[MaTie]

Zitat (puppet: 31.05.2005, 00:43)

Du musst und halt mit mehr Infos versorgen was du vor hast, welche Anbindung du hast (obwohl der 803er da ja schon sehr flexibel ist) und wie du deine Clients anbinden willst.
<{POST_SNAPBACK}>

Also ich habe Zwei PC´s in meine Zimmer zu stehen (Desktop PC und ein Notebook) die beide ins Internet gehen sollen. Ich nutze eine DSL Verbindung, wo ich mich über ein Modem einwähle (PPPoE).

Ich möchte erreicht das ich auf beiden PC´s zugreifen kann(also so zu sagen ein kleines Privatesnetzwerk) und beide gleichzeitig ins Internet können. Und wie in dem Beitrag von Chaos Computer Club Ulm gesagt wird, dass man sich einen Router der NAT oder PAT unterschützt davor klemmt, so das beide PC´s im Internet nicht zusehen sind, sonder nur der Router.
Sollte dies dann der fall sein das ich mir einen Router da vor klemmen und dann ist es auch sche*** egal wie ich meine PC´s konfiguriere, da ja alles vom Router geblockt wird (Sofern dieser richtig eingestellt ist).

Dieser Beitrag wurde von DJ_MaTie bearbeitet: 31. Mai 2005 - 11:58

[puppet]

Mh schade, jetzt kommst du nicht in den Genuss von IOS Naja macht ja nix.

B2T: Ich hab grad MiPa, und nun hab ich mir etwas überlegt
Das SilentDoor-Prinzip dürfte ja mittlerweile geläufig sein, nun stell ich mir die Frage ob sich das selbe Prinzip auch unter Win32 realisieren lässt.
Ich muss mir heute abend mal IP Sorcery und ZoneAlarm oder sowas suchen und das mal testen, oder hat dies schon mal jemand getestet? Evtl auch mit Winpcap?

[Rika]

Hach, nochmal: NAT ist keine Sicherheitsmaßnahme. Es gibt durchaus Möglichkeiten, den Router doch mal von außen dazu zu überreden, etwas ungewolltes durchzureichen - beispielsweise wenn ich ein böser FTP-Server bin.

http://groups.google.com/groups?as_umsgid=...40news.jors.net

Und selbst wenn der Router das alles ordentlich machen würde bzw. gar nicht macht, hast du immernoch das Problem mit den UDP-States sowie TCP-Session-Hijacking bzw. -MitM.

[xploit]

Ich hab mir nun nochmal ein wenig Zeit genommen, und nach der gestrigen (hitzigen) Diskussion ein wenig die Threads hier angeschaut. Nachvollziehen kann ich die vielen Argumentationen _gegen_ Firewalls durchaus. (Ich sag bewusst Firewalls, weil diese dämliche Diskussion um dem korrekten Terminus vollkommen überflüssig ist, ich glaub, wir sind alt und vor allem Erfahren genug in diesem Metier, und müssen nicht unnötig mit Fachwissen protzen... )

Manchmal find ich die Hinweise (auch in dem Sicherheits-Howto eins weiter oben) völlig praxisfern. Kein normaler Ottonormal-User stellt sich einen extra Rechner hin, um auf dem ein Sicherheitssystem vor dem Herren zu installieren. Ergo: Na logisch läuft die PFW / DesktopFw auf dem Arbeitsrechner... sicher ist das ein weiteres Risiko.... natürlich sind PFW nicht ausgereift... na und? Es sind ja auch PERSONAL Firewalls, für den persönlichen Privatgebrauch, für den (wegen mir auch schwachen) Schutz eines privaten Rechners, der für gewöhnlich keinen härteren Angriffen ausgesetzt wird.
Gut, das wollt ich mir nur mal von der Leber schreiben. Darum gehts mir aber garnicht... lieber stell ich mir n Router hin, oder deaktiviere meine Freigaben, wenn ich mich direkt einwähle - na klar reicht das aus...

Aber was mir immer noch unter den Nägeln brennt ist die Frage nach "offizieller" Spyware.

