eingeschränkt nutzen, aber wenn ein Programm eine Verbindung ins I-Net aufbaut, OHNE dass die PFW das merkt, ist das auch hinfällig. Außerdem gibt es zum loggen andere, bessere Tools.
Und ich muss mich noch mal wiederholen: keine PFW kann wirksam verhindern, dass sich ein Programm eine Datenverbindung aufbaut! Die PFW hat versagt! Sollte sich ein Programm von einer PFW am Datenverkehr hindern lassen, dann nur, weil es das Programm so will! Und selbst jetzt kannst du nicht wissen, wieviele deiner Programme tatsächlich geblockt werden - sind es 99,9% oder vielleicht nur 50%, oder doch nur 0,001%? Keiner kann es dir sagen.

Ich nutze die Fritz!Card DSL. Deren Software beinhaltet eine Firewall die nur aktiv ist wenn eine Verbindung aufgebaut wird. Gleichzeitig läuft Fritz! WebProtect. Das ist dafür zuständig daß nur ausgewählte Programme ins Netz dürfen und schlägt sofort Alarm wenn ein unbekanntes Programm dies will. Meinst du nicht daß so eine Kombination Sinn macht? Immerhin werden so Angriffe von innen und außen geblockt.

Welche Beweise werden da geliefert?
Da steht lediglich, das Fehler im Betriebssystem gefunden wurden und hin und wieder (deutlich seltener) Fehler in Personal Firewalls und Router.
Was heißt das jetzt? Gar nichts, denn es wird nirgendwo erwähnt, mit welcher Methode man "sicherer" fährt...

Im Heft-Artikel steht z.B. etwas über die Norton-PFW, die sicherheitsrelevante Daten unsicher abspeichert bzw. filtert und es erst so möglich wird, diese Daten (z.B. PIN-Nummern) auszuspionieren.

... Überleg mal: Wenn man das vorher gewusst hätte, wäre es dann überhaupt erst dazu gekommen? ;)

OK, ich überlege mal ... Trojaner kommen nicht "einfach so" auf ein System. Sie müssen herunter geladen und ausgeführt werden. Und soetwas passiert nicht ohne zutun des Users! Falls doch, setzt der User nachweislich unsichere Programme wie den IE ein (ICQ nutzt großteils IE-Technologie). Ergo: selber Schuld! :P

... weil Verbindungen von "außen" größtenteils korrekt geblockt werden.

Wie wäre die Verbindung denn geblockt worden? Dein ICQ wird doch von der PFW durchgelassen. Also wäre auch der Trojaner durch gekommen.
Sollte er nicht direkt über ICQ reingekommen sein, hätte er auch keine Chance gehabt, wenn du deine nicht benötigten Dienste (und damit deren Ports) deaktiviert hättest.

... Dann muss man aber auch davon ausgehen, das es nichts bringt, die Firewall weg zu lassen und das System sicher zu konfigurieren... so zumindest nach diesem Motto. ;)
Also spielt es doch im Prinzip keine Rolle, wie ich mein System sicher halte, wenn es eh nie wirklich sicher sein kann. :tongue:

Erstens wird es mit PFW eher unsicherer als ohne, und zweitens bezieht sich diese Aussage ausschließlich auf die Dinge, die die Hersteller von PFWs immer wieder versprechen: nämlich, dass sie wirksam den Datenverkehr von innen nach außen blocken können. Aber genau das können sie nicht. Alles andere geht auch ohne PFW. Fazit: die PFW ist überflüssig.

Das herumgefrickel am System führt auch nicht dazu, das es sicher ist. Denn irgendetwas übersieht man immer, egal wie gut man informiert ist.

Wohl kaum. Wenn man wirklich informiert ist, übersieht man auch nichts. Du kannst ja selber jederzeit nachschauen, welche Dienste laufen oder welche Verbindungen aktiv sind und dann dementsprechend eingreifen. Alles ohne PFW.

Wäre schon "komisch", wenn du jede Firewall umgehen kannst, wo selbst Sicherheitsexperten ihre Probleme haben...

Wie oben schon erwähnt, geht es nicht um Hardware-FWs, sondern um die falschen Versprechungen der Personal FWs.

Es kommen doch immer wieder die gleichen Kommentare bei diesem Thema zum Vorschein, aber wo sind die Beweise!?

Lies die Links. Lies den Artikel. Falls du etwas findest, was falsch ist, sag Bescheid.

Pauschalisierte Aussagen sind sowieso falsch, denn vorher müssten sie schon ALLE gängigen Betriebssysteme und ALLE gängigen Personal Firewalls in JEDER aktuellen Version mit ALLEN möglichkeiten durchgeprüft haben.

Haben sie das? Nein? Gut, dann brauchen wir gar nicht erst weiter reden. In den Links steht eh nur das, was hier schon tausend mal gesagt wurde, aber nie zu einem Ergebniss geführt hat. ;)

PS: Pure Zeitverschwendung diese Diskussion. /exit. ;)

Du hast doch pauschalisiert. Zu behaupten, ein System mit PFW ist sicherer als ohne, ist definitiv nicht richtig. Das ist Fakt.

Ich nutze die Fritz!Card DSL. Deren Software beinhaltet eine Firewall die nur aktiv ist wenn eine Verbindung aufgebaut wird. Gleichzeitig läuft Fritz! WebProtect. Das ist dafür zuständig daß nur ausgewählte Programme ins Netz dürfen und schlägt sofort Alarm wenn ein unbekanntes Programm dies will. Meinst du nicht daß so eine Kombination Sinn macht? Immerhin werden so Angriffe von innen und außen geblockt.


Hm, ich kenne die Fritz!Card DSL nicht so genau und auch nicht deren Software. Aber wenn es sich um eine Software-FW handelt, gelten die Aussagen auch hier: sie kann nicht wirksam verhindern, dass Programme eine Datenverbindung nach außen herstellen, wenn sie es wollen.

Was machst du z.B. wenn du deinen IE bereits freigegeben hast und plötzlich will er noch mal eine Bestätigung? Niemand kann dir sagen, ob da jetzt gerade wirklich der IE oder ein Programm, das sich als IE tarnt, ins I-Net will.

Dann versuch es doch mal bei www.ebay.de (http://www.ebay.de/) :)

Wäre schon "komisch", wenn du jede Firewall umgehen kannst, wo selbst Sicherheitsexperten ihre Probleme haben...

Es kommen doch immer wieder die gleichen Kommentare bei diesem Thema zum Vorschein, aber wo sind die Beweise!?

Die Beweise hab ich schon mal als Link gepostet. Leider wird die Seite hier im Forum nicht gern gesehen. Und ich mach mich jetzt sicher nicht daran ebay zu hacken, da ich erstens mal ehrlich gesagt keine Ahnung vom Hacken hab, und nur die Tools kenne, die das für einen automatisch erledigen, und 2. will ich keinen Stress mit den Anwälten von ebay bekommen ;)

Das herumgefrickel am System führt auch nicht dazu, das es sicher ist. Denn irgendetwas übersieht man immer, egal wie gut man informiert ist.



Auch das ist richtig. Wie ich bereits schrieb. Absolut sicher geht nunmal nicht. Aber man muß er ja dem ernsthaften Angreifer nicht mit einer PFW noch eventuell leichter machen.



Pauschalisierte Aussagen sind sowieso falsch, denn vorher müssten sie schon ALLE gängigen Betriebssysteme und ALLE gängigen Personal Firewalls in JEDER aktuellen Version mit ALLEN möglichkeiten durchgeprüft haben.

Haben sie das? Nein? Gut, dann brauchen wir gar nicht erst weiter reden. In den Links steht eh nur das, was hier schon tausend mal gesagt wurde, aber nie zu einem Ergebniss geführt hat.

Diese Aussage zeigt nur, daß Du die Mechanismen hinter den Angriffen nicht verstanden hast und Dich wohl auch nicht sonderlich mit Windows auskennst (die Systemmechanismen in diesem Falle).

Wie gesagt. Liest die verlinkten Texte und Du wirst Deine Meinung ändern.

Sag mir deine IP, und ich knall dir nen Trojaner drauf....

84.128.20.59

Dann probiere es doch!! :biggrin:
Ist kein PFW drauf!!

So long Ajax

Ich bitte einaml darum, nur mit zu diskutieren, wenn man sich mit dem Thema wirklich auskennt oder den Artikel und/oder die Links genau gelesen hat!

Ich war auch lange Zeit Verfechter von PFWs und wollte nicht glauben/einsehen, dass diese völlig nutzlos sind, da sie nicht das halten können, was sie versprechen. Alles andere kann man auch ohne PFW genauso gut erreichen!

Jeder, der eine PFW einsetzt, sollte sich fragen, zu welchem Zweck er das tut. Würde mich mal interessieren.mmm...

Auf Lan- Parties schützt ein Router definitiv nichts.
Meine Kiste hat die ganze Zeit eine Dateifreigabe, liegt daran, das auf meiner 2. Kiste ein paar Sachen liegen, die ich hin und wieder rüberkopiere. Und nun? Laut deiner Aussage müssten hier jeden Tag ein paar Leute vorbeischauen und sich permanent Sachen runterladen. Bisher ist nichts passiert, auch wenn die Kiste über das Wochenende fast permanent online war und da gehen mehr als genug Scans auf die Kiste rauf ... gegen den Standardkram aus dem Internet reicht die PFw für Homeuser aus, Firmen brauch da schon mehr Schutz, aber das ist keine neue Aussage von mir ...

Achja, schön das du sagst, das eine PFW es nicht verhindern kann, das eine Verbindung aufgebaut wird. Ein Router kann aber auch nicht verhindern, das Daten gesendet werden, es kann nur den Empfang unterbinden/ stören ...

Diese Aussage zeigt nur, daß Du die Mechanismen hinter den Angriffen nicht verstanden hast und Dich wohl auch nicht sonderlich mit Windows auskennst (die Systemmechanismen in diesem Falle).

Diese Aussage zeigen genauso viel wie die anderen, nämlich gar nichts.
Jedes mal wird man hier als unwissender dargestellt, nur weil man nicht die Meinung anderer teilt, die sich als "Experten" betiteln lassen, obwohl sie keine sind.

Texte dieser Art habe ich mit Sicherheit schon ein dutzend mal gelesen, daher halte ich es auch für schwachsinn, darauf zu vertrauen. ;)

So lange es funktioniert, sind die anderen Methoden keine alternative. Wieso sollte man etwas ändern, was gut funktioniert und keinerlei Probleme verursacht?

Wenn alles so sicher wäre, wie hier dargestellt, wieso sind dann hin und wieder größere Webseiten oder gar FBI-Server Ziele, die erfolgreich angegriffen wurden?

Das Thema wurde schon tausend mal durchgekaut. Jedes mal mit dem selben Ergebniss: Nämlich keines. ;)

Die Leute, die meinen sie können alles: Wieso versucht ihr euch nicht mal an einen der größeren Server? Es ist nicht selten, das jemand einen Job von einem großen Unternehmen angeboten bekommt, wenn er deren Sicherheitssystem geknackt hat. ;)

Nichts für ungut, das sollte alles gewesen sein, was man zu dem Thema sagen kann. ;)

Wenn sich ein Trojaner über ein ICQ Exploit installiert ist das nicht die Schuld der PFW. Wenn Daten "versteckt" über den Browser verschickt werden kann man das auch nicht der PFW anlasten, solange der Browser laut Regelvergabe dazu berechtigt ist.

Wer PFWs im Rahmen ihrer Möglichkeiten nutzt und deren Leistungen und Einflussnahme auf das System ausreichend beurteilen kann wird durchaus eine Bereicherung erfahren, die er als User so nicht mehr missen will.

Diese Aussage zeigen genauso viel wie die anderen, nämlich gar nichts.
Jedes mal wird man hier als unwissender dargestellt, nur weil man nicht die Meinung anderer teilt, die sich als "Experten" betiteln lassen, obwohl sie keine sind.

Texte dieser Art habe ich mit Sicherheit schon ein dutzend mal gelesen, daher halte ich es auch für schwachsinn, darauf zu vertrauen. ;)

So lange es funktioniert, sind die anderen Methoden keine alternative. Wieso sollte man etwas ändern, was gut funktioniert und keinerlei Probleme verursacht?

Wenn alles so sicher wäre, wie hier dargestellt, wieso sind dann hin und wieder größere Webseiten oder gar FBI-Server Ziele, die erfolgreich angegriffen wurden?

Das Thema wurde schon tausend mal durchgekaut. Jedes mal mit dem selben Ergebniss: Nämlich keines. ;)

Die Leute, die meinen sie können alles: Wieso versucht ihr euch nicht mal an einen der größeren Server? Es ist nicht selten, das jemand einen Job von einem großen Unternehmen angeboten bekommt, wenn er deren Sicherheitssystem geknackt hat. ;)

Nichts für ungut, das sollte alles gewesen sein, was man zu dem Thema sagen kann. ;)

Ich will mich hier nicht als Experten darstellen, denn das bin ich mit Sicherheit nicht. Ich hab nur vage Vorstellungen davon, die aber durch Grundkenntnisse über Netzwerke, die verwendeten Protokolle und natürlich die Windows Programmierung ein wenig aufgewertet werden. Ein echter Profi kann da deutlich mehr zu sagen.

Und manche der Jungen die in den Links sich die Mühe gemacht haben das Problem zu erklären sind halt Profis.

84.128.20.59

Dann probiere es doch!! :biggrin:
Ist kein PFW drauf!!

So long Ajax
Aber auch kein Windows. ;)

Wie kommst denn darauf ?? :rolleyes:

Trotzdem, hätte zumindest einen Scan erwartet ...

So long Ajax

Wie kommst denn darauf ?? :rolleyes:

Trotzdem, hätte zumindest einen Scan erwartet ...

So long Ajax
Windows und deine Sig passen nicht wirklich zusammen. ;)
Afaik habe ich auch schon irgendwo hier im Forum gelesen das du Linux? drauf hast.

Welcher Spruch? You are chosen to represent earth! Ist ein Spruch von Raiden aus Mortal Kombat. Also off topic ;-).

Nein! Im Ernst!

Stimmt! :biggrin: Du hast Recht.

Benutze Fedora Core 2. Ohne Admin-Rechte, ohne Viren-Scanner und ohne PFW und fühle mich trotzdem relativ sicher ... ;)

Was wiederum die Frage aufwirft, warum nur Win-User auf eine PFW setzen? Warum brauchen so etwas die anderen OS-User nicht?

So long Ajax

Benutze Fedora Core 2. Ohne Admin-Rechte, ohne Viren-Scanner und ohne PFW und fühle mich trotzdem relativ sicher ... ;)
Ich habe auch keine PFW drauf und sehen auch keinen Sinn eine zu installieren.
Virenscanner hab ich drauf, aber das läßt sich unter Windows ja nicht vermeiden. ;)

Wie kommst denn darauf ?? :rolleyes:

Trotzdem, hätte zumindest einen Scan erwartet ...

So long Ajaxmmm...

Hatte einen kleinen Scan gemacht, aber nachher abgebrochen (ca. die ersten 1000 Ports wurden gescannt), weil ich zur Zeit mit der Win- Kiste online bin und keine Lust hatte, die BSD- Kiste zu nehmen. Ansonsten hätte ich einen kleinen Scan mit nmap versucht, vielleicht hätte man damit noch ein bissle was rausbekommen.Stimmt! :biggrin: Du hast Recht.

Benutze Fedora Core 2. Ohne Admin-Rechte, ohne Viren-Scanner und ohne PFW und fühle mich trotzdem relativ sicher ... ;)

Was wiederum die Frage aufwirft, warum nur Win-User auf eine PFW setzen? Warum brauchen so etwas die anderen OS-User nicht?

So long AjaxWeil du es nicht wärst, wenn du mit Win online gehen würdest ;) ... Suse??? ;) ... eine PFw entsteht dadurch, das sie auf dem gleichen System läuft, auf dem auch gearbeitet wird. So hab ich es zumindest verstanden ...

Da fällt mir gerade ein, gibt es eigentlich eine Firewall, die in der Lage ist, bestimmte Packete herauszufiltern, aber alles andere durchzulassen? ethereal kennt einige Protokolle (Quake3, Emule, FTP usw.), nur kann es keine Funktionen einer FW ...

Hm, ich kenne die Fritz!Card DSL nicht so genau und auch nicht deren Software. Aber wenn es sich um eine Software-FW handelt, gelten die Aussagen auch hier: sie kann nicht wirksam verhindern, dass Programme eine Datenverbindung nach außen herstellen, wenn sie es wollen.

Was machst du z.B. wenn du deinen IE bereits freigegeben hast und plötzlich will er noch mal eine Bestätigung? Niemand kann dir sagen, ob da jetzt gerade wirklich der IE oder ein Programm, das sich als IE tarnt, ins I-Net will.

Ich schrieb doch daß ich zusätzlich FRITZWebProtect nutze um Verbindungen nach außen zu unterbinden. Der IE hat sowieso keinerlei Berechtigung da ich Mozilla nutze und wenn der IE plötzlich nach Hause telefonieren will sag ich Nein.
ActiveX ist natürlich genauso deaktiviert wie Datei und Druckerfreigabe. Und du darfst mir ruhig glauben daß ich so alle 6 Wochen nach Trojanern scanne und nichts finde.

Ich wette ganz ohne, haste schneller was, als du "Personal Firewall" sagen kannst. ;)
wette ich dagegen...

woher kommst du?
ich hab bald n neuen rechner...ich installier+konfigurier ihn...und dann schau mer mal was mit netz passiert

Stichwort MSBlaster, ohne patch und/oder pfw war man als normaler Homeuser, der direkt am Internet haengt, dem Wurm machtlos ausgeliefert. Klar haette man damals den Patch rechtzeitig installieren koennen, aber wer sagt denn, dass nicht einmal eine Sicherheitsluecke ausgenutzt wird, fuer die noch kein Patch erhaeltlich ist? Dann bringt es schon etwas eine pfw die eingehenden TCP-Pakete blocken zu lassen, wenn sie an nicht explizit freigegebene Ports gehen. Den RPC-Dienst zu deaktivieren ging da ja auch nicht, weil der fuer Windows benoetigt wird.

Aqua
hab bis heute systeme direkt im netz, die ungepatcht sind (xp) und trotzdem laufen se noch

mmm...

Hatte einen kleinen Scan gemacht, aber nachher abgebrochen (ca. die ersten 1000 Ports wurden gescannt), weil ich zur Zeit mit der Win- Kiste online bin und keine Lust hatte, die BSD- Kiste zu nehmen. Ansonsten hätte ich einen kleinen Scan mit nmap versucht, vielleicht hätte man damit noch ein bissle was rausbekommen.Weil du es nicht wärst, wenn du mit Win online gehen würdest ;) ... Suse??? ;) ... eine PFw entsteht dadurch, das sie auf dem gleichen System läuft, auf dem auch gearbeitet wird. So hab ich es zumindest verstanden ...

Da fällt mir gerade ein, gibt es eigentlich eine Firewall, die in der Lage ist, bestimmte Packete herauszufiltern, aber alles andere durchzulassen? ethereal kennt einige Protokolle (Quake3, Emule, FTP usw.), nur kann es keine Funktionen einer FW ...

NMAP?? Ergebnis:

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-02-11 19:35 CET
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on p5480143B.dip.t-dialin.net (84.128.20.59):
(The 1662 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
5432/tcp open postgres
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port5432-TCP:V=3.81%D=2/11%Time=420CFB01%P=i686-redhat-linux-gnu%r(Gene
SF:ricLines,20,"HTTP/1\.1\x20511\x20Not\x20Implemented\r\n\r\n")%r(GetRequ
SF:est,20,"HTTP/1\.1\x20511\x20Not\x20Implemented\r\n\r\n")%r(HTTPOptions,
SF:20,"HTTP/1\.1\x20511\x20Not\x20Implemented\r\n\r\n")%r(RTSPRequest,20,"
SF:HTTP/1\.1\x20511\x20Not\x20Implemented\r\n\r\n")%r(Help,20,"HTTP/1\.1\x
SF:20511\x20Not\x20Implemented\r\n\r\n")%r(SSLSessionReq,20,"HTTP/1\.1\x20
SF:511\x20Not\x20Implemented\r\n\r\n")%r(LPDString,20,"HTTP/1\.1\x20511\x2
SF:0Not\x20Implemented\r\n\r\n");
Device type: WAP
Running: Compaq embedded, Netgear embedded
OS details: WAP: Compaq iPAQ Connection Point or Netgear MR814

Nmap finished: 1 IP address (1 host up) scanned in 68.577 seconds

Sagt leider nicht recht viel und ist ausserdem noch falsch.

Sorry! Richtig ist z.B.: i686-redhat-linux-gnu. Da Fedora Core ja Red Hat ist ...

Device Type und Router sind aber falsch!

So long Ajax

Ich weiss nicht mehr in welchem Thread es war, aber als diese Diskussion schon einmal aufgeflammt war, gab es eine gute Erklärung für das "Problem" mit Personal Firewalls, welche ich sinngemäss wiedergeben möchte.

Der Sinn hinter einer Firewall besteht ja darin, dass einem Angreifer schon beim Portscan vorgetäuscht wird, dass der Zielcomputer garnicht existiere, also der Rechner Stealth ist. Möglich macht das u.a. das reine Droppen sämtlicher Pakete, also auch der TCP ACK und TCP SYN Pakete, aber auch der ICMP-Response-Type "host unreachable".

Vergleichen könnte man das mit einem Schild vor einem Haus, auf dem "Dies ist kein Haus" steht und damit jeden, der ein Haus sucht, "abwimmelt".

Personal Firewalls sind nun besonders bunt und grell leuchtende Schilder und ziehen daher mehr Interesse an, als sie vermeiden.

Das Kalkül dahinter ist einfach, dass ein Rechner mit einer Personal Firewall
a) nur Softwaremässig auf dem Client selbst geschützt ist, d.h. keine DMZ besitzt, nicht mit NAT arbeitet und den gesamten "Schutz" auf der Targetmachine erledigt und
b) ausserhalb der Installation und Standard-Einrichtung der Firewall kaum oder garnicht geschützt ist, d.h. Dienste en Masse laufen und sich wegen der einfachen Installation der Personal Firewall keine weiteren Gedanken über den Schutz des Systems gemacht wurde.

Gerade durch diesen vermeintlichen Schutz, den einem Personal Firewalls verleihen sollen, werden viele Nutzer unvorsichtiger, bzw. kümmern sich nicht weiter um den Schutz ihres Systems und erhalten damit im Ergebnis ein unsicherereres System als Nutzer, die Sicherheitsbewusst surfen und ihr System entsprechend eingerichtet haben (grösster Faux-Pas z.B. das aktivieren der MS-Netzwerkclients und Netbios über TCP/IP für Dial-Up-Verbindungen).

Device type: WAP
Running: Compaq embedded, Netgear embedded
OS details: WAP: Compaq iPAQ Connection Point or Netgear MR814

Nmap finished: 1 IP address (1 host up) scanned in 68.577 seconds

Sagt leider nicht recht viel und ist ausserdem noch falsch.

Sorry! Richtig ist z.B.: i686-redhat-linux-gnu. Da Fedora Core ja Red Hat ist ...

Device Type und Router sind aber falsch!

So long Ajaxmmm...

Kennst sonst noch einen guten Portscanner? Spontan wüsste ich keinen guten weiteren (bei Shadowscan usw. weiss ich nicht, wie gut sie sind). Mit welchen Optionen hast du gescannt? Laut nmap ist meine Win98 Schüssel mit ZA sehr wahrscheinlich ein MP3- Player ;), wobei es bei einer Option noch weitere Sachen anzeigt und da dann auch Win98 dabei ist ...

Benutze Fedora Core 2. Ohne Admin-Rechte, ohne Viren-Scanner und ohne PFW und fühle mich trotzdem relativ sicher ... ;)

Was wiederum die Frage aufwirft, warum nur Win-User auf eine PFW setzen? Warum brauchen so etwas die anderen OS-User nicht?
Das verwundert allerdings, denn Windows ist wesentlich sicherer als RedHat (http://www.techweb.com/wire/security/60300209).

@Lokadamus
nmap -sS -sR -sV -O -PI -PT 84.128.20.59
Syn Stealth Scan mit RPC Scan, Version Probe und OS Detection ...

Ich finde NMAP eigentlich ganz gut. Ansonsten kann ich noch Nessus (http://nessus.org/) empfehlen. Falls Du ein Knoppix rumliegen hast. Da ist es schon integriert ...

@HellHorse
Und das von Dir? Da geht es um Server nicht um Desktops.;) RedHat Enterprise ist auch ein Server. Ich benutze Fedora Core für den Home User ... Ausserdem würde ich an Mike Nashs Stelle dasselbe behaupten. Der will schliesslich auch Geld verdienen ... :biggrin:
War aber ein guter Witz :biggrin:

So long Ajax

Ich hab nmap mal bei meinem XP-Rechner mit Kerio Firewall ausprobiert und raus kam folgendes:

Running: Linux 2.4.X
OS details: Astaro Security Linux 4 (Kernel 2.4.19)

Bei meiner Gentoo-Kiste ist die Angabe genauso seltsam:

Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7), Linux 2.6.3 - 2.6.8

Er erkennt zwar immerhin, dass ich Gentoo drauf habe, aber nicht, dass es der 2.6.9er Kernel ist. Sonderlich genau ist die OS-Erkennung also nicht, oder?

Aqua

Edit: Für die OS-Angabe hat wohl Kerio gesorgt, ohne Kerio wird XP SP2 richtig erkannt.

Ich wette ganz ohne, haste schneller was, als du "Personal Firewall" sagen kannst. ;)

Genau so ists.

Ich lese mir jetzt die drei Seiten nicht durch, ich schreib nur mal meine Erfahrung/Meinung auf:

Seit ich ne PFW habe, hab ich keine Probleme mit nichts mehr.

Als ich sie letztens mal testweise für ein paar Sekunden (war wirklich nicht mehr) ausgeschalten hatte, hatte ich sofort irgendwelchen Schwachsinn drauf, normales Surfen war nicht mehr möglich - und ich bewege mich nur auf "normalen" Seiten, wie immer man das definieren mag.

Also für mich ist die Sache klar - PFWs schützen mich wunderbar.

Natürlich, absolut sicher ist man nie, zumindest der normale User zu Hause ist das nicht. ;) Aber sie ersparen mir ne Menge Dreck - und wer mich wirklich "hacken" will oder wasweiß ich, der wird das schon können, aber ich glaube ich bin nicht so wichtig, als dass das der Fall wäre. ;)

@Lokadamus
nmap -sS -sR -sV -O -PI -PT 84.128.20.59
Syn Stealth Scan mit RPC Scan, Version Probe und OS Detection ...

Ich finde NMAP eigentlich ganz gut. Ansonsten kann ich noch Nessus (http://nessus.org/) empfehlen. Falls Du ein Knoppix rumliegen hast. Da ist es schon integriert ...mmm...

Wenn ich Zeit hätte, würde ich das alles gerne testen, aber momentan entweder keine Zeit oder keine Lust :( ... http://www.knoppix-std.org/tools.html oder http://www.computec.ch/projekte/atk/ (von und für Windoof) sind für Sicherheitstest wohl auch noch interesant ... lass mal den stealth scan weg und guck dann das Ergebnis an, es dürfte zwar identisch ausfallen, aber vielleicht wirft die Kiste dann doch etwas anderes raus ...Er erkennt zwar immerhin, dass ich Gentoo drauf habe, aber nicht, dass es der 2.6.9er Kernel ist. Sonderlich genau ist die OS-Erkennung also nicht, oder?

Aqua

Edit: Für die OS-Angabe hat wohl Kerio gesorgt, ohne Kerio wird XP SP2 richtig erkannt.Sie reicht aus, um ein OS zwischen den einzelnen Distries zu unterscheiden. NMap arbeitet so, dass es versucht, anhand des Aufbaus der Pakete das OS zu erraten (geschieht im Hintergrund an Prozenten und das wahrscheinlichste Ergebniss wird präsentiert). NMap hat auch Probs, XP und 2003 auseinander zu halten, aber es ist klar, das es eine Windoof- Kiste ist. Wie es genau arbeitet, steht irgendwo auf der Seite von NMap ... PFw's verfälschen die Pakete gerne etwas, wodurch NMap es schwerer hat, das richtige OS zu erkennen.Seit ich ne PFW habe, hab ich keine Probleme mit nichts mehr.

Als ich sie letztens mal testweise für ein paar Sekunden (war wirklich nicht mehr) ausgeschalten hatte, hatte ich sofort irgendwelchen Schwachsinn drauf, normales Surfen war nicht mehr möglich - und ich bewege mich nur auf "normalen" Seiten, wie immer man das definieren mag.

Also für mich ist die Sache klar - PFWs schützen mich wunderbar.Ausreichend würde ich eher sagen ;) ...
eine PFw reicht aus, um Würmer aufzuhalten und solange kein Wurm draussen ist, der gezielt eine PFw von extern ausschalten kann, wüsste ich auch nicht, was dagegen spricht, eine PFw als kostenloses Teil einzusetzen, erst recht, wenn es nur ein einzelner PC ist.
Bei einem Netzwerk empfiehlt sich irgendwas als Router, entweder ein PC mit 2 Netzwerkkarten und ein kostenloses OS (*BSD oder Linux) oder ein Hardwarerouter, so kann man wenigstens mit mehreren Kisten parallel ins Internet ;) ... aber Geld würde ich in diesem Moment nicht in eine PFw investieren (auch wenn sie nur noch auf einer Kiste läuft, die im Prinzip ein Server ist) ...

War aber ein guter Witz :biggrin:
So war's auch gedacht. Zumindest von meiner Seite. Wenn ich es als Ironie markiert hätte, wär's keine Ironie gewesen. Wie's Mike Nash meinte weiss ich nicht.

Na ja! Komm! Wer schon ein paar Posts von Dir gelesen hat....
Der sollte mit Deiner Ironie ja wohl kein Problem haben ... ;)

So long Ajax

Erst Symantec, jetzt F-Secure: Sicherheitslücken (Quelle: Winfuture.de) (http://www.winfuture.de/news,18993.html)

Nachdem Symantec am Mittwoch bestätigt hatte, dass einige seiner Produkte gefährliche Sicherheitslücken enthalten, wurde nun bekannt, dass es bei Produkte von F-Secure nicht anders aussieht.

Wo hingegen bei Symantec die Lücken nur in älteren Produkten vorhanden sind, seien bei F-Secure auch aktuelle Produkte betroffen. Bei Symantec handelt es sich um ein Problem im Modul DEC2EXE, einem Parser der AntiVirus-Library. Bei F-Secure ist hingegen ein Modul für die Lücke verantwortlich, dass ARJ-Archive dekomprimiert, damit auch deren Inhalte gescannt werden können.

Neue Produkte von Symantec sind von der Lücke nicht betroffen, da man in neueren Versionen den Parser ersetzt hat. F-Secure hat für seine Produkte Internet Security 2004, 2005, Anti-Virus 2004 und 2005 sowie F-Secure Personal Express Hotfixes via automatisches Update bereitgestellt.

Eine vollständige Liste der jeweils betroffenen Produkte sowie weitere Informationen finden Sie unter dem entsprechenden Link:

* heise.de: Lücke in Symantec-Produkten (http://www.heise.de/security/news/meldung/56209)
* heise.de: Lücke in Produkten von F-Secure (http://www.heise.de/newsticker/meldung/56290)

Solche Probleme gibt es regelmäßig bei Betriebssystemen, Browsern u.s.w., warum also nicht auch bei PFWs.
Solange die Sicherheitslücken geschlossen werden, wär es falsch eine bestimmte Software deshalb besonders zu verurteilen, oder nicht?!

Mit einer vernünftigen intrusion detection, die sich nicht durch ein paar klicks abschalten lässt macht eine PFW sehr wohl sinn. Nur die meisten Hersteller geben sich da nicht wirklich mühe. Postitivbeispiel ist da z.B. der Cisco Security Agent. Ein relativ restriktives Regelwerk von Haus aus und viele Hürden für angreifer (klinkt sich auch auf gerätetreiber-ebene ein). Zwar auch noch lang nicht perfekt, aber Sasser & Blaster hats ausgeschaltet.

Solche Probleme gibt es regelmäßig bei Betriebssystemen, Browsern u.s.w., warum also nicht auch bei PFWs.
Solange die Sicherheitslücken geschlossen werden, wär es falsch eine bestimmte Software deshalb besonders zu verurteilen, oder nicht?!

Schon, aber es zeigt wieder deutlich, dass ein System, auf dem eines der Produkte installiert ist, angreifbarer und damit unsicherer war als ein System ohne diese Software.

Mit einer vernünftigen intrusion detection, die sich nicht durch ein paar klicks abschalten lässt macht eine PFW sehr wohl sinn. Nur die meisten Hersteller geben sich da nicht wirklich mühe. Postitivbeispiel ist da z.B. der Cisco Security Agent. Ein relativ restriktives Regelwerk von Haus aus und viele Hürden für angreifer (klinkt sich auch auf gerätetreiber-ebene ein). Zwar auch noch lang nicht perfekt, aber Sasser & Blaster hats ausgeschaltet.

Super! Immer feste rein! Je tiefer ins System, desto besser! *kopfschüttel*
Blaster & Sasser kann man auch ohne PFW abwehren.
Dazu kommt, dass sich der gemeine Homeuser ungern mit mehr als wenigen Klicks zufrieden gibt. Der will nicht ständig 50x klicken, um einer der 100 Meldungen weg zu bekommen.
Und auch hier gilt: Auch diese PFW verhindert nicht effektiv, dass Daten nach außen gesendet werden, wenn ein Programm X das will.

Schon, aber es zeigt wieder deutlich, dass ein System, auf dem eines der Produkte installiert ist, angreifbarer und damit unsicherer war als ein System ohne diese Software.
Aber was ist mit Programmen deren Sicherheitslücken durch die Firewall nicht mehr von Aussen erreichbar sind, die könnte man ja praktisch dagegen rechnen.

Aber was ist mit Programmen deren Sicherheitslücken durch die Firewall nicht mehr von Aussen erreichbar sind, die könnte man ja praktisch dagegen rechnen.

Schön gesagt :) , aber wo steht denn bitte, dass eine PFW ungefixte Sicherheitslücken installierter Software schließt? Richtig, nirgendwo! Und auch wenn es Bsp. gibt, wo eine PFW vor Blaster oder Sasser geschützt hat, so war eine PFW auf keinen Fall eine Garantie, dass die Würmer den PC nicht infizieren. Dafür gibt es nämlich auch genug Bsp..
Außerdem: wenn eine Software von der PFW als vertrauenswürdig eingestuft ist, nützt die PFW eh null.

Was eine Personal Firewall kann: Alle nach außen offenen Ports schliessen.

Was eine Personal Firewall nicht kann: Versteckte Kommunikation von innen nach außen unterbinden.

Eine simple Personal Firewall mit der default-Konfiguration "Blocke alles von außen und ab lasse alles von innnen durch" kann für einen DAU das System schon sicherer machen. Eine solche Installation ist für solche User einfacher als das Abschalten aller Serverdienste. Das ganze funktioniert aber nur dann, wenn man eben nicht den IE nutzt, nicht als Admin arbeitet und auch nicht wild auf alle Attachments klickt.....

Schön gesagt :) , aber wo steht denn bitte, dass eine PFW ungefixte Sicherheitslücken installierter Software schließt? Richtig, nirgendwo!
Wo das steht frag ich mich auch grad. :)

Und auch wenn es Bsp. gibt, wo eine PFW vor Blaster oder Sasser geschützt hat, so war eine PFW auf keinen Fall eine Garantie, dass die Würmer den PC nicht infizieren. Dafür gibt es nämlich auch genug Bsp.
Bzgl. Blaster und Sasser ist sie eine Garantie, aber pauschal für alle Würmer habe und würde ich sowas nie behaupten.

Außerdem: wenn eine Software von der PFW als vertrauenswürdig eingestuft ist, nützt die PFW eh null.
Logisch, wenn ich einem Programm freie Hand lasse bzw. der PFW sage sie soll sich um das Programm nicht kümmern, dann nützt sie bzgl. des Programms nichts.

Was eine Personal Firewall kann: Alle nach außen offenen Ports schliessen.

Falsch.
Eine PFW schließt offene Ports nicht, sondern sie versucht die Ports zu verstecken (Stealth-Modus). Dass das nicht funktioniert und dass dadurch potentielle Angreifer erst aufmerksam auf das System werden, steht sowl im Heft-Artikel auls auch in den verlinkten Seiten.

Was eine Personal Firewall nicht kann: Versteckte Kommunikation von innen nach außen unterbinden.


Richtig. :)


Bzgl. Blaster und Sasser ist sie eine Garantie, ...

Definitiv falsch!

Definitiv falsch!
Mir ist kein Fall bekannt, bei dem sich jemand Blaster oder Sasser trotz PFW eingefangen hätte, wieso bist du dir so sicher?

Falsch.
Eine PFW schließt offene Ports nicht, sondern sie versucht die Ports zu verstecken (Stealth-Modus). Dass das nicht funktioniert und dass dadurch potentielle Angreifer erst aufmerksam auf das System werden, steht sowl im Heft-Artikel auls auch in den verlinkten Seiten.Meines Wissens nach lässt sich bei den Dingern einstellen, ob sie ein sauberes "Port Unreachable" schicken oder das Paket einfach fallen lassen.

Meines Wissens nach lässt sich bei den Dingern einstellen, ob sie ein sauberes "Port Unreachable" schicken oder das Paket einfach fallen lassen.

Hm, bei welchem Produkt soll das der Fall sein? Nenn mal bitte Namen und mach wenn möglichen einen Screeshot des Menüs. Würde mich wirklich interessieren.

