|
Die Wahrheit über Personal Firewalls Grauenhaftes Englisch und die Assemblerzeilen kann man getrost ignorieren, aber trotzdem ein sehr interessanter Artikel: The truth about personal firewalls |
Zitat:
Zitat:
|
Zitat:
Zitat:
|
naja man muss es halt verstehen^^ aber ich denke es war schon lange klar das software fws längst nicht so effizient sind wie ein router. Wenn schon normale trojaner mit Firewall Bypass arbeiten wird es eh schon kritisch |
hmm...mittlerweile kann man sowieso nicht mehr 100%ig sicher surfen... |
Zitat:
|
Hi, gemeint ist ein NAT-Router (NAT = Network Adress Translation). Ursprünglich dienten die dem Zweck, dass mehrere Rechner eine IP gemeinsam im Internet nutzen können um der Verknappung des Adressraums entgegenzuwirken. Die Rechner hinter dem Router nutzen einen speziellen Adressraum für private Netze, der häufigste sind die IPS, die mit 192.168 anfangen. Will jetzt ein Rechner eine Verbindung ins Internet aufbauen, kommt das erstmal bei dem Router an. Der übersetzt die auf die IP-Adresse, die er im Internet hat, leitet es weiter und trägt die Verbindung in eine interne Tabelle ein. Wenn jetzt vom Server Antworten kommen, kann er anhand der Tabelle ausmachen, zu welcher Verbindung sie gehören, übersetzt zurück auf die interne Adresse und leitet sie an den entsprechenden Host weiter. Hier geht es darum, dass wenn ein Wurm versucht zu der öffentlichen IP eine Verbindung aufzubauen um dort einen Rechner zu infizieren, das nicht Teil einer vorhandenen Verbindung ist und der Router es einfach wegwirft. Eigentlich ist das erstmal noch keine Firewall. Die Hersteller der Router bauen in dieses Grundprinzip unterschiedliche Filtermöglichkeiten ein, um z.B. Verbidungen zu bestimmten IP(Bereichen), Ports, usw sperren zu können. Ebenso gibt es Filtermöglichkeiten auf der Seite des lokalen Netzes, z.B. kann eine Sperre nur für einen bestimmten Computer eingerichtet werden. Die "Krönung" ist ein alter PC, auf dem ein Linux/BSD o.ä. mit netfilter/iptables installiert wird. Da kann man so ziemlich jeden Filterwunsch dann realisieren, mit der einschränkung, dass auf dem Router nicht bekannt ist, von welchem Prozess auf dem Computer die Daten stammen. Viele lassen sich aber anhand der Daten erkennen, ich habe es zum Beispiel geschafft, die Nutzung von P2P in unserem lokalen Netz zu unterbinden. Nicht wegen der moralisch/juristischen Gründe, sondern weil an dem Netz über 40 Rechner hängen und eine kleine Minderheit die komplette Bandbreite damit blockiert hat. Allerdings braucht auch die Software auf dem Router Updates, auch dort kann es vorkommen, dass Fehler vorhanden sind, mit denen es möglich ist, dass auf dem Router Code des Angreifers ausgeführt wird. Ist er einmal erobert, gehört er dem Angreifer, der damit einen Computer im lokalen Netz hat. Unangenehme Vorstellung. Wenn ich allerdings die Häufigkeit, mit der Updates für Windows erforderlich sind, mit der für Linuxupdates (besonders den Kernel und den Netzwerkcode) anschaue, dann spricht das sehr dafür. Gruß, Karl |
Karl, was Du geschrieben hast, ist mir alles bekannt. :) meine Frage bezog sich auf die Aussage von sufffer, die ohne weiterreichende Erläuterungen mehr als irreführend ist. Zitat:
"Heute" wird mit reverser Verbindung gearbeitet, also von "innen" nach "außen", und da schützt eben ein Router nicht durch bloße Anwesenheit. deshalb meine Frage an sufffer: Zitat:
|
Zitat:
Letztendlich kann man jeden Schutz umgehen.. Ich finde den Artikel gut strukturiert da er ja nicht grundsätzlich behauptet, dass PFW nutzlos wären sondern vielmehr verdeutlicht, dass das Preis-Leistungs-Verhältnis praktisch nie stimmt. Windows liefert eine Firewall "kostenlos" mit die die wichtigsten Aufgaben erfüllt. In Kombination mit den Funktionen eines NAT-Routers ist eine Basis-Schutz gewährleistet. Allerdings möchte ich anmerken, dass sicherliche eine ganze Menge User die Firewall nicht primär gegen Schädlinge sondern auch gegen die zahlreichen "Home-Calls" von legitimen Progs auf dem PC einsetzten. Die Diskussion um den gläsernen Menschen hat da in den letzten Jahren sicherlich einiges zu beigetragen und auch ich bin der Meinung, dass man sich in der heutigen Zeit um das Thema durchaus Gedanken machen sollte. Dafür wird dann allerdings keine kostenpflichtige Variante benötigt sondern man kann getrost auf eine kostenlose PFW zurückgreifen. PS: :) Hi Heike. dachte ich mir doch.. ^^ |
Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router. Wenn man wüßte, wohin die Verbindung geht oder über welchen Port, dann könnte man sperren, aber wenn überhaupt, dann weiß man das erst, wenns bereits passiert ist. So gesehen wird das mit dem Router natürlich übertrieben. Er schützt davor, dass auf den Rechner vom Internet aus direkt zugegriffen werden kann. Also davor, dass Fehler in der Netzwerksoftware ausgenutzt werden können, um den Rechner überhaupt erst mal zu infizieren. Wenn alle Updates zeitnah installiert werden, spielt das eine recht kleine Rolle, im Falle eines 0-Day-Exploits könnte es relevant werden. Liegt er allerdings im Browser, in einem ActiveX, wo auch immer, dann nützt er auch nichts. Ein weiterer Pluspunkt auf dem Router ist noch, dass man dort die Verbindungen kontrollieren kann. Auf dem Rechner können Techniken eingesetzt werden, dass sie isch innerhalb des Systems nicht ermitteln lassen, wenn sie durch den Router gehen, liegen sie offen. Das habe ich schon auprobiert: ein Backdoor in einer VM, eine weitere VM (Linux, netfilter) durch die der Traffic der ersten VM Richtung Internet durch muss. In der erstem VM ist höchstens mit Rootkitscannern was zu ermitteln, Netstat und Tcpview zeigen nichts. In der zweiten ist es offensichtlich, da kann ich den Traffic mitschneiden. Oder auf dem Hostsystem, auf dem die VMs laufen, ich bevorzuge aber eine zweite VM, weil ich mit netfilter wesentlich besser filtern kann, will ja keinen Spam versenden. Diese Versuche dem bereits installierten Backdoor die Verbindung in die Heimat zu verwehren, taugen nichts, das ist die falsche Herangehensweise. Es kommt einzig darauf an, ihn garnicht erst zu installieren. Wenn das erstmal passiert ist, dann hat man verloren, weder Softfirewall, noch Hardfirewall noch Router ändern da was dran. Gerade heute in einem anderen Forum erlebt: Ein Backdoorserver als ADS an das system32-Verzeichnis gehängt, ein unsichtbarer Browser läuft und Zonealarm merkt nichts. Selbst wenn so eine Firewall was meldet und man dann auf "verweigern" klickt: Es gibt viele Techniken, an der Firewall vorbei zu kommen. Nur weil eine auffliegt, heißt das nicht, dass die nächste nicht umso besser funktionieren kann. Anwender ist glücklich "meine Firewall hat mich beschützt" während die Daten rausfließen. Bisherige Vergleichstest auf solche Techniken (Stichwirt Leaktests) hat noch keine Firewall komplett bestanden. Und es lassen sich sicher neue Techniken entwickeln. Die Homecalls legitimer Programme: Da kann man erwarten, dass sie sich ausschalten lassen. Wie z.B. die Anfragen, ob es Updates gibt. Programme, die das denooch gegen den Weillen des Anwenders tun, gehören nicht auf den Rechner. Das schlimmste Homecall-Problem hatte ich mal mit Zonealarm (ich bekenne, dieses Programm auch mal genutzt zu haben). Irgendwann ist es mir dann aufgefallen, dass Zonealarm verschlüsselte Daten zu seinem Hersteller überträgt. In Zonelalarm also Zonealalarm das Internet verboten. Alert-Advisor (hieß irgendwie so ähnlich) getestet: Richtig, Zonealalarm teilt mir mit, dass es mir keine Informationen leifern kann, da ich ihm ja die Verbindung ins Internet verboten habe. Gleichzeitig sch....t das Programm auf die erteilten Regeln, denn im Hintergrund telefoniert es fleißig weiter. Ruhe gab es erst, nachdem ich diverse Adressen von Zonelabs in der Hosts-Datei auf 127.0.0.1 umgelenkt habe. Kurz danach ist der Mist vom Computer geflogen, das war dann das nächste Abenteuer. |
Zitat:
Üblicherweise nutzt jede moderne Schadsoftware eine reverse Verbindung, also ist ein normaler Router kein Schutz, der durch bloße Anwesenheit wirkt, leider wird es oft so vermittelt. |
Zitat:
Desweiteren gehen mir die zahlreichen online "Registrierungen" total auf den Senkel. Mal eins der vielen Beispiele: Logitech Sound Software vor kurzem installiert. Da wurde ich gefragt ob ich mich online registrieren möchte.?!. wozu denn bloß? :confused: Ich habe eindeutig verneint und siehe da: *Ploing* Logitech versucht trotzdem nach draußen zu kommen.. Was da dann noch gesendet werden sollte bleibt mir ein Rätsel. Vielleicht, dass User XY sich nicht registrieren möchte und wir ihn ab und zu mal auf die Vorteile einer solchen Registrierung hinweisen sollten?? :headbang: Man man.. PS: Hat jemand Ahnung von der KIS FW? Scheint jedenfalls "besser"/intelligenter als die von NOD's SmartSecurity zu sein. Die hat ICQ und vieles andere nämlich nicht bemerkt/bemängelt. |
Zitat:
vom "Entdecken" wäre eigentlich Comodo mein Favorit, nur die Logs gefallen mir so gar nicht. <off-topic> http://img301.imageshack.us/img301/8...oolsrh8.th.jpg PC-Tools Firewall Plus installiert, Spyware Doctor installiert, Einstellungen auf default gelassen, Poison Ivy Server gestartet, remote auf den PC verbunden, ohne irgendeine Warnmeldung. PC rebootet, könnte ja sein, Spyware Doctor hat den Start des Servers nach dem Reboot verhindert, nein, der Server connected wieder. ganz normaler Poison Ivy Server, released vor über einem Monat. http://www.rokop-security.de/style_e...t/rolleyes.gif klasse, oder? :blabla: |
Zitat:
|
...und über allem schwebt halt immer noch das größte aller Sicherheitslöcher...... Der Administrator der in Zonealarm dann einen Prozess rausläßt und auf "frag mich nach diesem nie wieder" klickt,nur weil er so ähnlich heißt wie dieses Zeugs von Microsoft oder eben ,weil ja MS per se böse ist, ein Programm das sich "Zonalarm" nennt oder vielleicht so "Zonealam"...:Boogie: Was mit den svchost exen geht,wird auch mit Programmnamen funzen...:party: Irrlicht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board