Tatsächliche bedrohliche Programme eines Crackers kommen mir prinzipiell nicht auf die Platte, dafür bewege ich mich viel zu vorsichtig im öffentlichen Raum, klicke nicht auf jedes Fenster, lad nicht jeden Müll - das übliche halt. Was ist aber mit offizieller Software (wie gesagt, nichts von nem Scriptkiddy oder Cracker!), die ungewünscht nach Hause telefoniert? Da liegt für mich immer noch ganz klar der Einsatzzweck einer PFW. Delphi 2005 PE z.B. - muss ja nicht sein, dass das regelmäßig nach Hause telefoniert. Auch Skype habe ich in der Kommunikation ein wenig beschnitten. Alles Beispiele ansich gutartiger Software, deren Kommunikation man in meinen AUgen nur mir einer Firewall komfortabel kontrollieren kann. Das was die Firewall noch nebenher mitbringt, den "Trafficfilter" nehm ich als kostenlose Dreingabe gerne in Kauf.

So, und jetzt freue ich mich auf Gegenargumente sachlicher Natur


xploit

Dieser Beitrag wurde von xploit bearbeitet: 21. Juni 2005 - 19:31

[Rika]

Zitat

Ergo: Na logisch läuft die PFW / DesktopFw auf dem Arbeitsrechner... sicher ist das ein weiteres Risiko.... natürlich sind PFW nicht ausgereift... na und? Es sind ja auch PERSONAL Firewalls, für den persönlichen Privatgebrauch, für den (wegen mir auch schwachen) Schutz eines privaten Rechners, der für gewöhnlich keinen härteren Angriffen ausgesetzt wird.

Nur daß sie keinen Schutz bieten, sondern den Rechner angreifbarer machen.

Zitat

Was ist aber mit offizieller Software (wie gesagt, nichts von nem Scriptkiddy oder Cracker!), die ungewünscht nach Hause telefoniert?

Die kann man idR entsprechend konfigurieren. Kann man das nicht, dann wird sie halt entsorgt.

Zitat

Da liegt für mich immer noch ganz klar der Einsatzzweck einer PFW.

Nur daß auf offizielle Software PFWs als Störung erkennt und umgeht. Siehe RealPlayer, siehe Photoshop Product Activation, siehe...

Zitat

Delphi 2005 PE z.B. - muss ja nicht sein, dass das regelmäßig nach Hause telefoniert.

Macht es auch nicht.

Zitat

Auch Skype habe ich in der Kommunikation ein wenig beschnitten.

Wenn man keine Ahnung hat...

Zitat

Alles Beispiele ansich gutartiger Software, deren Kommunikation man in meinen AUgen nur mir einer Firewall komfortabel kontrollieren kann.

Warum willst du gutartige Software kontrollieren müssen? Warum benutzt du Software, der du nicht traust?

Zitat

Das was die Firewall noch nebenher mitbringt, den "Trafficfilter" nehm ich als kostenlose Dreingabe gerne in Kauf.

Die Sicherheitslücken leider auch.

[Bockfett]

Zitat (Rika: 21.06.2005, 20:56)

Warum willst du gutartige Software kontrollieren müssen? Warum benutzt du Software, der du nicht traust?
<{POST_SNAPBACK}>

Es soll Menschen geben, die nicht lizensierte Software auf ihrem Rechner haben und dann ihr schlechtes Gewissen und ihre Angst mit einer 3x so teuren Firewall zu unterdrücken versuchen, auch wenn das keinen tatsächlichen Erfolg hat.

[Graumagier]

xploit sagte:

Kein normaler Ottonormal-User stellt sich einen extra Rechner hin, um auf dem ein Sicherheitssystem vor dem Herren zu installieren.

Was auch gar nicht notwendig ist, eine entsprechende Rechnerkonfiguration schafft diverse Sicherheitsprobleme ohne Zusatzsoftware/Hardware aus der Welt.

[xploit]

@Graumagier
Das es mir darum nicht geht, hast du offenlich mitbekommen. Und das ich oben geschrieben hab, dass eine sinnvolle Konfig wichtig ist, hast du hoffentlich auch mitbekommen... naja, und so weiter.

@Rika
Gut, mir ist klar, das ganz offensichtlich Firewalls voller Bugs stecken, aber wie schon geschrieben, welche Software nicht? Egal, du wirst vielleicht beruhigt sein zu hören, dass ich vor 5 Minuten die Kerio über Board geschmissen hab... habs ja eh nur für ausgehenden Verkehr gebraucht.
Weiterhin: Ich gehe davon aus das du Delphi2005 selber nutzt, sonst könntest du so eine Feststellung nicht mit dieser Sicherheit tätigen. Bei mir jedenfalls werden (bei der 7`er PE btw auch) bei jedem Programmstart die Borland-News abgerufen. Muss nicht sein, oder?