Leider ändert das alles trotzdem nichts an der Sache.
Erstens ist der entsprechende Port immer noch offen und damit angreifbar. Ist der Dienst hingegen deaktiviert, ist der Port wirklich zu und damit basta.
Zweitens versuchst du so nur wieder, mit Kanonen auf Spatzen zu schießen. Du setzt eine Software ein, die sich tief ins System frisst und zusätzliche Sicherheitslücken haben kann, um etwas zu erreichen, was du mit ein wenig Grundwissen und ein paar Mausklicks auch mit Hausmitteln schaffen kannst, nur besser.

Meines Wissens nach lässt sich bei den Dingern einstellen, ob sie ein sauberes "Port Unreachable" schicken oder das Paket einfach fallen lassen.

Hmm ... Warum brauchst Du dann eine PFW, wenn das selbe das OS von Haus aus machen sollte ... ??? :rolleyes:

So long

Schön gesagt :) , aber wo steht denn bitte, dass eine PFW ungefixte Sicherheitslücken installierter Software schließt? Richtig, nirgendwo! Und auch wenn es Bsp. gibt, wo eine PFW vor Blaster oder Sasser geschützt hat, so war eine PFW auf keinen Fall eine Garantie, dass die Würmer den PC nicht infizieren. Dafür gibt es nämlich auch genug Bsp..
Außerdem: wenn eine Software von der PFW als vertrauenswürdig eingestuft ist, nützt die PFW eh null.

Lücken schließen kann die PFW auch nicht, aber das ausnutzen der lücken erschweren.
Eine garantiete Sicherheit existiert auch nicht. Nicht einmal bei doppelt und dreifach abgesicherten netzen mit DMZ und echten Stateful Inspection-Firewalls, eine gespoofte Mail mit einem neuen Wurm, Signaturupdate zu spät oder verpasst, gängige Sicherheitssoftware (Virenscanner und SW-Firewalls) werden wie etwa bei Bagle kurzerhand abgeschossen und das wars. Wer garantierte sicherheit will kann ja den Stecker rausziehen und wieder Briefe auf Papier schreiben, oder am besten alle elektrischen Geräte abschalten (wegen dem Elektrosmog, der Strahlung etc. :biggrin: :rolleyes: ) und kann dann in der Steinzeit weiterleben. Jedem das seine :wink:
Wer stuft Software denn als Vetrauenswürdig ein? Der Anwender natürlich. Und wenn eine PFW schon von sich aus bestimmten Programmen "vetraut" hat sie ihren Namen nicht verdient. Selbst die XP SP2 Firewall vertraut ja den ureigensten Microsoft-Diensten (z.B. FTP oder Telnet) nicht, so ists richtig.

Hm, bei welchem Produkt soll das der Fall sein? Nenn mal bitte Namen und mach wenn möglichen einen Screeshot des Menüs. Würde mich wirklich interessieren.Ich habe bei mir keine drauf....dementsprechend kann ich dir keinen Screenshot geben. Wenn ich mich recht erinnere war es zumindest bei Tiny möglich.....Leider ändert das alles trotzdem nichts an der Sache.
Erstens ist der entsprechende Port immer noch offen und damit angreifbar.Wenn alle ankommende Paket mit einem REJECT beantwortet werden ist der Port also offen? Damit behauptest du prinzipiell, dass jede Firewall nichts bringt ;) Ist der Dienst hingegen deaktiviert, ist der Port wirklich zu und damit basta.
Zweitens versuchst du so nur wieder, mit Kanonen auf Spatzen zu schießen. Du setzt eine Software ein, die sich tief ins System frisst und zusätzliche Sicherheitslücken haben kann, um etwas zu erreichen, was du mit ein wenig Grundwissen und ein paar Mausklicks auch mit Hausmitteln schaffen kannst, nur besser.Das ist das Problem....die meisten Leute haben dieses Wissen nicht.

Ich habe bei mir keine drauf....dementsprechend kann ich dir keinen Screenshot geben. Wenn ich mich recht erinnere war es zumindest bei Tiny möglich.....Wenn alle ankommende Paket mit einem REJECT beantwortet werden ist der Port also offen? Damit behauptest du prinzipiell, dass jede Firewall nichts bringt ;)Das ist das Problem....die meisten Leute haben dieses Wissen nicht.

DENIED wäre die bessere Option ... :rolleyes:

So long Ajax

DENIED wäre die bessere Option ... :rolleyes:

So long AjaxDer "rolleyes" Smiley scheint dein spezieller Liebling zu sein, oder? Anstatt ihn zu benutzen währen ein paar erklärende Worte zu einigen Punkten hilfreich, nicht jeder kennt den Unterschied zwischen DENY und REJECT.

Welche Option man benutzt ist prinzipiell egal, wie ein Rechner ohne Firewall verhält sich die Maschine in keinem von beiden Fällen.....halbwegs Sinn macht DENY sowieso nur dann, wenn überhaupt kein Serverdienst auf der Maschine läuft....REJECT ist auf jeden Fall die freundlichere Variante.

Andererseits, ist ein auf Sicherheit getrimmtes XP mit einer PFW angreifbarer als ohne, da es dann die PFW ist, die die Möglichkeit zur kompromittierung des Rechners bietet. (Ich kenn Tools, die so ziemlich jeden Virenscanner und jede PFW aushelben, und sich so Zugang zum Rechner verschaffen - was ohne PFW schon weitaus schwieriger ist, sofern div. "unnötige" Services (und damit auch offene Ports) deaktiviert wurden.


Wie heißen die Tools denn? Bitte um Links.

Moinsen, auch mitreden will

Du sagst das PFWs auf einem sicheren system (abgeschaltete Dienste, Ports etc.) dieses system unsicherer machen. da stimme ich dir zu.
Jetzt frage ich mich aber wieviele User solch ein system haben, bzw überhaupt das wissen haben es so einzustellen? ich jedenfalls nicht. ich habe weder die zeit noch die gedult mich so in windows einzuarbeiten, das ich 100%ig alle möglichen sicherheitslücken schlissen kann (was defacto eh unmöglich ist).
Das PFWs durch andere programme abgeschossen werden könne ist auch klar (ist mir noch nicht passiert, auch habe ich seit ich ewigen zeiten keinen Trojaner, virus, Wurm oder sonstiges mehr auf dem rechner gehabt).
abgesehen davon müssste ich quasi alles abschalten, was irgendwie daten ans INet sendet, also auch sämtliche ports, die durch die Browser genutzt werden, was eine sehr grosse einschränkung der bequemlichkeit mitsich ziehen würde, nämlich das ich nicht mehr surfen könnte. also unpraktikabel.
Fakt ist sobald ich auf meinem system auch nur eine möglichkeit biete, das daten vom oder aus dem INet gesendet werden, bin ich angreifbar, da kommt es auf die paar Lücken einer PFW auch nicht mehr an.

Und wenn auch nur ein Wurm, ein Trojaner oder was weis ich daran gehindert wird, schaden anzurichten, ist es mir den Einsatz einer PFW wert.

Du hast recht wenn du sagst PFWs alleine bieten keinen ausreichenden Schutz, aber sich darauf verlassen das Microsoft (!) alle Lücken findet und schliesst, kann es auch nicht.


Ami

Hm, bei welchem Produkt soll das der Fall sein? Nenn mal bitte Namen und mach wenn möglichen einen Screeshot des Menüs. Würde mich wirklich interessieren.mmm...

Für nen einfachen Ping kannst du es schon in der kostenlose Variante von ZA einstellen. Ich glaube, ZA macht dann auch gleich bei den meisten anderen Ports ein Deny statt reject. Bei Outpost und Co. geht es auch, spätestens in der kommerziellen Variante und da diese nicht so geändert sind wie ZA dürfte es schon in der kostenlose Variante gehen. Hab aber keine Lust wegen dir jetzt die ganzen PFws durchzutesten, nur um die Option rauszusuchen ... ich *muss* erstmal mein System von pösen Angriffen verteidigen *was nuckelt auf Port 1025, 1026 und Port 1027 den rum??? und dann erst die pösen Anfragen auf Port 135 und 445. Kreisch* ... ich guck erstmal Video :P ...

Das PFWs durch andere programme abgeschossen werden könne ist auch klar (ist mir noch nicht passiert, auch habe ich seit ich ewigen zeiten keinen Trojaner, virus, Wurm oder sonstiges mehr auf dem rechner gehabt). Das geht nur dann, wenn der Trojaner mit Admin-Privilegien gestartet wird....was so ist, wenn der aufrufende Benutzer mit eben diesen Privilegien arbeitet. Ein normaler Benutzerprozess kann keine Systemdienste starten oder beenden.

Sicherlich gibt es für den Trojaner noch die Möglichkeit, sich mittels lokalen Exploits Adminrechte zu verschaffen....

Ich hab mal beobachtet, wie ein Trojaner z.B. die M$ PWF einfach mit den nötigen Exeptions in der Reg gefüttert hat. Nebenher sah ich des Kollegen ZA mal selbst völlig verseucht. Von daher scheinen die Leute das auch schon zu nutzen.

Apropos Trojaner: Selbst wenn ein Trojaner rein kommt, kann die PFW dafür sorgen, dass er nicht nach Hause telefoniert. Zusammen mit einem Antivirenprogramm ist dann der Rechner schon relativ sicher, zumal die wenigsten wohl direkt angegriffen werden, sondern es geht ja eher um bestimmte Webseiten die bestimmte Programme auf den Rechner schicken. Wenn man dann noch auf den IE verzichtet, kann eigentlich fast nichts passieren. Und die M$ FW (welche, die alte oder die neue? ;)) oder ZA sind halt auch nicht die besten. Ich würde da eher mal die von Sygate ausprobieren.

Apropos Trojaner: Selbst wenn ein Trojaner rein kommt, kann die PFW dafür sorgen, dass er nicht nach Hause telefoniert.

Nein, dass kann die PFW definitiv nicht!
Und wenn ein Trojaner erstmal auf dein System gekommen ist, hat dein "Sicherheitssystem" eh versagt und ich würde mir mal Gedanken darüber machen.

Du sagst das PFWs auf einem sicheren system (abgeschaltete Dienste, Ports etc.) dieses system unsicherer machen. da stimme ich dir zu.
Jetzt frage ich mich aber wieviele User solch ein system haben, bzw überhaupt das wissen haben es so einzustellen? ich jedenfalls nicht. ich habe weder die zeit noch die gedult mich so in windows einzuarbeiten, das ich 100%ig alle möglichen sicherheitslücken schlissen kann (was defacto eh unmöglich ist).
Das PFWs durch andere programme abgeschossen werden könne ist auch klar (ist mir noch nicht passiert, auch habe ich seit ich ewigen zeiten keinen Trojaner, virus, Wurm oder sonstiges mehr auf dem rechner gehabt).
abgesehen davon müssste ich quasi alles abschalten, was irgendwie daten ans INet sendet, also auch sämtliche ports, die durch die Browser genutzt werden, was eine sehr grosse einschränkung der bequemlichkeit mitsich ziehen würde, nämlich das ich nicht mehr surfen könnte. also unpraktikabel.
Fakt ist sobald ich auf meinem system auch nur eine möglichkeit biete, das daten vom oder aus dem INet gesendet werden, bin ich angreifbar, da kommt es auf die paar Lücken einer PFW auch nicht mehr an.

Und wenn auch nur ein Wurm, ein Trojaner oder was weis ich daran gehindert wird, schaden anzurichten, ist es mir den Einsatz einer PFW wert.

Du hast recht wenn du sagst PFWs alleine bieten keinen ausreichenden Schutz, aber sich darauf verlassen das Microsoft (!) alle Lücken findet und schliesst, kann es auch nicht.

Wenn ein User sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, kann er sich auch das Wissen zur Konfiguration der Dienste aneignen.
Zum Surfen musst du nicht alle Ports etc. dicht machen. Es geht nur um Dienste, die man nicht benötigt und die trotzdem ihre Ports nach außen offen halten. Und selbst wenn du eine PFW einsetzen würdest: alle Ports, die der Browser braucht, werden von der PFW eh durchgelassen.

Eine PFW erschwert nicht den Datenverkehr von Würmern, Trojanern oder sonstwas. Es ist kein Problem, sie zu umgehen.

Eine PFW deckt keine Sicherheitslücken ab. Zumindest nicht zuverlässig.

Eine garantiete Sicherheit existiert auch nicht. Nicht einmal bei doppelt und dreifach abgesicherten netzen mit DMZ und echten Stateful Inspection-Firewalls, eine gespoofte Mail mit einem neuen Wurm, Signaturupdate zu spät oder verpasst, gängige Sicherheitssoftware (Virenscanner und SW-Firewalls) werden wie etwa bei Bagle kurzerhand abgeschossen und das wars.

Viren, Würmer oder Trojaner kommen nicht "einfach so" auf dein System. Selbst wenn du eine E-Mail mit einem neuen Wurm erhälst, ist das völlig uninteressant, solange du den Wurm nicht ausführst. Tust du es doch - selber Schuld, nicht die fehlende PFW (oder das fehlende AV-Tool).

Viren, Würmer oder Trojaner kommen nicht "einfach so" auf dein System. Selbst wenn du eine E-Mail mit einem neuen Wurm erhälst, ist das völlig uninteressant, solange du den Wurm nicht ausführst. Tust du es doch - selber Schuld, nicht die fehlende PFW (oder das fehlende AV-Tool).
Interessante Argumentation, die Programme mit denen der CCC die Firewall umging, wurden auch vorher auf den von der PFW geschützten Rechner kopiert und ausgeführt, allerdings war dort die Firewall "böse", dem widersprichst du grad und sagst, daß doch der User der schuldige ist, so sehe ich das übrigens auch.

Was eine Personal Firewall kann: Alle nach außen offenen Ports schliessen.

Was eine Personal Firewall nicht kann: Versteckte Kommunikation von innen nach außen unterbinden.

Eine simple Personal Firewall mit der default-Konfiguration "Blocke alles von außen und ab lasse alles von innnen durch" kann für einen DAU das System schon sicherer machen. Eine solche Installation ist für solche User einfacher als das Abschalten aller Serverdienste. Das ganze funktioniert aber nur dann, wenn man eben nicht den IE nutzt, nicht als Admin arbeitet und auch nicht wild auf alle Attachments klickt.....

*unterschreib*

5 Seiten Diskussion in einem Post zusammengefasst (y)

Interessante Argumentation, die Programme mit denen der CCC die Firewall umging, wurden auch vorher auf den von der PFW geschützten Rechner kopiert und ausgeführt, allerdings war dort die Firewall "böse", dem widersprichst du grad und sagst, daß doch der User der schuldige ist, so sehe ich das übrigens auch.

Wieso widerspreche ich mich mir selbst? Du vermischst 2 Dinge.
Dass CCC-Tool sollte nur beweisen, wie einfach es ist, eine aktive PFW zu umgehen (Thema Datenverkehr von innen nach außen blocken).
Dass ein solches Proigramm auf dem PC ausgeführt wird, dafür ist der User selber verantwortlich.
Wo ist der Widerspruch?

*unterschreib*

5 Seiten Diskussion in einem Post zusammengefasst (y)

Fakt ist: wer sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, der kann sich auch das Wissen zur Konfiguration seiner Dienste aneigenen, und muss ich nicht dafür eine Software auf's System knallen, die sich megatief reinfrisst, zusätzlich Angriffsfläche schafft und sinnlos Ressourcen verbrät.

Wieso widerspreche ich mich mir selbst? Du vermischst 2 Dinge.
Dass CCC-Tool sollte nur beweisen, wie einfach es ist, eine aktive PFW zu umgehen (Thema Datenverkehr von innen nach außen blocken).
Dass ein solches Proigramm auf dem PC ausgeführt wird, dafür ist der User selber verantwortlich.
Wo ist der Widerspruch?
Du erklärst eine Firewall für nutzlos und sagst es wär sicherer Dienste zu deaktivieren, als Beweis bringst du den Link zu der CCC Aktion, bei der ein potenzielles Schadprogramm auf einem PFW geschützten Rechner installiert und ausgeführt wird, was dem Angreifer die Möglichkeiten des gerade angemeldeten Benutzers gibt.
Den gleichen Effekt hätte es auch auf dem Rechner bei dem nur die Dienste deaktiviert wären, in dem Fall spielt es überhaupt keine Rolle ob ich nun Dienste deaktiviere oder die PFW benutzt hätte.

Wenn man mal überlegt warum ich eine Firewall installiere, so mache ich das doch aus dem gleichen Grund aus dem ich die Dienste deaktiviere, um einem potenziellen Schädling den Weg auf meine Rechner zu versperren, exakt das erreiche ich mit jeder der beiden Aktionen.
Lade ich mir den Schädling nun selber runter und führe ihn aus, helfen mir beide Varianten des Schutzes nicht, wenn man deshalb die Firewall für nutzlos erklärt, muss man das gleiche mit dem deaktivieren der Dienste tun.

Ich bitte einaml darum, nur mit zu diskutieren, wenn man sich mit dem Thema wirklich auskennt oder den Artikel und/oder die Links genau gelesen hat!

Ich war auch lange Zeit Verfechter von PFWs und wollte nicht glauben/einsehen, dass diese völlig nutzlos sind, da sie nicht das halten können, was sie versprechen. Alles andere kann man auch ohne PFW genauso gut erreichen!

Jeder, der eine PFW einsetzt, sollte sich fragen, zu welchem Zweck er das tut. Würde mich mal interessieren.

hi

Die Dinger haben schon deshalb einen Grund weil es ersichtlich ist, welches Program gerade einen Zugriff aufs I-Net will.

Gruss Labberlippe

Wieso widerspreche ich mich mir selbst? Du vermischst 2 Dinge.
Dass CCC-Tool sollte nur beweisen, wie einfach es ist, eine aktive PFW zu umgehen (Thema Datenverkehr von innen nach außen blocken).
Dass ein solches Proigramm auf dem PC ausgeführt wird, dafür ist der User selber verantwortlich.
Wo ist der Widerspruch?

Hi

Mach mir einen gefallen bitte und erspar uns Deine Aggressivität gegen Personal Firewalls.

Du bist der erste der mir erzählen will das eine Software Firewall unnütz ist.

Gruss Labberlippe

Du erklärst eine Firewall für nutzlos und sagst es wär sicherer Dienste zu deaktivieren, als Beweis bringst du den Link zu der CCC Aktion, bei der ein potenzielles Schadprogramm auf einem PFW geschützten Rechner installiert und ausgeführt wird, was dem Angreifer die Möglichkeiten des gerade angemeldeten Benutzers gibt.
Den gleichen Effekt hätte es auch auf dem Rechner bei dem nur die Dienste deaktiviert wären, in dem Fall spielt es überhaupt keine Rolle ob ich nun Dienste deaktiviere oder die PFW benutzt hätte.

Wenn man mal überlegt warum ich eine Firewall installiere, so mache ich das doch aus dem gleichen Grund aus dem ich die Dienste deaktiviere, um einem potenziellen Schädling den Weg auf meine Rechner zu versperren, exakt das erreiche ich mit jeder der beiden Aktionen.
Lade ich mir den Schädling nun selber runter und führe ihn aus, helfen mir beide Varianten des Schutzes nicht, wenn man deshalb die Firewall für nutzlos erklärt, muss man das gleiche mit dem deaktivieren der Dienste tun.

Hi

Sorry aber was jetzt.

Wenn ich mir jeden Mist runterlade und dann wundere das es Probleme hagelt dann nutzt weder ein Virenscanner noch eine Firewall.

Sinnvoller wäre es den User mal zu erklären das man auch ruhig ein bischen vorsichtig im Netz sein sollte.

Auch gibt es möglichkeiten fürs surfen ein eigenes Benutzerkonto zu erstellen was über eingeschränkte Rechte verfügt.

Machen die meisten nicht da..
A: Zu Faul
B: Nicht darüber informiert wurde.

Wenn man jeden Mist draufläst oder der Firewall Berechtigung für div. Programme erteilt, dann ist das Problem der User.

Wenn ich schon sehe das die meisten beim Windows installieren beim Admin kein Passwort vergeben dann kommt mir nur das Kopfschütteln.

Gruss Labberlippe

Hi

@ Mellops

King Rollo wurde gemeint. :-)

Gruss Labberlippe

Fakt ist: wer sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, der kann sich auch das Wissen zur Konfiguration seiner Dienste aneigenen, und muss ich nicht dafür eine Software auf's System knallen, die sich megatief reinfrisst, zusätzlich Angriffsfläche schafft und sinnlos Ressourcen verbrät.


Hi

Du kannst nicht nur weil div. Firewalls das System bremsen gleich alle in einen Topf werfen.
Es gibt ander Firewalls die funktionieren und das System nicht um 30% in den Keller ziehen.

Soviele Dienste kannst Du gar nicht deaktivieren damit Du sicher bist.
Es gibt genug Programm die ohne firewall einfach ins Netzt gehen und sich updaten, was vielleicht gar nicht vom User gewollt ist.

Hyper-Snap zum bleistift.

Auch gibt es genug Programme welche einfach raustelefonieren ohne firewall wüssten die meisten nicht einmal das es deren Programm macht.

Schon alleine von diesen Grund hat die Firewall auf den Rechner eine Berechtigung.

Hinzu kommt das der Sasser mit Firewalls sehr gut abgewendet wurde.
Es gibt auch Internet Anbieter welche nur über ein Kablemodem gehen, da hängt in der Regel keiner einen Router zusätzlich rein.

Gruss Labberlippe

Lade ich mir den Schädling nun selber runter und führe ihn aus, helfen mir beide Varianten des Schutzes nicht, wenn man deshalb die Firewall für nutzlos erklärt, muss man das gleiche mit dem deaktivieren der Dienste tun.

Niemand hat behauptet, dass eine PFW oder das Deaktivieren von unbenutzten Diensten vor der Dummheit des Users schützt.

Die Dinger haben schon deshalb einen Grund weil es ersichtlich ist, welches Program gerade einen Zugriff aufs I-Net will.

Erstens kann ein Programm, wenn es das will, völlig UNBEMERKT an der PFW vorbei gehen und außerdem gibt es zur reinen Überwachung der gerade aktiven Ports und Verbindungen weitaus bessere Tools. Eine PFW ist dafür auf keinen Fall nötig.

Du bist der erste der mir erzählen will das eine Software Firewall unnütz ist.

Ja und? Ist etwas, was du bisher nichts wusstest etwa automatisch falsch? Wie gesagt, nenn mr bitte konkret die Gründe, warum du eine PFW installieren willst, und vorallem sag mir, was die PFW kann, was man nicht auch mit Boardmitteln hinbekommt.

Du kannst nicht nur weil div. Firewalls das System bremsen gleich alle in einen Topf werfen.
Es gibt ander Firewalls die funktionieren und das System nicht um 30% in den Keller ziehen.

Soviele Dienste kannst Du gar nicht deaktivieren damit Du sicher bist.
Es gibt genug Programm die ohne firewall einfach ins Netzt gehen und sich updaten, was vielleicht gar nicht vom User gewollt ist.

Hyper-Snap zum bleistift.

Auch gibt es genug Programme welche einfach raustelefonieren ohne firewall wüssten die meisten nicht einmal das es deren Programm macht.

Schon alleine von diesen Grund hat die Firewall auf den Rechner eine Berechtigung.

Hinzu kommt das der Sasser mit Firewalls sehr gut abgewendet wurde.
Es gibt auch Internet Anbieter welche nur über ein Kablemodem gehen, da hängt in der Regel keiner einen Router zusätzlich rein.


Jede PFW frisst sich mehr oder weniger tief ins System und verbraucht Ressourcen. Aber dass muss nicht sein.

Es geht darum, nicht benötigte Dienste zu deaktivieren, damit diese Dienste keine Ports mehr nach außen offen haben. Auf diesen Ports bist du dann 100% sicher (denn sie sind ja geschlossen).
Alle benötigten Dienste werden eh von der Firewall durchgelassen.

Noch mal zum Mitschreiben: keine PFW der Welt kann wirksam verhindern, dass ein Programm nach Hause telefoniert oder sonstwie Daten nach außen schickt. Wenn das Programm es will, kann es jede PFW problemlos umgehen, egal ob du den Zugriff für das Programm gesperrt hast oder ob es gleich unbemerkt an der PFW vorbei geht.

Den Fix gegen Sasser gab es schon einen Monat VOR dessen Epedemie! Wer sein System nicht aktuell hält, ist selber Schuld. Außerdem hätte auch hier eine Deaktivierung des entsprechenden Dienstes/Ports geholfen, ebenso wie ein Router mit NAT-Funktion davor geschützt hätte.

P.S. Sag mal, will st du Einträge sammeln, oder warum beantwortest du jeden Beitrag einzeln?

Fakt ist: wer sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, der kann sich auch das Wissen zur Konfiguration seiner Dienste aneigenen, und muss ich nicht dafür eine Software auf's System knallen, die sich megatief reinfrisst, zusätzlich Angriffsfläche schafft und sinnlos Ressourcen verbrät.Zu deiner Information, es gibt diverse Applikationen die auch für Kommunikation auf der selben Maschine TCP/IP nutzen und dafür Serverports offen haben.....wie gehst du ohne einen Paketfilter mit diesen um?

Bei Linux ist ipchains auch ein tief im System verwurzelt, das ist nur eine Frage der korrekten Implementierung. Ressourcen werden dabei kaum verbraten, für eine heutige CPU ist Firewalling einer Internetverbindung ein winziger Nebenjob unter vielen.

Niemand hat behauptet, dass eine PFW oder das Deaktivieren von unbenutzten Diensten vor der Dummheit des Users schützt.
Ich behaupte nicht, daß das jemand behauptet.
Versuch das Posting nochmal als ganzes zu verstehen, ohne die letzten zwei Zeilen herauszureisen, um in diese etwas hineinzuinterpretieren, was da nicht steht.

Du erklärst eine Firewall für nutzlos und sagst es wär sicherer Dienste zu deaktivieren, als Beweis bringst du den Link zu der CCC Aktion, bei der ein potenzielles Schadprogramm auf einem PFW geschützten Rechner installiert und ausgeführt wird, was dem Angreifer die Möglichkeiten des gerade angemeldeten Benutzers gibt.
Den gleichen Effekt hätte es auch auf dem Rechner bei dem nur die Dienste deaktiviert wären, in dem Fall spielt es überhaupt keine Rolle ob ich nun Dienste deaktiviere oder die PFW benutzt hätte.

Wenn man mal überlegt warum ich eine Firewall installiere, so mache ich das doch aus dem gleichen Grund aus dem ich die Dienste deaktiviere, um einem potenziellen Schädling den Weg auf meine Rechner zu versperren, exakt das erreiche ich mit jeder der beiden Aktionen.
Lade ich mir den Schädling nun selber runter und führe ihn aus, helfen mir beide Varianten des Schutzes nicht, wenn man deshalb die Firewall für nutzlos erklärt, muss man das gleiche mit dem deaktivieren der Dienste tun.

Wer sich Schad-Software auf seinen PC holt, ist selber Schuld. Nur der User selber ist dafür verantwortlich, was er auf seinem Rechner ausführt, völlig unabhängig davon, ob er eine PFW installiert hat oder ob er seine Dienste konfiguriert hat.

Wer sich Schad-Software auf seinen PC holt, ist selber Schuld. Nur der User selber ist dafür verantwortlich, was er auf seinem Rechner ausführt, völlig unabhängig davon, ob er eine PFW installiert hat oder ob er seine Dienste konfiguriert hat.
Genauso sieht das aus.

Und genau das hat der CCC bei der Aktion gemacht (die Schadsoftware installiert und ausgeführt), die du als Begründung für diese Aussage "Gefährliche Personal Firewalls - Die Sicherheitslüge!" anführst.


Damit ist das Thema wohl fertig. :)

Gute Nacht.

Ich habe mich auch viel mit dem Thema aus einander gesetzt.
Ich kenn die Seite http://www.ntsvcfg.de/ so wie
http://www.firewallleaktester.com auf der man gut sieht wie einfach Programme an PFW vorbei kommen.
Ich habe 7 PFW installiert und ausprobiert und muß sagen das in meinen Augen nur die LooknStop gut ist.
-Klein, wenig Speicher bedarf (600kb große Datei)
- erkennt alle testprogramme von http://www.firewallleaktester.com (wenn man die aktuelle Versionaus dem Forum nimmt)
- öffnet keine Ports, wie kerio.
Ich Persönlich habe meine PCs immer mit dem Programm von www.ntsvcfg.de so runter geschraubt das nur noch die Ports 445 offen sind für das Netzwerk.
Und sämmtlich Regtweaks um Windows etwas sichere zu machen.
Mich würde mal interessieren ob LooknStop mit in dem test der PCZeitschrift war und wie die Leute von antiPFW über looknStop denken.
ICh will jetzt hiermit sagen looknstop ist super aber so schlecht scheint der ansatz von looknstop nicht zu sein. Bin um jede Antwort dankbar.

Genauso sieht das aus.

Und genau das hat der CCC bei der Aktion gemacht (die Schadsoftware installiert und ausgeführt), die du als Begründung für diese Aussage "Gefährliche Personal Firewalls - Die Sicherheitslüge!" anführst.


Na normal oder?
Alle PFW werben damit, sie könnten angeblich den Datenverkehr von innen nach außen kontrollieren bzw. blocken können (auch den von Spy-Ware und Trojanern). Aber der CCC hat bewiesen, dass diese Werbung eine Lüge ist.

Wo ist jetzt das Problem?

Na normal oder?
Alle PFW werben damit, sie könnten angeblich den Datenverkehr von innen nach außen kontrollieren bzw. blocken können (auch den von Spy-Ware und Trojanern). Aber der CCC hat bewiesen, dass diese Werbung eine Lüge ist.

Wo ist jetzt das Problem?
Damit hast du genau einen Punkt auf der Featureliste einer PFW entkräftet und selbst dazu war die Dummheit des Users nötig.
Nur dein gesamtes Eingangsposting, deine Vermutungen, entstanden aufgrund der CCC Aktion, aber die beweist sonst nichts.

Joker111

445 ist nicht sicher...

Damit hast du genau einen Punkt auf der Featureliste einer PFW entkräftet und selbst dazu war die Dummheit des Users nötig.
Nur dein gesamtes Eingangsposting, deine Vermutungen, entstanden aufgrund der CCC Aktion, aber die beweist sonst nichts.

Bin ich denn hier nur in Bizzaro-Welt??? Wo ist denn dein Problem???

Der CCC hat bewiesen, dass PFWs überflüssig sind, weil sie dass nicht halten können, was sie immer versprechen - nämlich den Datenverkehr von innen nach außen kontrollieren! Dass eine Software erstmal auf den PC gelangen muss, um Daten nach außen zu verschicken, ist ja wohl logisch.
Zusätzlichweisen viele PFWs sicherheitstechniche fragwürdige Funktionen auf bzw. fallen selbst immer wieder durch Sicherheitslücken auf, wodurch das System unsicherer ist, also ohne PFW.
Und von der Risikokompensation des gemeinen Normal-Users ("Ach, ich hab doch meine PFW - da kann ich doch jetzt völlig ohne Verstand surfen und alles wild anklicken. Die PFW schützt mich ja ..."), will ich jetzt gar nicht erst anfangen.

Ich sehe also immer noch nicht dein Problem, auch nicht im Bezug auf meinen Ausgangsbeitrag.

Ich habe mich auch viel mit dem Thema aus einander gesetzt.
Ich kenn die Seite http://www.ntsvcfg.de/ so wie
http://www.firewallleaktester.com auf der man gut sieht wie einfach Programme an PFW vorbei kommen.
Ich habe 7 PFW installiert und ausprobiert und muß sagen das in meinen Augen nur die LooknStop gut ist.
-Klein, wenig Speicher bedarf (600kb große Datei)
- erkennt alle testprogramme von http://www.firewallleaktester.com (wenn man die aktuelle Versionaus dem Forum nimmt)
- öffnet keine Ports, wie kerio.
Ich Persönlich habe meine PCs immer mit dem Programm von www.ntsvcfg.de so runter geschraubt das nur noch die Ports 445 offen sind für das Netzwerk.
Und sämmtlich Regtweaks um Windows etwas sichere zu machen.
Mich würde mal interessieren ob LooknStop mit in dem test der PCZeitschrift war und wie die Leute von antiPFW über looknStop denken.
ICh will jetzt hiermit sagen looknstop ist super aber so schlecht scheint der ansatz von looknstop nicht zu sein. Bin um jede Antwort dankbar.

Leider wurde "Look'n'Stop" in der PC-pro nicht mit getestet. Aber auch dieses Programm ist nur eine PFW ohne Zauberkräfte mud deshalb muss sie mit den gleichen Problemen kämpfen. Sie kann den ungewollten Datenverkehr von innen nach außen nicht wirksam unterbinden und ist damit ihrer Daseinsberechtigung beraubt.

Salem alaikum,

an alle, die immer noch glaubenm, die seien hinter einer Personal Firewall sicher:
Kauft euch die aktuelle Ausgabe der PC Professional! Dorst steht zum ersten Mal umfassend erläutert und getestet, warum und vor allem dass KEINE PFW einen PC sicherer machen kann. Denn keine der PFWs konnte verhindern, dass an ihr vorbei Daten ins Internet gesendet worden. Und es kommt noch schlimmer: viele PFWs haben Sicherheitslücken bzw. Features, die eine Eindringen bzw. Ausspionieren erst möglich machen! Und den PC vor Angriffen von außen zu schützen, kann man auch mit Boardmitteln erreichen; dazu braucht man keine PFW.
Also Zugabe gibt es auf der Heft-CD noch das Video des CCC-Ulm, die in einem Seminar vorführen, wie man mit einem kleinen, selbstgeschriebenen Tool den PC an jeder PFW vorbei fernsteuern kann.
Fazit: Keine PFW kann halten, was sie verspricht und setzt das System zusätzlichen Gefahren aus. Sie ist nutzlos!

Wer keine Lust hat, sich das Heft zu kaufen, kann auch hier nachlesen und -sehen:


Gesammelte Links zum Thema PFWs und Sicherheit: http://www.ntsvcfg.de/linkblock.html

Allgemeines zu Diensten und Sicherheit: www.ntsvcfg.de --- www.dingens.org

Video und Folien des CCC-Seminars: http://www.ulm.ccc.de/chaos-seminar/personal-firewalls/


tjo, da magst du recht haben
allerdings ... du hättest es für dich behalten sollen, denn hier sind keine leute die eine diskussion wollen, hier sind keine leute die dazulernen wollen
NEIN, hier sind leute die ein bisl buntes klickwerk haben wollen und sich dann sicher fühlen, hier sind leute die arrogant bis dorthinaus sind, weil sie denken sie sind allwissend weil sie im letzten computerbild den bericht "gefährliches halbwissen über pfws" gelesen haben

aber gut dass es auch noch leute wie dich gibt, die sich damit beschäftigen und dazulernen :)
(von der sorte gibts hier leider nur wenig, man erkennt sie daran dass sie vom pöbel dauernd angemacht werden :( )

Fakt ist: wer sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, der kann sich auch das Wissen zur Konfiguration seiner Dienste aneigenen, und muss ich nicht dafür eine Software auf's System knallen, die sich megatief reinfrisst, zusätzlich Angriffsfläche schafft und sinnlos Ressourcen verbrät.

Naja, die XP Firewall zB. wird ja, zumindest seit SP1 iirc, automatisch aktiviert.
Das heißt, solange der Benutzer nicht irgendwelche Server anbieten will, muss er seine PFW nicht extra konfigurieren.

Ich habe bisher auch immer die FW an gehabt, wollte mich schon immer mit den
Diensten bei Windows auseinandersetzen, habs aber bisher noch nicht allzu ausführlich getan.. mache ich aber hoffentlich bald.

BZW kann ich ja hier schonmal fragen: Mein Rechner arbeitet als NAT Router, WWW und MySQL Server(wobei ersterer auch übers inet verfügbar ist und man MySQL ja so konfigurieren kann, das es nur connects übers LAN erlaubt), und hat zudem noch Freigaben, die übers LAN verfügbar sein müssen, jedoch nicht übers Internet.

Kann ich diesen Rechner so konfigurieren, dass alle Ports nach außen geschlossen sind, ohne Firewall(ausgenommen Port 80..)?

Natürlich müssen die Freigaben, MySQL etc übers LAN weiterhin funktionieren..

NEIN, hier sind leute die ein bisl buntes klickwerk haben wollen und sich dann sicher fühlen, hier sind leute die arrogant bis dorthinaus sind, weil sie denken sie sind allwissend weil sie im letzten computerbild den bericht "gefährliches halbwissen über pfws" gelesen haben
Du vergisst die Leute denen es aus den Sack geht, wenn irgendwelche Wichtigtuer mit einer geballten Ladung Halbwissen und jeder Menge Links, irgentwelche Thesen in dien Raum stellen, die sie selbst nicht belegen können.

Wenn mal jemand mit dem nötigen Fachwissen so einen Thread eröffnen würde und diese Aussagen möglichst anfängertauglich begründen würde, mit eigenen Worten, dann würden solche Threads auch ernster genommen.

Desweiteren wollte ich noch 2 Punkte anführen;
a) Die XP Firewall frisst sich nicht ins System, die ist da schon drin ;)
b) Wer garantiert mir, das MS mit irgendwelchen Patches nicht diverse Dienste wieder aktiviert? ihre eigene Firewall deaktivieren würden sie hoffentlich nicht ;)

Du vergisst die Leute denen es aus den Sack geht, wenn irgendwelche Wichtigtuer mit einer geballten Ladung Halbwissen und jeder Menge Links, irgentwelche Thesen in dien Raum stellen, die sie selbst nicht belegen können.

Wenn mal jemand mit dem nötigen Fachwissen so einen Thread eröffnen würde und diese Aussagen möglichst anfängertauglich begründen würde, mit eigenen Worten, dann würden solche Threads auch ernster genommen.

Du meinst sicher mich, aber das ist mir egal. Ich werde dazu nichts sagen.
Das einzige, was dir auf den Sack geht ist, dass ich eine andere Meinung habe, welche dir nicht in den Kram passt. Und was noch schlimmer ist: du behauptest, ich habe nur Halbwissen, kannst aber selber nicht vernüftig gegen mich argumentieren. Ich habe sicher nicht die Weisheit mit Löffeln gefressen, aber hu hast noch weniger Wissen und willst mich trotzdem belehren. Wahnsinnsleistung!

Du behauptest, ich kann nicht beweisen was ich sage. OK, was genau willst du wissen? An welcher Stelle fehlt dir ein Beweis? Alles was ich sage und alles was im Heft bzw. in den Links steht, ist nachvollziehbar und begründet. Zusätzlich sollte sich jeder selbst so viel Wissen wie möglich selber aneignen, die Ausführungen kritisch betrachten und natürlich auf Fehler hinweisen, wenn er welche findet. Also: zeig mir die Fehler und Unwahrheiten!

Na normal oder?
Alle PFW werben damit, sie könnten angeblich den Datenverkehr von innen nach außen kontrollieren bzw. blocken können (auch den von Spy-Ware und Trojanern). Aber der CCC hat bewiesen, dass diese Werbung eine Lüge ist.

Wo ist jetzt das Problem?
Ist es die Aufgabe einer PFW zu kontrollieren, ob ein User, der in diesem Fall warscheinlich zufällig Adminrechte hatte, einen Dienst zu stoppen, oder einen Task abzuschiessen?

Willst Du damit sagen, dass weil es sich technisch nicht vermeiden lässt, dass ein Admin einen Dienst oder Task abschiesst PFWs nichts taugen?

Dann lass die PFW auf einem Rechner laufen, an dem keiner angemeldet ist.

Es geht mir nicht darum Meinungsverschiedenheiten auszutragen, ich mit meinem Halbwissen stelle mir bei jedem Thread zu dem Thema nur folgende Frage.

Ist es sinnvoll Sicherheitstipps von jemanden anzunehmen, der offensichtlich oder auch nur möglicherweise nicht dazu qualifiziert ist welche zu geben?

Ist es die Aufgabe einer PFW zu kontrollieren, ob ein User, der in diesem Fall warscheinlich zufällig Adminrechte hatte, einen Dienst zu stoppen, oder einen Task abzuschiessen?

Willst Du damit sagen, dass weil es sich technisch nicht vermeiden lässt, dass ein Admin einen Dienst oder Task abschiesst PFWs nichts taugen?

Dann lass die PFW auf einem Rechner laufen, an dem keiner angemeldet ist.

Autsch! Ja, er will damit sagen, dass es sich technisch nicht vermeiden lässt einen Dienst oder Task mit Admin-Rechten zu schliessen oder abzuschiessen. Deswegen gibt es ja ja eine TaskPriorität und eine Admin-Kennung.

Richtig wäre es deshalb einen User mit geringeren Rechten zum Surfen einzurichten.

Damit wären wir auch schon beim nächsten Problem. Wie kann man nur mit ROOT-Kennung surfen und gleichzeitig eine PFW laufen lassen.
Den Grund soll mir mal einer erklären ...
Und wieso sollte einer, der genau diese Konfiguration am Laufen hat, in der Lage sein sein Inbound/Outbound-Rules vernünftig aufstellen??? Das geht nicht. Lösen wir uns endlich von dem Gedanken, dass eine Software (PFW) idiotensicher gemacht werden kann. Man sieht ja hier schon an der Diskussion, welcher Kenntnis-Stand bei einigen vorliegt.

Letztendlich ist es mir egal, ob sich irgendein Windows-Fuzzi sich einen PFW draufknallt. Aber wo seid, bis auf ein paar Ausnahmen, ihr wenn damit jemand seine Probleme postet??? Häh??

So long Ajax

Letztendlich ist es mir egal, ob sich irgendein Windows-Fuzzi sich einen PFW draufknallt. Aber wo seid, bis auf ein paar Ausnahmen, ihr wenn damit jemand seine Probleme postet??? Häh??

So long Ajax
1. Reg dich nicht auf, ist nicht gut für die Gesundheit.
2. Das hervorgehobene muß aber auch nicht sein.

1. Reg dich nicht auf, ist nicht gut für die Gesundheit.
2. Das hervorgehobene muß aber auch nicht sein.

Danke, geht schon wieder ;)

Okay, war nicht sooo böse gemeint, wie es rüber gekommen ist. Sollte aber verdeutlichen, dass es wirklich nur Win betrifft und fast alle anderen OS ansonsten aussen vor sind. Sollte man sich mal Gedanken machen ... :|

So long Ajax

Und wieso sollte einer, der genau diese Konfiguration am Laufen hat, in der Lage sein sein Inbound/Outbound-Rules vernünftig aufstellen??? Das geht nicht. Lösen wir uns endlich von dem Gedanken, dass eine Software (PFW) idiotensicher gemacht werden kann.

So long AjaxIdiotensicher ist nicht so schwer: Blocke alles was von außen kommt, lass alles von innen durch.

Und ich wiederhole gerne nochmal meinen Punkt von oben: Was ist mit Applikationen die TCP/IP zur Kommunikation auf einer Maschine nutzen?

Danke, geht schon wieder ;)

Okay, war nicht sooo böse gemeint, wie es rüber gekommen ist. Sollte aber verdeutlichen, dass es wirklich nur Win betrifft und fast alle anderen OS ansonsten aussen vor sind. Sollte man sich mal Gedanken machen ... :|

So long Ajax
Ein Problem ist ja das die Trennung von Admin und User in Windows nur mit Einschränkungen funktioniert.
Deswegen ist es für die meisten einfacher als Admin zu arbeiten.
Leider funktionieren viele Programme nur mit Adminrechten.
Solange sich das nicht ändert wird es die Probleme bei Windows wohl ewig geben.

tjo, da magst du recht haben
allerdings ... du hättest es für dich behalten sollen, denn hier sind keine leute die eine diskussion wollen, hier sind keine leute die dazulernen wollen
NEIN, hier sind leute die ein bisl buntes klickwerk haben wollen und sich dann sicher fühlen, hier sind leute die arrogant bis dorthinaus sind, weil sie denken sie sind allwissend weil sie im letzten computerbild den bericht "gefährliches halbwissen über pfws" gelesen haben

aber gut dass es auch noch leute wie dich gibt, die sich damit beschäftigen und dazulernen :)
(von der sorte gibts hier leider nur wenig, man erkennt sie daran dass sie vom pöbel dauernd angemacht werden :( )

Jo,so isses. Aber sie werden meistens einfach ignoriert anstelle angemacht. :|

Idiotensicher ist nicht so schwer: Blocke alles was von außen kommt, lass alles von innen durch.

Und ich wiederhole gerne nochmal meinen Punkt von oben: Was ist mit Applikationen die TCP/IP zur Kommunikation auf einer Maschine nutzen?

Zu erstem: Dafür brauchst Du keine PFW, dass sollte jedes OS als Default-Einstellung machen. Und eben alle Ports von Haus aus closen. Bei WIn schafft man das eben nur, wenn man seine nicht benötigten Dienste absschaltet.

Zweiteres: Bitte etwas genauer. Keine Ahnung was Du damit meinst.

So long Ajax

Ein Problem ist ja das die Trennung von Admin und User in Windows nur mit Einschränkungen funktioniert.
Deswegen ist es für die meisten einfacher als Admin zu arbeiten.
Leider funktionieren viele Programme nur mit Adminrechten.
Solange sich das nicht ändert wird es die Probleme bei Windows wohl ewig geben.

Stimmt. Hier müsste man endlich sich mal entscheiden, ob Usability wirklich vor Security kommt.

Nur wäre ein PFW mit Admin-Rechten recht sinnlos. Und wenn man wirklich als normaler User nur surft und keinen IE + Outlook mehr benutzt (+AV), dann könnte man sich den PFW schon wieder sparen ...

Im Endeffekt benutzen ihn die meisten eh nur, um vorwitzige Software nach aussen zu unterbinden. Das ist aber nicht der eigentliche Sinn des Ganzen.
Ich meine warum soll ich z.B. den MS Media Player benutzen und danach rege ich mich auf, das derselbe sich nach aussen wählt um zu schauen, ob es einen passenden Codec gibt. Was will ich denn? Dann muss ich diese Funktion eben deaktivieren oder eine Alternativ-App benutzen ...

So long Ajax

Im Endeffekt benutzen ihn die meisten eh nur, um vorwitzige Software nach aussen zu unterbinden. Das ist aber nicht der eigentliche Sinn des Ganzen.
Ich meine warum soll ich z.B. den MS Media Player benutzen und danach rege ich mich auf, das derselbe sich nach aussen wählt um zu schauen, ob es einen passenden Codec gibt. Was will ich denn? Dann muss ich diese Funktion eben deaktivieren oder eine Alternativ-App benutzen ...

So long Ajax
Da du schon den WMP erwähnt hast. ;)
Das ist ein Grund den WMP 10 nicht zu nehmen und auf alternative Player umzusteigen.
Trojaner in Windows-Media-Dateien (WMP 10 unter XP mit SP2) (http://www.heise.de/newsticker/meldung/55202)

@King Rollo

Du bist soooo toll, weil Du Dienste beenden und Ports schliessen kannst!

Alle, die das nicht können/wollen, sind plöd111111111

Endlich zufrieden?

Die CCC sind albern, weil sie nur beweisen, das ein bereits (mit Admin-Rechten) laufendes Programm eine PFW abschiessen/manipulieren kann.

Das war aber schon vorher schon klar. Unser PC ist (noch) eine Universalmaschine.

Nur könnte ein solche Prog auch Dienste starten und Ports öffnen, ergo wäre man ohne PFW auch nicht sicherer als mit.

cu, sloth9

Zu erstem: Dafür brauchst Du keine PFW, dass sollte jedes OS als Default-Einstellung machen. Und eben alle Ports von Haus aus closen. Bei WIn schafft man das eben nur, wenn man seine nicht benötigten Dienste absschaltet.Eine Port auf dem kein Dienst lauscht ist schon etwas anderes als ein geschlossener Port.Zweiteres: Bitte etwas genauer. Keine Ahnung was Du damit meinst.

So long AjaxDa gibt es viele Beispiele.....Kommunikation auf TCP Basis ist sehr beliebt bei IDEs und ihren Debuggern oder auch bei Emulatoren für Handys. Oder nimm einen Web-Entwickler der auf seinem eigenen Rechnern einen WebServer und eine Datenbank zu Testzwecken laufen hat....

... snip ...
Die CCC sind albern, weil sie nur beweisen, das ein bereits (mit Admin-Rechten) laufendes Programm eine PFW abschiessen/manipulieren kann.

Das war aber schon vorher schon klar. Unser PC ist (noch) eine Universalmaschine.

Nur könnte ein solche Prog auch Dienste starten und Ports öffnen, ergo wäre man ohne PFW auch nicht sicherer als mit.

cu, sloth9

Also CCC die Kompetenz abzusprechen ... :eek: Unglaublich ...

Zum letzen Satz: Der PFW ist obsolet ... Endlich

So long Ajax

Eine Port auf dem kein Dienst lauscht ist schon etwas anderes als ein geschlossener Port.Da gibt es viele Beispiele.....Kommunikation auf TCP Basis ist sehr beliebt bei IDEs und ihren Debuggern oder auch bei Emulatoren für Handys. Oder nimm einen Web-Entwickler der auf seinem eigenen Rechnern einen WebServer und eine Datenbank zu Testzwecken laufen hat....

Also wenn ich ehrlich bin, habe ich unter Win noch nie etwas zum Portschliessen gesehen. Da gibt es nichts meines Wissens nach. Also bleibt imho nur der Weg über die Dienste. Ansonsten kann man ab XP den Portblocker nehmen. Nur der scheint auch nur Placebo-effekt zu haben. Warum sind denn die RPC-Dienste im WAN von Haus aus offen? Warum brauche ich NetBIOS??

Ein WebServer gehört normalerweise in eine DMZ. Gut muss man natürlich nicht machen, aber auf welchen Port antwortet er denn?
Bei den Emus für Handys und den IDEs kann ich nicht mitreden.

So long Ajax

Joker111

445 ist nicht sicher...

Das weis ich aber,
über welchen Port oder Programm sollte man dann Dateien unter mehrern Rechner austauschen?

tjo, da magst du recht haben
allerdings ... du hättest es für dich behalten sollen, denn hier sind keine leute die eine diskussion wollen, hier sind keine leute die dazulernen wollen
NEIN, hier sind leute die ein bisl buntes klickwerk haben wollen und sich dann sicher fühlen, hier sind leute die arrogant bis dorthinaus sind, weil sie denken sie sind allwissend weil sie im letzten computerbild den bericht "gefährliches halbwissen über pfws" gelesen haben

aber gut dass es auch noch leute wie dich gibt, die sich damit beschäftigen und dazulernen :)
(von der sorte gibts hier leider nur wenig, man erkennt sie daran dass sie vom pöbel dauernd angemacht werden :( )

Hi

Was hat das mit Arroganz zu tun, wenn man deutlich macht worum es geht.
King Rollo behauptet das ein Rechner ohne Firewall sicherer ist als mit.

Das eine Firewall nicht das sorgenlose rundum Paket ist, habe ich ja auch deutlich gesagt.
Es haben aber nicht alle User den Nerv manuell ins System einzugreifen, die meisten wollen einfach nur das nötigste und sich um nichts mehr kümmern.
Für diese User sind die Software Firewall brauchbar da der schutz definitv höher ist als ohne.

Laut King Rollo kann er sich gleich die Virenscanner eh sparen da ja alles dicht ist, da er ja so tolle Tests an den Tag legt wo die FWs umgangen wurden, dann kann er gleich auch die Virenscanner abschreiben da auch nicht alle Viren erkannt werden.

Gruss Labberlippe

Es geht mir nicht darum Meinungsverschiedenheiten auszutragen, ich mit meinem Halbwissen stelle mir bei jedem Thread zu dem Thema nur folgende Frage.

Ist es sinnvoll Sicherheitstipps von jemanden anzunehmen, der offensichtlich oder auch nur möglicherweise nicht dazu qualifiziert ist welche zu geben?

Hi

Es ist aber auch nicht sinnvoll User als Deppen hinzustellen wenn deutlich gesagt wird das es nicht das perfekte Paket gibt.
Es hat hier keiner behauptet das eine Firewall 100% gibt, dazu gehört schon noch einiges im Hintergrund gemacht.

Nur die Grundaussage ist falsch das ein Rechner mit FW unsicherer ist als ohne.
Es nützt auch nichts das Du alle Ports dicht machstm, (Klar sollte man alle dicht machen keine Frage) nur sobald ein Port offen ist mit dem Du im Netz bist, reicht der eine Port um Dich anzugreifen.
Sobald Du den Applikationen erlaubst darüber zu kommunizieren, dann ist es möglich auch hier einzudringen.

Wenn jemand eindringen will dann schafft er es auch, übrigens auch unter Linux.

Gruss Labberlippe

Ich meine warum soll ich z.B. den MS Media Player benutzen und danach rege ich mich auf, das derselbe sich nach aussen wählt um zu schauen, ob es einen passenden Codec gibt. Was will ich denn? Dann muss ich diese Funktion eben deaktivieren oder eine Alternativ-App benutzen ...
Ich denke das Problem sind auch weniger die Programme, die nachfragen, ob sie eine Internetverbindung aufbauen können oder bei denen man es in den Einstellungen festlegen kann, sondern die Programme, die einfach Daten aus dem Netz laden oder hinein schicken, ohne dass der Benutzer dies gewünscht hat.

Dagegen ist natürlich auch eine PFW kein Allheilmittel, aber besser als dazusitzen und zu hoffen, dass keine Software auf dem Rechner Daten nach aussen senden will (aus welchen Gründen auch immer), ist es allemal.

Aqua

Ich denke das Problem sind auch weniger die Programme, die nachfragen, ob sie eine Internetverbindung aufbauen können oder bei denen man es in den Einstellungen festlegen kann, sondern die Programme, die einfach Daten aus dem Netz laden oder hinein schicken, ohne dass der Benutzer dies gewünscht hat.

Dagegen ist natürlich auch eine PFW kein Allheilmittel, aber besser als dazusitzen und zu hoffen, dass keine Software auf dem Rechner Daten nach aussen senden will (aus welchen Gründen auch immer), ist es allemal.

Aqua

Mag sein. Und woran liegt das? Ich meine, ich habe schon genügend Software iinstalliert, aber man kann sich sicherlich über ein paar Apps streiten. Natürlich sollte keine Software ungefragt rausgehen, nur brauche ich sie dann wirklich? Muss ich mich auspionieren lassen, nur damit man eine Soft "narrensicher" machen kann? Welcher User würde auf der anderen Seite sich die EULA oder andere Hinweise bei der Installation durchlesen. Warum ist es unter Win fast schon Usus, dass sich irgendwelche Apps versuchen nach Hause zu telefonieren?

Nur warum sollte man die Symptome versuchen zu verhindern? Warum verbietet man 1000mal per PFW die Verbindung, anstatt es der Soft zu verbieten?

Ein Beispiel: wenn bei mir vor der Tür die Zeugen Jehovas stehen und mich belabern wollen. Warum sollte ich denen nicht ein mal klipp und klar sagen, dass es bei mir sinnlos ist. Die kommen kein zweites Mal. Definitiv! Warum sollte ich mir das antun, dass sie jedes Wochenende kommen und mich zulabern?

So long Ajax

Zweiteres: Bitte etwas genauer. Keine Ahnung was Du damit meinst.
Was msdk glaube ich meinte anhand von Azureus (jaja, pöse Piratensoftware aber ist ein allgemeiner Mechanismus):
Problem:
Du willst bloss eine Instanz des Programmes (Azureus) am laufen haben.
Du willst, dass Dateien mit dieser einen Instanz geöffnet werden.

Lösung:
Sobald das Programm gestartet wird öffnet es einen bestimmten Port.
Falls das geht bist ist die aktuelle Instanz die einzige Instanz.
Falls das nicht geht, läuft schon eine Instanz und hört auf diesen Port. Also sendest du die URL/URI der Datei (falls eine Datei mit diesem Programm geöffnet wurde) an diesen Port und beendest dann. Du laufende Instanz öffnet dann die Datei.

Stimmt. Hier müsste man endlich sich mal entscheiden, ob Usability wirklich vor Security kommt.

Nur wäre ein PFW mit Admin-Rechten recht sinnlos. Und wenn man wirklich als normaler User nur surft und keinen IE + Outlook mehr benutzt (+AV), dann könnte man sich den PFW schon wieder sparen ...

Im Endeffekt benutzen ihn die meisten eh nur, um vorwitzige Software nach aussen zu unterbinden. Das ist aber nicht der eigentliche Sinn des Ganzen.
Ich meine warum soll ich z.B. den MS Media Player benutzen und danach rege ich mich auf, das derselbe sich nach aussen wählt um zu schauen, ob es einen passenden Codec gibt. Was will ich denn? Dann muss ich diese Funktion eben deaktivieren oder eine Alternativ-App benutzen ...

So long Ajax

Hi

Den meisten Usern ist aber nicht klar welche Software raustelefoniert.
Die kommen erst dann drauf, wenn die Firewall sagt das diese Applikation raus telefonieren will.

Was ist so undeutlich an dieser Aussage?

Gruss Labberlippe

Mag sein. Und woran liegt das? Ich meine, ich habe schon genügend Software iinstalliert, aber man kann sich sicherlich über ein paar Apps streiten. Natürlich sollte keine Software ungefragt rausgehen, nur brauche ich sie dann wirklich? Muss ich mich auspionieren lassen, nur damit man eine Soft "narrensicher" machen kann? Welcher User würde auf der anderen Seite sich die EULA oder andere Hinweise bei der Installation durchlesen. Warum ist es unter Win fast schon Usus, dass sich irgendwelche Apps versuchen nach Hause zu telefonieren?

Nur warum sollte man die Symptome versuchen zu verhindern? Warum verbietet man 1000mal per PFW die Verbindung, anstatt es der Soft zu verbieten?

Ein Beispiel: wenn bei mir vor der Tür die Zeugen Jehovas stehen und mich belabern wollen. Warum sollte ich denen nicht ein mal klipp und klar sagen, dass es bei mir sinnlos ist. Die kommen kein zweites Mal. Definitiv! Warum sollte ich mir das antun, dass sie jedes Wochenende kommen und mich zulabern?

So long Ajax

Hi

Das machst Du ja mit der Firewall.
Das Programm versucht rauszutelefonieren und mit der Firewall unterbindest Du dieses.
Einfach auf Antwort merken und die Firewall sperrt absofort das Program egal wie oft es versucht rauszutelefonieren, Du brauchst nur einmal sagen das nada ist.
Die Spygate Personal Firewall erkennt sogar wenn ein Update gemacht wurde (Vielleicht wollte es der User ja) und fragt sicherheitshalber sogar nochmal nach.

Gruss Labberlippe

Hi

Das machst Du ja mit der Firewall.
Das Programm versucht rauszutelefonieren und mit der Firewall unterbindest Du dieses.
Einfach auf Antwort merken und die Firewall sperrt absofort das Program egal wie oft es versucht rauszutelefonieren, Du brauchst nur einmal sagen das nada ist.
Die Spygate Personal Firewall erkennt sogar wenn ein Update gemacht wurde (Vielleicht wollte es der User ja) und fragt sicherheitshalber sogar nochmal nach.

Gruss Labberlippe

LOL

toll
der halbe rechner verseucht mit "nach hause telefonier software" aber "ey pfw is super sicher brauchst nur immer nein klick0rn"

is wie wenn jemand jeden tag fürchterliche kopfschmerzen hat und man täglich 3 aspirin frisst anstatt das problem an der wurzel zu lösen :rolleyes:

Und worin besteht die Lösung...wieder DOS 6.2 installieren oder was? :ass2:

Hmmm...also ich möchte auf meine Firewall net verzichten...aber mir ist klar, das nen Hacker mein System problemlos aushebeln kann...ist nunmal leider Gottes irgendwie so.

Man hat aber zumindest schonmal nen gewissen Mindestschutz...

LOL

toll
der halbe rechner verseucht mit "nach hause telefonier software" aber "ey pfw is super sicher brauchst nur immer nein klick0rn"

is wie wenn jemand jeden tag fürchterliche kopfschmerzen hat und man täglich 3 aspirin frisst anstatt das problem an der wurzel zu lösen :rolleyes:

Hi

Sorry aber besser als offen und alles telefoniert in Ruhe raus.
Was kann eine Firewall dafür das die Software Hersteller Spyware integrieren.
Hier muss man den div. Software Herstellern normalerweise einen Schuss vor den Bug geben.

Wobei die Frage ist warum die Software raustelefoniert, wenn es des updateswillen ist dann kann man das noch "fast" dulden.
Natürlich sollten eine Funktion integrieren welche diese Updates deaktiviert nur weder eine HW noch SW Firewall kann etwas machen wenn ich mir solche Mistprogramme runter lade.

Das Prinzip bleibt aber stehen, wenigsten sehe ich es wenn die Software versucht raus zu telefonieren.

Euer Argumentation läuft darauf das jetzt aufeinmal die Firewall schuld ist wenn ich mir Spyware Software auf den Rechner installiere.

Wenn Du des Wurzel übel packen willst, dann surfe nicht mit deinen Rechner, wirst seheh wie dicht der ist.
Merkst Du was?
Ähnliche Argumentation und dennoch sinnlos.



Gruss Labberlippe

mmm...

Juhuu, der Thread nimmt wieder an Niveau zu. Sagt mal, wer kennt sich mit Drogen aus??? also Drogen? dieses harte Zeug, was süchtig macht und wo man 24 Stunden lang nichts anderes macht als nur das eine? wie? ihr kennt es nicht? dann wird es aber höchste Zeit! Zeit habt ihr doch eh alle genug ... ich meine, es gibt Leute, die backen als Hobbie sehr gerne, andere wandern und können einem dann erzählen, wo es besonders schöne Wanderwege und Aussichten gibt. Wieviele Wanderwege, die länger als 10km sind, kennt ihr? müssen ja massig Wanderwege werden, die hier zusammen kommen.
Auf hochdeutsch gesagt, wenn alle so toll hier sind, warum gibt es dann überhaupt fragen über PC- Probs und Programmierprobs? was mich am meisten wundert, ist die Tatsache, das bei eingen Win- Probs kaum jemand antwortet, wobei doch hier soviele Vollprofis sind, die 24 Stunden am Tag nichts anderes machen, als nur vorm PC zu sitzen und man die Fehlerursache schnell auf ein Minimum reduzieren kann :|. Was mich am meisten wundert, war dieser Thread mit den plötzlich gelöschten Dateien. Warum haben zum Beispiel Ajax und Ulukay da kein Wort zu gesagt? SMART ist OS- unabhängig und der Fehler scheint an einer defekten HDD zu liegen, das sollte jeder, der sich gerne mit PCs beschäftig, kennen ... und nein, ich bin definitiv kein Profi (alleine meine berufliche Laufbahn dürfte die meisten verschrecken) und trotzdem scheine ich bei einigen Sachen eine Hilfe zu sein :| ... kurze Rede, gar kein Sinn: ich erwarte gar nicht, das sich jeder 24 Stunden am Tag die Zeit nimmt, um sein System abzusichern (einige andere wohl schon). Dazu könnte man eher mal einen sinnvollen Thread machen, wo IHR erklärt, woran man einen Einbruch auf einem Win- System erkennt und welche Einstiegslöcher es gibt (ja, Dienste ui. Demnach kann man wohl jeden Dienst abschiessen :| ... eigentlich erwarte ich von solchen Leute eher mal eine Antwort beim Thema HijackThis- Log, schliessliche kann man da ziemlich gut gestartete Programme sehen oder heisst es jetzt als Begründung, die müsste man nicht kennen, weil es Programme sind und keine Dienste?) ...

PFw's haben in Firmen eventuell was auf Notebooks zu suchen, weil niemand den Mitarbeiter zu hause kontrollieren kann und dort fangen sich die Notebooks gerne Würmer ein. Da nützt die fette Firewall in der Firma auch nichts, is komisch, is aber so ...

mmm...

---snip --
Was mich am meisten wundert, war dieser Thread mit den plötzlich gelöschten Dateien. Warum haben zum Beispiel Ajax und Ulukay da kein Wort zu gesagt? SMART ist OS- unabhängig und der Fehler scheint an einer defekten HDD zu liegen, das sollte jeder, der sich gerne mit PCs beschäftig, kennen ... und nein, ich bin definitiv kein Profi (alleine meine berufliche Laufbahn dürfte die meisten verschrecken) und trotzdem scheine ich bei einigen Sachen eine Hilfe zu sein :| ... kurze Rede, gar kein Sinn: ich erwarte gar nicht, das sich jeder 24 Stunden am Tag die Zeit nimmt, um sein System abzusichern (einige andere wohl schon). Dazu könnte man eher mal einen sinnvollen Thread machen, wo IHR erklärt, woran man einen Einbruch auf einem Win- System erkennt und welche Einstiegslöcher es gibt (ja, Dienste ui. Demnach kann man wohl jeden Dienst abschiessen :| ... eigentlich erwarte ich von solchen Leute eher mal eine Antwort beim Thema HijackThis- Log, schliessliche kann man da ziemlich gut gestartete Programme sehen oder heisst es jetzt als Begründung, die müsste man nicht kennen, weil es Programme sind und keine Dienste?) ...

PFw's haben in Firmen eventuell was auf Notebooks zu suchen, weil niemand den Mitarbeiter zu hause kontrollieren kann und dort fangen sich die Notebooks gerne Würmer ein. Da nützt die fette Firewall in der Firma auch nichts, is komisch, is aber so ...

Also ich kann ja nur für mich reden. Aber bei mir ist es ganz einfach. Ich beschäftige mich einfach zu wenig mit Windows. Warum auch. Mein Haupt-OS ist Fedora Core. Warum sollte ich nach Problemlösungen für XP/2000 suchen?
Wie gesagt. Das Problem versuche ich bei der Wurzel zu nehmen. Deswegen kann ich auch wenig zu HijackThis sagen. Ich weiss was es ist und das war es. Immerhin lache ich keinen deswegen aus.

Ist doch auch schon eine Leistung ;).

Zu dem SMART-Problem. Keine Ahnung. Habe den Thread nicht gesehen. Vielleicht war ich unterwegs und hatte die Tage keine Zeit. Im Endeffekt habe ich aber ehrlich gesagt wirklich keine Lust zu sehr zu provozieren. Oder mich provozieren zu lassen. Das hängt einfach von der Stimmung ab. Dann habe ich auch nie behauptet die Weisheit mit Löffeln gefressen zu haben. Ich habe nur eine Alternative dargestellt, die vorhanden ist, aber mit der ein Großteil der User nicht klar kommen möchte.
Für mich ist das aber wichtig. Ich möchte nicht nur eine Meinung hören, kennen, sehen. Nur wenn ich mehrer Alternativen kenne, dann bin ich auch in der Lage die Dinge aus verschiedenen Perspektiven sehen zu können.

So long Ajax

... Ich habe nur eine Alternative dargestellt, die vorhanden ist, aber mit der ein Großteil der User nicht klar kommen möchte.
Für mich ist das aber wichtig. Ich möchte nicht nur eine Meinung hören, kennen, sehen. Nur wenn ich mehrer Alternativen kenne, dann bin ich auch in der Lage die Dinge aus verschiedenen Perspektiven sehen zu können.

So long Ajaxmmm...

Nein, es sollte auch kein direkter Angriff sein, ich wollte damit nur sagen, das nicht jeder die Zeit hat/ sich nimmt, um sich wirklich mit der Sache auseinanderzusetzen und das es immer eine Kehrseite der Medaile gibt. Bei King Rollo kann man zum Beispiel sehen, wie lange er sich Zeit gelassen hat, die "bekannten" Seiten einmal anzuschauen. Danach kam die "grosse" Erleuchtung, er wird aber weiterhin Windoof treu bleiben => Fazit: genützt hat es trotzdem nichts, ICQ hat er auch immernoch an ;) ...

Ach so richtig angegriffen fühle ich mich ja auch nicht. Ausserdem kann ich selber gut austeilen.
Nein, man darf schon etwas provokant sein. Da wird man besser gehört. So unrecht hat King_Rollo ja nicht, auch wenn er wahrscheinlich etwas trollen wollte. Deswegen hat er wahrscheinlich im Planet3Dnow-Forum das Selbe noch mal gepostet ...

Unverständnis weckt bei mir eher, dass dem CCC jegliche Kompetenz abgesprochen wird. Im Endeffekt kann ich ja das HomeCallingFeature irgendwo noch nachvollziehen, obwohl es da ja bessere Alternativen gibt. Aber solange bei XP-Home der User=Admin ist. Stellt sich der Sinn einer PFW ja nun wirklich nicht. Da hat dann der User zuuuu viel nicht richtig verstanden oder keine Lust sich richtig zu informieren. Das die Firmen daraus Kapital schlagen möchten kann ich ihnen nicht einmal verdenken ...

So long Ajax

Eine Port auf dem kein Dienst lauscht ist schon etwas anderes als ein geschlossener Port.[...]

Ob ein Port geschlossen , offen oder 'versteckt' ist , ist einzig abhängig von der Antwort den der IP-Stack auf die Anfrage zurückgibt.
Der Ausdruck 'versteckt' ist dabei irreführend, da ein Computer mit TCP/IP Protokoll auf jeden Fall 65535 Ports hat(jeweils für TCP und UDP), sich diese nicht abschalten lassen.
Offen ist der Port, wenn das SYN-Paket mit einem anderen SYN beantwortet wird (Verbindungsaufbau), geschlossen ist er ,wenn ein ICMP Typ 3 Code 3 zurückkommt. Bei einer Fehlenden Antwort ist der Prot also 'versteckt'.
Dieser Logik nach kann ich mich also für den Rest der Welt unsichbar machen , indem ich die Grüße und Gesprächsversuche der anderen nicht beantworte.

Aber zu rück zum Thema:
KEINER der Post konnte die Behauptung vom Anfang (ein Rechner mit PFW ist wenige sicher als ohne PFW) stützen, oder gar beweisen.
Lediglich die Tatsache dass es Situationen gibt, in dem eine PFW keine zusätzliche Sicherheit gewährt, konnte gezeigt werden.

Einige der angegebenen Möglichkeiten (wwwsh) eine PFW zum 'umgehen' ist bei genauerer Betrachtung nichts anderes als eine Ausnutzung einer Schwäche des Users, da eine benutzerdefinierte Regel (z.B.: der Standardbrowser darf überall hin) zwar greift, diese allerdings kein Hinderniss für die Kommunikation darstellt.
Die andere Möglichkeit (Autoklicker) funktioniert nur solange die PFW auch wirklich Nachfragt. Bei einem fest eingestellten Regelwerk, das keine Ausnahmen gestattet, ist ein solches Programm irrelevant.
Die dritte der angegebenen Möglichkeiten (SelfDos) erinnert mich an den Versuch den Leerlaufprozess im Taskmanager zu beenden, da er augenscheinlich viel Prozessorzeit beansprucht.
Allerdings gilt auch hier - solange es eine allgemeine Regel gibt, dass sich das System mit dem DNs-Server aus Port 53 unterhalten darf, ist auch der Versuch ein IS als DOS-Attackenhelfer zu verwenden nicht mehr als ein Mittel zur Selbsdarstellung einiger Personen.

MfG

BUGFIX

http://www.hardtecs4u.com/?id=1108242181,11386,ht4u.php



Das Unangenehme an diesen drei Meldungen ist die Tatsache, dass genau die Programme, welche der User benutzt um sich Sicherheit zu verschaffen, eben seine Sicherheit gefährden können. Eine recht konfuse Situation. Da stellt sich doch die Frage, wohin das weiterführen soll? Eine Antwort darauf ist nicht einfach zu geben und muss jeder für sich selber finden.



Glaubt nur weiter an die Sicherheit eure Virenscanner/Firewalls ;D;D



schade, dass fette-toolz.da.ru offline ist. Da gäbs genug SW, die die PFW Verfechter zumindest etwas stutzen lassen sollten...

Da hier so ziemlich alle, die Virenscanner und Firewalls verdammen, nur von "hätte, könnte, wenn, unter Umständen, kann, vielleicht" - Szenarien ausgehen, ist von deren Aussagen nicht sonderlich viel zu halten.

sieht man am post direkt über deinem http://www.planet3dnow.de/vbulletin/images/smilies/rofl.gif

Glaubst du dass fette-toolz die einzige Seite ist? Allein der Hinweis auf die Existenz von fette-toolz reicht aus, mit ein bisschen Geschick genug andere Seiten zu finden, die ähnliche Software anbieten.

Hier mal die bekannten Sicherheitlücken von Symantec Software des letzten Jahres:

2005-02-12: Symantec UPX Parsing Engine Remote Heap Overflow Vulnerability
2005-02-04: Sun Java Runtime Environment Java Plug-in JavaScript Security Restriction Bypass Vulnerability
2005-02-01: OpenSSL Denial of Service Vulnerabilities
2005-01-10: Symantec CcErrDsp.ErrorDisplay.1 ActiveX Remote Denial Of Service Vulnerability
2004-12-30: Symantec Enterprise Firewall/VPN Appliance Multiple Remote Vulnerabilities
2004-12-21: Symantec Brightmail AntiSpam Quarantine Multiple Remote Denial of Service Vulnerabilities
2004-12-17: Symantec Brightmail Multiple Remote Denial of Service Vulnerabilities
2004-12-13: Symantec Windows LiveUpdate Local Privilege Escalation Vulnerability
2004-11-23: Symantec LiveUpdate Directory Traversal Vulnerability
2004-10-05: Symantec Norton AntiVirus MS-DOS Name Scan Evasion Vulnerability
2004-09-29: Symantec ON Command CCM Remote Database Default Password Vulnerability
2004-09-27: Symantec Norton AntiVirus Malformed EMail Denial Of Service Vulnerability
2004-08-30: Symantec PowerQuest DeployCenter Boot Disk Plaintext Password Disclosure Vulnerability
2004-08-10: Symantec Clientless VPN Gateway 4400 Series Multiple Vulnerabilities
2004-07-19: Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability
2004-07-14: Symantec Brightmail Anti-spam Unauthorized Message Disclosure Vulnerability
2004-07-12: Symantec Norton Antivirus Denial Of Service Vulnerability
2004-06-25: Multiple Vendor Anti-Virus Scanner Remote Denial Of Service Vulnerability
2004-06-22: Symantec Enterprise Firewall DNSD DNS Cache Poisoning Vulnerability
2004-06-12: Symantec Gateway Security 360R Wireless VPN Bypass Weakness
2004-05-24: Symantec Norton AntiVirus ActiveX Control Remote Code Execution Vulnerability
2004-05-20: Symantec Client Firewall Products SYMNDIS.SYS Driver Remote Denial Of Service Vulnerability
2004-05-14: Symantec Client Firewall Remote DNS Response Denial Of Service Vulnerability
2004-05-12: Symantec Client Firewall NetBIOS Name Service Response Buffer Overflow Vulnerability
2004-05-12: Symantec Client Firewall NetBIOS Handler Remote Heap Overflow Vulnerability
2004-05-12: Symantec Client Firewall DNS Response Buffer Overflow Vulnerability
2004-04-21: Symantec Firewall Products WrapNISUM Class Remote Command Execution Vulnerability
2004-04-19: Norton AntiVirus 2002 Nested File AutoProtect Bypass Vulnerability
2004-04-19: Symantec Norton AntiVirus 2002 Nested File Manual Scan Bypass Vulnerability
2004-04-08: Symantec Security Check Virus Detection COM Object Denial Of Service Vulnerability
2004-03-23: Symantec AntiVirus Scan Engine For Red Hat Linux Insecure Temporary File Vulnerabilities
2004-03-19: Symantec Norton AntiSpam SymSpamHelper Class Buffer Overrun Vulnerability
2004-03-11: Norton AntiVirus 2002 ASCII Control Character Denial Of Service Vulnerability
2004-03-04: Symantec Firewall/VPN Appliance Cached Plaintext Password Vulnerability
2004-03-03: Symantec Gateway Security Error Page Cross-Site Scripting Vulnerability

http://www.security-focus.com/

Wobei NIS noch den Vorteil hat, dass da auch wirklich fleissig geschaut wird. "Kleinere" PFW können da durchaus mal schon länger ein paar Lücken mitsich herumschleppen. Ich verstehs ja auch, dass man seinen Rechner absichern will und sich gegen böse Shareware die nach Hause telefoniert, wehren muss. Aber einen Schranken (PFW) vor den grossen Eingangstoren der Bibliothek (Computer) zu setzen, bringt noch weniger, wenn die Schrankenbauer, dabei gleichzeitig einen/einige der Hintereingänge öffnen, die nicht nur vollkommen ungesichert, sondern auch kaum einen Wärter bekannt sind.