Was hat dein Kommentar bezüglich Skype für Hintergründe? Ich find solche leicht arroganten Anspielungen immer sehr amüsant, weil sie eher dich diffamiert, anstatt mich, wie es wohl ihr Ziel sein sollte.
Anstatt beispielhafter Kritik nur ein läppisches "... du hast ja null Ahnung..." von den Lippen zu zaubern kommt unreif, grosskotzig, verwirrend und "just" unkonstruktiv rüber - vielleicht hast du ja die Güte, und nennst mir den Grund deines "Auswurfes". Vielleicht darf ich, den du ja ganz offensichtlich für ein unterbelichtetes Dummerchen hälst, auch etwas dazulernen, oder ist dein Wissen ein so stark behütetes Geheimniss?
(ich hab in meiner Kindheit übrigens noch eine Erziehung genossen, die mir Respekt vor meinem Gegenüber lehrte - egal welchen Wissenstandes oder Alter er ist. Und auch wenn ich in einem Bereich augenscheinlich sehr bewandert bin, bemühe ich mir meine Gesprächspartner nicht mit herablassenden Kommentaren die Laune an der Konversation zu nehmen.... aber das ist ein anderes Thema, leider ist es in öffentlichen Communitys sehr schwierig, sich einfach nur normal über ein Thema zu unterhalten... )

Worauf ich eigentlich hinauswollte, es gibt durchaus Shareware bzw. vergleichbare, die ohne meine Erlaubnis nach Hause telefonieren. Es wird wohl noch erlaubt sein, auch mal etwas neues zu probieren, oder nicht?
Ich erinnere nur an ein Programm aus dem PDF-Bereich, welches ganz offensichtlich hartnäckig nach Hause telefoniert - die Thematik ist auf jedenfall nicht so weit hergeholt, dass sie einen lokalen Schutzmechanismus nicht rechtfertigen würde, oder? (Name ist mir im Moment entfallen, bei Bedarf reiche ich den nach).
An der Stelle auch ein herzliches Dankeschön an Bockfett für den wirklich philosophischen Beitrag zur Diskussion.

xploit

[Graumagier]

xploit sagte:

Das es mir darum nicht geht, hast du offenlich mitbekommen.

Nein, bei dir klingt es als gäbe es nur die Möglichkeiten (1) unsicher, (2) Hardware und (3) PFW. Dieses Gefühl überkam mich zumindest beim Lesen des zweiten Absatzes.

xploit sagte:

Es wird wohl noch erlaubt sein, auch mal etwas neues zu probieren, oder nicht?

Durchaus nicht. In dem Fall --> Programm starten, TCPView nebenbei laufen lassen, wenn es "funkt" --> Optionen durhsuchen, ob man den Verkehr nicht abstellen kann, ansonsten --> deinstallieren.

Dieser Beitrag wurde von Graumagier bearbeitet: 21. Juni 2005 - 20:46

[Rika]

Zitat

Gut, mir ist klar, das ganz offensichtlich Firewalls voller Bugs stecken, aber wie schon geschrieben, welche Software nicht?

Eben, drum sollte man auf überflüssige Software verzichten.

Zitat

Weiterhin: Ich gehe davon aus das du Delphi2005 selber nutzt, sonst könntest du so eine Feststellung nicht mit dieser Sicherheit tätigen. Bei mir jedenfalls werden (bei der 7`er PE btw auch) bei jedem Programmstart die Borland-News abgerufen. Muss nicht sein, oder?

Nein, das kann man abstellen.

Zitat

Was hat dein Kommentar bezüglich Skype für Hintergründe?

1. Wenn Skype eine Verbindung für sinnvoll hält, dann ist das aller Wahrscheinlichkeit nach auch so.
2. Es gibt ordentlich funktionierende Clients für echte VoIP-Protokolle wie SIP und H.32x.

Zitat

Worauf ich eigentlich hinauswollte, es gibt durchaus Shareware bzw. vergleichbare, die ohne meine Erlaubnis nach Hause telefonieren. Es wird wohl noch erlaubt sein, auch mal etwas neues zu probieren, oder nicht?

Dann ignoriere aber auch nicht die Konsequenzen.

Zitat

die Thematik ist auf jedenfall nicht so weit hergeholt, dass sie einen lokalen Schutzmechanismus nicht rechtfertigen würde, oder?

Ein Mechanismus, der nicht funktioniert, ist nicht gerechtfertigt.