Jetzt kann man zwar die Besucher davon abhalten bei der Bibliothek ein und aus zu laufen, und erwischt vll. auch den ein oder andern Gangster, der bis jetzt fleissig geklaut hat, aber so ein Schranken ist halt maximal solang ein Hindernis, bis jemand das passende Werkzeug hat, den Schranken einfach abzumontieren. Da kanns auch schon mal praktisch sein, wenn ein Arbeiter, mit den noch so besten Absichten, unabsichtlich eine Hintertür zur Werkzeugkammer offen lässt...

Deswegen ists imo besser, den Typen an der Kassa (Browser) auszutauschen, damit nicht jede noch so zwielichte Gestalt gleich nen Bibliotheksausweis auf Lebenszeit erhält.

Auch kanns von Vorteil sein nicht jedem zu erzählen was für tolle Bücher (SW) in den Bibliothek liegen, und wie die Adresse (IP) derselbigen ist (auch wenn die Adresse meistens leicht rauszufinden ist) . Wenn man jetzt noch alle Türen schliesst, die entweder ne unbesetzte Kassa oder garkeine habem kann man sich schon ziemlich sicher fühlen. Wenn man das Bibliothekspersonal (System) dann noch halbwegs regelmässig auf Schulungen (Updates) schickt, ist schon wirklich sehr unwahrscheinlich, dass sich irgendein gemeiner Räuber in die Bibliothek verirrt.

Klar ists einfacher ne Sicherheitsfirma für den Schrankenbau zu beauftragen, dass steht ausser Frage, nur steht die dann nicht nur auf der Gehaltsliste, sondern schliesst auch gleich jegliche Art der Haftung im Falle eines Diebstahls aus.

Ein weiteres nicht zu unterschätzendes Problem ist, dass die eigene Vorsicht nach so einer Schrankeninstallation, eher abnimmt, so nach dem Motto: Ich schick mal fleissig Einladungen für meine Bibliothek weg, falls ihr auch Gangster folgen, wird sie der Schranken schon aufhalten...

http://www.security-focus.com/


Macht Werbung für Symantec, sehr seriös!


cu, sloth9

Macht Werbung für Symantec, sehr seriös!



Solang Symantec einer Website Geld zahlt, die deren Software auseinander nimmt, und sie auf Sicherheitslücken aufmerksam machen, kanns mans denen nicht verdenken, wenn sie die Kohle auch nehmen.

Würdest du 3DC auch die Seriosität absprechen, wenn mal schlecht über ein Produkt berichtet würde, was z.B: www.be-quit.de anbietet?

Imo machts es einen großen Teil der Seriosität aus, die Werbekunden NICHT mit Samthandschuhen anzufassen - bin gespannt ob du das wirklich anders siehst, oder nur eine Basis zum Flamen gesucht hast...

Und immer noch kommt Mr. Lolman nicht über besagte "wenn, hätte, könnte, vielleicht" Szenarien hinaus. Wenn wirklich alles so mies, offen, unsicher usw. ist, wie erklärt er dann, dass die überwiegende Mehrheit der Benutzer von Virenscannern und Firewalls noch nie irgendein Problem hatten? Wie erklärt er dann, dass renommierte Sicherheitsexperten dringend den Einsatz dieser Programme empfehlen? Liegen die alle falsch? Sind das alles Idioten? Belügen die ihr Klientel bewußt?

KEINER der Post konnte die Behauptung vom Anfang (ein Rechner mit PFW ist wenige sicher als ohne PFW) stützen, oder gar beweisen.

Einige der angegebenen Möglichkeiten (wwwsh) eine PFW zum 'umgehen' ist bei genauerer Betrachtung nichts anderes als eine Ausnutzung einer Schwäche des Users, da eine benutzerdefinierte Regel (z.B.: der Standardbrowser darf überall hin) zwar greift, diese allerdings kein Hinderniss für die Kommunikation darstellt.

1. Was ist deiner Meinung nach sicherer: ein System mit PFW und deren potentiellen Sicherheitslücken? Oder ein mit Boardmitteln dicht gemachtes System ohne die potentiellen Sicherheitslücken der PFW?

2. Jeder User hat irgend einen Browser in Benutzung und wird aus Bequemlichkeit diesen als Regel "immer zulassen". Ergo kann dieser Browser auch immer zum Senden von Daten ins Internet verwendet werden.


Und immer noch kommt Mr. Lolman nicht über besagte "wenn, hätte, könnte, vielleicht" Szenarien hinaus. Wenn wirklich alles so mies, offen, unsicher usw. ist, wie erklärt er dann, dass die überwiegende Mehrheit der Benutzer von Virenscannern und Firewalls noch nie irgendein Problem hatten? Wie erklärt er dann, dass renommierte Sicherheitsexperten dringend den Einsatz dieser Programme empfehlen? Liegen die alle falsch? Sind das alles Idioten? Belügen die ihr Klientel bewußt?

Ich kenne diverse Leute, die immer nur den IE und OE benutzen und noch nie Probleme hatten. Genauso kenne ich Leute, die noch nie einen Festplattencrash hatten.
Würdest du diesen Leuten empfehlen, keine Datensicherung zu machen oder weiterhin den IE/OE einzusetzen, trotz nachweislich unsicherer Technologie?

Und immer noch kommt Mr. Lolman nicht über besagte "wenn, hätte, könnte, vielleicht" Szenarien hinaus. Wenn wirklich alles so mies, offen, unsicher usw. ist, wie erklärt er dann, dass die überwiegende Mehrheit der Benutzer von Virenscannern und Firewalls noch nie irgendein Problem hatten? Wie erklärt er dann, dass renommierte Sicherheitsexperten dringend den Einsatz dieser Programme empfehlen? Liegen die alle falsch? Sind das alles Idioten? Belügen die ihr Klientel bewußt?

falsch
von den ganzen möchtegern windoof admins die ich NICHT betreue und die fleissig norton av und irgendwelche pfws drauf hatten hatte der großteil z.b. den blaster wurm

von den komplett daus die ich betreue, die KEINE pfw drauf haben hatte KEIN EINZIGER einen blaster :rolleyes:

kleiner denkanstoß

der tcpip stack von windows an sich hatte seit (imho) 1999 keinen bug mehr
JEDE pfw bringt EIGENEN code in diesen tcpip stack - und da handelt es sich nicht um ein paar prozent code sondern um ein paar hundert prozent code

beispiel:

wo können mehr fehler auftreten
in 1000 zeilen code die seit 1999 bugfrei sind
oder in 10000 zeilen code wovon 9000 zeilen von irgendeinem dritthersteller kommen

Solang Symantec einer Website Geld zahlt, die deren Software auseinander nimmt, und sie auf Sicherheitslücken aufmerksam machen, kanns mans denen nicht verdenken, wenn sie die Kohle auch nehmen.

Würdest du 3DC auch die Seriosität absprechen, wenn mal schlecht über ein Produkt berichtet würde, was z.B: www.be-quit.de anbietet?

Imo machts es einen großen Teil der Seriosität aus, die Werbekunden NICHT mit Samthandschuhen anzufassen - bin gespannt ob du das wirklich anders siehst, oder nur eine Basis zum Flamen gesucht hast...

JEDER der Produkte "testet", von dessen Herstellern er finanziell abhängig ist (Werbung), ist unseriös. Gilt in jedem Turbo-Kapitalismus

3dcenter + be quiet = unseriös
Spielezeitschriften + EA-FIFA-Bandenwerbung für PC Games usw. = unseriös
Kino-Premieren in Zeitschriften- + Hollywood = unseriös
Stiftung Warentest + Labore, die auch für die Hersteller arbeiten = unseriös

cu, sloth9

dass die überwiegende Mehrheit der Benutzer von Virenscannern und Firewalls noch nie irgendein Problem hatten? Wie erklärt er dann, dass renommierte Sicherheitsexperten dringend den Einsatz dieser Programme empfehlen? Liegen die alle falsch? Sind das alles Idioten? Belügen die ihr Klientel bewußt?

Weil die andere, noch größere Mehrheit überhaupt nix tut. Und ich streit ja nicht ab, dass ne PFW besser ist als ein völlig ungeschützter Rechner. Und damit haben schon mal geschätzt 90% der Windowsuser einen konkreten Vorteil, mit der Installation von solcher SW.

Das Lustige (eher Traurige) ist, dass viele Leute auch mit völlig ungeschützten, total versuchten Systemen keine Probleme haben, solang die Performance halbwegs passt, und die Viren/Trojaner/Wümer sich nicht als solcher erkennen zu geben (was sie eh sogut wie nie tun)

Schlimm wirds meisten erst wenn mehrere Malware am werken ist, da legt der Rechner mal schon gerne Verschnaufpausen ein, oder der Virenscanner arbeitet plötzlich sehr langsam. Wie vorher schon gesagt: Porblematischerweise fühlt man sich mit ner PFW viel sicherer, und solang die nicht meckert, und das System brav tut, ist eh alles ok - möge man meinen. Da aber kaum jemand davon Schimmer hat, was diverse Services überhaupt machen, welche Zugehörigkeit sie haben und wies um die Notwendigketi derselben bestellt ist, schaffen PFWs, Virenscanner, Spybots einen nur noch grösseren Dschungel an Services, und man kümmert sich noch weniger darum, was da eigentlich die 50-100MB zusätzlichen Speicher frisst, da "ja eh alles in Ordnung ist".


Ich hab selbst Rechner von Viren befreien müssen, bei denen scheinbar alles gepasst hat. XP SP2, neueste Updates, Virenscanner und PFW, die nur deswegen zu mir geschickt wurden weil sie etwas langsam waren. Wie blöd die Leute geschaut haben, als ich ihnen erklären musste, dass ein IRC Trojaner am werken war, der nicht nur PFW und Virenscanner aushebelte (jaja scheinbar ging ja alles, nur ewig langsam und gefunden wurde auch nix) kannst du dir vorstellen.

Ich schieb etwaig auftretende Virenprobleme zu 95% auf den IE und zu geringer Vorsicht beim Mail-Attachment öffnen, und bin bisher ganz gut damit gefahren. (Die restlichen 5% sind meinetwegen auf fehlende Updates zurückzuführen, wobei die Zahl schon eher hochgegriffen ist)

Eine Zweigstelle mit Kunden von mir, weigerte sich den Firefox zu nutzen und hatte deswegen im 2-3 Wochentakt immerwieder Probs mit Viren (trotz aller Updates, Scanner usw...) Nachdem ich innerhalb eines Monats schon das dritte Mal rausgefahren bin und gemerkt habe das mein Missionierungseifer bezügl. Firefox auf taube Ohren stösst, hab ich kurzerhand alle IE Verknüpfungen entfernt, dem Firefox das IE Logo spendiert, und auch den Namen des Links auf "Internet Explorer" geändert. :biggrin:

Tja, seitdem sind ~5 Wochen vergangen und die haben sich nichtmehr gerührt... ;D




Ich sag auch nicht, dass der Firefox das Allheilmittel ist, aber der IE (eigentlich das ganze Windows) wird vom MS z.T. absichtlich so offengehalten um sich keine Stolpersteine für Remotadministration in den Weg zu legen. Dass bei einem solchen System potentielle Virenschreiber leichter tun, als bei einem, welches unter dem Augenmerk der für den User bestmöglichen Funktionalität bei größtmöglicher Sicherheit entickelt wurde ist auch klar...

Sicher Windows bleibt der Unterbau und ist mit dem Firefox auch nicht sicherer. Ich trau mich jedoch wetten, dass ein XP SP2 System mit IE/OE, allen Updates, Virenscannern und PFW schneller kompromittiert ist, als ein XP SP1 ohne Updates/PFW/Virenscanner wo lediglich alle unnötigen Services abgeschalten wurden und man auf den OE/IE verzichtet...


Denkt daran: Gerade mit dem IE ist ein File schneller auf der Platte als ihr schaun könnt. Wenn eure "PFW" auch Registryzugriffe loggt und überprüft, sowie buchführt über die Prüfsummen aller geöffneten Datein könnt ihr noch Glück haben, und die Datei stellt wirklich nix an.

Imo kann das aber nur Nortons Internet Security und was das für Sicherheitslücken hat/te hab ich oben schon gepostet. Oder ihr verwendet einen Softwaremix bspw aus Pestpatrol, Adaware, Spybot S&D, irgendnem Virenscanner und ner PFW und glaubt halt die dadurch verbrauchten Systemressourcen sich mit höherer Sicherheit erkauft zu haben.

Naja sucht mal mit dem IE einen Tag lang fleissig SW über bspw www.astalavista.com. Wenn ihr am Abend keinen Virus am Rechner habt, wisst ihr zumindest dass euch euere Tools gegen altbekannte Exploits schützen...


/edit:

Zu meiner Betreuergeschichte: Ich wurde vor vollendeten Tatsachen gesetzt. Hätt ich die Systeme aufgebaut, würden sie ganz anders aussehen...

Das schlimme in meiner Situation ist nämlich, dass viele meine Klientel ihren Laptop auch zuhause verwenden, und dann den Dreck, den sie sich von dort holen ins Firmennetz einspeisen. Und ich hab darüber nicht mal Verfügungsgewalt, denn in nächster Instanz ist immernoch mein Chef dafür zuständig, der mich dann halt zu so ner Drexhackn schickt, ohne das man/ich wirklich die Ursache für solche Probleme beheben könnte...

Deswegen stösst mir übel auf, hier immerweider von PFW Verfechtern hören zu müssen wie toll sicher ihre Rechner nicht sind...

JEDER der Produkte "testet", von dessen Herstellern er finanziell abhängig ist (Werbung), ist unseriös. Gilt in jedem Turbo-Kapitalismus


Worauf willst du eigentlich hinaus? Dass es in Symantec SW noch viel mehr Sicherheitslücken gibt, und die aber die Hälfte mal schnell weggelassen haben um den Werbepartner nicht zu verärgern?

BTW: Eigentlich ist 3DC ja auch aufgrunddessen unseriös, dass sie hinundwieder zu Tests von Produkten ihrer Werbepartner verlinken, da das ja auch als versteckte Werbung und somit als Irreführung des Kunden ausgelegt werden könnte...

Das Lustige (eher Traurige) ist, dass viele Leute auch mit völlig ungeschützten, total versuchten Systemen keine Probleme haben, solang die Performance halbwegs passt, und die Viren/Trojaner/Wümer sich nicht als solcher erkennen zu geben (was sie eh sogut wie nie tun)


Sicher Windows bleibt der Unterbau und ist mit dem Firefox auch nicht sicherer. Ich trau mich jedoch wetten, dass ein XP SP2 System mit IE/OE, allen Updates, Virenscannern und PFW schneller kompromittiert ist, als ein XP SP1 ohne Updates/PFW/Virenscanner wo lediglich alle unnötigen Services abgeschalten wurden und man auf den OE/IE verzichtet...
/edit:

Zu meiner Betreuergeschichte: Ich wurde vor vollendeten Tatsachen gesetzt. Hätt ich die Systeme aufgebaut, würden sie ganz anders aussehen...

Das schlimme in meiner Situation ist nämlich, dass viele meine Klientel ihren Laptop auch zuhause verwenden, und dann den Dreck, den sie sich von dort holen ins Firmennetz einspeisen. Und ich hab darüber nicht mal Verfügungsgewalt, denn in nächster Instanz ist immernoch mein Chef dafür zuständig, der mich dann halt zu so ner Drexhackn schickt, ohne das man/ich wirklich die Ursache für solche Probleme beheben könnte...

Deswegen stösst mir übel auf, hier immerweider von PFW Verfechtern hören zu müssen wie toll sicher ihre Rechner nicht sind...mmm...

Mal für gaaaaaanz dumme. Seit wann frisst der IE keine Scheisse mehr, wenn man einen Router hat? :| ... soviel ich weiss, lädt der IE immer den ganzen Kram runter, weil es per HTTP und durch den IE erlaubt wurde, egal, ob du nen Router, eine PFw oder nichts hast ...

1. Was ist deiner Meinung nach sicherer: ein System mit PFW und deren potentiellen Sicherheitslücken? Oder ein mit Boardmitteln dicht gemachtes System ohne die potentiellen Sicherheitslücken der PFW?

2. Jeder User hat irgend einen Browser in Benutzung und wird aus Bequemlichkeit diesen als Regel "immer zulassen". Ergo kann dieser Browser auch immer zum Senden von Daten ins Internet verwendet werden.
[...]

Zu 1)
Die Aussage "ein System mit Firewall ist unsicherer als ein System ohne Firewall" kann man nur aufrecht erhalten wenn als Basis ein identisches System genommen wird. Was du macht ist einen schwerwiegenden Kategorienfehler zu begehen in dem du ein ungepatchtes System + PFW gegen ein (von dir impliziert: duchdacht) konfiguriertes System antreten lässt.
Aber nochmal zum mitschreiben: Darum geht es hier nicht!
Dein Fazit war :"Keine PFW kann halten, was sie verspricht und setzt das System zusätzlichen Gefahren aus. Sie ist nutzlos!"
Es konnte bis jetzt nichtmal noch auch nur ein schlüssiges Argument für diese Behauptung geliefert werden.

Zu 2)
Das ist trotzdem kein Fehler der Firewall an sich - ein Benutzer der eine solche Regel erstellt, muss sich halt darüber im klaren sein, dass diese Regel auf alle Browseranforrderungen zutrifft.
Streng genommen darfst du dann aber kein einziges OS mehr nutzen:
- DOS hat keine Benutzerrechte
- Windows bietet die Möglichkeit der Permanentanmeldung eines Benutzters
- Linux (out of the BOX) hat FTP, SSH , openLDAP , HTTP , usw .. offen!
Wie du siehst - Sicherheit ist, was man daraus macht - und mit einem System mit PFW kann ich mehr machen als aus einem ohne.

MfG

BUGFIX

Worauf willst du eigentlich hinaus? Dass es in Symantec SW noch viel mehr Sicherheitslücken gibt, und die aber die Hälfte mal schnell weggelassen haben um den Werbepartner nicht zu verärgern?

BTW: Eigentlich ist 3DC ja auch aufgrunddessen unseriös, dass sie hinundwieder zu Tests von Produkten ihrer Werbepartner verlinken, da das ja auch als versteckte Werbung und somit als Irreführung des Kunden ausgelegt werden könnte...

... ja, ich glaub', er hat's!

Streng genommen darfst du dann aber kein einziges OS mehr nutzen:
- Linux (out of the BOX) hat FTP, SSH , openLDAP , HTTP , usw .. offen!
Nein, SuSE vielleicht, aber sicher nicht Linux. Debian hat IIRC nur den RPC-protmapper offen. gentoo hat gar nix offen. OpenBSD hat gar nix offen.

Zu 1)
Die Aussage "ein System mit Firewall ist unsicherer als ein System ohne Firewall" kann man nur aufrecht erhalten wenn als Basis ein identisches System genommen wird. Was du macht ist einen schwerwiegenden Kategorienfehler zu begehen in dem du ein ungepatchtes System + PFW gegen ein (von dir impliziert: duchdacht) konfiguriertes System antreten lässt.
Aber nochmal zum mitschreiben: Darum geht es hier nicht!
Dein Fazit war :"Keine PFW kann halten, was sie verspricht und setzt das System zusätzlichen Gefahren aus. Sie ist nutzlos!"
Es konnte bis jetzt nichtmal noch auch nur ein schlüssiges Argument für diese Behauptung geliefert werden.

Zu 2)
Das ist trotzdem kein Fehler der Firewall an sich - ein Benutzer der eine solche Regel erstellt, muss sich halt darüber im klaren sein, dass diese Regel auf alle Browseranforrderungen zutrifft.
Streng genommen darfst du dann aber kein einziges OS mehr nutzen:
- DOS hat keine Benutzerrechte
- Windows bietet die Möglichkeit der Permanentanmeldung eines Benutzters
- Linux (out of the BOX) hat FTP, SSH , openLDAP , HTTP , usw .. offen!
Wie du siehst - Sicherheit ist, was man daraus macht - und mit einem System mit PFW kann ich mehr machen als aus einem ohne.

1. Red' ich denn nur mit dem Baum vor meinem Fenster?!
Ich nehme doch identische Systeme an! Ein richtig konfiguriertes System ohne PFW ist sicher vor Angriffen von außen und hat keine zusätzlichen Sicherheitslücken oder Bugs. Und von innen her ist man selbst verantwortlich. Wenn ich jetzt auf diesem System eine PFW installiere, habe ich deren zusätzliche Sicherheitsrisiken! Und damit ist das System angreifbarer/unsicherer als ohne! Was ist daran nicht zu verstehen?

2. Was willst du mir damit sagen? Du magst recht haben, dass sich jeder im Klaren über eine solche Regel sein muss, aber es ist sich niemand im Klaren darüber! Darum geht es ja (auch)! Dem User wird eine Scheinsicherheit vorgegauckelt, die nicht wirklich existiert.
Und ja, theoretisch ist es am besten, gaqr kein OS einzusetzen, aber das ist nicht umsetzbar. Ebenso wenig wie 10cm Luft zwischen Netzwerkstecker und -dose. Ergo sollte man nur vertrauenswürdige Software einsetzen, von der man weiß, dass sich nicht nach außen sendet oder von der man weiß, dass es unbedenklich ist.

1. Red' ich denn nur mit dem Baum vor meinem Fenster?!
Ich nehme doch identische Systeme an! Ein richtig konfiguriertes System ohne PFW ist sicher vor Angriffen von außen und hat keine zusätzlichen Sicherheitslücken oder Bugs. Und von innen her ist man selbst verantwortlich. Wenn ich jetzt auf diesem System eine PFW installiere, habe ich deren zusätzliche Sicherheitsrisiken! Und damit ist das System angreifbarer/unsicherer als ohne! Was ist daran nicht zu verstehen?

2. Was willst du mir damit sagen? Du magst recht haben, dass sich jeder im Klaren über eine solche Regel sein muss, aber es ist sich niemand im Klaren darüber! Darum geht es ja (auch)! Dem User wird eine Scheinsicherheit vorgegauckelt, die nicht wirklich existiert.
Und ja, theoretisch ist es am besten, gaqr kein OS einzusetzen, aber das ist nicht umsetzbar. Ebenso wenig wie 10cm Luft zwischen Netzwerkstecker und -dose. Ergo sollte man nur vertrauenswürdige Software einsetzen, von der man weiß, dass sich nicht nach außen sendet oder von der man weiß, dass es unbedenklich ist.

Zu 1)
Du redest immer von zusätzlichen Sicherheitslücken - ich kenn bis jetzt kein Exploit bei dem es möglich wäre mit Hilfe des PFW-Dienstes den Rechner zu übernehmen. Es sind bis jetzt von deiner Seite nur Möglichkeiten eine PFW zu umgehen als Argument vorgebracht worden, und das reicht nicht.

Zu 2)
Trotzdem ist das nicht ein Problem der Firewalls - denn dein "..aber es ist sich niemand im Klaren darüber!" gilt genauso für eine sichere konfiguration ohne PFW. Du kanns dem Programm nicht vorwerfen dass es nichts Taugen würde, nur weil der Benutzer es nicht bedienen kann.


Sicher ist es richtig, dass viele Leute mit einer PFW nicht richtig umgehen können, und deshalb ein Regelwerk erstellen, dass so keinen Sinn macht.
Aber das ist die Unwissenheit/Dummheit der Leute - nicht das Problem einer PFW an sich.

MfG

BUGFIX

Zu 1)
Die Aussage "ein System mit Firewall ist unsicherer als ein System ohne Firewall" kann man nur aufrecht erhalten wenn als Basis ein identisches System genommen wird. Was du macht ist einen schwerwiegenden Kategorienfehler zu begehen in dem du ein ungepatchtes System + PFW gegen ein (von dir impliziert: duchdacht) konfiguriertes System antreten lässt.
Aber nochmal zum mitschreiben: Darum geht es hier nicht!
Dein Fazit war :"Keine PFW kann halten, was sie verspricht und setzt das System zusätzlichen Gefahren aus. Sie ist nutzlos!"
Es konnte bis jetzt nichtmal noch auch nur ein schlüssiges Argument für diese Behauptung geliefert werden.

Zu 2)
Das ist trotzdem kein Fehler der Firewall an sich - ein Benutzer der eine solche Regel erstellt, muss sich halt darüber im klaren sein, dass diese Regel auf alle Browseranforrderungen zutrifft.
Streng genommen darfst du dann aber kein einziges OS mehr nutzen:
- DOS hat keine Benutzerrechte
- Windows bietet die Möglichkeit der Permanentanmeldung eines Benutzters
- Linux (out of the BOX) hat FTP, SSH , openLDAP , HTTP , usw .. offen!
Wie du siehst - Sicherheit ist, was man daraus macht - und mit einem System mit PFW kann ich mehr machen als aus einem ohne.

MfG

BUGFIX

Zu 1:
Sehe ich eigentlich nicht so. Überlege mal, es gibt verschiedene OS und Du wirst kaum die selbe Konfiguration auf einem MAC, WIn oder Linux-Rechner erhalten. Das ändert ja schliesslich auch nichts an der grundlegenden Funktion derselbigen.

Zu 2:
Also bei Fedora Core ist default mäßig nur SSH offen afaik. das sehe ich aber nicht als Problem an, da SSH schliesslich verschlüsselt ist.

Ausserdem muss ich wirklich sagen, warum sollte ich meine IP hier posten (ohne das ich eine PFW benutze), wenn ich mir nicht sicher wäre? Welchen Nutzen sollte mir sie bringen? Wenn mein System aus meiner Sicht gesehen, relativ sicher ist? Nenne mir bitte einen Grund.

So long Ajax

Zu 1)
Du redest immer von zusätzlichen Sicherheitslücken - ich kenn bis jetzt kein Exploit bei dem es möglich wäre mit Hilfe des PFW-Dienstes den Rechner zu übernehmen. Es sind bis jetzt von deiner Seite nur Möglichkeiten eine PFW zu umgehen als Argument vorgebracht worden, und das reicht nicht.


dann solltest du mal deine augen aufmachen in der realität ins gesicht schaun

http://www.winfuture.de/news,13835.html

@ Ulukay

Wieso falsch? Es gibt Millionen PC-Benutzer, deren System nicht von Dir betreut wird, und die trotz Firewall vom Blaster nichts mitbekommen haben. Mindestens einen kennst Du, nämlich mich! Und das trotz WinXP incl. des ach so unsicheren IE 6 und der lt. King Rollo so verteufelten Norton Internet Security. Was haben ich und die unzähligen anderen dann falsch gemacht? Und ich bin weiß Gott kein Sicherheitsexperte.

@ Ulukay

Wieso falsch? Es gibt Millionen PC-Benutzer, deren System nicht von Dir betreut wird, und die trotz Firewall vom Blaster nichts mitbekommen haben. Mindestens einen kennst Du, nämlich mich! Und das trotz WinXP incl. des ach so unsicheren IE 6 und der lt. King Rollo so verteufelten Norton Internet Security. Was haben ich und die unzähligen anderen dann falsch gemacht? Und ich bin weiß Gott kein Sicherheitsexperte.

nur weil du eine pfw draufhast MUSST du ja nicht zwingend den blaster bekommen haben oder :rolleyes:

nur leider ist es halt so dass 10 systeme die richtig konfiguriert sind weniger anfällig sind als 10 systeme von möchtegern windows admins mit pfw drauf (und weil die pfw ja sooo toll is sind alle services gestartet, updaten tut sowieso keine sau, und programme installiere ich gerne auch wenn sie von einer virenverseuchten russischen crackseite kommen - meine tolle pfw wirds schon richten)

--- darf gelöscht werden ---

Zu 1)
Du redest immer von zusätzlichen Sicherheitslücken - ich kenn bis jetzt kein Exploit bei dem es möglich wäre mit Hilfe des PFW-Dienstes den Rechner zu übernehmen. Es sind bis jetzt von deiner Seite nur Möglichkeiten eine PFW zu umgehen als Argument vorgebracht worden, und das reicht nicht.

Zu 2)
Trotzdem ist das nicht ein Problem der Firewalls - denn dein "..aber es ist sich niemand im Klaren darüber!" gilt genauso für eine sichere konfiguration ohne PFW. Du kanns dem Programm nicht vorwerfen dass es nichts Taugen würde, nur weil der Benutzer es nicht bedienen kann.

Sicher ist es richtig, dass viele Leute mit einer PFW nicht richtig umgehen können, und deshalb ein Regelwerk erstellen, dass so keinen Sinn macht.
Aber das ist die Unwissenheit/Dummheit der Leute - nicht das Problem einer PFW an sich.

zu zu 1.)
Wofür hälst du bitte das hier: http://www.hardtecs4u.com/?id=1108242181,11386,ht4u.php ???

zu zu 2.)
Zum einen kann ich dem Programm das vorwerfen, denn wenn ich es nicht bedienen kann, ist es nutzlos für mich. Und die Hersteller versprechen aber, dass man ohne Wissen seinen PC sicherer machen kann. Das ist falsch!
Zum anderen eine Gegenfrage: Wer installiert eine PFW, um dann jedem Programme auf's Neue eine Berechtigung zu erteilen oder zu verweigern? Richtig, niemand.

So, und außerdem drehen wir uns gerade im Kreis. Wir sind uns einig, dass der gemeine Home-User sowohl unfähig ist seine PFW richtig zu konfigurieren, als auch sein System ohne PFW. Was ist denn dein Fazit daraus?


Wieso falsch? Es gibt Millionen PC-Benutzer, deren System nicht von Dir betreut wird, und die trotz Firewall vom Blaster nichts mitbekommen haben. Mindestens einen kennst Du, nämlich mich! Und das trotz WinXP incl. des ach so unsicheren IE 6 und der lt. King Rollo so verteufelten Norton Internet Security. Was haben ich und die unzähligen anderen dann falsch gemacht? Und ich bin weiß Gott kein Sicherheitsexperte.

Deiner Logik nach zu folgen könntest du auch folgenden Satz schreiben: "Ach was, du brauchst keine Datensicherung. Ich hab selber noch nie eine gemacht und hatte trotzdem noch nie einen Plattencrash." - Bloß weil DU noch nie Probleme hattest heißt das nicht, dass es keine geben kann oder das deine Konfiguration das Non-Plus-Ultra ist. Du solltest eher froh sein, dass dir nichts passiert ist!

Zu Ulukay:
Mir war klar , dass der kommen musste.
Erlich gesagt, hätte ich erwartet, dass ihr den Exploit gegen BlacICE früher ins Feld stellen würdet.
Du musst bei all deiner Abneigung gegenüber der PFW dennoch etwas beachten:
Es gibt 3 Fehlerarten die bei der Sicherheit (ganz allgemein - nicht nur PFW betreffend) eine Rolle Spielen:
Konzeption - Implementierung - Anwendung.
Der von dir Vorgebrachte Exploit gegen die PFW (der nebenbei gesagt nicht nur gegen BlackICE sondern auch gegen alte Versionen von ICQ bestens funktioniert) ist eine Schwachstelle der Implementierung.
Nicht desto trotz bleibt das Konzept der PFW davon unbelastet, denn fehlerhafte Implenetierungen findet man leider überall und das sehr häufig.
Gegenbeispiel: Der schon genannte DCOM-Exploit ist ebenso ein Fehler der Implementierung, kann sich aber mit einer Firewall verhindernlassen.

OK - damit du auch noch einen schönen Tag hast:
Korregiere ich also meine Aussage von oben dahingehend, dass es keine Exploits gegen Firewall-Systeme auf konzeptioneller Basis gibt. Nichts desto trotz sieht man hier , dass man beim Thema Sicherheit besser mit der Zeit geht, statt auf Patches usw

@King Rollo
Zu1)
Siche meine Antwort auf Ulukays Link.
Kede Software kann Fehler beinhalten, und dennoch sit die Sicherhie mit PFW größer als ohne, auch wenn die vorgebrachten Fehler (eines ist ein Updater-Problem - kein Problem der eigentlichen PFW) nicht aktzeptabel sind.
Ich könnte genauso etliche Exploits auflisten, die sich alle mit ner Firewall verhindern lassen, insofern kommenm wir so nicht weiter.

Zu2)
Ich verweise nochmals auf die 3 Faktoren:
Konzeption - Implementierung - Anwendung
Die PFW-Software kann maximal die ersten 2 Faktoren abdecken, wie du sie anwendest und welche Regeln du erstellst, sind glücklicherweise immer noch deine Sache nicht die Sache der Software an sich.

Deswegen stehe ich sogenannten IDS Anwendungen sehr kritisch gegenüber. Diese haben wirklich einen konzeptionellen Fehler:
Entweder sie benutzen statische Algorithmen um nach Angreifern zu filtern, oder sie versuchen völlig unabhängig vom Anweder eigene Regelwerke zu erstellen und anzuwenden. Beides kann aber nicht funktionieren, da ein statischer Such-Alogrithmus un Paketen einfach auszuhebeln ist, und Software nicht nach sin bzw unsinn erver Verbindung unterscheiden kann.
In diesem Fall gilt:
Die beste Automatik ist die die man ausschalten kann - da würde ich euch ohne Wiedersprüche Rechtgeben. Ein Paketfilter/Paketmangler ala PFW ist davon aber nicht Betroffen. Wenn man es genau nimmt ist der BlackICE-Exploit ein Exploit gegen den 'intelligenten' IDS-Dienst, wobei sich bei Black-ICE leider da keine genaue Unterscheidung treffen läddt. Ein echter Minus-Punkt.

Zitat:
"So, und außerdem drehen wir uns gerade im Kreis. Wir sind uns einig, dass der gemeine Home-User sowohl unfähig ist seine PFW richtig zu konfigurieren, als auch sein System ohne PFW. Was ist denn dein Fazit daraus?"

Mein Fazit wäre, dass die paar (in euren Augen vernachlässigbar klein) Prozente der Fälle bei denen eine PFW Sicherheit bringen kann und bringt schon was Wert sind. Nicht unbedingt im Sinne von Geld-Wert (das beweißt NETFILTER aka iptables) aber im Sinne von Risiko-ärmer.

MfG
BUGFIX

@Bugfix:

Danke für Deine Ausführungen - endlich mal was sachliches und vor allem mit viel technischem Detailwissen wie Netzwerk und Firewalls funktionieren. Dieses Wissen fehlt den allermeisten hier (mir übrigens auch).

Rainer

Ein Problem ist ja das die Trennung von Admin und User in Windows nur mit Einschränkungen funktioniert.
Deswegen ist es für die meisten einfacher als Admin zu arbeiten.
Leider funktionieren viele Programme nur mit Adminrechten.
Solange sich das nicht ändert wird es die Probleme bei Windows wohl ewig geben.

naja, die Programme die Frau Müller und Herr Maier benutzen funktionieren auch als "verkrüppelter" User.

Hier auf meinem Arbeitsplatzrechner mit einigen speziellen Programm funktioniert alles und ich bin nicht als Admin angemeldet.


Wer sich Schad-Software auf seinen PC holt, ist selber Schuld. Nur der User selber ist dafür verantwortlich, was er auf seinem Rechner ausführt, völlig unabhängig davon, ob er eine PFW installiert hat oder ob er seine Dienste konfiguriert hat.

sehe ich auch so


Wenn ein User sich das Wissen zur richtigen Konfiguration einer PFW aneignen kann, kann er sich auch das Wissen zur Konfiguration der Dienste aneignen.
Zum Surfen musst du nicht alle Ports etc. dicht machen. Es geht nur um Dienste, die man nicht benötigt und die trotzdem ihre Ports nach außen offen halten. Und selbst wenn du eine PFW einsetzen würdest: alle Ports, die der Browser braucht, werden von der PFW eh durchgelassen.

auch wenn man alle Windows Dienste abstellt, ist der Rechner immer noch angreifbar


Eine PFW erschwert nicht den Datenverkehr von Würmern, Trojanern oder sonstwas. Es ist kein Problem, sie zu umgehen.

Viren, Würmer oder Trojaner kommen nicht "einfach so" auf dein System. Selbst wenn du eine E-Mail mit einem neuen Wurm erhälst, ist das völlig uninteressant, solange du den Wurm nicht ausführst. Tust du es doch - selber Schuld, nicht die fehlende PFW (oder das fehlende AV-Tool).

klicke ich bei mir auf ein Attachment und der Virenkiller piept nicht rum weil der Virus/Trojaner zu neu ist, dann meckert meine Firewall los weil 1) ein Programm gestartet wurde, dass er nicht kennt und 2) dieses Programm möchte ins Internet hinaus.

Da ich nicht auf dubiose Attachmenst doppelklicke könnte ich mir AV und FW natürlich sparen, aber es ist doch ganz gut zu wissen, dass im Hintergrund noch jemand aufpasst!


Und auch hier gilt: Auch diese PFW verhindert nicht effektiv, dass Daten nach außen gesendet werden, wenn ein Programm X das will.

nicht wenn die Firewall sagt :nono: und dem Programm den Zugang ins Netz verbietet


Rainer

meine persönliche Meinung ist:

1) System durchpatchen
2) Virenkiller drauf und ständig aktualisieren
3) Firewall drauf und ständig aktualisieren


bei uns in der Arbeitsgruppe sind alle Rechner so aufgezogen und wir hatten noch nie Probleme mit Viren, Trojanern, etc etc

anhand der Firewall Logs kann man aber wunderbar sehen, welche Arbeitsgruppe sich gerade den neuesten Virus, Trojaner, etc eingefangen hat :biggrin: und wie der Spaß einmal durch die Uni läuft.

Rainer

klicke ich bei mir auf ein Attachment und der Virenkiller piept nicht rum weil der Virus/Trojaner zu neu ist, dann meckert meine Firewall los weil 1) ein Programm gestartet wurde, dass er nicht kennt und 2) dieses Programm möchte ins Internet hinaus.

Sobald dieses Progeramm einmal gestartet wurde, kanns schon zu spät sein...

Sobald dieses Progeramm einmal gestartet wurde, kanns schon zu spät sein...

ok, von mir falsch formuliert: erst meckert die FW, dass ein unbekanntes Programm gestartet werden soll. Sobald ich der Firewall sage, dass Programm darf starten, startet das Programm und wenn es ins Netz möchte meckert die Firewall noch einmal.

Rainer

auch wenn man alle Windows Dienste abstellt, ist der Rechner immer noch angreifbar

klicke ich bei mir auf ein Attachment und der Virenkiller piept nicht rum weil der Virus/Trojaner zu neu ist, dann meckert meine Firewall los weil 1) ein Programm gestartet wurde, dass er nicht kennt und 2) dieses Programm möchte ins Internet hinaus.

Da ich nicht auf dubiose Attachmenst doppelklicke könnte ich mir AV und FW natürlich sparen, aber es ist doch ganz gut zu wissen, dass im Hintergrund noch jemand aufpasst!

nicht wenn die Firewall sagt :nono: und dem Programm den Zugang ins Netz verbietet

1. Nein. Wenn alle Dienste richtig kunfiguriert sind, ist der Rechner nicht mehr angreifbar von außen. Bzw. weniger angreifbar als mit installierter PFW.

2. Unbekannte Attachments klickt man nicht an. Punkt. Hast du ein bösartiges Programm erst mal ausgeführt, kann alles zu spät sein.

3. Was du beschreibst, ist die allseitsbekannte Risikokompensation. Mit dem richtigen Mail-Programm und etwas Verstand braucht man keinen Wächter im Hintergrund.

4. Keine PFW kann verhindern, dass ein Prgramm Daten ins Netz sendet, wenn das Programm es will. Ob die PFW überhaupt etwas davon mitbekommt oder ob die PFW das Programm angeblich blockt und die Daten aber trotzdem raus gehen, ist hierbei egal. Und gerade für Schadsoftware gibt es genügend Wege, eine PFW auszuschalten oder zu umgehen.

Fazit: Schadsoftware darf gar nicht erst auf den PC kommen! Und dafür ist der User selbst verantwortlich. Wenn man einmal bösartige Software ausgeführt hat, kann alles zu spät sein!

1. Nein. Wenn alle Dienste richtig kunfiguriert sind, ist der Rechner nicht mehr angreifbar von außen. Bzw. weniger angreifbar als mit installierter PFW.

wenn Du einen Rechner alle Netzwerkdienste klaust, dann ist der natürlich nicht mehr angreifbar, aber Du kommst auch nicht mehr ins Netz


2. Unbekannte Attachments klickt man nicht an. Punkt. Hast du ein bösartiges Programm erst mal ausgeführt, kann alles zu spät sein.

sollte selbstverständlich sein, ist es aber nicht. Bei jemandem der aber jedes Attachment anklickt, nützt auch eine FW nix mehr.


3. Was du beschreibst, ist die allseitsbekannte Risikokompensation. Mit dem richtigen Mail-Programm und etwas Verstand braucht man keinen Wächter im Hintergrund.

jep, deswegen benutze ich ein fast 10 Jahre altes Programm, quasi ein Texteditor, der die Texte sogar verschicken kann :biggrin:

Outlook oder so was kommt zumindest für mich nicht in Frage


4. Keine PFW kann verhindern, dass ein Prgramm Daten ins Netz sendet, wenn das Programm es will. Ob die PFW überhaupt etwas davon mitbekommt oder ob die PFW das Programm angeblich blockt und die Daten aber trotzdem raus gehen, ist hierbei egal. Und gerade für Schadsoftware gibt es genügend Wege, eine PFW auszuschalten oder zu umgehen.

gut, ich habe bei mir bislang noch nicht überprüft, ob die Programme, denen ich verbiete ins Netz zu gehen, sich wirklich daran halten. Kann ich bei Zeiten ja mal testen.


Fazit: Schadsoftware darf gar nicht erst auf den PC kommen! Und dafür ist der User selbst verantwortlich. Wenn man einmal bösartige Software ausgeführt hat, kann alles zu spät sein!

Full ACK


und was ist mit Schädlingen, die über offene Ports in Dein System gelangen können? Alles kannst Du nicht zu machen, sonst kannst Du das Internet nicht mehr nutzen.

Rainer

und was ist mit Schädlingen, die über offene Ports in Dein System gelangen können? Alles kannst Du nicht zu machen, sonst kannst Du das Internet nicht mehr nutzen.

Das ist doch genau einer DER Hauptpunkte, um die es mir die ganze Zeit geht! Wenn du nicht benötigte Dienste abschaltest, hast du nach außen hin keine offenen Ports mehr! Und somit existiert auch keine Angriffsfläche mehr für einen Angreifer. Der kann Ports scannen bis er schwarz wird, er wird keine offenen Ports finden, weil alle nicht benötigten Dienste deaktiviert sind.
So, und alle anderen Ports von Diensten, die du auf deinem System tatsächlich benötigst, werden von der PFW eh durchgelassen.

ich bin auch der Meinung, das PFWs aber auch Virenscanner den meisten Usern ein falsches Sicherheitsgefühl vermitteln. Bei mir kommt sowas nicht auf den PC, aber bei den vielen noobs die nur IE kennen ist eine PFW plus Virenscanner besser als nichts.

Ich nutze meinen PC als reinen Einzelplatz-Rechner. Ich hab Win2k mit SP4 drauf, und installier auch immer brav alle Hotfixes.
Mein Windows lasse ich durch das bekannte ntsvcfg Tool komplett abdichten (mit dem "all" Befehl). Ich nutze nur Firefox (ohne Java und eingeschränkten JavaScript), dazu gehe ich immer über den T-Online Proxy.
Den IE nutze ich nur, wenn mal wieder irgendeine Seite (z.B. die DHL Seite) mal wieder nur mit dem IE richtig funktioniert.
Mein Thunderbird hab ich auch auf maximale Sicherheit getrimmt. Anhänge werden nicht in Mails angezeigt, ich lese und schreibe nur Plain-TXT Mails.
Bei meinem Windows lasse ich mir immer die Dateiendungen anzeigen, damit auch .exe.jpg Dateien und co. für mich sichtbar sind.
Auf meiner DSL-Karte ist natürlich die "Datei und Druckerfreigabe" nicht aktiv.

Obwohl ich mich recht sicher fühle, installier ich ca. alle 3Monate mal Adware, nen Virenscanner und teste mit einem online Test ( www.security-check.ch ) meinen PC.
Keine Viren, Trojaner, Spyware, mein System ist dicht. Wer es wirklich knacken will, schafft es vielleicht auch. Aber eine Software-PFW kann man auch von aussen knacken, wenn man will.

Ich glaube, wer gewillt ist sich mit seinem System und den Einstellungen auseinander zu setzen und die richtige Software einsetzt, kann sich eine PFW getrost sparen.
Wem das zu viel Arbeit ist, oder bei Leute mit wenig PC-Wissen, kann ein PFW schon nutzen. Es muss dem Nutzer aber klar sein, das PFW nicht bedeutet "mir kann nichts passieren".

Was meiner Meinung nach in Windows fehlt, sind Optionen die Dienste nach gewissen Profilen zu konfigurieren. Es kann nicht sein, wenn ich bei der Installation anklicke "Dieser Rechner ist kein Mitglied einer Arbeitsgruppe" trotzdem jeder Netzwerkdienst aktiv bleibt. Oder was Windows per Default an eine Interverbindung aktiv bindet.
Wenn man mit einfachen Windows Mitteln den Rechner von "Einzelplatz Rechner online", "Arbeitsplatz PC nicht online" ... "mit Netzwerk und online" konfigurieren könnte und danach sich die Dienste einrichten würden, wäre das bestimmt effektiver als die Windows XP interne FW.

Bugfix, du bringst meines Erachtens sehr gute Argumente. Zumindest für die Argumentation "Pro-Firewall".

Um auf konzeptionelle Probleme schnell einzugehen, meine Zeit ist sehr knapp:

Schon Leute wie Cheswick haben darauf hingewiesen, dass Personal Firewalls nicht notwendigerweise schaden müssen, man aber dem Konzept, dass der Paketfilter auf einer Plattform mit arbeitenden Usern läuft, die, geht man vom Heimanwender aus, auch noch mit root Rechten arbeiten, sehr argwöhnisch gegenübertreten muss.
Es ist einleuchtend, dass Paketfilter auf einer Plattform mit minimaler Angriffsfläche laufen sollten, da ihnen eine wichtige Rolle zuteil wird. Und gerade an dieser Stelle liegt das Konzeptionelle Problem der PFs in der W32 Welt.
Die Basis (Windows) ist weder vertrauenswürdig, noch überschaubar und die Software ist es auch nicht. Ich kenne keine PF, die OSS wäre.
Ob Sicherheitslösung kategorisch OSS sein sollten, sei mal dahingestellt, ich bevorzuge diese Lösungen immer, nur dort kann Sicherheit wirklich gewärleistet werden.
Sicherlich, ich schaue mir nicht den Code von IPTables an. Aber genug andere machen dies.
Closed-Source Sicherheitslösungen ist immer zu misstrauen, vor allen Dingen, wenn hinter ihnen amerikanische Firmen, unter amerikanischen Recht stehen. Stichwort NSA und Backdoors (private Keys in Windows-Versionen)

MfG
P.

naja, die Programme die Frau Müller und Herr Maier benutzen funktionieren auch als "verkrüppelter" User.

Hier auf meinem Arbeitsplatzrechner mit einigen speziellen Programm funktioniert alles und ich bin nicht als Admin angemeldet.

Rainer
Und wieviele Müllers und Maiers wissen wie das funktioniert?
Die melden sich als User an und sitzen dann ganz entsetzt vor dem Monitor weil sie ein Programm nicht installieren können.
Und dann richten viele zwar einen User ein, wissen aber nicht das der mit Adminrechten läuft wenn man das Konto nicht umstellt.
Es müßte ein klare Trennung von Admin und User geben.

Und wieviele Müllers und Maiers wissen wie das funktioniert?
Die melden sich als User an und sitzen dann ganz entsetzt vor dem Monitor weil sie ein Programm nicht installieren können.
Und dann richten viele zwar einen User ein, wissen aber nicht das der mit Adminrechten läuft wenn man das Konto nicht umstellt.
Es müßte ein klare Trennung von Admin und User geben.

das ist vollkommen richtig - für einen Laien ist es sozusagen zu kompliziert und die andere Frage ist wie (oder überhaupt) bekommt man dieses Problem einfach und zuverlässig sicher in den Griff.


Es kommt noch ein ganz anderes Problem hinzu. Windows XP Home kann was Benutzer und Rechte und Sicherheit angeht weit weniger als XP Professional.

Rainer

das ist vollkommen richtig - für einen Laien ist es sozusagen zu kompliziert und die andere Frage ist wie (oder überhaupt) bekommt man dieses Problem einfach und zuverlässig sicher in den Griff.
Dazu müßte wohl Windows umgeschrieben werden.
Und ob sich das bei Longhorn ändert, möchte ich bei M$ bezweifeln.
Es kommt noch ein ganz anderes Problem hinzu. Windows XP Home kann was Benutzer und Rechte und Sicherheit angeht weit weniger als XP Professional.

Rainer
Das beweist nur wie M$ mit dem Thema Sicherheit umgeht.
Die Rechteverwaltung wird kastriert und eine "Firewall" (bis SP1), die von innen nach außen offen wie ein Scheunentor ist, eingebaut.

@ King Rollo
Im Prinzip ist das mit dem möglichst ohne Zusätze arbeiten Richtig, alledings gestaltet sich das nicht immer so einfach wie von dir dargestellt.


Erstens:
Wie willst du sichergehen, dass alle Ports auch wirklich zu sind?
(Genauer: dass keine kommunikation über diese Ports möglich ist?)
Mit 'Hausmittlen' ist das ohne Weiteres nicht möglich, netstat zum Beispiel kann keine UDP Verbindungen anzeigen, und ein Nutzer , der nicht mit einer PFW umgehen kann, wird auch sich auch mit einem Portscanner nicht wirklich zu helfen wissen.

Zweitens:
Hast du keine möglichleit Deinste die du auf jeden Fall brauchst auf bestimmte Ziele bzw einzuschränken.

Drittens:
Was machts du mit den Teilen von IP die keine Ports brauchen (ICMP)
Win 95 konnte man hervorragend Lahmlegen, indem man ein übergroßes Echo Request gesendet hat.
Für soetwas braucht man keine Ports. Auch ist das Problem der manipulierten Pakete, die in eine existierende Verbinding eingebracht werden nicht gelöst.

Es gibt einige Unzulägnlichkeiten (manche sind Konzeptionell, andere sind auf Implementierungsfehler zurückzuführen) die es für eine Politik wie du sie betreiben wills schwer machen die Sicherheit zu gewährleisten, die du dir davon erhoffst.

Zurück zu den PFWs:
"4. Keine PFW kann verhindern, dass ein Prgramm Daten ins Netz sendet, wenn das Programm es will. Ob die PFW überhaupt etwas davon mitbekommt oder ob die PFW das Programm angeblich blockt und die Daten aber trotzdem raus gehen, ist hierbei egal. Und gerade für Schadsoftware gibt es genügend Wege, eine PFW auszuschalten oder zu umgehen."

Die mir bekannten PFWs arebiten entweder auf der Programmschnittstelle des IP-Portokolls , oder gar auf der hardwarenäheren Treiberebene. Beide Arten bekommen jedes Paket das über das TCP/IP-Protokoll geht zu Gesicht.

@Sleipnir
Niemand ist verwundbarer als der, der sich sicher fühlt - richtig!

Was ist aber mit den Leuten ,die du erreichen willst? Haben alle Kommunikationspartner von dir etwa ihr System nach deinen Vorstellungen abgedichtet, oder hast du schon das Netzwerkabel gezogen? Worauf ich hinaus will, ist das die Kette so stark ist wie ihr schwächstes Glied, dass heiß dass das alleinige Absichern deines Rechners nur dann etwas bringt wenn sämmtliche Kommunikationsziele auch abgeschiert sind.

Das große Problem mit Windows ist, dass man seinem eigenen System gegenüber Blind ist. Es gibt keine vernünftige Möglichkeiten Prozesse zu reglementieren, Netzwerkverkehr zu analysieren oder Abhängigkeiten der Subsysteme zu erkennen. Meiner Meinung nach ist dieser Defekt das stärkste Argument gegenüber der 'Hausmittellösung statt Firewall' Politik.

MfG

BUGFIX

Ich denke das passt zum Thema: http://shortnews.stern.de/start.cfm?overview=1&id=560597&rubrik1=High%20Tech&rubrik2=Computerkriminalit%E4t&rubrik3=Hacking&sort=1&sparte=4

Ich habe mich im übrigen auch schon mehrfach negativ zu solchen Quatsch wie Softwarefirewalls geäußerst und ebenfalls die Alternative vom CCC gepostet. Wurde aber ebenfalls angepflaumt und als Idiot abgestempelt. Solls mir egal sein, braut halt jeder sein eigenes Bier. Nur soll hinterher niemand herumheulen, man hätts ihm ja nicht gesagt.

Ich denke das passt zum Thema: http://shortnews.stern.de/start.cfm?overview=1&id=560597&rubrik1=High%20Tech&rubrik2=Computerkriminalit%E4t&rubrik3=Hacking&sort=1&sparte=4

Ich habe mich im übrigen auch schon mehrfach negativ zu solchen Quatsch wie Softwarefirewalls geäußerst und ebenfalls die Alternative vom CCC gepostet. Wurde aber ebenfalls angepflaumt und als Idiot abgestempelt. Solls mir egal sein, braut halt jeder sein eigenes Bier. Nur soll hinterher niemand herumheulen, man hätts ihm ja nicht gesagt.

tjo is leider so
vor allem weil jeder möchtegern windows admin, die sich bei netzwerksecurity soviel auskennen wie ne hausfrau bei autos, die pfws dann auch noch bis aufs blut verteidigt ...
warum? ganz einfach - 1. gebot für pfw, "ey ich will mich ned einarbeiten!!"
daraus folgern wir "ey ich will nicht dazulernen"

da ist man als ccna zertifizierter nur ein dummer idiot wenn man nicht in der computerbild masse mitschwimmt

...

Ulukay, es wäre schön, wenn du auf BUGFIX's Argumente eingehen würdest.
Mich interessiert das Thema sehr, ich kann aber auf Grund fehlenden Wissens leider nicht wirklich mitreden - BUGFIX's Argumentation ist deshalb für mich erstmal schlüssiger, da hilft es auch wenig, dass du CCNA zertifiziert bist ;)

Also die übliche Zusammenfassung. Das Schließen einiger Lücken bringt neue.
Hauptsache das Nachhause telefonieren höhrt auf oder kann so wenigsten kontroliert werden. M$ geht es nichts an was ich für Spiele auf meinem Rechner starte!

PS: Könntet ihr mal ein Ziel oder eine grobe zusammenfassung machen, sonst ist der Fed nehmlich für´n A.

--snip--

Erstens:
Wie willst du sichergehen, dass alle Ports auch wirklich zu sind?
(Genauer: dass keine kommunikation über diese Ports möglich ist?)
Mit 'Hausmittlen' ist das ohne Weiteres nicht möglich, netstat zum Beispiel kann keine UDP Verbindungen anzeigen, und ein Nutzer , der nicht mit einer PFW umgehen kann, wird auch sich auch mit einem Portscanner nicht wirklich zu helfen wissen.

--snip--



?? netstat kann keine UDPs anzeigen ??

man netstat

NAME
netstat - Anzeige von Netzwerksverbindungen, Routentabellen,
Schnittstellenstatistiken, maskierten Verbindungen, Netlink-
Nachrichten und Mitgliedschaft in Multicastgruppen

SYNOPSIS
netstat [-venaoc] [--tcp|-t] [--udp|-u] [--raw|-w] [--groups|-g]
[--unix|-x] [--inet|--ip] [--ax25] [--ipx] [--netrom]

netstat [-veenc] [--inet] [--ipx] [--netrom] [--ddp] [--ax25]
{--route|-r}

netstat [-veenpac] {--interfaces|-i} [Schnittstelle]

netstat [-enc] {--masquerade|-M}

netstat [-cn] {--netlink|-N}

netstat {-V|--version} {-h|--help}


Hmm??

So long Ajax

Netstat kann udp - aber nur die Sockets, keine etablierten 'Verbindungen'

Du siehst zwar vielleicht ein Programm auf UPD port 5000, aber dass es sich gerade mit nem anderen Programm auf nen anderen Rechner unterhält siehst du nicht - weil UDP als solches keine Verbindungen (wie sie TCP) benutzt kennt.

MfG

BUGFIX

Netstat kann udp - aber nur die Sockets, keine etablierten 'Verbindungen'

Du siehst zwar vielleicht ein Programm auf UPD port 5000, aber dass es sich gerade mit nem anderen Programm auf nen anderen Rechner unterhält siehst du nicht - weil UDP als solches keine Verbindungen (wie sie TCP) benutzt kennt.

MfG

BUGFIX


Hmmm....

Was ist denn der Sinn von UDP?? Mal kurz RFC768 anschauen ...

This protocol provides a procedure for application programs to send
messages to other programs with a minimum of protocol mechanism. The
protocol is transaction oriented, and delivery and duplicate protection
are not guaranteed. Applications requiring ordered reliable delivery of
streams of data should use the Transmission Control Protocol (TCP) [2].

Protocol Application
--------------------

The major uses of this protocol is the Internet Name Server [3], and the
Trivial File Transfer [4].

So wie es ausschaut, war das auch nicht vorgesehen?! ;)

So long Ajax

och nö jetzt wird sich schonwieder darüber das maul zerrissen. :(

ohne pfw ist man mit sicherheit ganz schnell gearscht wenn man schutzlos ins netz geht. da kommt alles mögliche innerhalb kürzester zeit auf den rechner und alle programme können nach hause telefonieren und senden was sie wollen.

mit pfw ist man natürlich auch nicht perfectly safe aber immerhin wird man nicht immer mit runtergelassenen hosen erwischt.

natürlich setzt so eine pfw auch einen user voraus, der sie richtig einstellen kann. eine falsch eingestellte pfw ist genau so sinnvoll wie garkeine.

mehr braucht man zum thema garnicht sagen.

CISCO...waren das nicht die, mit der NSA Backdoor in den Catalysts?

*SCNR*

MfG
P.

--snip--

natürlich setzt so eine pfw auch einen user voraus, der sie richtig einstellen kann. eine falsch eingestellte pfw ist genau so sinnvoll wie garkeine.

mehr braucht man zum thema garnicht sagen.

Jetzt stellst Du aber den Sinn einer PFW selber in Frage ... ;)

So long Ajax

nein.

das wertevolle forumsmitglied, dass diesen ganzen fred verbrochen hat :biggrin: tut das. wie man schon am titel sehen kann.

nur weil ich sage, dass man eine pfw richtig einstellen muss, damit sie wirklich brauchbar schützt heißt das nicht, dass ich sie in frage stelle.
schließlich muss man sich auch anschnallen und nicht nur auf die airbags hoffen.

Hi,
Ulukay, es wäre schön, wenn du auf BUGFIX's Argumente eingehen würdest.
Mich interessiert das Thema sehr, ich kann aber auf Grund fehlenden Wissens leider nicht wirklich mitreden - BUGFIX's Argumentation ist deshalb für mich erstmal schlüssiger, da hilft es auch wenig, dass du CCNA zertifiziert bistNa bis Ulukay die Zeit hatte, werde ich mal versuchen darauf einzugehen. Hab' zwar hier schon unzählige Male gepost warum PFW doof sind (SuFu benutzen) aber gut sehen wir mal weiter:
Es gibt 3 Fehlerarten die bei der Sicherheit (ganz allgemein - nicht nur PFW betreffend) eine Rolle Spielen:
Konzeption - Implementierung - Anwendung.
[...]
Nicht desto trotz bleibt das Konzept der PFW davon unbelastet...
[...]
Korregiere ich also meine Aussage von oben dahingehend, dass es keine Exploits gegen Firewall-Systeme auf konzeptioneller Basis gibt.Ich kann mich ja irren, aber eine PFW ist doch so konzipiert, dass Angriffe von aussen nicht mehr möglich sind, sowie Angriffe von innen (z.B. Homephone etc.) unterbunden werden.
Hmm... darüber denken wir jetzt mal nach:

Angriff von aussen:
1. Fall: Rechner ist ungepacht und unsicher konfiguriert, keine PFW ist installiert.
Ist klar!

2. Fall: Rechner ist ungepacht und unsicher konfiguriert, aber PFW ist installiert.
Sollte auch klar sein!

3. Fall: Rechner ist vernünftig konfiguriert, PFW ist nicht installiert:
Scriptkiddy versucht einzubrechen, schafft es aber nicht, da absolut kein Port offen ist.
(Anm. die einzige angreifbare Fläche stellt der TCP/IP Stack des Betriebssystems da, die letzte Lücke wurde dort '99 gefunden. Übringens, schützt da auch keine PFW mehr, da sie auf diesen aufsetzt.)

4. Fall: Rechner ist vernünftig konfiguriert, PFW ist installiert.
Das selbe wie bei Punkt 3. Jedoch wenn Scriptkiddy merkt, das der Rechner eine PFW benutzt, kramt es natürlich sofort in der Exploitkiste nach einem entsprechendem Exploit um vielleicht über die PFW ins System zu kommen. Was folgt daraus?
Wenn der Rechner vernünftig konfiguriert ist und eben nichts anbietet stellt die PFW das letzte verbleibende Sicherheitsrisiko da, denn auch eine PFW kann 'exploitet' kann.

Fazit: Bei Angriffen von Aussen ist ein vernünftig konfigurierter Rechner sicherer ohne PFW als mit. Ein unsicher eingestellter Rechner ist immer gefährdet, ob mit oder ohne (siehe google.com für Details).

Sieht jemand schon die 'konzeptionelle' Schwäche?
(Wenn ein Rechner sicherer ohne 'Sicherheitssoftware' als mit ist, kann das Konzept hinter dieser Software ja nicht ganz durchdacht sein?)

Angriffe von innen:
Tja, was soll man dazu sagen? Wenn Schadsoftware erst einmal auf dem Rechner ist, kann man's ehh vergessen, ob man nun eine PFW hat oder nicht, da man nie sagen was die PFW blockt und was nicht (Stichwort Tunnneling).
Das könnte man auch in Zahlen ausdrücken, wenn von 100 Angriffen von Innen (aka homecall) 5 geblockt werden, die restlichen 95 aber nicht, was hat man da gewonnen?
Oder anders gesagt, eine PFW blockt von innen nur Programme die sich an die Spielregeln halten, wer glaubt ernsthaft das sich Schadsoftware an Spielregeln hält?

Welche Sicherheit hat man damit also gewonnen?
Richtig! Gar keine!

In diesem Kontext (und nur in diesem Kontext) hilft es eben auch nicht zu sagen "ein bischen Sicherheit ist besser als keine Sicherheit". Das ist wie bei Verhütung, man kann nicht ein bischen verhüten um nicht ein bischen schwanger zu werden.

Hier herrscht also Gleichstand, wenn das System kompromittiert wurde ist's aus - ob mit oder ohne PFW (wobei die PFW auch hier wieder einen Angriffspunkt darstellt).

Fassen wir zusammen:
Bei Angriffen von aussen ist man besser dran ohne PFW, bei Angriffen von innen, ist es egal ob man eine PFW benutz oder nicht.
Was heisst das im Klartext? Einmal verschlimmert die PFW sich Sicherheitslage und einmal trägt sie nicht zur Besserung der Sichereitslage bei.
Hmm... komisch, denn eigentlich sollte die PFW die Sicherheitslage doch immer verbessern, da sie das nicht tut, ist wohl irgendwas am Konzept falsch, womit wir bei "Deinem" Fehler im Konzept selbst wären.

Reicht das als Argument gegen PFWs?

Nein - dachte ich mir, gut also weiter:

Wie willst du sichergehen, dass alle Ports auch wirklich zu sind?
(Genauer: dass keine kommunikation über diese Ports möglich ist?)
Mit 'Hausmittlen' ist das ohne Weiteres nicht möglich, netstat zum Beispiel kann keine UDP Verbindungen anzeigen, und ein Nutzer , der nicht mit einer PFW umgehen kann, wird auch sich auch mit einem Portscanner nicht wirklich zu helfen wissen.
Kurze Antwort, in dem ich mich vor Benutzung des Programms informiere (http://www.goolge.com) ob es eine Verbindung aufbaut und wozu die benötigt wird.

Eine Kommunikation über die Ports ist immer möglich (sonst hättest Du kein Internet, wenn z.B. Dein Browser keine Verbindung aufbauen dürfete).
Übringes TCPView extiert.

Hast du keine möglichkeit Dienste die du auf jeden Fall brauchst auf bestimmte Ziele bzw einzuschränken.
Was meinst Du denn damit?
Wenn ich einen Dienst benötige, der unbedingt nach draussen senden muss, darf er auch nicht von der PFW geblockt werden, sonst würde der Dienst ja nicht korrekt funktionieren.
Wenn ich den Dienst nicht benötige, wird er abgeschaltet, ergo braucht da auch nichts mehr geblockt zu werden, so einfach ist das.
Meinst Du hingegen 'richtiges' filtern im Sinne von entsprechenden Regeln, wie es z.B. bei IPTables möglich ist, wäre mir das neu, dass PFW solche Möglichkeiten bieten.

Was machts du mit den Teilen von IP die keine Ports brauchen (ICMP)
Win 95 konnte man hervorragend Lahmlegen, indem man ein übergroßes Echo Request gesendet hat.
Für soetwas braucht man keine Ports.
Speziell ICMP ist ein heisses Eisen, die einen sagen man soll es blocken die anderen sagen, dass man es besser offen lassen soll.
Dazu gibt es im Netz aber genug Informationen (http://www.protecus.de/Firewall_Security/icmp.html) (wobei ich da nicht jeden Punkt zustimme).
Ping of Death ist schon lange kein Thema mehr und ICMP komplett abschalten würde ich nicht, schliesslich hat dieses Protokoll ja einen Sinn. Wenn man es jedoch kastrieren will reicht IMHO schon ein einfacher Packetfilter aus, z.B. die eingebaute IVFW von XP, die man noch am ehesten von allen PFWs als Packetfilter bezeichenen kann (und nein eine PFW ist _kein_ Packetfilter).

Auch ist das Problem der manipulierten Pakete, die in eine existierende Verbinding eingebracht werden nicht gelöst.Ähh... ja und eine PFW schützt da genau wo?
Wenn ich dem IE gestatte Verbindungen aufzubauen und dieser bekommt dann (woher auch immer) eine gefälschtes Packet untergeschoben, dann schützt die PFW da genau wo?

Die mir bekannten PFWs arbeiten entweder auf der Programmschnittstelle des IP-Portokolls , oder gar auf der hardwarenäheren Treiberebene. Beide Arten bekommen jedes Paket das über das TCP/IP-Protokoll geht zu Gesicht. Na da hast Du jetzt aber was gesagt.
Zum einen ist das flasch, dass eine PFW jedes Packet mitbekommt, zum anderen ist das eines der stärkesten Argumente gegen eine PFW.
1. Angenommen die böse Software bringt ihren eigenen Netzwerktreiber und/oder TCP/IP-Stack mit? Wenn die Kommunikation dann darüber abläuft merkt Deine PFW schlicht überhaupt nicht, das da was im Gange ist.
Aber so tricky muss der Author der Schadsoftware nicht mal sein, es reicht bereits wenn die Schadsoftware einfach den Standartbrowser (den es auf jedem System gibt) benutzt um zu senden --->> Tunneling. Die PFW "sieht" zwar das Packete gesendet werden 'denkt' aber das diese vom Webbrowser kommen, der ja senden darf. Das ist nicht nur einfach zu implemtieren (siehe Proof of Concept von Volker Birk (http://www.dingens.org/breakout.c)), sondern ist nahezu nicht zu unterbinden, die einzige Möglichkeit das zu verhindern ist, die Schadsoftware nicht zur Ausführung kommen zu lassen.
2. Wie ich schon einmal erwähnte wurde im TCP/IP Stack die letzte Sicherheitslücke '99 gefunden, der kann sich also hervorrangend selbst verteidigen. Nehmen wir weiterhin an, das der kritische Code (also die Codezeilen die bei jedem Packet durchlaufen werden) ca. 1000 Zeilen umfasst (ich weiss das stimm nicht, soll uns hier aber mal egal sein - die Dimensionen sollten so stimmen).
Soweit so gut, kommt jetzt eine PFW an und manipuliert den recht sicheren Stack, (weil sie ihn sicherer machen will) wird der kritische Code ca. verzweihundertfacht (da sind dann Abfragen für die Regeln des Benutzers drin, außerdem muss ja noch eine PopUp aufklappen, das nachfragt ob das Packet gesendet werden darf oder nicht etc. pp - da kommt eine Menge Code zusammen).
Wir wären dann statt den urspünglichen 1000 Zeilen Code, die bei jedem Packet abgearbeitet werden, bei ca. 200.000 Zeilen Code, die bei jedem Packet druchlaufen werden.
Jetzt Frag mal einen Deutschlehrer wo mehr (absolute) Fehler in einem Aufsatz sind, in dem der 1 Seite hat, oder in dem der 200 Seiten hat?

Genau das ist meiner Meinung nach das schlimmste an PFWs, dass sie an den sensiblen Innereien des Systems rumpfuschen und das ist IMHO somit auch nicht tollerierbar - zumindest nicht so lange, bis Windows Opensoruce wird ;).

Netstat kann udp - aber nur die Sockets, keine etablierten 'Verbindungen'

Du siehst zwar vielleicht ein Programm auf UPD port 5000, aber dass es sich gerade mit nem anderen Programm auf nen anderen Rechner unterhält siehst du nicht - weil UDP als solches keine Verbindungen (wie sie TCP) benutzt kennt.Es hilft in so fern das du siehst, welches Programm auf UDP-Anfragen auf einem bestimmten Port lauscht. Lauscht kein Programm auf UDP Anfragen braucht man sich auch keine Gedanken, weil schlicht niemand die UDP-Packte entgegen nimmt.
Da bei UDP die Packte einfach gesendet werden, ach dem Motto 'send and forget' kannst du logischerweise auch keine Verbindungen statisch anzeigen lassen, da ja eben keine 'richtige' Verbindung aufgebaut wird.
Es wird halt einfach gesendet, entweder ein Programm nimmt es entgegen oder eben nicht, der Quelle ist das aber relativ egal.

Bis dann...

Sith

Hi,
Na bis Ulukay die Zeit hatte, werde ich mal versuchen darauf einzugehen. Hab' zwar hier schon unzählige Male gepost warum PFW doof sind (SuFu benutzen) aber gut sehen wir mal weiter:
Ich kann mich ja irren, aber eine PFW ist doch so konzipiert, dass Angriffe von aussen nicht mehr möglich sind, sowie Angriffe von innen (z.B. Homephone etc.) unterbunden werden.
Hmm... darüber denken wir jetzt mal nach:

Angriff von aussen:
1. Fall: Rechner ist ungepacht und unsicher konfiguriert, keine PFW ist installiert.
Ist klar!

2. Fall: Rechner ist ungepacht und unsicher konfiguriert, aber PFW ist installiert.
Sollte auch klar sein!

3. Fall: Rechner ist vernünftig konfiguriert, PFW ist nicht installiert:
Scriptkiddy versucht einzubrechen, schafft es aber nicht, da absolut kein Port offen ist.
(Anm. die einzige angreifbare Fläche stellt der TCP/IP Stack des Betriebssystems da, die letzte Lücke wurde dort '99 gefunden. Übringens, schützt da auch keine PFW mehr, da sie auf diesen aufsetzt.)

4. Fall: Rechner ist vernünftig konfiguriert, PFW ist installiert.
Das selbe wie bei Punkt 3. Jedoch wenn Scriptkiddy merkt, das der Rechner eine PFW benutzt, kramt es natürlich sofort in der Exploitkiste nach einem entsprechendem Exploit um vielleicht über die PFW ins System zu kommen. Was folgt daraus?
Wenn der Rechner vernünftig konfiguriert ist und eben nichts anbietet stellt die PFW das letzte verbleibende Sicherheitsrisiko da, denn auch eine PFW kann 'exploitet' kann.

Fazit: Bei Angriffen von Aussen ist ein vernünftig konfigurierter Rechner sicherer ohne PFW als mit. Ein unsicher eingestellter Rechner ist immer gefährdet, ob mit oder ohne (siehe google.com für Details).

Sieht jemand schon die 'konzeptionelle' Schwäche?
(Wenn ein Rechner sicherer ohne 'Sicherheitssoftware' als mit ist, kann das Konzept hinter dieser Software ja nicht ganz durchdacht sein?)


Zu deinem dritten Fall:
Eine außerst interessante Anmerkung - mal schaun was sich daraus Folgern lässt. (siehe weiter unten im Text).

Zu deinem vierten Fall:
Woher sollte ein Scriptkiddie bitte Wissen ob bzw was für eine PFW ich habe?
Exploitkiste:
Ich sende einen Haufen nutzlose Pakete an ein Ziel, und hoffe das etwas passiert?
Da die PFW sich selbst nicht melden wird, um den möglicherweise erfolgreichen Exploit zu bestätigen, bleibt unserem Kiddie also nur noch die Möglichkeit des nachprüfens übrig. Da sich das System aber mit wie ohne Firewall gleich verhält wird unser Kiddie staunen - sein Scanner zeigt immer noch das gleiche an wie vor (wenn man blind drauflosprobiert) mehreren Stunden.
Denn selbt wenn die PFW abgeschossen wird, sieht das Bild von außen exakt gleich aus. Ergo: keinen Sicherheitsverlust durch die PFW.


Angriffe von innen:
Tja, was soll man dazu sagen? Wenn Schadsoftware erst einmal auf dem Rechner ist, kann man's ehh vergessen, ob man nun eine PFW hat oder nicht, da man nie sagen was die PFW blockt und was nicht (Stichwort Tunnneling).
Das könnte man auch in Zahlen ausdrücken, wenn von 100 Angriffen von Innen (aka homecall) 5 geblockt werden, die restlichen 95 aber nicht, was hat man da gewonnen?
Oder anders gesagt, eine PFW blockt von innen nur Programme die sich an die Spielregeln halten, wer glaubt ernsthaft das sich Schadsoftware an Spielregeln hält?

Welche Sicherheit hat man damit also gewonnen?
Richtig! Gar keine!