[xploit]

Zitat (Graumagier: 21.06.2005, 22:45)

Nein, bei dir klingt es als gäbe es nur die Möglichkeiten (1) unsicher, (2) Hardware und (3) PFW. Dieses Gefühl überkam mich zumindest beim Lesen des zweiten Absatzes.

Dann lass mich das jetzt nochmal ausdrücklich klarstellen: Das ist nicht der Knackpunkt

Zitat (Graumagier: 21.06.2005, 22:45)

Durchaus nicht. In dem Fall --> Programm starten, TCPView nebenbei laufen lassen, wenn es "funkt" --> Optionen durhsuchen, ob man den Verkehr nicht abstellen kann, ansonsten --> deinstallieren.

Guter Lösungsansatz, ich war bisher mit ActivePorts befreundet - nur das Problem: Monitor ist nicht gleich "Schutz". Ich will garnicht erst zulassen, dass eine Verbindung ensteht, und diese dann beobachten!

Rika sagte:

Eben, drum sollte man auf überflüssige Software verzichten.

Argument akzeptiert, wie auch oben schon zu lesen, verzeichte ich ATM auf KPFW.

Rika sagte:

Nein, das kann man abstellen.

sag bloss
Bitte bring mich jetzt nich in die Verlegenheit, eine detaillierte Liste aller Programme aufstellen zu müssen, bei denen die Gefahr besteht, sie telefonieren nach Hause. (zumal so eine Liste schier unmöglich ist, aber ein ausgezeichnetes Verzeichnis darstellen würde!)
Verstehe diese beiden Programme als Beispiel - aus dem Stehgreif bin ich nunmal auf Delphi und Skype gekommen. Du wirst mir zustimmen (müssen!), dass diese Gefahr de facto bei jedem Programm lauern _kann_ - also argumentiere nicht gegen meine Beispiele, sondern gegen das angesprochene Problem: Wie schütze ich mich davor effektiv, wenn nicht ohne PFW?

Zitat

1. Wenn Skype eine Verbindung für sinnvoll hält, dann ist das aller Wahrscheinlichkeit nach auch so.
2. Es gibt ordentlich funktionierende Clients für echte VoIP-Protokolle wie SIP und H.32x.

laut ActivePorts hatte Skype unzählige Verbindung, u.a. Richtung Asien und Nordeuropa geöffnet, und das auf vielen interesanten Ports. Eine Verbindung bestand auch über HTTPS. Nachdem ich alle, bis auf HTTPS, in der Kerio strickt untersagte, funktionierte die Kommunikation trotzdem tadellos. In meinen Augen ein Erfolg, denn die anderen Verbindungen waren definitiv nicht nötig, und jeder offene Port auf einem Rechner stellt ein Risiko dar, wo du mir hoffentlich zustimmen wirst.
(lachen würde ich jetzt natürlich, hätte die Kerio die Ports nicht wirklich geblockt, aber keine Sorge, das wurde alles durch ActivePorts verifiziert - Skype war danach tatsächlich um einiges "ruhiger"...)
Danke für den Hinweis auf alternative Kommunikationsmöglichkeiten über IP - nur nutzen die wenig, wenn der Grossteil des Freundeskreises da nicht mitmacht, meinst du nicht auch? Dann hätte ich ja niemand mehr zum schnacken, und müsst mich nur noch im WinfutureBoard aufhalten, das kann nicht dein Ziel sein

Rika sagte:

Dann ignoriere aber auch nicht die Konsequenzen.

Tu ich nicht, ich will ja reagieren. Wie geschrieben, wenn nicht mit der Kerio (oder ander Desktop FW), wie denn sonst?

Zitat

Ein Mechanismus, der nicht funktioniert, ist nicht gerechtfertigt.

Ist jetzt zwar aus dem Kontext gegriffen, aber ich hoffe trotzdem noch verständlich: Ich betrachte ja hier auch die Problematik der "offziellen" Software die unerlaubt nach Hause telefoniert. Wie geschrieben, besteht natürlich die Möglichkeit, dass ein offensives Programm die Schutzmechanismen einer DesktopFirewall umgeht. Programme aber, die im Grunde nützlich und freundlich sind wenden IMHO keine agressiven Methoden an, wie sie in Crackerkreisen üblich wären - das wäre keine gute Publicity, denke ich.


xploit

[Graumagier]

xploit sagte:

Ich will garnicht erst zulassen, dass eine Verbindung ensteht, und diese dann beobachten!