Tunneling stellt für die meiste PFW-Software heutzutage kein Problem mehr da - es ist mit Hilfe der Prozess-ID und anderer Werte der Interprozesskommunikation durchaus möglich festzustellen wer da über wen was will. (Kannst du gerne mit z.B. KERIO Personal Firewall nachprüfen)



In diesem Kontext (und nur in diesem Kontext) hilft es eben auch nicht zu sagen "ein bischen Sicherheit ist besser als keine Sicherheit". Das ist wie bei Verhütung, man kann nicht ein bischen verhüten um nicht ein bischen schwanger zu werden.

Hier herrscht also Gleichstand, wenn das System kompromittiert wurde ist's aus - ob mit oder ohne PFW (wobei die PFW auch hier wieder einen Angriffspunkt darstellt).

Was den ersten Satz betrifft - richtig
Was den Gleichstand betrifft - siehe Oben.
(Sorry bin etwas schreibfaul)


Fassen wir zusammen:
Bei Angriffen von aussen ist man besser dran ohne PFW, bei Angriffen von innen, ist es egal ob man eine PFW benutz oder nicht.
Was heisst das im Klartext? Einmal verschlimmert die PFW sich Sicherheitslage und einmal trägt sie nicht zur Besserung der Sichereitslage bei.
Hmm... komisch, denn eigentlich sollte die PFW die Sicherheitslage doch immer verbessern, da sie das nicht tut, ist wohl irgendwas am Konzept falsch, womit wir bei "Deinem" Fehler im Konzept selbst wären.

Also Feind von Außen - im Ungünstigsten Fall haben wir einen Gleichstand - im Güstigsten Fall hab ich eine höhere Sicherheit mit PFW also ohne.
Wenn der Feind von innen kommt, und ich sehr genau weiß was laufen darf und was nicht (das ist übrigens deine Vorraussetzung - nicht meine), dann ist es für mich ein Leichtes den betreffenden Prozess zu beenden. Folglich - auch hier im ungünstigsten Fall Gleichstand, und sonst hab ich sogar das erste Paket meine gerade terminierten Feind-Prozesse noch abgefangen- ergo: mit PFW größere Chancen auf 'Abwehr' als ohne.



Reicht das als Argument gegen PFWs?

Nein - dachte ich mir, gut also weiter:

Sehr gern.


Kurze Antwort, in dem ich mich vor Benutzung des Programms informiere (http://www.goolge.com) ob es eine Verbindung aufbaut und wozu die benötigt wird.

Eine Kommunikation über die Ports ist immer möglich (sonst hättest Du kein Internet, wenn z.B. Dein Browser keine Verbindung aufbauen dürfete).
Übringes TCPView extiert.


Gut - da hätten wir also die Svchost.exe die ein UDP-Paket nach 134.34.xyz.abc sendet - der wahre Könner sieht sofort:
Das muss der DNS-Client sein der gerade ein "Domain name request" gesendet hat.
Ok- das war einfach - aber mal ernsthaft: Das Wissen über diese Details spreng den Rahmen jeder Google Datenbank. Denn absolute Gewissheit über das ,was ein Dienst macht kennt nur der ,der den Quelltext gelesen hat - und das sind bekanntlich sehr wenige.
Das ist ein Typische Todschlags-Argument: "Der user soll halt Wissen was er macht"
Dazu noch ne Frage - die Einspritzsteuerung deinesAutos (sofern existent) prüft die erst den Lustrom und dann die Werte der Lambda-Sonde, oder umgekehrt?
Ich hoffe es ist klar worauf ich hinaus will - das Detailwissen das du hier forrderst ist für Nuter wie auch Administratoren nahezu unerreichbar.



Was meinst Du denn damit?
Wenn ich einen Dienst benötige, der unbedingt nach draussen senden muss, darf er auch nicht von der PFW geblockt werden, sonst würde der Dienst ja nicht korrekt funktionieren.
Wenn ich den Dienst nicht benötige, wird er abgeschaltet, ergo braucht da auch nichts mehr geblockt zu werden, so einfach ist das.
Meinst Du hingegen 'richtiges' filtern im Sinne von entsprechenden Regeln, wie es z.B. bei IPTables möglich ist, wäre mir das neu, dass PFW solche Möglichkeiten bieten.


Mit einer PFW kannst du auf IP-Adresse, remote wie auch local Port, Uhrzeit, MAC-Adresse (bei LAN-Diensten wie SMB) und Datum prüfen. (Ergänzt mich doch bitte falls ich was vergessen haben sollte). Das kommt nicht ganz an Netfilter herran - aber ist doch mehr als ein "netstat -na" kann.


Speziell ICMP ist ein heisses Eisen, die einen sagen man soll es blocken die anderen sagen, dass man es besser offen lassen soll.
Dazu gibt es im Netz aber genug Informationen (http://www.protecus.de/Firewall_Security/icmp.html) (wobei ich da nicht jeden Punkt zustimme).
Ping of Death ist schon lange kein Thema mehr und ICMP komplett abschalten würde ich nicht, schliesslich hat dieses Protokoll ja einen Sinn. Wenn man es jedoch kastrieren will reicht IMHO schon ein einfacher Packetfilter aus, z.B. die eingebaute IVFW von XP, die man noch am ehesten von allen PFWs als Packetfilter bezeichenen kann (und nein eine PFW ist _kein_ Packetfilter).


ICMP ist nur deswegen ein heißes Eisen, da man es mit 'Hausmitteln' überhaupt nicht regeln kann. Wenn man sich aber gut informiert [sorry der musste sein] kann man ja schnell feststellen, welche Codes und Typen man braucht und was man getrost in der "Block_ALL" Rule versenken kann.


Ähh... ja und eine PFW schützt da genau wo?
Wenn ich dem IE gestatte Verbindungen aufzubauen und dieser bekommt dann (woher auch immer) eine gefälschtes Packet untergeschoben, dann schützt die PFW da genau wo?


Da wir von der PFW als nur Paket-Filter weg sind: Auch hier gibtes ertaunlich gute Ansätzt der Konsistenzprüfung von Paketen (ähnlich SYN_Cookies)


Na da hast Du jetzt aber was gesagt.
Zum einen ist das flasch, dass eine PFW jedes Packet mitbekommt, zum anderen ist das eines der stärkesten Argumente gegen eine PFW.
1. Angenommen die böse Software bringt ihren eigenen Netzwerktreiber und/oder TCP/IP-Stack mit? Wenn die Kommunikation dann darüber abläuft merkt Deine PFW schlicht überhaupt nicht, das da was im Gange ist.
Aber so tricky muss der Author der Schadsoftware nicht mal sein, es reicht bereits wenn die Schadsoftware einfach den Standartbrowser (den es auf jedem System gibt) benutzt um zu senden --->> Tunneling. Die PFW "sieht" zwar das Packete gesendet werden 'denkt' aber das diese vom Webbrowser kommen, der ja senden darf. Das ist nicht nur einfach zu implemtieren (siehe Proof of Concept von Volker Birk (http://www.dingens.org/breakout.c)), sondern ist nahezu nicht zu unterbinden, die einzige Möglichkeit das zu verhindern ist, die Schadsoftware nicht zur Ausführung kommen zu lassen.
2. Wie ich schon einmal erwähnte wurde im TCP/IP Stack die letzte Sicherheitslücke '99 gefunden, der kann sich also hervorrangend selbst verteidigen. Nehmen wir weiterhin an, das der kritische Code (also die Codezeilen die bei jedem Packet durchlaufen werden) ca. 1000 Zeilen umfasst (ich weiss das stimm nicht, soll uns hier aber mal egal sein - die Dimensionen sollten so stimmen).
Soweit so gut, kommt jetzt eine PFW an und manipuliert den recht sicheren Stack, (weil sie ihn sicherer machen will) wird der kritische Code ca. verzweihundertfacht (da sind dann Abfragen für die Regeln des Benutzers drin, außerdem muss ja noch eine PopUp aufklappen, das nachfragt ob das Packet gesendet werden darf oder nicht etc. pp - da kommt eine Menge Code zusammen).
Wir wären dann statt den urspünglichen 1000 Zeilen Code, die bei jedem Packet abgearbeitet werden, bei ca. 200.000 Zeilen Code, die bei jedem Packet druchlaufen werden.
Jetzt Frag mal einen Deutschlehrer wo mehr (absolute) Fehler in einem Aufsatz sind, in dem der 1 Seite hat, oder in dem der 200 Seiten hat?


Zu 1) Schon mal probiert ein Programm auszuführen , dass an der API vorbei (und dass muss sie, da die API keinen zweiten Stack unterstützt) versuch auf die HW zuzugreifen? Frag mal die Leute warum alte DOS-Spiele mit eigener Mauserkennung unter Win2k/XP so überhauptnicht richtig laufen wollen. Das mit dem einene Stack/Treiber ist eine nette Überlegung hilft aber so nicht weiter, da es an der praktischen Umstetzung fehlt/mangelt
Tunneling - siehe oben - auch dem kann abgeholfen werden.

Zu 2)
Mit dieser Aussage - genauer: "Soweit so gut, kommt jetzt eine PFW an und manipuliert den recht sicheren Stack ... " hast du dir oben vollends wiedersprochen:
"...Übringens, schützt da auch keine PFW mehr, da sie auf diesen aufsetzt...." Also was nun? Entweder sie ändert den Stack (womit wir dann doch fehlerhaften ICMP-Implementierungen vorbeugen können) oder sie Baut auf ihm auf (= steht eine Ebene darüber) und ändert den Stack also nicht.


Genau das ist meiner Meinung nach das schlimmste an PFWs, dass sie an den sensiblen Innereien des Systems rumpfuschen und das ist IMHO somit auch nicht tollerierbar - zumindest nicht so lange, bis Windows Opensoruce wird ;).


Pfuschen ist nie tollerierbar - falls du das meinst.
Was die Sache der PFW betrifft:
Ich kenn nur PFWs die entweder in die Socket- kommunikation eingreifen, oder sich unterhalb des Stacks die Kommunikation mit der HW-Überprüfen (die erkennen auch andere Protokolle wie IPX und PPPOE - womit es mit einem alternativ Stack schon wieder düster aussieht - er würde hier auffallen)



Es hilft in so fern das du siehst, welches Programm auf UDP-Anfragen auf einem bestimmten Port lauscht. Lauscht kein Programm auf UDP Anfragen braucht man sich auch keine Gedanken, weil schlicht niemand die UDP-Packte entgegen nimmt.
Da bei UDP die Packte einfach gesendet werden, ach dem Motto 'send and forget' kannst du logischerweise auch keine Verbindungen statisch anzeigen lassen, da ja eben keine 'richtige' Verbindung aufgebaut wird.
Es wird halt einfach gesendet, entweder ein Programm nimmt es entgegen oder eben nicht, der Quelle ist das aber relativ egal.


Und genau da fängt dann Gottvertrauen an , oder wie? Wenn dein Programm nämloch den Socket nur für die Zeit des sendens beansprucht, dann ist das mit 'Hausmitteln' nicht erkennbar - und selbst wenn du es siehst, machen kannste garnichts.
Noch auf deine kleine Helfer zurückzukommen: TCPView existier wirklich - schön - aber der der damit Netzwerkverbindungen analysiert, der weiß auch was für Regeln er bei einer PFW setzen muss.


Bis dann...

Sith
Ich hoffe auch in Zukunft auf informative und sachliche Beiträge (wie es der deinige war) in dieser Diskussion

MfG

BUGFIX

PS: [An das Forum bzw die Admins]
Bitte nicht schließen - wäre echt schade beim dem derzeitigen Stand, und tut mir Leid für den Full-Quote, wollte seinen Post aber nicht verstümmeln.

Bugfix, ich habe einige Fragen an dich.

1) Welche PF verwendest du?
2) Warum verwendest du diese?
3) Exploite ich den PF-Firewalldienst, dann steht die Kiste. Würdest du zustimmen, dass Rechner mit PF Software anfälliger für einen Dos-Angriff sind?

Ich danke schon jetzt für die Antworten.

Einen schönen Morgen wünscht,
Bytehunger

Ulukay, es wäre schön, wenn du auf BUGFIX's Argumente eingehen würdest.
Mich interessiert das Thema sehr, ich kann aber auf Grund fehlenden Wissens leider nicht wirklich mitreden - BUGFIX's Argumentation ist deshalb für mich erstmal schlüssiger, da hilft es auch wenig, dass du CCNA zertifiziert bist ;)

benutz bitte die suchfunktion, sowas habe ich oft genug gemacht, ich habe keine lust mehr von unqualifizierten leuten angeflamt zu werden ;)
vor allem da von den pfw bis aufs blut verteidiger IMMER diesselben (bereits 10x durchgekauten entkräfteten) ""argumente"" und szenarien gebracht werden

wenn bugfix nicht mal weiss wo eine pfw ansetzt (irgendwo am treiber? ip protokoll?) dann erübrigt sich schon alles weitere, wie soll ein arzt einer hausfrau erklären wie eine herztransplantation funktioniert? vor allem wenn die hausfrau partau nicht dazulernen will und stur auf ihrer ersten behauptung "mit nem küchenmesser und patex" besteht?

http://80.237.203.42/vbulletin/showthread.php?t=88070&highlight=pfw
eventuell funzen da noch ein paar links

Ulukay,
wie entkräftest du das Argument, dass Deine Linkliste auf Artikel verweist, die mitunter 4 Jahre auf dem Buckel haben und nicht mehr wirklich zeitgemäß sind?
Software wird besser. Auch PFs werden weiterentwickelt. Das ist kein Pro-Argument, soll aber zu evtl. zu einem Denkprozess animieren.
Der CCC nennt das immer so schön "Realitätsabgleich". Es kann mitunter sehr lehrreich sein, sich öfter mal mit den PF-Produkten zu befassen, evtl. muss man alte, festgefahrene Meinungen und Aussagen eben abändern und revidieren.

MfG
P.

P.S.: Nein, ich verwende keine Personal Firewall

Eine Sache noch zu Leuten wie Felix von Leitner.

Ich kenne Felix persönlich von einigen Kongressen. Ich schätze ihn als Experten in diversen Fragen sehr. Sein Problem ist ganz klar, dass er seine Meinung mitunter sehr hirntot und überspitzt von sich gibt, somit polarisiert und nicht sonderlich reflektiert wirkt.
Die FAQ auf seiner Seite ist für PF-Hasser natürlich wahnsinnig witzig, aber eben nicht sonderlich qualifiziert,resp. differenziert.
Unterhalte dich mal mit Harald Welte über das Thema, du bekommst eine etwas andere Meinung zum Thema PFs zu hören.
Nur weil Zeloten und Open-Source-"Windows stinkt!"-Linux-User sagen, das PFs dreck sind (Ja, ich stimme Felix in manchen Dingen zu), muss man es nicht ungeprüft übernehmen.
Viele Dinge fallen als Kritikpunkt weg, das merkt man aber erst, wenn man sich näher mit diesen Dingen beschäftigt.

MfG
P.

Bugfix, ich habe einige Fragen an dich.

1) Welche PF verwendest du?
2) Warum verwendest du diese?
3) Exploite ich den PF-Firewalldienst, dann steht die Kiste. Würdest du zustimmen, dass Rechner mit PF Software anfälliger für einen Dos-Angriff sind?

Ich danke schon jetzt für die Antworten.

Einen schönen Morgen wünscht,
Bytehunger

Ich benutze für die Windowskisten die Kerio Personal Firewall, die im Netwerk hinter einem Linuxgateway mit iptables (die Scripte sind von mir und nicht vorgefertigt) und 2.4er Kernel.

Ich verwende sie deshalb, weil eine PFW + eine vorgelagerte Netfilterkiste die größte Abdeckeung an Kontrollmechanismen habe, die mir zu zeit geboten werden.

Wenn du den PFW Dienst wirklich exploitet stürtzt er ab, das hatt allerdings nichts mit DOS-Attaken zu tun.
Jeder Rechner ist für einen DoS Anfällig. Im Prinzip brauchst du nur mehr bandbreite zu haben als dein Opfer, und dann kann es losgehen. Eine PFW kann aber auch hier hilfreich sein, da sie so eingestellt werden kann, das die Antwortpakete welche ich als Angegriffener sonst zurücksenden würde (und mir damit selbst den Upload dichtmache) auf ein minimum reduziere (ohne dass normale Anforrderungen darunter leiden).
DoS attacken kann man nicht umgehen - insofern ist die Schlussfolgerung: ein PFW kann ich besser mit Dos-Atacken bearbeiten nicht stimmig.

@Ulukay
[Du stehst auf Blau - stimmt's?]
" wenn bugfix nicht mal weiss wo eine pfw ansetzt (irgendwo am treiber? ip protokoll?) dann erübrigt sich schon alles weitere, wie soll ein arzt einer hausfrau erklären wie eine herztransplantation funktioniert? vor allem wenn die hausfrau partau nicht dazulernen will und stur auf ihrer ersten behauptung "mit nem küchenmesser und patex" besteht? "

Wie ich schon sagte gibt es 2 Möglichkeiten anzusetzten. Tiny und Kerio (und auch Norton) greifen oberhalb des Stacks in die Socket-Kommunikation ein; während die Sysgate zum Beispiel auch IPX und andere Protokolle (die nicht IP sind) einschränken können.

Was die allgemeine Aussage: "Weniger Code ist immer besser als mehr Code" betrifft:
Unter DOS (ob 5.0 oder 6.22 ist egal) würde ich trotzdem den himem.sys mit einbinden (auch wenn es ein paar KB mehr code sind) da er einfach die Funktionalität um ein Vielfaches erhöht.
Und das Du wirklich jedes Programm und jeden Dienst sofort Aufgaben und Traffic zuordnen kannst - sorry das nehm ich dir nicht ab.

10x Entkräftet? mit was denn - etwas mit:
"pfws ... :aua: das is was für vollidioten"
Von dir, zu finden hier (http://80.237.203.42/vbulletin/showpost.php?p=1126563&postcount=12)

Wenn du kein Interesse daran hast, Argumente vorzubringen, dann lass es doch bitte, aber solche Post bringen wirklich keinem etwas.


MfG

BUGFIX

Hi,

Woher sollte ein Scriptkiddie bitte Wissen ob bzw was für eine PFW ich habeDas weiss es halt nicht direkt (manchmal kann man aber darauf schliessen...). Es probiert halt solange rum, bis irgendein Skript funktioniert.

Ich sende einen Haufen nutzlose Pakete an ein Ziel, und hoffe das etwas passiert?Wieso nicht , vielleicht hast Du "Glück" und eines Deiner vielleicht nicht ganz konformen Packete produziert nen BufferOverflow o.ä. - möglich ist es (wenn auch vermutlich(!) unwahrscheinlich).

Denn selbt wenn die PFW abgeschossen wird, sieht das Bild von außen exakt gleich aus. Ergo: keinen Sicherheitsverlust durch die PFW.Herzlichen Glückwunsch, was Du sagst ist also, das der (vernünftig konfigurierte) Rechner ohne PFW genauso dasteht wie mit?
Absolut korrekt da stimme ich Dir zu, dann sind wir uns ja einig, dass die PFW hier keinen Sicherheitsgewinn darstellt?
Alte Regel aber nach wie vor gültig, aus breiterer Codebasis folgt auch ein erhöhtes Fehlerrisiko und damit Sicherheitsrisiko. Im ungünstigsten Fall verschlechtert die PFW also die Sicherheitslage, im günstigsten verhält sich der (sicher konfigurierte) Rechner genauso wie ohne PFW.
Wo war doch gleich der erhöhte Sicherheitsgewinn?

Tunneling stellt für die meiste PFW-Software heutzutage kein Problem mehr da - es ist mit Hilfe der Prozess-ID und anderer Werte der Interprozesskommunikation durchaus möglich festzustellen wer da über wen was will. (Kannst du gerne mit z.B. KERIO Personal Firewall nachprüfen)Wie stellst Du Dir das denn vor? Das einizige was PFW mit Bezug zum Tunneling, unterbinden können sind Child-Prozesse. Nun gibt es aber unzählige Methoden bei der Interprozesskommunikation, die eben die PFW nicht abfangen kann.
Gerade gefunden www.dingens.org/breakout-fuer-geistig-arme.c, da ist nichts mit Childprozess. Weitre Beispiele gibt es auf www.rootkit.com (http://www.rootkit.com/newsread.php?newsid=259).
Was sagt uns das alles? PFW schützen bei Tunneling vielleicht hin und wieder mal was durch Zufall, mehr nicht. Wir haben quasi wieder nur ein bischen zufällige Sicherheit ;).

Wenn der Feind von innen kommt, und ich sehr genau weiß was laufen darf und was nicht (das ist übrigens deine Vorraussetzung - nicht meine), dann ist es für mich ein Leichtes den betreffenden Prozess zu beenden. Folglich - auch hier im ungünstigsten Fall Gleichstand, und sonst hab ich sogar das erste Paket meine gerade terminierten Feind-Prozesse noch abgefangen- ergo: mit PFW größere Chancen auf 'Abwehr' als ohne.Falsch, es wird nur das als Feind erkannt, was sich auch an die Spielregeln hält, tut Schadsoftware das?
Nochmal, gegen Tunneling schützen keine PFW! (Von ganz banalen Methoden, z.B. automatisches wegklicken des PopUps mal ganz zu schweigen.)
Somit herrscht im günstigsten Fall Gleichstand, im ungünstigsten Fall, stellt wieder mal die PFW das erhöhte Risiko da, da sie selbst angreifbar ist und Feinde von innen nur zufällig bis gar nicht entdeckt.

Ich hoffe es ist klar worauf ich hinaus will - das Detailwissen das du hier forrderst ist für Nuter wie auch Administratoren nahezu unerreichbar.Das meinte ich gar nicht. Ich wollte damit sagen, dass es nicht zuviel verlangt ist, wenn der weniger versierte Anwender sich über den neusten superduper Mediaplayer informiert, bevor er ihn installiert, dann entdeckt er sicherlich auch warum der Mediaplayer bei jedem Start eine Verbindung aufbauen will (z.B. Updatefunktion) und findet so auch heraus wo er das abstellen kann, weshalb es dann nicht mühsam mit einer PFW geblockt werden braucht (wozu PFWs eigentlich auch nicht gedacht sind).
Ich wolllte lediglich sagen, das es auch noch andere Möglichkeiten gibt über die Verbindungen seines Rechners informiert zu sein, ohne Sicherheitspackete im gelben Pappkarton.

Schon mal probiert ein Programm auszuführen , dass an der API vorbei (und dass muss sie, da die API keinen zweiten Stack unterstützt) versuch auf die HW zuzugreifen?Schonmal probiert, was passiert wenn sich Software nicht an die Spielregeln der API hält?

Also was nun? Entweder sie ändert den Stack (womit wir dann doch fehlerhaften ICMP-Implementierungen vorbeugen können) oder sie Baut auf ihm auf (= steht eine Ebene darüber) und ändert den Stack also nicht.Salopp gesagt macht sie beides. Waurm? Ganz einfach, eine PFW muss den IP-Stack so verändern das die Packete auch am Filter vorbei kommen, sonst könnte sie nicht filtern.
So gesehen setzt sie auf dem IP-Stack auf, den sie aber verändert hat. Da ist also kein Widerspruch, weshalb das Argument nach wie vor gültig ist
Weiss jetzt nicht wie ich das einfacher ausdrücken kann.

ich kenn nur PFWs die entweder in die Socket- kommunikation eingreifen, oder sich unterhalb des Stacks die Kommunikation mit der HW-Überprüfen (die erkennen auch andere Protokolle wie IPX und PPPOE - womit es mit einem alternativ Stack schon wieder düster aussieht - er würde hier auffallen)Eine PFW kann nicht unter dem Stack aufsetzen, wenn dies so wäre, müsste sie den eigentlichen Netzwerkartentreiber entfernen, dafür dann einen 'virtuellen Netzwerkkartentreiber' installieren und sämtlichen Verkehr nur über diese 'virtuelle Netzwerkkarte' laufen lassen, wobei diese dann entweder direkt auf die Hardware oder auf den ursprünglichen Treiber von Windows aufsetzt. Die PFW will ich sehen die diesen Aufwand ordentlich implemtiert. (Die müsste ja für jede Netzwerkkarte die es gibt den Treiber sinnvoll modifizieren können, oder einen eigenen Treiber für alle möglichen Netzwerkarten bereit stellen).

Wenn dein Programm nämloch den Socket nur für die Zeit des sendens beansprucht, dann ist das mit 'Hausmitteln' nicht erkennbarTheoretisch schon, man muss nur oft genug netstat ausführen. SCNR ;)
Aber ich verstehe schon was Du meinst.

und selbst wenn du es siehst, machen kannste garnichts.Programm abschiessen? Sicher da kann es schon zu spät sein, aber wie gesagt, man sollte sich über die Programm die man benutzt vorher informieren. Da braucht man auch kein Fachwissen, da fragt man einfach google.com und schon sieht man sicherlich sehr schnell warum denn dieses oder jenes Spiel unbedingt nach a.b.c.d mit Protokoll y sendet und warum es dies tut.

Noch auf deine kleine Helfer zurückzukommen: TCPView existier wirklich - schön - aber der der damit Netzwerkverbindungen analysiert, der weiß auch was für Regeln er bei einer PFW setzen muss.Vermutlich, jedoch wer TCPView bedienen kann, weiss auch das er keine PFW benötigt, wer hingegen TCPView, bzw. dessen Ausgabe, nicht versteht wird auch nicht in der Lage sein, das Log seiner PFW sinnvoll zu interpretieren und daraus vernünftige Regeln zu erstellen. So oder so eine PFW braucht keiner.

Exploite ich den PF-Firewalldienst, dann steht die Kiste. Würdest du zustimmen, dass Rechner mit PF Software anfälliger für einen Dos-Angriff sind?Nein würde ich nicht (auch wenn ich nicht gefragt wurde ;))

Wenn du den PFW Dienst wirklich exploitet stürtzt er ab, das hatt allerdings nichts mit DOS-Attaken zu tun.
Jeder Rechner ist für einen DoS Anfällig. Im Prinzip brauchst du nur mehr bandbreite zu haben als dein Opfer, und dann kann es losgehen. Eine PFW kann aber auch hier hilfreich sein, da sie so eingestellt werden kann, das die Antwortpakete welche ich als Angegriffener sonst zurücksenden würde (und mir damit selbst den Upload dichtmache) auf ein minimum reduziere (ohne dass normale Anforrderungen darunter leiden).Schnick Schnack. Bei einem (d)dos Angriff hilft nur mehr Power (nicht nur mehr Bandbreite) als der Angreifer hat, die PFW schützt da nirgendwo in keinster weise. Denn auch Packte auf die man nicht anwortet müssen bearbeitet werden. Auch die Packte auf die keine Antwort gesendet wird, müssen erstmal druch den Filter der PFW laufen, wodurch der Rechner in jedem Fall lahmgelegt wird. Irgendwie geht es auch am Sinn vorbei dann nichts mehr zurück zu senden, denn die dos-attacke soll ja genau dafür sorgen, dass Du nicht mehr erreichbar bist (also auch nichts sendest).

10x Entkräftet? mit was denn - etwas mit:
"pfws ... :aua: das is was für vollidioten" Was aber nichts daran ändert, dass die meisten seiner Links nach wie vor gültig sind. Wenn Du die Links von Ulukay entkräften kannst, nur zu.

Ich benutze für die Windowskisten die Kerio Personal Firewall, die im Netwerk hinter einem Linuxgateway mit iptables (die Scripte sind von mir und nicht vorgefertigt) und 2.4er Kernel.

Ich verwende sie deshalb, weil eine PFW + eine vorgelagerte Netfilterkiste die größte Abdeckeung an Kontrollmechanismen habe, die mir zu zeit geboten werden.
Auf was für Ideen manche Leute kommen, aber ich muss den Sinn dahinter ja nicht verstehen ;) (wie gesagt mit einer PFW kannst Du nur das kontrollieren, dass sich auch an die Spielregeln hält - wovon ich bei Schadsotware nicht direkt ausgehen würde).

Ich bin gespannt,

Sith

BUGFIX, ich denke, Bytehunger wollte mit dem Dos-Angriff sagen, dass der Rechner steht, nicht der Dienst abstürzt.
Die meisten Zonealarm Exploits brachten einfach die CPU auf dauerhafte 100% Auslastung, damit hatte sich die Sache.
Dazu benötigte man eben keine Bandbreite, sondern nur hinreichend "interessante" Datagramme. Deswegen wohl seine Frage.

Interessante Diskussion hier, bei der du dich bisher ganz klar besser verkaufst, als Ulukay, dessen Meinung im wesentlich meine Meinung wiedergibt, nur würde ich diese nicht in dieser Form niederschreiben.

MfG
P.

Hi!

Sorry dass Du Sith_TirEilo solange auf eine Antwort warten musstest - hab er jetzt wieder Zeit näher darauf einzugehen:
damit es nicht übemäßig Lang wird, werd ich deinen Post etwas 'zerpfücken'. Fals dabei eine Bedeutung von mir missinterpretiert wird - korregiere mich bitte.


Wieso nicht , vielleicht hast Du "Glück" und eines Deiner vielleicht nicht ganz konformen Packete produziert nen BufferOverflow o.ä. - möglich ist es (wenn auch vermutlich(!) unwahrscheinlich).


Die wahrscheinlichkeit dass du mit einem 'gut gefakten' Paket die Route auf dem Weg zum ziel lahmlegst ist nicht viel geringer
aber - klar - möglioch ist es. Deswegen ja auch keine 100%ige Absicherung. (Wird es auch nicht geben).


Herzlichen Glückwunsch, was Du sagst ist also, das der (vernünftig konfigurierte) Rechner ohne PFW genauso dasteht wie mit?
Absolut korrekt da stimme ich Dir zu, dann sind wir uns ja einig, dass die PFW hier keinen Sicherheitsgewinn darstellt?
Alte Regel aber nach wie vor gültig, aus breiterer Codebasis folgt auch ein erhöhtes Fehlerrisiko und damit Sicherheitsrisiko. Im ungünstigsten Fall verschlechtert die PFW also die Sicherheitslage, im günstigsten verhält sich der (sicher konfigurierte) Rechner genauso wie ohne PFW.
Wo war doch gleich der erhöhte Sicherheitsgewinn?


Das hatten wir doch schonmal:
Ja es gibt Situationen in denen eine Firewall nicht mehr bringt, aber wenn du dir den Starter-Post genauer durchliest wirst du merken dass hier von einer veminderten Sicherheit durch PFW- Software gesprochen wurde, und dagegen habe ich Einspruch erhoben.


Wie stellst Du Dir das denn vor? Das einizige was PFW mit Bezug zum Tunneling, unterbinden können sind Child-Prozesse. Nun gibt es aber unzählige Methoden bei der Interprozesskommunikation, die eben die PFW nicht abfangen kann.
Gerade gefunden www.dingens.org/breakout-fuer-geistig-arme.c <http://www.dingens.org/breakout-fuer-geistig-arme.c>, da ist nichts mit Childprozess. Weitre Beispiele gibt es auf www.rootkit.com <http://www.rootkit.com/newsread.php?newsid=259>.
Was sagt uns das alles? PFW schützen bei Tunneling vielleicht hin und wieder mal was durch Zufall, mehr nicht. Wir haben quasi wieder nur ein bischen zufällige Sicherheit .

Dein erstes Beispiel konnte nich compiliert werden, da meldet mir der Compiler einen Fehler bei der Parameterübergabe an 'SendMessage'.
Zu deinem zweiten Beispiel:
Was hat eine Sicherheitslücke in der Implementierung der Kernel-Protection bitte mit allgemienen Aussagen über die Sicherheit von PFw-Software zu tun? Wenn das betribsystem ne macke hat, Hilft nix mehr - keine PFW, kein netstat -a , kein TCPview , und auch kein Wissen über ein vernünftige Konfiguration. Das Beispiel zeigt eigentlich nur eins: Wird Zeit das Windows Open-Source wird, da fällt sowas schneller auf.


Falsch, es wird nur das als Feind erkannt, was sich auch an die Spielregeln hält, tut Schadsoftware das?
Nochmal, gegen Tunneling schützen keine PFW! (Von ganz banalen Methoden, z.B. automatisches wegklicken des PopUps mal ganz zu schweigen.)
Somit herrscht im günstigsten Fall Gleichstand, im ungünstigsten Fall, stellt wieder mal die PFW das erhöhte Risiko da, da sie selbst angreifbar ist und Feinde von innen nur zufällig bis gar nicht entdeckt.


Automatisches Wegclicken des Popups:
Was nützt es dem Auto-Klicker, wenn er lediglich die Standarantwort (die meistens 'Blockieren' heiß) wählt? Ein gagreicher Ersatz einer einer BLOCK_ALL Rule - mehr nicht, so gesehn sind auch die Dinger kein 'Allheilmittel' gegen PFW-Softwar mehr.
Gegen tunneling Schützt keine PFW? - naja - die Beispiele die ich kenne, (von denen auch ein paar in Ulukays Linkliste stehen) funktionieren nicht.
In sofer sollte man sich die Einzelfälle mal etwas genauer ansehen.
Ich weiß nicht was du mit Spielregeln meinst. Wenn deine Software keine API-Aufruffe kann, dann wirst du mit ihr nicht viel Anfangen können. (OK- I/O-Stream kann auch ohne API - aber dann biste halt bei Kommandozeile und gerinen Dateioperationen angekommen)
Weiteres zur API später.


Ich wolllte lediglich sagen, das es auch noch andere Möglichkeiten gibt über die Verbindungen seines Rechners informiert zu sein, ohne Sicherheitspackete im gelben Pappkarton.

Jaja, die mit den gelben Pappkartons sind die schlimmsten - aber dass wissen wir ja schon von der Post :)
Nein, ernstahft: Es gibt selbstverständlich Möglichkeiten seine Verbindunge zu kontrollieren. Nur wenn du ehrlich bis, musst du eingestehen, dass all deine Argumente gegen PFW-Software auch gegen deine 'kleinen Helfer' verwand werden können. (Also ist genau so zusätzlicher Code und könntnen angegriffen werden ... )


Schonmal probiert, was passiert wenn sich Software nicht an die Spielregeln der API hält?


Ja , sieht man auch bei kommerzieller Software leider häufiger- nennt sich Absturz oder auch Speicherschutzverletzung mit anschließendem Tod der Anwendung.
Wenn du dagegen andere Parameter übergeben willst - siehe Compilierhandbuch - wirst du nicht umherkommen große Teile eines Betrienssystems mit deiner Exploit-Software mitzuliefern.


Salopp gesagt macht sie beides. Waurm? Ganz einfach, eine PFW muss den IP-Stack so verändern das die Packete auch am Filter vorbei kommen, sonst könnte sie nicht filtern.
So gesehen setzt sie auf dem IP-Stack auf, den sie aber verändert hat. Da ist also kein Widerspruch, weshalb das Argument nach wie vor gültig ist


Stellt sich immernoch die Frage warum manche PFW-Software dann auch andere Protokolle erkennen und kontrollieren können - die werden jawohl nicht alle über den TCP/IP Stack laufen :)
Wie schon gesagt - Dein Modell (wenn auch etwas verändert - denn für eine Modifikation am Stack selbst müssten einige Systembibliotheken gepatcht werden) mag für machne PFW-Software stimmen - aber auch hier sind die SW-Entwickler nicht auf der Stelle stehen geblieben.


Bei einem (d)dos Angriff hilft nur mehr Power (nicht nur mehr Bandbreite) als der Angreifer hat, die PFW schützt da nirgendwo in keinster weise. Denn auch Packte auf die man nicht anwortet müssen bearbeitet werden. Auch die Packte auf die keine Antwort gesendet wird, müssen erstmal druch den Filter der PFW laufen, wodurch der Rechner in jedem Fall lahmgelegt wird. Irgendwie geht es auch am Sinn vorbei dann nichts mehr zurück zu senden, denn die dos-attacke soll ja genau dafür sorgen, dass Du nicht mehr erreichbar bist (also auch nichts sendest).


Nun ja - es ist ein Unterschied ob du jedes Ping Paket mir 65534 bytes an den Sender zurückgibsts (was du bei einem normalen Echo reply tun wüdest) oder ob man sich die Bandbreite Spart.
Was das Prinzip angeht, so stimme ich dir zu: Bei einer DoS-Attacke ist eine PFW kein beeinflußender Faktor mehr. (Die Anfragen sind ja schon am Rechner Angekommen)


Was aber nichts daran ändert, dass die meisten seiner Links nach wie vor gültig sind. Wenn Du die Links von Ulukay entkräften kannst, nur zu.


http://www.pcflank.com/art21.htm
Getestet und - nix geht - kein Leak kam durch - einer ist sogar beim Testen abgestürzt.
Was die Anderen betrifft: wie schon oben geschrieben - der eine lässt sich nicht auf nem Borlandcompiler zusammenbaun, und der 'kleinere' davon wird erkannt (kommt also nicht raus). Was die anderen Links angeht - ich arbeite dran.


Auf was für Ideen manche Leute kommen, aber ich muss den Sinn dahinter ja nicht verstehen (wie gesagt mit einer PFW kannst Du nur das kontrollieren, dass sich auch an die Spielregeln hält - wovon ich bei Schadsotware nicht direkt ausgehen würde).

Ich bin gespannt,


Keine Angst, ich bastle gern- und solche Leute können ja per Definition sowieso nicht verstanden werden, aber danke dass du es versucht hast :)
Was die Spielregeln betrifft - die eine Seite kontrolliert die Aplikationsebene (was der externe gatewa nicht kann), der wiederum kontrolliert alle realen Pakete die über das netzt gehen (er muss sie ja routen ) - insofern Spielregeln oder nicht - wenn ein Paket da ist, wird es erfasst.
Jedenfalls bin ich erfreut darüber von den unsinnigen Verallgemeinerungen nach dem Motto : "Die Welt ist kaputt - das Wetter mies - und überhaupt ist alles Schlecht, deshalb ist das Frühstück ohne Butter besser" weggekommen zu sein.

MfG

BUGFIX

Hi,

selbstverständlich darfst Du meinen Beitrag zitieren (zerpflücken), man muss ja bei einer Diskussion auch auf die einzelnen Argumente eingehen ;).

Das hatten wir doch schonmal:Ja das stimmt, wir drehen uns hier (leider) im Kreis, also versuche ich es noch ein letztes mal möglichst einfach zu erklären:
Ja es gibt Situationen in denen eine Firewall nicht mehr bringt ...Richtig, nämlich immer dann wenn der User seinen Rechner ordentlich konfiguriert hat, oder konfigurieren lässt (http://www.dingens.org). (Wobei ich mich hier schon, nach dem Sinn einer PFW frage, wenn sie den Rechner nicht sicherer machen kann!?)
... aber wenn du dir den Starter-Post genauer durchliest wirst du merken dass hier von einer veminderten Sicherheit durch PFW- Software gesprochen wurde, und dagegen habe ich Einspruch erhoben.Was aber nichts daran ändert, dass dies der Wahrheit entspricht.
Nochmal, wenn ein Rechner ohne PFW genauso sicher ist, wie ohne (wo wir beide uns einig sind), dann ist es doch nur logisch, wenn man einen Schritt weiter denkt, dass der Rechner allein druch die Existenz der PFW unsicherer wird. Denn wie schon einmal erwähnt, 'grössere Codebasis -->> verminderte Sicherheit'. Würde die PFW einen vernünftig konfigurierten Rechner sicherer machen (wo wir uns scheinbar einig sind, dass dies nicht der Fall ist), könnte man die erhöhte Codebasis tollerieren, da sie das aber nicht tut, stellt eben genau diese erhöhte Codebasis eine Verringerung der Rechnersicherheit dar. Genau deshalb spricht man "von einer verminderten Sicherheit durch dei Personal Firewall Software".
Es ist eben ein riesen (Sicherheits-)Unterschied ob ein einzelnes Datenpacket durch 1.000 Zeilen Code läuft oder durch 200.000 Zeilen.
Da gibt es eigentlich nichts zu diskutieren, dass ist einfach Fakt, ob Du das nun akzeptierst oder nicht.
Es tut mir ja leid, das dies so ist, glaub' mir, ich würde es mir wünschen wenn 'Sicherheitssoftware' (aka Personal Firewall) mehr Sicherheit bieten würden (wie es der Hersteller verspricht), statt weniger, aber so ist es nun mal leider nicht.

Dein erstes Beispiel konnte nich compiliert werden, da meldet mir der Compiler einen Fehler bei der Parameterübergabe an 'SendMessage'.Hmm... komisch na egal hier bitte: http://www.dingens.org/breakout-fuer-geistig-arme.exe. Author bin nicht ich, sondern Volker Birk. (Das ist einer der Männer vom CCC hinter dem Artikel in der PC Prof.)

Was hat eine Sicherheitslücke in der Implementierung der Kernel-Protection bitte mit allgemienen Aussagen über die Sicherheit von PFw-Software zu tun? Wenn das betribsystem ne macke hat, Hilft nix mehr - keine PFW [...]Du beantwortest Deine Frage schon selbst. Ich komme im nächsten Absatz darauf zurück.

Gegen tunneling Schützt keine PFW? - naja - die Beispiele die ich kenne, (von denen auch ein paar in Ulukays Linkliste stehen) funktionieren nicht.
In sofer sollte man sich die Einzelfälle mal etwas genauer ansehen.Was aber immer noch nichts daran ändert, dass PFW in keinster Weise vor Tunneling schützen. Nochmal, bei der Interprozesskommunikation gibt es einfach zu viele Möglichkeiten, als dass man alle abfangen könnte.
Wie dem auch sei, wenn man z.B. über den Nachrichtendienst ein Prozess, eine Message an einen anderen Prozess schickt, ist da nicht mal der Absender mit dabei (bzw. lässt sich mit einfachsten Mitteln fälschen). Bildlich gesprochen, bekommt Programm X gesagt, es soll Aktion Y ausführen, dabei weiss man aber nicht wer Programm X diesen Auftrag gegeben hat (wer die Message in die Warteschlange eingefügt hat), es könnte der User gewesen sein, es könnte aber auch Schadsoftware gebwesen sein. (Das wurde auch auf dem Video vom CCC viel besser demonstiert, als dass ich dies hier beschreiben könnte - Tipp: reinschauen lohnt sich in diesem Fall wirklich)
Dazu kommt das es noch sehr viele andere Möglichkeiten der Interprozesskommunikation gibt. Also entweder müsste die PFW alle Methoden die es gibt abfangen, wodurch das System unbenutzbar wird, weil bei jedem bischen ein PopUp aufspringen müsste, ob denn jetzt z.B. der Klick auf Ordner X auch wirklich vom User kommt etc. pp. (Ganz abgesehen davon ist es unmöglich sowas sauber zu implemtieren)
Die andere Möglichkeit wäre, die komplette Interprozesskommunikation abzuschalten, wodurch das OS komplett lahmgelegt wird, da dann kein Programm mehr mit einem anderen kommunizieren könnte.
Wie gesagt all diese Methoden haben eine tiefern Sinn, und werden von 'normalen' Programmen auch zur Kommuniktion untereinander genutzt, nur ist eben die Implemtierung der ganzen Interprozesskommunikationsmethoden (boah was ein langes Wort) zum Teil 'ungünstig' und damit zum Teil unsicher (woraus auch die Forderung mancher Experten kommt, die komplette Interprozesskommuniktion von Grund auf neu zu schreiben).
Eine PFW kann eben keine Fehler des OS ausbügeln, um wieder den Bezug von oben herzustellen, weshalb Tunneling eben prinzipbedingt nicht von PFWs unterbunden werden kann. Das wird Dir auch jeder Sicherheitsexperte bestätigen.
Ganz abgesehen davon gibt es noch unzählige andere Möglichkeiten einen Angriff von innen auszuführen (DLL Code Injection, registrieren von gefährlichen Plug-Ins, Einträge in Startup-Keys und Ordnern usw. usw. usw.).
Ich weiß nicht was du mit Spielregeln meinst. Wenn deine Software keine API-Aufruffe kann, dann wirst du mit ihr nicht viel Anfangen können. (OK- I/O-Stream kann auch ohne API - aber dann biste halt bei Kommandozeile und gerinen Dateioperationen angekommen)
Weiteres zur API später.Mit Spielregeln, meinte ich Software die wie aus dem Lehrbuch arbeitet, z.B. mit einem eigenen Prozess einen Socket öffnet. Davon würde ich bei Schadsoftware jedoch nicht ausgehen.

Nur wenn du ehrlich bis, musst du eingestehen, dass all deine Argumente gegen PFW-Software auch gegen deine 'kleinen Helfer' verwand werden können. Das ist korrekt, allerdings sind Monitoringprogramme wesentlich sicherer, da sie zum einen nicht schreibend auf irgendetwas zugreifen und zum anderen immer nur temporär laufen und nicht als ständiger Dienst (mit meist zu vielen Rechten) im Hintergrund, von zusätzlichen Schnick Schnack (PopUps usw.) mal ganz zu schweigen.
Dennoch, mehr Code, erhöhtes Risiko gilt auch hier - da hast Du natürlich absolut Recht. Es geht auch um den Nutzen von Programmen, und da PFW eben die Sicherheit nicht erhöhen, sind sie in meinen Augen auch nutzlos.

Stellt sich immernoch die Frage warum manche PFW-Software dann auch andere Protokolle erkennen und kontrollieren können - die werden jawohl nicht alle über den TCP/IP Stack laufenWenn ein Protokoll nicht auf IP basiert, laufen die Packte für dieses Protokoll auch nicht druch den IP-Stack, ergo spielt es für dieses Protokoll keine Rolle ob die PFW über, unter oder sonstwo vom IP-Stack ansetzt.
Wie schon gesagt - Dein Modell (wenn auch etwas verändert - denn für eine Modifikation am Stack selbst müssten einige Systembibliotheken gepatcht werden) mag für machne PFW-Software stimmen - aber auch hier sind die SW-Entwickler nicht auf der Stelle stehen geblieben."Mein Modell" ist trotzdem für jede PFW gültig, zumindest für alle, die vom CCC gestestet wurden - was wohl die gängisten umfasst.
Mal weg von anderen Protokollen, dass Internet läuft nun mal über IP. Also müssen die PFWs den Stack so umbiegen, dass die Datenpackte auch zum Filter gelenkt werden und nicht direkt zurück (=ungefiltert) zur Anwendung (mal Schichten die enventuell noch dazwischen liegen aussen vor gelassen). Dabei muss eben der IP-Stack verändert werden, wenn damit das patchen von anderen Systembibliotheken einhergeht, (was ich nicht mit absoluter Sicherheit sagen kann, vielleicht wird die nächste Version von Norton ja Open-Soruce ;)) dann ist das eben so und damit noch ein Grund mehr auf PFWs zu verzichten.

Was das Prinzip angeht, so stimme ich dir zu: Bei einer DoS-Attacke ist eine PFW kein beeinflußender Faktor mehr.Dann sind wir uns ja einig ;)

Gruß,

Sith

Hi,
selbstverständlich darfst Du meinen Beitrag zitieren (zerpflücken), man muss ja bei einer Diskussion auch auf die einzelnen Argumente eingehen ;).
[..]
Ja das stimmt, wir drehen uns hier (leider) im Kreis, also versuche ich es noch ein letztes mal möglichst einfach zu erklären:
Richtig, nämlich immer dann wenn der User seinen Rechner ordentlich konfiguriert hat, oder konfigurieren lässt (http://www.dingens.org). (Wobei ich mich hier schon, nach dem Sinn einer PFW frage, wenn sie den Rechner nicht sicherer machen kann!?)
Was aber nichts daran ändert, dass dies der Wahrheit entspricht.
Nochmal, wenn ein Rechner ohne PFW genauso sicher ist, wie ohne (wo wir beide uns einig sind), dann ist es doch nur logisch, wenn man einen Schritt weiter denkt, dass der Rechner allein druch die Existenz der PFW unsicherer wird. Denn wie schon einmal erwähnt, 'grössere Codebasis -->> verminderte Sicherheit'. Würde die PFW einen vernünftig konfigurierten Rechner sicherer machen (wo wir uns scheinbar einig sind, dass dies nicht der Fall ist), könnte man die erhöhte Codebasis tollerieren, da sie das aber nicht tut, stellt eben genau diese erhöhte Codebasis eine Verringerung der Rechnersicherheit dar. Genau deshalb spricht man "von einer verminderten Sicherheit durch dei Personal Firewall Software".
Es ist eben ein riesen (Sicherheits-)Unterschied ob ein einzelnes Datenpacket durch 1.000 Zeilen Code läuft oder durch 200.000 Zeilen.
Da gibt es eigentlich nichts zu diskutieren, dass ist einfach Fakt, ob Du das nun akzeptierst oder nicht.
Es tut mir ja leid, das dies so ist, glaub' mir, ich würde es mir wünschen wenn 'Sicherheitssoftware' (aka Personal Firewall) mehr Sicherheit bieten würden (wie es der Hersteller verspricht), statt weniger, aber so ist es nun mal leider nicht.


OK hier der versuch einer Zusammenfassung:

X = keine Abhilfe
Y = Abhilfe

1) Software (API-konform) 'telefoniert' nach hause
mit Firewall: Y | ohne: X

2) Software versucht zu tunneln
mit Firewall: X/Y* | ohne: X

3) DoS Attacken
mit Firewall: X | ohne: X

4) Implementierungsfehler im OS (Dienste usw.)
mit Firewall: Y | ohne: X

5) Implementierungsfehler PFW
mit Firewall: X | ohne: Y

6) Prinzipelle Schwächen der Systemumgebung
mit Firewall: X | ohne: X

Hm - wie war das noch gleich mit dem "wenn sie den Rechner nicht sicherer machen kann..." ?
Zu dem * siehe weiter unten (Breakout für geistig Arme)

Ich habe bei dieser Auflistung keinerlei Rücksicht über die Häufigkeit eventueller Fälle genommen - es ist eine rein qualitative Betrachtung.


Hmm... komisch na egal hier bitte: http://www.dingens.org/breakout-fuer-geistig-arme.exe. Author bin nicht ich, sondern Volker Birk. (Das ist einer der Männer vom CCC hinter dem Artikel in der PC Prof.)

Das der Author nicht Du bist, kann ich mir denken:
Du hättest nämlich nicht die explizite Typenkonvertierung von String nach (LPARAM) im letzten "SendMessage" vergessen. :)
Nach dem das mal gefixt war - ließ es sich compilieren und dann: Oh weh! der Standartbrowser will nach draußen! - Pech nur dass der Standardbrowser nich raus darf - außer auf 3DCenter :) Insofern - netter Versuch.



Du beantwortest Deine Frage schon selbst. Ich komme im nächsten Absatz darauf zurück.
Was aber immer noch nichts daran ändert, dass PFW in keinster Weise vor Tunneling schützen. Nochmal, bei der Interprozesskommunikation gibt es einfach zu viele Möglichkeiten, als dass man alle abfangen könnte.


Anleitung für das Aushebeln von "Breakout für Geistig Arme" für Anfänger
- Man nehme einen Standartbrowser (den man nur zu bestimmten IP-Adressen (z.b. Im lan) zulässt.
- Einen sichereren :) Browser (z.B. Firefox - Mozilla usw) mit dem man surft.
-Eine Abgeschaltete Abfrage über Standardbrowser.
Wer das noch perfektionieren will:
-installation des anderen (nicht IE) Browsers nicht in den Standartpfad.

Soviel zum Thema: "lässt sich im Prinzip nicht unterbinden..."
Noch zum Namen dieses kleinen Beispiel-Programms - wie geistig Arm muss man sein sich den Auszudenken?


Das ist korrekt, allerdings sind Monitoringprogramme wesentlich sicherer, da sie zum einen nicht schreibend auf irgendetwas zugreifen und zum anderen immer nur temporär laufen und nicht als ständiger Dienst (mit meist zu vielen Rechten) im Hintergrund, von zusätzlichen Schnick Schnack (PopUps usw.) mal ganz zu schweigen.
Dennoch, mehr Code, erhöhtes Risiko gilt auch hier - da hast Du natürlich absolut Recht. Es geht auch um den Nutzen von Programmen, und da PFW eben die Sicherheit nicht erhöhen, sind sie in meinen Augen auch nutzlos.


Juhu: der flüchtige Blick auf das Netzwerkkabel sagt mir: Da stimmt was nicht!
Entschuldigung für den Ausdruck - aber was soll Bitte mit Stichproben bei der Netzwerktraffiküberwachung gewonnen Werden? Einen Blumentopf fürs flüchtige Reinschaun?
Gerade weil du nur den 'jetzt status' überwachenkannst solltest du dafür sorgen, dass du mit der sich verändernen Lage in der Sicherheit mitziehen kannst. Wenn du das nacht schaffst, wird dir das Paket mit dem Blaster-Wurm über dein TCPview einmal müde zuwinken und dann deine Kiste runterfahren.
Das Wissen über Konfiguration und Zewck von Diensten - sowie deren Schwachstellen - muss permanent erweitert werden, deshalb find ich die Einstellung: "einmal richig konfiguriert und dichtgemacht" auch sehr blauäugig - wenn nicht gefährlich - und das trifft für alle Seiten (also sowohl mit als auch ohne PFW) zu.



Wenn ein Protokoll nicht auf IP basiert, laufen die Packte für dieses Protokoll auch nicht druch den IP-Stack, ergo spielt es für dieses Protokoll keine Rolle ob die PFW über, unter oder sonstwo vom IP-Stack ansetzt.


Erklärt aber welche Schwachstellen die Horrorstorry vom geheimen zweiten IP-Stack der "alles und jeden Umgeht" hat. Eine Soche PFW kann sehr wohl auch diese Art von 'Tunneling' abgreifen.


"Mein Modell" ist trotzdem für jede PFW gültig, zumindest für alle, die vom CCC gestestet wurden - was wohl die gängisten umfasst.
Mal weg von anderen Protokollen, dass Internet läuft nun mal über IP. Also müssen die PFWs den Stack so umbiegen, dass die Datenpackte auch zum Filter gelenkt werden und nicht direkt zurück (=ungefiltert) zur Anwendung (mal Schichten die enventuell noch dazwischen liegen aussen vor gelassen). Dabei muss eben der IP-Stack verändert werden, wenn damit das patchen von anderen Systembibliotheken einhergeht, (was ich nicht mit absoluter Sicherheit sagen kann, vielleicht wird die nächste Version von Norton ja Open-Soruce ;)) dann ist das eben so und damit noch ein Grund mehr auf PFWs zu verzichten.


Sie Greifen in den Vorgang der Socket-Anforrderung ein.
Und da auch dein Böses Tunnel-Beispiel irgendwann man einen 'Wirt' braucht der einen Socket anforrdert, kommt es auch nit an der PFW vorbei.


Zum Thema Open Source:
Wenn ich ehrlich bin riecht das für maich nach:
1) Alles was nicht Open-source ist ist schlecht.
2) Alles was schlecht ist darf nicht benutzt werden.
=> Alles was nicht Open-source ist darf nicht benutzt werden.

Komm bitte wiedervon den haltlosen verallgemeinerungen weg, wir waren, was den Punkt betrifft in der Diskussion wirklich schon weiter.

OK- jeder hat seine Argumente dargelegt und seine Punkte hervorgehoben.
Das Fazit davon:
Jeder sollte die ihm passende 'Technik der Abwehr' selbst wählen.
Die Schwachstellen und stärken beider Lösungen sind jetzt IMHO recht vollständig dargestellt, und jeder sollte sich für die ihm passendere Lösung entscheiden.


MfG

BUGFIX

Hi,

Mensch, Mensch, mich haut es hier gleich von Stuhl, was hier wieder lese.... *seufz*

1) Software (API-konform) 'telefoniert' nach hause
mit Firewall: Y | ohne: XIst so auch nicht ganz richtig (siehe tunneln), selbst wenn es so wäre, was ist damit gewonnen? Ist Schadsoftware API-konform? Ist es der Sinn einer PFW 'gute' Software drinnen zu halten? Oder ist es vielmehr der Sinn 'böse' Softeware (die nicht API-konform ist) zu bocken.

2) Software versucht zu tunneln
mit Firewall: X/Y* | ohne: XWas soll das denn entweder sie schafft Abhilfe oder eben nicht. Ein bischen Abhilfe == keine Abhilfe, also ein 'X'

4) Implementierungsfehler im OS (Dienste usw.)
mit Firewall: Y | ohne: X Das ist einfach Unsinn. Wenn ich meinen Rechner vernünftig konfiguriere, werden keine Dienste nach außen Angeboten, ergo können darin auch keine Fehler ausgenutzt werden, völlig gleich wie schwerwiegend die sind.
Bugs vom OS kann man nur mit Patches bekämpfen und nicht mit einer PFW. Wo hast Du nur diesen Unsinn her? Also entweder bekommen hier beide Rechner ein 'X' oder beide bekommen ein 'Y' je nachdem wie Du es siehst.

Das der Author nicht Du bist, kann ich mir denken:
Du hättest nämlich nicht die explizite Typenkonvertierung von String nach (LPARAM) im letzten "SendMessage" vergessen.
Nach dem das mal gefixt war - ließ es sich compilieren und dann: Oh weh! der Standartbrowser will nach draußen! - Pech nur dass der Standardbrowser nich raus darf - außer auf 3DCenter Insofern - netter Versuch.[ ] Du hast den Sinn eines Proof of Concept verstanden.

Sinn dieses Programm ist zu zeigen, dass ein Programm, welches senden darf, mit einfachsten Mitteln benutzt werden kann, um _böse_ Sachen zu senden, ohne dass die PFW dies merken würde.
Es spielt keine Rolle ob der Standartbrowser bei Dir rausdarf oder nicht, irgendein Programm darf nach draussen senden. Man kann antsatt des IE jede beliebige Software einsetzen, selbst eine Entscheidungsmatrix, die alle gängigen Browser druchprobiert ist möglich Du hast gesehen wie wenig Quellcode das ist. Da hilft es auch nicht den Browser irgendwo nicht standartmäßig zu intsallieren, da ein bestehendes Fenster dazu benutzt wird.

Wieso versucht mir eigentlich immer jeder zu erklären wie man das Programm unschädlich machen kann?
Es ist völlig klar, dass dieses (recht primitive) Programm druch geeignete Konfiguration unschädlich gemacht werden kann. Darum geht es aber nicht. Es soll nur bewiesen werden, dass ein beliebiges Programm, welches nach draussen senden darf (und davon gibt es mindestens eins auf jedem Rechner) benutzt weden kann um _böse_ Sachen zu verschicken, ohne das die PFW dies verhindert/verhindern kann. Es soll die Idee (das Konzept dahinter) bewiesen werden (engl. proof). Ich habe jetzt schon so einge abenteuerliche Möglichkeiten gehört, das Programm am senden zu hindern, komischerweise ist nicht einmal (also keinmal) eine PFW darin involviert. Darüber sollte man vielleicht mal nachdenken. (Es ist keine Schande auch mal ein Argument, dass man nicht widerlegen kann zu akzeptieren - auch wenn einem das nicht gefällt.)

Anleitung für das Aushebeln von "Breakout für Geistig Arme" für Anfänger
- Man nehme einen Standartbrowser (den man nur zu bestimmten IP-Adressen (z.b. Im lan) zulässt.
- Einen sichereren Browser (z.B. Firefox - Mozilla usw) mit dem man surft.
-Eine Abgeschaltete Abfrage über Standardbrowser.
Wer das noch perfektionieren will:
-installation des anderen (nicht IE) Browsers nicht in den Standartpfad.
Erstens mal ist das Käse, denn der Browser hat damit nichts zu tun, es gibt auch eine Version für Mozilla FireFox: www.dingens.org/breakout-mozilla-firefox.exe (Ist aber eine ältere Version). Aber generell sollte man schon einen alternativen Browser verwenden, das stimmt natürlich.
Aber wie gesagt, Du hast den Sinn dahinter scheinbar nicht verstanden, nicht Du selbst sollst durch einen Workaround dieses Prorgamm unschädlich machen, sondern es ist Aufgabe der PFW dies zu unterbinden, scheinbar schafft diese das nicht, da Du dich selbst dazu bemühen musst. Oder anders:
Deine PFW hat es hier scheinbar nicht geschafft das Tunneling zu verhindern. Dank' mal drüber nach...

Soviel zum Thema: "lässt sich im Prinzip nicht unterbinden..."Lässt es sich nach wie vor nicht, auch wenn du das nicht verstehst/verstehen willst (sorry das ich das so hart sagen muss).

Noch zum Namen dieses kleinen Beispiel-Programms - wie geistig Arm muss man sein sich den Auszudenken?Der Name kommt daher, weil es Leute gab die die alte Version (wo noch mit Childprozesss gearbeitet wurde) geblockt haben und scheinbar nicht den geistigen Scharfsinn hatten die prinzipielle Methode dahinter (bzw. die Idee da hinter) auf andere technische Implemtierungen zu abstrahieren.
Nun Volker Birk, als geistig arm zu bezeichen ist schon ein starkes Stück immerhin verfügt er über Referenzen auf dem Gebiet von denen die meisten "Sicherheitsexperten" weit entfernt sind (siehe CCC, PC Prof., ...).
Deshalb wäre ich vorsichtig wen Du "als geistig arm" bezeichnist, denn Aussagen wie "Meine PFW schützt vor Tunneling..." zeugen auch nicht gerade von Expertenwissen.


Das Wissen über Konfiguration und Zewck von Diensten - sowie deren Schwachstellen - muss permanent erweitert werden, deshalb find ich die Einstellung: "einmal richig konfiguriert und dichtgemacht" auch sehr blauäugig - wenn nicht gefährlich - und das trifft für alle Seiten (also sowohl mit als auch ohne PFW) zu.Och ich wiederhole mich, wenn ich nach aussen nichts anbiete, bleibt einzig und allein der IP-Stack Angriffspunkt - den man aber druch eine PFW nicht schützen kann, wie wir alle wissen.
Wenn ich also nach aussen nichts anbiete, kann auch kein Wurm/Virus/sonstwas irgendwelche Fehler in irgendwelchen Diensten ausnutzen. Was gibt es daran nicht zu verstehen?

Erklärt aber welche Schwachstellen die Horrorstorry vom geheimen zweiten IP-Stack der "alles und jeden Umgeht" hat. Eine Soche PFW kann sehr wohl auch diese Art von 'Tunneling' abgreifen.Nein, bezüglich Tunneling über andere Protokolle gilt ebenfalls das oben Gesagte.

Sie Greifen in den Vorgang der Socket-Anforrderung ein.
Und da auch dein Böses Tunnel-Beispiel irgendwann man einen 'Wirt' braucht der einen Socket anforrdert, kommt es auch nit an der PFW vorbei.Du benutzt FireFox? Wenn mein böses Programm nun den Socket vom FireFox missbraucht statt einen eigenen zu verwenden, merkt das deine PFW? Merkt Deine PFW das der gute FireFox plötzlich was böses senden will?

1) Alles was nicht Open-source ist ist schlecht.Schwachsinn! Auch wenn ich Freund von Open-Source Software bin - es gibt halt kein besseres 'Lernobjekt' als quelloffene Software.

2) Alles was schlecht ist darf nicht benutzt werden.Ich persönlich wäre dafür.

Alles was nicht Open-source ist darf nicht benutzt werden.Unsinn.

Komm bitte wiedervon den haltlosen verallgemeinerungen weg, wir waren, was den Punkt betrifft in der Diskussion wirklich schon weiter.Ich war nie weg. Ich war die ganze Zeit hier. Ich bin schon immer hier gewesen.

Zusammenfassend, wenn Schadsoftware auf dem Rechner drauf ist (Angriff von innen) ist alles verloren, dahilft auch keine PFW. Bei Angriffen von aussen herrscht nach wie vor Gleichstand, bzw. Beeinträchtigung der Sicherheitslage durch die PFW. Wozu dann eine PFW? Um gute Sofwtare zu 'kontrollieren', ob es sich dafür lohnt eine PFW zu installieren? Ich glaube nicht.

Gruß,

Sith

Volker Birk ist ohne zweifel ein luzides Köpfchen.
Seine Vorträge auf dem Congress sind ohne Zweifel sehr gut und lehrreich...nur, ebenso wie bei Felix, getränkt von einer Abscheu gegen Closed-Source MS-Ware. Bei seinem Vortrag über Crypto-Filesysteme war eigentlich jedes 2. Worte: Click-Bunt Windoze.
Ich habe ihn nach seinem Vortrag auf dem 20C3 erklärt, dass sich seine Argumentationsketten prinzipiell gegen jegliche Firewallkonzeptionen verwenden ließe.
Ob die Pakete im Perimeternetz von IPTables angeschaut werden, spielt bei der Tunneling-Geschichte 0,0 gar keine Rolle.
Schlußendlich waren wir wieder bei der anfänglichen Hauptkritik, dass Paketfilter eben nicht auf PCs mit arbeitenden Anwendern installiert werden sollte, weil diese dort eben leichter von innen auszuhebeln sind.
Lutz Donnerhacke hat schon treffend erkannt, dass man Tunneling eigentlich NIE wirklich verhindern kann, ohne die Funktion der externen Resourcen enorm einzuschränken, also sollte man sich nicht bei Windows festbeißen, wei l es von MS ist, zudem noch closed source.

MfG
P.

[COLOR=#7a5ada]wenn bugfix nicht mal weiss wo eine pfw ansetzt (irgendwo am treiber? ip protokoll?) dann erübrigt sich schon alles weitere, wie soll ein arzt einer hausfrau erklären wie eine herztransplantation funktioniert? vor allem wenn die hausfrau partau nicht dazulernen will und stur auf ihrer ersten behauptung "mit nem küchenmesser und patex" besteht?


Ulukay,

ich kenne Dich nicht und weiss nicht was Du für eine Ausbildung hast/beruflich machst und nicht wieviel und was Du über Computer weisst.

Im Gegensatz dazu kenne ich Bugfix ziemlich gut (bin ihm sogar schonmal gegenüber gestanden :biggrin: ) und mir ist bislang noch kein Mensch über den Weg gelaufen, der so viel über Computer im allgemeinen und Netzwerk-/Internet-Sicherheit etc im besonderen Bescheid weiss.


Bugfix hat geschrieben wo eine Firewall ansetzen kann:

Die mir bekannten PFWs arebiten entweder auf der Programmschnittstelle des IP-Portokolls , oder gar auf der hardwarenäheren Treiberebene. Beide Arten bekommen jedes Paket das über das TCP/IP-Protokoll geht zu Gesicht.

also "liebe Hausfrau" Ulukay:

mach' bitte sachlich weiter und geh' auf Bugfix Punkte ein und entkräfte sie durch Wissen - oder lass es bleiben!


Rainer

Edit:

oops, irgendwie habe ich die letzte Seite der Diskussion übersehen :smile:

Jeder sollte die ihm passende 'Technik der Abwehr' selbst wählen.Die Schwachstellen und stärken beider Lösungen sind jetzt IMHO recht vollständig dargestellt, und jeder sollte sich für die ihm passendere Lösung entscheiden.

yep. Wenn man sich den Thread so anschaut, die einen haben ein vollgepatchtes System und keine Probleme mit Viren/Trojanern/etc - die anderen ein gepatchtes System und eine Firewall und ebenfalls keine Probleme.

Ergo: die Praxis zeigt, dass eine Firewall keine Vorteile bzw keine Nachteile bringt!?

zumindest können die Leute ohne Firewall nicht sagen, dass sie in der Vergangenheit Probleme gehabt hätten, wenn sie eine Firewall am laufen gehabt hätten

und die Leute mit Firewall können nicht mit Sicherheit sagen, dass sie ohne Firewall Probleme gehabt hätten.

Rainer

Zum Thema Open Source:
Wenn ich ehrlich bin riecht das für maich nach:
1) Alles was nicht Open-source ist ist schlecht.
2) Alles was schlecht ist darf nicht benutzt werden.
=> Alles was nicht Open-source ist darf nicht benutzt werden.

Komm bitte wiedervon den haltlosen verallgemeinerungen weg, wir waren, was den Punkt betrifft in der Diskussion wirklich schon weiter.

interessant *lach*

yep. Wenn man sich die Thread so anschaut, die einen haben ein vollgepatchtes System und keine Probleme mit Viren/Trojanern/etc - die anderen ein gepatchtes System und eine Firewall und ebenfalls keine Probleme.

Ergo: die Praxis zeigt, dass eine Firewall keine Vorteile bzw keine Nachteile bringt!?

zumindest können die Leute ohne Firewall nicht sagen, dass sie in der Vergangenheit Probleme gehabt hätten, wenn sie eine Firewall am laufen gehabt hättenandere haben ein ungepatchtes system ohne fw und es läuft trotzdem ohne probleme...

die praxis zeigt dass pfws häufig zu massiven fehlern führen...vorallem auch im netzwerkverkehr...und wenn man in diversen game foren schnüffelt findet man auch abseits der arbeitswelt massig probleme mit selbigen...

oh doch das können sie...kleines aktuelles beispiel....trendmicro officescan+novel client 4.8+gr (vpn tunneling software mit intergrierter fw)...es kommt NUR in verdingung mit dem novell client zu einer 100% cpu auslastung, sowie der netzwerkverkehr extrem lahmt/komplett zum stillstand kommt....
spielebeispiel -> generals :)
oder dass manche pfw beim update von xp auf sp2 im dreieck umandergehupft sind, sollte ja bekannt sein

yep. Wenn man sich den Thread so anschaut, die einen haben ein vollgepatchtes System und keine Probleme mit Viren/Trojanern/etc - die anderen ein gepatchtes System und eine Firewall und ebenfalls keine Probleme.

Die anderen haben SP1 keine Sicherheitsupdates, keine PFW, keinen Virenscanner, dafür alle Ports dicht gemacht und unnötige Services deaktiviert und haben auch keine Probleme...

/edit: zu langsam...

andere haben ein ungepatchtes system ohne fw und es läuft trotzdem ohne probleme...

die praxis zeigt dass pfws häufig zu massiven fehlern führen...vorallem auch im netzwerkverkehr...und wenn man in diversen game foren schnüffelt findet man auch abseits der arbeitswelt massig probleme mit selbigen...

oh doch das können sie...kleines aktuelles beispiel....trendmicro officescan+novel client 4.8+gr (vpn tunneling software mit intergrierter fw)...es kommt NUR in verdingung mit dem novell client zu einer 100% cpu auslastung, sowie der netzwerkverkehr extrem lahmt/komplett zum stillstand kommt....
spielebeispiel -> generals :)
oder dass manche pfw beim update von xp auf sp2 im dreieck umandergehupft sind, sollte ja bekannt sein*nachtrag

das beispiel mit dem novell client tritt nur mit der 4.8er version auf...mit der 4.9er funktioniert es komischerweise...ohne aktive pfw funktionieren beide client versionen

Die anderen haben SP1 keine Sicherheitsupdates, keine PFW, keinen Virenscanner, dafür alle Ports dicht gemacht und unnötige Services deaktiviert und haben auch keine Probleme...

keine Ahnung wie oft bzw wie lange Dein Rechner online ist, ob Du vielleicht mit einem Router im Netz bist oder hinter einer großen Firmenfirewall sitzt:

stell' Deinen Rechner mal bei uns in die Uni, innerhalb kürzester Zeit ist die Kiste "tot" :(

Rainer

Und das Du wirklich jedes Programm und jeden Dienst sofort Aufgaben und Traffic zuordnen kannst - sorry das nehm ich dir nicht ab.


ja kann ich, ob du mir nun glaubst oder nicht ist mir herzlich egal

Was die allgemeine Aussage: "Weniger Code ist immer besser als mehr Code" betrifft:
Unter DOS (ob 5.0 oder 6.22 ist egal) würde ich trotzdem den himem.sys mit einbinden (auch wenn es ein paar KB mehr code sind) da er einfach die Funktionalität um ein Vielfaches erhöht.


aja, mit ner Firewall kann ich also alles machen oder?
wäsche waschen, kaffee kochen, ne pfw ist überhaupt ne eierlegende wollmilchsau oder?
erklär mit bitte mal wie eine pfw "die Funktionalität um ein Vielfaches erhöht"

ja kann ich, ob du mir nun glaubst oder nicht ist mir herzlich egal

auch auf die Gefahr hin mich hier als "Meckertante" zu etablieren:

wie wäre es wenn Du uns "mitteilen" würdest, wie Du das machst !?!?


das wäre dann mal ein konstruktiver Beitrag von Deiner Seite...

Rainer

aja, mit ner Firewall kann ich also alles machen oder?
wäsche waschen, kaffee kochen, ne pfw ist überhaupt ne eierlegende wollmilchsau oder?
erklär mit bitte mal wie eine pfw "die Funktionalität um ein Vielfaches erhöht"

und gleich der nächste Post der an Inhalt und "Seriosität" nicht mehr zu überbieten ist...

kleiner Tip: lies den Thread nochmal durch, da wurde schon öfters von verschiedenen Leuten gepostet, dass man auch mit einer Firewall nicht alles machen kann und gleichzeitig unendlich sicher ist...

Rainer

Ja es gibt Situationen in denen eine Firewall nicht mehr bringt, aber wenn du dir den Starter-Post genauer durchliest wirst du merken dass hier von einer veminderten Sicherheit durch PFW- Software gesprochen wurde, und dagegen habe ich Einspruch erhoben.


aja
gut
dann sehen wir uns ein gut konfiguriertes system an, da ist kein port offen - d.h. die einzig agreifbare fläche ist der tcpip stack - der bei windows seit 1999 (!!) keinen fehler mehr aufwies

wenn du nun mit drittsoftware 1000% mehr code (der alle 1-2 monate geupdated wird - wirds doch fehler geben???) in diesen tcpip stack mistet, dann ist das für mich eine wesentlich breitere angriffsfläche :rolleyes:

und gleich der nächste Post der an Inhalt und "Seriosität" nicht mehr zu überbieten ist...

kleiner Tip: lies den Thread nochmal durch, da wurde schon öfters von verschiedenen Leuten gepostet, dass man auch mit einer Firewall nicht alles machen kann und gleichzeitig unendlich sicher ist...

Rainer


aja, meiner is unseriös - aber bugfix meint eine pfw bietet "soviel mehr funktionalität" dass es gerechtfertigt is mehr code am system zu haben

gleichzeitig sagt er aber dass eine pfw die sicherheit nicht vermindert - dass ist leider ein widerspruch - mehr code ist IMMER unsicherer

Ulukay,

ich kenne Dich nicht und weiss nicht was Du für eine Ausbildung hast/beruflich machst und nicht wieviel und was Du über Computer weisst.


ccna, microsaft zertifizierungen, und so manche unix/linux kurse
arbeite als sysadmin (u.a. auch für router und sicherheit """firewalls""" zuständig) seit jahren bei einer softwareentwicklungsfirma

ccna, microsaft zertifizierungen, und so manche unix/linux kurse arbeite als sysadmin (u.a. auch für router und sicherheit """firewalls""" zuständig) seit jahren bei einer softwareentwicklungsfirma

sehr gut, das ist doch mal was!

Du scheinst Dich auf diesem Gebiet also auszukenne, doch Deine Posts sprechen da eine andere Sprache!

Plaudere doch mal aus dem "Nähkästchen"! Welche Tools/Programme etc etc verwendest Du??

z.B. wie ordnest Du Traffic Programmen und Diensten zu ?? etc etc


aja, meiner is unseriös

sorry, aber die Art wie Du in diesem Thread postest... und dann "Dein" Hintergrund...


- aber bugfix meint eine pfw bietet "soviel mehr funktionalität" dass es gerechtfertigt is mehr code am system zu haben

lies den Absatz von Bugfix nochmal durch - scheint so, dass Du den anders verstanden (interpretiert) hast als ich

ganz allgemein hat Bugfix dann schon recht: mehr Code mehr Möglichkeiten (aber auch mehr Fehler und Lücken)

am Beispiel Firewalls: ich habe hier an meinem Rechner die Möglichkeit, nur bestimmte IP-Bereiche zuzulassen/zu blocken. Die Möglichkeit bietet mir das Betriebsystem nicht. (die Frage ob das nun was nützt oder nicht lassen wir mal beiseite - es geht zunächst mal um die Möglichkeit)


Rainer

keine Ahnung wie oft bzw wie lange Dein Rechner online ist, ob Du vielleicht mit einem Router im Netz bist oder hinter einer großen Firmenfirewall sitzt:

stell' Deinen Rechner mal bei uns in die Uni, innerhalb kürzester Zeit ist die Kiste "tot" :(

Rainerda ich ein notebook besitze würde ich diesen test gerne antretten (sofern du in stuggi zur uni gehst :))...ich hab weder router, proxy, pfw noch ständig einen virenscanner laufen....ich für meinen teil lasse meinen rechner teilweise 24 h am stück OFFEN am netz rennen und hab keinerlei probleme damit...von privater seite aus nun...im geschäft ist da natürlich von vornherein "etwas" mehr sicherheit geboten


es ist heutzutage hauptsächlich sache der konfiguration und nicht der verwendeten komponenten...(bezieht sich auf unix/win nt basierte systeme, in den anderen systemumgebungen kenn ich mich dafür zu wenig aus)

sehr gut, das ist doch mal was!

Du scheinst Dich auf diesem Gebiet also auszukenne, doch Deine Posts sprechen da eine andere Sprache!

Plaudere doch mal aus dem "Nähkästchen"! Welche Tools/Programme etc etc verwendest Du??

z.B. wie ordnest Du Traffic Programmen und Diensten zu ?? etc etc




sorry, aber die Art wie Du in diesem Thread postest... und dann "Dein" Hintergrund...




lies den Absatz von Bugfix nochmal durch - scheint so, dass Du den anders verstanden (interpretiert) hast als ich

ganz allgemein hat Bugfix dann schon recht: mehr Code mehr Möglichkeiten (aber auch mehr Fehler und Lücken)

am Beispiel Firewalls: ich habe hier an meinem Rechner die Möglichkeit, nur bestimmte IP-Bereiche zuzulassen/zu blocken. Die Möglichkeit bietet mir das Betriebsystem nicht. (die Frage ob das nun was nützt oder nicht lassen wir mal beiseite - es geht zunächst mal um die Möglichkeit)


Rainer

ach gott, wir drehen uns immer im kreis (seit zirka 3 jahren)

warum willst du überhaupt ip kreise blocken?
sowas braucht man nicht - aus basta - es gibt KEINEN anwendungsfall bei dem man irgendwas blocken muss (du setzt schon wieder irgendwas vorraus dass man nicht braucht - genau deshalb drehen sie die diskussionen im kreis)

also fangen wir GANZ von vorne an
1. nur software installieren der man vertrauen kann - bei der man weiss dass sie sauber ist
2. von aussen sollten keine ports erreichbar sein? dann dreh die services ab - sollte irgendso ein tolles windoof service partou gebraucht werden, sich seine listenip aber ned auf das lokale lan beschränken lassen, bleibt dir noch immer die möglichkeit den internen paketfilter von xp zu verwenden (is halt die allerletzte notlösung)

wozu muss ich dann ipkreise blocken?

(das ist DIE grundsatzfrage - ich sage - man braucht es nicht, OS richtig konfigurieren, vertrauenswürdige software installieren, -> also brauche ich keine zusätzliche funktionalität, also muss ich auch keinen zusätzlichen code am system haben der das system unsicherer macht)

Hi!

Tut mir Leid, wenn meine Ausdrücke und Beimerkungen sich nicht für jeden auftun. Ich werde versuchen mich zu bessern.

... werden keine Dienste nach außen Angeboten ...

... ist der Rechner zum Schweigen verdammt. (außer ICMP und Portless Protokolle)
[] Du hast den Ablauf der TCP-Kommunikation verstanden

Bei der TCP Kommunikation läuft nun mal alles über Ports - und wenn du keine hast, dann hast du auch keine Kommunikation.
Eigentlich sehr Einfach.

Zum allseits beliebten Tunneling:

Man bedient sich der Tatsache, dass es User gibt, die irgendeinem Programm einen Passierschein durch die Firewall ausstellen, und hofft dass man durch Probieren und Glück genau das Programm dazu verwenden kann ein Paket ins Netz zu schicken.

Wenn es diesen Passierschien nicht gibt - ist das Tunneln im Prinzip zum Scheitern verurteilt. Denn wenn du keine Wirt findest der den Socket geöffnet bekommt 'verdurstet' dein böses (aber immer noch API-konformes) Programm. (die API sieht ja auch Interprozess-kommunikation vor)

Streng genommen heißt nicht API-konform, auf jeden API Aufruf zu verzichten, womit wir wieder bei der Kommandozeile und lowlevel Datei-IO Operationen sind.


Nun Volker Birk, als geistig arm zu bezeichen ist schon ein starkes Stück immerhin verfügt er über Referenzen auf dem Gebiet von denen die meisten "Sicherheitsexperten" weit entfernt sind (siehe CCC, PC Prof., ...).

Mir ist egal wen du als deinen persönlichen Gott verehrst.
Entweder das Beispiel funktioniert , oder nicht - und Probier es ruhig aus - es funktioniert nicht!

Das Schlimme ist eigentlich ,dass diese pseudo Beweise immer vorraussetzten , dass eine Regel existiert die einem Browser ungehinderten Zugriff gibt. Darüber allerdings wird brav geschwiegen - und die Dinger lieber als der ultimative Beweiß für ein [sorry für den harten Ausdruck] geistig Armes Konzept vorgestellt.

Denn ein echtes Konzept gegen Firewalls kann nur etwas sein das unabhängig jeglichen Regelwerks in der Firewall ist. Und das ist weder der "Breakout für .... <bitte hier schwachsinnige Namen einstzten> " nocht ein Programm das den Rechner nach irgenwelchen anderen Browsern abkloffpt (und sie noch nichtmal zuverlässig findet).

... gleichzeitig sagt er aber dass eine pfw die sicherheit nicht vermindert - dass ist leider ein widerspruch - mehr code ist IMMER unsicherer


Wenn man deinen mitlerweile schon recht verworrenen Argumenten folgen darf ist iptables + LINUx + jedes BIOS [...] von Version zu Version immer Unsicherer geworden. Vieleicht sollte mal jemand feststellen mit wieviel Sicherheit sie angefangen haben - nicht dass wir mittlerweile schon im den Minus Zahlen sind.

Die Aussage "mehr code = größeres Risiko" ist absolut nicht identisch mit "mehr code ist IMMER unsicherer" - das erste ist eine statistische Aussage (und muss für den einzelfall nicht stimmen) das andere eine (nicht haltbare) Pauschalisierung.


Ob die Pakete im Perimeternetz von IPTables angeschaut werden, spielt bei der Tunneling-Geschichte 0,0 gar keine Rolle.


Warum - werden sie etwa nicht über das Netz übertragen? Tunneln sie sich gar von Netzwerkkarte zu Netzwerkkarte?
Ich habe zwar nicht die Gabe (wie sie manche hier scheinbar haben) alleinig durch die Betrachtung des Netzwerkkabels auf den Inhalt zu schließen, aber ich kann mit Hilfe von etwas Technik im Perimeternetz alle wirklich gesendeten und empfangenen Pakete sehen. Insofern kann ich prüfen ob 'getunnelt' wird - oder eben nicht.

Nachdem Sith_TirEilo meine Open-Source Anmerkungen ja mal kräftig Missverstanden hat:
Worauf ich hinauswollte ist , dass es manche leute gibt , die Open-Source mit "ist Sicher" gleichsetzten. Dem wollte ich engegenwirken.

MfG

BUGFIX

da ich ein notebook besitze würde ich diesen test gerne antretten (sofern du in stuggi zur uni gehst :))...ich hab weder router, proxy, pfw noch ständig einen virenscanner laufen....ich für meinen teil lasse meinen rechner teilweise 24 h am stück OFFEN am netz rennen und hab keinerlei probleme damit...von privater seite aus nun...im geschäft ist da natürlich von vornherein "etwas" mehr sicherheit geboten

dann musst Du mal Urlaub am Bodensee machen :smile:

es ist heutzutage hauptsächlich sache der konfiguration und nicht der verwendeten komponenten...(bezieht sich auf unix/win nt basierte systeme, in den anderen systemumgebungen kenn ich mich dafür zu wenig aus)

wieviel eine "richtige" Konfiguration bringt, kann ich kaum beurteilen - auf jeden Fall haben wir hier eine Arbeitsgruppe, nun, brauchst Du einen bestimmten Trojaner, oder einen bestimmten Virus ?? Sach' Bescheid :biggrin:

diese Rechner sind "überhaupt nicht" konfiguriert und gepatched schon gar nicht. Man hätte sich aber einiges "ersparen" können, wenn diese Rechner zumindest teilgepatched gewesen wären...

andererseits ist es in letzter Zeit "besser" geworden. Meine Firewall hat praktische keine Hits mehr die aus der Uni kommen, dito für Viren-Mails

Rainer

Wenn man deinen mitlerweile schon recht verworrenen Argumenten folgen darf ist iptables + LINUx + jedes BIOS [...] von Version zu Version immer Unsicherer geworden. Vieleicht sollte mal jemand feststellen mit wieviel Sicherheit sie angefangen haben - nicht dass wir mittlerweile schon im den Minus Zahlen sind.

Die Aussage "mehr code = größeres Risiko" ist absolut nicht identisch mit "mehr code ist IMMER unsicherer" - das erste ist eine statistische Aussage (und muss für den einzelfall nicht stimmen) das andere eine (nicht haltbare) Pauschalisierung.

nochmal extra für dich :rolleyes:

wenn ich VORHER 1000 codezeilen habe die seit 1999 KEINE bugs mehr haben
und danach diese 1000 codezeilen und nochmal 90.000 codezeilen einer drittfirma dann ist das 100%ig unsicherer

wenn du was anderes behaupten willst dann disqualifiziert du dich leider selbst

warum willst du überhaupt ip kreise blocken?
sowas braucht man nicht - aus basta - es gibt KEINEN anwendungsfall bei dem man irgendwas blocken muss (du setzt schon wieder irgendwas vorraus dass man nicht braucht - genau deshalb drehen sie die diskussionen im kreis)

ich "finde" es ganz "nützlich" die verseuchten Rechner hier an der Uni "auszusperren"



also fangen wir GANZ von vorne an
1. nur software installieren der man vertrauen kann - bei der man weiss dass sie sauber ist
2. von aussen sollten keine ports erreichbar sein? dann dreh die services ab - sollte irgendso ein tolles windoof service partou gebraucht werden, sich seine listenip aber ned auf das lokale lan beschränken lassen, bleibt dir noch immer die möglichkeit den internen paketfilter von xp zu verwenden (is halt die allerletzte notlösung)

yep, das hatten wir in diesem Thread schon...


ansonsten ist eine Firewall IMHO eine nette Rückversicherung. Ich lade keine zweifelhaften Programme runter und klicke auf jedes Email-Attachment. Mir ist das bei einem Attachment jedoch mal versehentlich passiert und dann kam die Firewall und hat das Programm zurückgepfiffen.

Sogar meiner Mutter konnte ich bei bringen (die ein riesenschiss vor Dialern, Viren und Trojanern hat), dass wenn eine englische Meldung auf dem Bildschirm erscheint (die Firewall auf dem Rechner ist das einzige englische Software) sie einfach den Rechner ausschalten soll.

Gut, als Benutzer mit eingeschränkten Rechten könnte sich ein Dialer nicht installieren, dazu braucht man aber ein XP Pro


jetzt wissen wir aber immer noch nicht, welche Tools Du so benutzt! um den Netzwerk-Traffic zu verfolgen!


Rainer

ich "finde" es ganz "nützlich" die verseuchten Rechner hier an der Uni "auszusperren"

von was ausperren?
wenn du von aussen keine ports offen hast sind sie "ausgesperrt"

yep, das hatten wir in diesem Thread schon...

ansonsten ist eine Firewall IMHO eine nette Rückversicherung. Ich lade keine zweifelhaften Programme runter und klicke auf jedes Email-Attachment. Mir ist das bei einem Attachment jedoch mal versehentlich passiert und dann kam die Firewall und hat das Programm zurückgepfiffen.

Sogar meiner Mutter konnte ich bei bringen (die ein riesenschiss vor Dialern, Viren und Trojanern hat), dass wenn eine englische Meldung auf dem Bildschirm erscheint (die Firewall auf dem Rechner ist das einzige englische Software) sie einfach den Rechner ausschalten soll.

Gut, als Benutzer mit eingeschränkten Rechten könnte sich ein Dialer nicht installieren, dazu braucht man aber ein XP Pro


jetzt wissen wir aber immer noch nicht, welche Tools Du so benutzt! um den Netzwerk-Traffic zu verfolgen!


ich brauche keine tools dazu, ich weiss dass sich kein "böses" programm mit dem internet verbindet, weil ich keine "bösen" programme installiere

um zu kontrollieren auf welchem ports services laufen reicht ein "netstat -ano"
und ja netstat zeigt auch udp an

wer nun mit dem bööösen bööööösen icmp kommt der darf gleich wieder in die höhle kriechen aus der er kam X-D

wozu muss ich dann ipkreise blocken?

(das ist DIE grundsatzfrage - ich sage - man braucht es nicht, OS richtig konfigurieren, vertrauenswürdige software installieren, -> also brauche ich keine zusätzliche funktionalität, also muss ich auch keinen zusätzlichen code am system haben der das system unsicherer macht)

Windows benutzen und dann auf Vertrauenswürdigkeit von Software beharren?
Was meisnt du - wieviele Ports sind beim Senden deines Post wohl auf deinem Rechner für Pakete zugänglch gewesen?
Und die Tatsache dass hier Text von dir steht zeugt davon dass du die Ports nicht zugemacht hat.


nochmal extra für dich

wenn ich VORHER 1000 codezeilen habe die seit 1999 KEINE bugs mehr haben
und danach diese 1000 codezeilen und nochmal 90.000 codezeilen einer drittfirma dann ist das 100%ig unsicherer


[] Du hat statistiche Fallauswertung begriffen

100% ig unsicherer = Es funktionier auf jeden Fall nicht.
Das heißt, wenn ich auch nur einen Fall finde, bei dem es nicht unsicherer ist, ist deine Aussage wiederlegt.
Das ist eine der Grundregeln das Argumentierens in der deutschen Sprache - tut mir leid wenn sie dir so garnicht zusagt.

Ansonsten würde ich dich bitten deine Aussage zu präzisieren.

MfG

BUGFIX

Was meisnt du - wieviele Ports sind beim Senden deines Post wohl auf deinem Rechner für Pakete zugänglch gewesen?
Und die Tatsache dass hier Text von dir steht zeugt davon dass du die Ports nicht zugemacht hat.

Irgendwie fehlt mir bei diesem Argument der Sinn. Es geht doch darum ungenutzte Ports nach außen hin dicht zu machen. Dass er natürlich Ports offen haben muss, um z.B. hier im Forum schreiben zu können, ist ja klar. Aber diese (benötigten) Ports würden von einer PFW eh durchgelassen werden.

Windows benutzen und dann auf Vertrauenswürdigkeit von Software beharren?
Was meisnt du - wieviele Ports sind beim Senden deines Post wohl auf deinem Rechner für Pakete zugänglch gewesen?
Und die Tatsache dass hier Text von dir steht zeugt davon dass du die Ports nicht zugemacht hat.


sorry wenn das nu hart klingt, aber anscheinend hast du keine ahnung von tcpip

wenn ich im 3dc forum unterwegs bin dann sendet mein browser von irgendeinem highport aus an den forenserver auf port 80
wie du vielleicht weisst (oder offensichtlich nicht) kann aber sich aber trotzdem KEINER mit diesem highport verbinden - wie denn auch?
dafür müsste er eine tcpip verbindung mit einem tcp paket mit syn flag aufmachen. nur wie soll das gehen? auf diesem port hört nunmal nichts darauf, auf diesem port wartet nur das OS auf ein ANTWORTpaket vom forenserver. (aus dieser gültigen tcpip verbindung)


[] Du hat statistiche Fallauswertung begriffen

100% ig unsicherer = Es funktionier auf jeden Fall nicht.
Das heißt, wenn ich auch nur einen Fall finde, bei dem es nicht unsicherer ist, ist deine Aussage wiederlegt.
Das ist eine der Grundregeln das Argumentierens in der deutschen Sprache - tut mir leid wenn sie dir so garnicht zusagt.

Ansonsten würde ich dich bitten deine Aussage zu präzisieren.

MfG

BUGFIX
bitte lesen lernen - danke
100%ig UNSICHERER als vorher (NICHT 100% unsicher)

ich brauche keine tools dazu, ich weiss dass sich kein "böses" programm mit dem internet verbindet, weil ich keine "bösen" programme installiere



Und das Du wirklich jedes Programm und jeden Dienst sofort Aufgaben und Traffic zuordnen kannst - sorry das nehm ich dir nicht ab.

ja kann ich, ob du mir nun glaubst oder nicht ist mir herzlich egal

so und jetzt sage mir wie Du jedem Programm und jedem Dienst Aufgaben und Traffic zuordnen kannst !!!!!!!


Rainer

so und jetzt sage mir wie Du jedem Programm und jedem Dienst Aufgaben und Traffic zuordnen kannst !!!!!!!


Rainer

netstat -ano :rolleyes:

andere frage

"so und jetzt sage mir für was ich das überhaupt brauche!!!!!!!1111einseins"
(um in deinem freundlichen schreibstil zu antworten)

es gibt genau 2 programme die bei mir traffic ins internet erzeugen
der updater des antivirus und firefox

ausserdem scheinst du probleme zu haben diese sätze da oben richtig zu verstehen
bugfix frage mich nach keinem programm, dass ist nur eine annahme von dir
er fragte ob ich meinen ganzen traffic den programmen zuordnen kann, und ja das kann ich - da ich standardmässig nur 2 programme habe die überhaupt traffic erzeugen

ich brauche keine teletubby gui mit ja und nein damit ich weiss welcher der 100x emule cracks sich grad ins inet verbindet :P ;)

netstat -ano :rolleyes:

aaarrrggghhhhhh

ich habe von der Materie wirklich nicht viel Ahnung, aber Du anscheinend noch viel weniger...:

mit netstat -ano sieht man welche Ports offen sind, auch die PID dazu, mehr aber nicht

man sieht aber nicht, z.B. welche Daten über die Ports geschickt werden o.ä.

ich denke Bugfix wird in Kürze mehr zu dem Thema schreiben


andere frage

"so und jetzt sage mir für was ich das überhaupt brauche!!!!!!!1111einseins"
(um in deinem freundlichen schreibstil zu antworten)

mein freundlicher Schreibstil hat sich in Richtung unfreundlich verschoben, weil ich Dich "hundertmal" nach Deinen Tools/Programmen/etc fragen musste, bis wenigstens Deine netstat Antwort kam!

Rainer

netstat zeigt ebenfalls offene und wartende verbindungen
nein von der materie hast du echt ned viel ahnung

warum sollte ich jedes tcpip paket auswendig kennen?

mein freundlicher Schreibstil hat sich in Richtung unfreundlich verschoben, weil ich Dich "hundertmal" nach Deinen Tools/Programmen/etc fragen musste, bis wenigstens Deine netstat Antwort kam!

wenn du auf so schnapsideen mit gui programmen kommst kann ich dir nicht helfen, davon war hier nie die rede

Huch,

was ist denn hier auf einmal los?

.. werden keine Dienste nach außen Angeboten ...... ist der Rechner zum Schweigen verdammt. (außer ICMP und Portless Protokolle)
[] Du hast den Ablauf der TCP-Kommunikation verstandenDu hast Dich gerade lächerlich genmacht und selbst disqualifiziert - herzlichen Glückwunsch (oder herzliches Beileid wie man's nimmt).
Aber gut extra für Dich, wenn keine Services nach aussen angeboten werden sagt das estmal nur das der Rechner _nichts_ nach aussen anbietet, so weit klar?
Wenn ich jetzt auf diesem Rechner meinen Webbrowser (temporär) starte wird logisch eine Verbindung aufgebaut und logisch öffnet der Browser dann einen Port, soinst könnte er ja nicht kommunizieren (woraus folgt das Du da auch mit Deiner PFW nichts blocken kannst). Wenn ich den Browser beende ist wieder Schluss und nichts wird nach aussen angeboten, alle Ports sind geschlossen - so einfach ist das. Entweder kannst Du oder willst Du nicht verstehen.

Wenn es diesen Passierschien nicht gibt - ist das Tunneln im Prinzip zum Scheitern verurteilt.Ganz toll, was Du sagst ist also, wenn kein Programm nach draussen darf (kein Passierschein da ist), kann auch kein Programm missbraucht werden?
Ganz Toll wirklich messerscharf kombiniert.

Jetzt zeig mir mal den User wo es nicht ein (also kein) Programm gibt nach draussen senden darf?

Mir ist egal wen du als deinen persönlichen Gott verehrst. Was soll das denn? Wie bist Du denn? 14? Wir sind hier doch nicht im Kindergarten.

Entweder das Beispiel funktioniert , oder nicht - und Probier es ruhig aus - es funktioniert nicht!Komischerweise wurde es nicht von Deiner PFW geblockt...

Das Schlimme ist eigentlich ,dass diese pseudo Beweise immer vorraussetzten , dass eine Regel existiert die einem Browser ungehinderten Zugriff gibt. Darüber allerdings wird brav geschwiegen - und die Dinger lieber als der ultimative Beweiß für ein [sorry für den harten Ausdruck] geistig Armes Konzept vorgestellt.Zeig' mir den User bei dem kein Browser (oder sontiges Programm - es gibt auch eine Version für den E-Mail Client Thunderbird) ins Internet darf. Leider hast Du den Sinn eines Proof of Concept immer noch nicht verstanden und versucht dies durch billige Polemik wett zu machen. Nun Leute Die weniger von dem Thema verstehen magst Du damit beeindrucken, mich lässt das jedoch völlig kalt. (Was mich zu dem Schluss bringt, das Du von dem allg. Thema leider nicht so viel verstehst, wie Du Dir das vorstellst).

Denn ein echtes Konzept gegen Firewalls kann nur etwas sein das unabhängig jeglichen Regelwerks in der Firewall ist. Und das ist weder der "Breakout für .... <bitte hier schwachsinnige Namen einstzten> " nocht ein Programm das den Rechner nach irgenwelchen anderen Browsern abkloffpt (und sie noch nichtmal zuverlässig findet).Ein drittes Mal: Du hast den Sinn eines Proof of Concept immer noch nicht verstanden.

Die Aussage "mehr code = größeres Risiko" ist absolut nicht identisch mit "mehr code ist IMMER unsicherer" - das erste ist eine statistische Aussage (und muss für den einzelfall nicht stimmen) das andere eine (nicht haltbare) Pauschalisierung.Blödsinn, wie jemand so lernresistent sein kann ist echt unglaublich. Mehr Code immer erhöhtes Sicherheitsrisiko völlig gleich ob Opensource oder nicht. Ulukay hat es bereits schon gesagt - Du hast Dich selbst disqualifiziert.

Warum - werden sie etwa nicht über das Netz übertragen? Tunneln sie sich gar von Netzwerkkarte zu Netzwerkkarte?Du hast Das scheinbar nicht verstanden - wenn ich über das http-Protokoll eine ftp-Anfrage 'tunnel' sieht das von aussen aus als würde ich eine normale http-Anfrage senden. Innen wird FTP 'betreiben' und aussen herrum (der Tunnel also) ist http. Das kann man nunmal so gut wie gar nicht überwachen - und schon gar nicht mit einer PFW.

Worauf ich hinauswollte ist , dass es manche leute gibt , die Open-Source mit "ist Sicher" gleichsetzten. Dem wollte ich engegenwirken.'Ist' würde ich nicht direkt sagen, aber potenziell sicherer ist Opensource Software IMHO schon. Beispiel die Kernel der Betriebssysteme: Windows Kernel vielleicht 1000nde Entwickler, Linux Kernel hat dagegen 100.000ende wenn nicht soagr ne Million von Entwicklern. Quizfrage: Wo werden wohl mehr Fehler entdeckt?

Im Gegensatz dazu kenne ich Bugfix ziemlich gut (bin ihm sogar schonmal gegenüber gestanden ) und mir ist bislang noch kein Mensch über den Weg gelaufen, der so viel über Computer im allgemeinen und Netzwerk-/Internet-Sicherheit etc im besonderen Bescheid weiss.Wenn man sich selber nicht direkt mit einem Thema auskennt - was ja nicht schlimm ist und absolut in Ordung ist, wenn man den Mut dazu hat das einzugestehen - wäre ich jedoch trotzdem vorsichtig wen ich als 'Experten' bezeichne. Die Posts von BUGFIX zeigen nur, dass er sich etwas auskennt, aber bei weitem noch viel zu lernen hat.


Noch etwas zu Dir BUGFIX, es tut mir ja leid, dass Du einiges scheinbar nicht nachvollziehen kannst (oder willst), dass ändert aber immer noch nichts daran das es der Wahrheit entspricht.
Fakt ist doch, dass Deine PFW breakout nicht aufhalten konnte, Du musstest das selbst Durch geeigente konfiguration machen.
Also, sorry deutlicher geht es doch nicht mehr - deine PFW hat da klar versagt, deshalb könnte man doch mal darüber ruhig und sachlich nachdenken, dass Deine Aussagen bzgl.Tunneling und den Missbrauch von guter Software eben weitestgehend falsch sind, da die PFW eben nicht geholfen hat. (was für einen Beweis willst Du denn noch?)
Wenn Du immer mehr haltlose Polemik hinterher wirfst, werden Deine Ausfürhungen dadurch nun mal auch nicht richtiger.

In diesem Sinne,

Sith

wer nichtmal die grundlegenden kenntnisse von tcpip verbindungen vorzuweisen hat sollte sich in diesen bereichen eher leise verhalten, und schon garnicht gross seine (leider komplett unprofessionelle weil kein hintergrundwissen) meinung als die einzig wahre rausposaunen @ bugfix

denn offensichtlich ist dir der verständnis fehler bei den tcpip verbindungen schon zweimal unterlaufen, das führe ich nicht mehr auf "ach verwechselt" zurück sondern auf "nicht gewusst"

Wenn ich den Browser beende ist wieder Schluss und nichts wird nach aussen angeboten, alle Ports sind geschlossen - so einfach ist das. Entweder kannst Du oder willst Du nicht verstehen.


Nee, der Port ist dann noch immer offen, den öffnet und beendet nicht der Browser. Und auf einem Client Rechner kannst du sowieso nichts am Port 80 machen, weil dort lediglich ein Http Client ist, der Daten nur empfängt, nachdem er die TCP Verbindung explizit aufgebaut hat.

Gruß,
grakaman

wenn du auf so schnapsideen mit gui programmen kommst

mir ist egal ob das Programm eine GUI hat oder nicht (bin mit dem C64 groß geworden) ist mir egal. Das Problem ist, dass Dein netstat bzw. Deine Aussagen mit dem Ports/Traffic/etc Zuordnen nur teilweise die Antwort auf die Frage bzw nur teilweise eine Lösung des Problems darstellt

kann ich dir nicht helfen, davon war hier nie die rede

siehe oben, es war auch nicht von einem Programm, das nur die offenen Ports anzeigt, die Rede, sondern von einem Programm das noch mehr anzeigt


wer nichtmal die grundlegenden kenntnisse von tcpip verbindungen vorzuweisen hat sollte sich in diesen bereichen eher leise verhalten, und schon garnicht gross seine (leider komplett unprofessionelle weil kein hintergrundwissen) meinung als die einzig wahre rausposaunen

ich denke Du meinst damit mich:

ich habe nie bestritten, dass ich über den ganzen Netzwerk Hintergrund nur dürftig Bescheid weiss. Wenn man sich Deine Ausbildung/Arbeitsstelle ansieht und sich überlegt welches Wissen Du über diese Materie haben müsstest und dann Deine Posts liest, dann kann ich nur noch mit dem Kopf schütteln.

Du müsstest es eigentlich besser wissen als "Firewalls sind Scheisse" - was ich bei Dir vermisse sind konkrete Punkte wo die Schwachstellen (abgesehen davon, dass in 100 Zeilen Code weniger Fehler sind als in 1000) sind/sein sollen. Darauf aufbauend wie Netzwerk funktioniert, wie eine Firewall konzeptionell funktioniert und dadurch zur Schwachstelle wird etc etc


Wenn ich nun Deine Posts und die von Bugfix vergleiche, fällt auf, dass letzterer auf die Details eingeht und Du dann dagegen "bashst", dass er nicht mal weiss wie etwas funktioniert, wozu es da ist etc etc aber Du hast bislang noch nie geschrieben wie etwas "wirklich" ist oder wie etwas funktioniert oder wozu etwas da ist



Ja, ich bin dumm: ich schaue in das Log-File meiner Firewall, sehe dass heute 20 neue Einträge drin sind und bin damit zufrieden dass die Firewall das alles abgehalten hat. Summa summarum, bin ich dumm, aber glücklich und zufrieden


Rainer

Hi,

Nee, der Port ist dann noch immer offen, den öffnet und beendet nicht der Browser. Und auf einem Client Rechner kannst du sowieso nichts am Port 80 machen, weil dort lediglich ein Http Client ist, der Daten nur empfängt, nachdem er die TCP Verbindung explizit aufgebaut hat.
Ja da hst Du natürlich Recht, ich sprach ja auch von 'einem' Port nicht direkt Port 80. Auch das ich nach beennden des Browsers sowas in der Art bekomme ist mir bewusst:
netstat -tun
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 1 0 10.172.188.2:33165 64.62.175.168:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33166 64.62.175.168:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33177 212.187.169.235:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33175 212.187.169.169:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33179 194.95.66.20:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33180 194.95.66.20:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33173 64.237.98.108:80 CLOSE_WAIT
tcp 1 0 10.172.188.2:33169 216.235.80.174:80 CLOSE_WAITIst mir schon klar, wollte halt abkürzen ;)

Aber hast Recht, Kritik zur Kenntnis genommen ;).


ich denke Du meinst damit michIch glaube er meinte BUGFIX.


Gruß,

Sith

warum sollte ich jedes tcpip paket auswendig kennen?

Ich bin kein Admin, deswegen habe ich da beschränktes Wissen. Es gibt aber beim Windows Server (möglich, dass das erst bei der Advances Version ist) ein Tool, mit dem du den Netzwerkverkehr mitlesen kannst. Was das Tool alles für eingebaute Funktionen noch hat, weiß ich nicht. Für die generelle Prävention wird das auch nicht unbedingt was bringen, aber für einen Hacker ist so ein Tool z.B. das A und O, um z.B. TCP Hijacking zu machen oder irgend eine andere Form. Freilich wirst du als Admin sicher nicht vor so einem Monitor Tool sitzen und die ganze Zeit Packete kontrollieren :-)

Gruß,
grakaman

mir ist egal ob das Programm eine GUI hat oder nicht (bin mit dem C64 groß geworden) ist mir egal. Das Problem ist, dass Dein netstat bzw. Deine Aussagen mit dem Ports/Traffic/etc Zuordnen nur teilweise die Antwort auf die Frage bzw nur teilweise eine Lösung des Problems darstellt


wie gesagt, ich kann meinen traffic zuordnen - von einem programm dass mit jedes paket auflistet habe ich nie gesprochen


siehe oben, es war auch nicht von einem Programm, das nur die offenen Ports anzeigt, die Rede, sondern von einem Programm das noch mehr anzeigt


siehe oben, es war generell NIE von irgendeinem programm die rede, sondern ob ich weiss welcher traffic bei mir erzeugt wird


ich denke Du meinst damit mich:

ich habe nie bestritten, dass ich über den ganzen Netzwerk Hintergrund nur dürftig Bescheid weiss. Wenn man sich Deine Ausbildung/Arbeitsstelle ansieht und sich überlegt welches Wissen Du über diese Materie haben müsstest und dann Deine Posts liest, dann kann ich nur noch mit dem Kopf schütteln.

Du müsstest es eigentlich besser wissen als "Firewalls sind Scheisse" - was ich bei Dir vermisse sind konkrete Punkte wo die Schwachstellen (abgesehen davon, dass in 100 Zeilen Code weniger Fehler sind als in 1000) sind/sein sollen. Darauf aufbauend wie Netzwerk funktioniert, wie eine Firewall konzeptionell funktioniert und dadurch zur Schwachstelle wird etc etc


Wenn ich nun Deine Posts und die von Bugfix vergleiche, fällt auf, dass letzterer auf die Details eingeht und Du dann dagegen "bashst", dass er nicht mal weiss wie etwas funktioniert, wozu es da ist etc etc aber Du hast bislang noch nie geschrieben wie etwas "wirklich" ist oder wie etwas funktioniert oder wozu etwas da ist



Ja, ich bin dumm: ich schaue in das Log-File meiner Firewall, sehe dass heute 20 neue Einträge drin sind und bin damit zufrieden dass die Firewall das alles abgehalten hat. Summa summarum, bin ich dumm, aber glücklich und zufrieden


Rainer
nein dich meinte ich nicht, du gibst dich im gegensatz zu bugfix nicht wie ein allwissender ;)

wie gesagt, ich kann meinen traffic zuordnen - von einem programm dass mit jedes paket auflistet habe ich nie gesprochen

siehe oben, es war generell NIE von irgendeinem programm die rede, sondern ob ich weiss welcher traffic bei mir erzeugt wird

habe mir noch einmal die letzten halbe dutzend Seiten des Threads durchgelesen:

wie sich das entwickelt hat kann ich mittlerweile nicht mehr ganz nachvollziehen :smile: - es wird wohl daran gelegen haben, dass Du (in Deinem Fall wohl sogar zurecht) sagst, dass Du sagen kannst wer bei Dir welchen Traffic verursacht. Allerdings hast Du genau in diesem Post versäumt zu sagen, dass Du definitv nur zwei Programme hast, die bei Dir ins Netz gehen.

Vor allem dadurch, dass hier doch recht allgemein über Ein und Ausgehende Verbindungen geredet wird, drängte sich hier der Eindruck auf, dass Du bei allen Programmen auf jedem Computer weisst wer und wann Kontakt zur Ausenwelt aufnimmt.


nein dich meinte ich nicht, du gibst dich im gegensatz zu bugfix nicht wie ein allwissender ;)

hehe, allwissend ist er sicher nicht - nur muss man ihm Argumente liefern an denen er sich dann die Zähne ausbeisst und nicht nur posten, dass seine Meinung/Ansicht/etc falsch ist


habe gerade eben erst Dein "Edit" bemerkt: :smile:

bugfix frage mich nach keinem programm, dass ist nur eine annahme von dir
er fragte ob ich meinen ganzen traffic den programmen zuordnen kann, und ja das kann ich - da ich standardmässig nur 2 programme habe die überhaupt traffic erzeugen

siehe oben - wie schon erwähnt, beim nächsten Mal schreibe bitte dazu warum/woher Du weisst, welcher Traffic woher kommt

es ist wohl eher unüblich, dass Leute nur zwei Programme auf dem Rechner haben die ins Internet wollen und daher war die "Vermutung" dass Du ein "tolles" Programm benutzt doch sehr naheliegend, oder? :)

Rainer

habe mir noch einmal die letzten halbe dutzend Seiten des Threads durchgelesen:

wie sich das entwickelt hat kann ich mittlerweile nicht mehr ganz nachvollziehen :smile: - es wird wohl daran gelegen haben, dass Du (in Deinem Fall wohl sogar zurecht) sagst, dass Du sagen kannst wer bei Dir welchen Traffic verursacht. Allerdings hast Du genau in diesem Post versäumt zu sagen, dass Du definitv nur zwei Programme hast, die bei Dir ins Netz gehen.

Vor allem dadurch, dass hier doch recht allgemein über Ein und Ausgehende Verbindungen geredet wird, drängte sich hier der Eindruck auf, dass Du bei allen Programmen auf jedem Computer weisst wer und wann Kontakt zur Ausenwelt aufnimmt.




hehe, allwissend ist er sicher nicht - nur muss man ihm Argumente liefern an denen er sich dann die Zähne ausbeisst und nicht nur posten, dass seine Meinung/Ansicht/etc falsch ist


habe gerade eben erst Dein "Edit" bemerkt: :smile:



siehe oben - wie schon erwähnt, beim nächsten Mal schreibe bitte dazu warum/woher Du weisst, welcher Traffic woher kommt

es ist wohl eher unüblich, dass Leute nur zwei Programme auf dem Rechner haben die ins Internet wollen und daher war die "Vermutung" dass Du ein "tolles" Programm benutzt doch sehr naheliegend, oder? :)

Rainer

ich versuche einfach so wenig software wie möglich zu verwenden.

ich versuche einfach so wenig software wie möglich zu verwenden.

manche Leute benötigen halt ein paar Programme mehr :smile:

Rainer

manche Leute benötigen halt ein paar Programme mehr :smile:

Rainer

solange man vertrauenswürdige software benutzt ist das doch kein problem
nicht einfach nen divxcodec mit gain und gator benutzen :)

Naja, PFWs sind nur ein Versuch Symptome zu bekämpfen. Entweder ich will ein sicheres System haben dann ziehe ich es richtig durch und schalte alle nichtbenötigten Dienste etc. ab oder ich lasse es bleiben. Ein bisschen sicher ist genauso wie ein bisschen schwanger. ;)

Klar, den 100%'igen Schutz bieten mir nur mind. 2 cm Luftlinie aber bewusst halbgare Lösungen sind IMHO überflüssig.

.