Dann lass das ganze in einer VM ohne Netzwerkverbindung laufen oder kappe die Leitung. Anders kannst du nicht garantieren, dass ein Programm Zugriff auf das Internet bekommt.

xploit sagte:

Wie geschrieben, wenn nicht mit der Kerio (oder ander Desktop FW), wie denn sonst?

Siehe oben.

xploit sagte:

Programme aber, die im Grunde nützlich und freundlich sind wenden IMHO keine agressiven Methoden an, wie sie in Crackerkreisen üblich wären

Zwei Programme (Photoshop und RealPlayer) wurden von Rika schon genannt.

xploit sagte:

das wäre keine gute Publicity, denke ich.

Wen interessiert es, wenn ein nicht funktionierender Schutz umgangen wird?

Dieser Beitrag wurde von Graumagier bearbeitet: 21. Juni 2005 - 21:36

[xploit]

Zitat (Graumagier: 21.06.2005, 23:30)

xploit sagte:

Ich will garnicht erst zulassen, dass eine Verbindung ensteht, und diese dann beobachten!

Dann lass das Ganze in einer VM laufen oder kappe die Verbindung.
<{POST_SNAPBACK}>

Das 1. ist zu teuer (ausser VMWare gibts noch Bochs, was dafür garnicht geeignet ist, ansonsten war es das an sinnvollen PRogrammen zu dem Thema) und das 2. zu umständlich. (Was ist wenn nebenbei ein Transfer läuft, oder ich Webradio höre)

Versteh mich nicht falsch, deine Lösungsansätze sind ansich sinnvoll und erfüllen ihren Zweck, sind aber leider relativ umständlich - in meinen Augen ist eine PFW die praktischste Lösung, wenn es genau um dieses Problem geht.

Zitat

QUOTE(xploit)
Wie geschrieben, wenn nicht mit der Kerio (oder ander Desktop FW), wie denn sonst?

Siehe oben.

Bitte etwas genauer, in Form eines Programm-Namen. Und jetzt sag bitte nicht TCPView

Zitat

Zwei Programme (Photoshop und RealPlayer) wurden von Rika schon genannt.

Bitte Bitte Bitte mit weißem Sahnehäubchen dekoriert - es geht mir nicht darum eine vollständige Liste von Programmen anzufertigen, die gefährlich sind - das ist Kukolores, sondern um den Fakt, das diese Gefahr besteht!

Zitat

Wen interessiert es, wenn ein nicht funktionierender Schutz umgangen wird?

Was soll das bedeuten? Irgendwann kommts doch raus. Ich, der kleine Homeanwender merke das nicht, aber es gibt genug Sicherheitsfreaks, die auch dieses eine Programm abklopfen, und dann fällt auf, dass Programm XY mit übelsten Crackermethoden heimlich eine Verbindung hinter den Rücken einer DesktopFw aufbaut - was meinst du was das für ein Theater gibt? Die Gefahr ist, glaube mir, zu gross...
Ergo: Ein offizielles / öffentliches Programm wird sich nicht unbedingt subversiver Crackermethoden bedienen, nur um ein paar persönliche Daten gen Heimat zu schicken - Ergo: jede billige PFW dürfte damit zurecht kommen, oder?

Dieser Beitrag wurde von xploit bearbeitet: 21. Juni 2005 - 21:47

[Graumagier]

xploit sagte:

in meinen Augen ist eine PFW die praktischste Lösung, wenn es genau um dieses Problem geht.

Nein, denn
1.) wenn ein Programm ins Internet will, kommt es ins Internet. Und dabei ist es unerheblich, ob es sich um Malware oder die Onlineregistrierung einer "vertraulichen" Applikation handelt.
2.) behindern PFWs dabei nur unerheblich.

xploit sagte:

Bitte etwas genauer, in Form eines Programm-Namen.

Virtual PC, VMWare - oder das Kappen der Verbindung.

xploit sagte:

sondern um den Fakt, das diese Gefahr besteht!

Das wissen wir inzwischen alle - und diese Beispiele zeigen, dass PFWs dagegen nicht schützen.

xploit sagte:

und dann fällt auf, dass Programm XY mit übelsten Crackermethoden heimlich eine Verbindung hinter den Rücken einer DesktopFw aufbaut - was meinst du was das für ein Theater gibt?

Und dann? Dann verklagt der Hersteller der Software den Hersteller der PFW, weil diese vorsätzlich die Funktionalität der Software einschränkt und zudem - laut Werbung - gegen "Bösewichte aller Art" schützt - was man natürlich nicht auf sich sitzenlassen will.
Also im Ernst: Das war doch wohl nicht ernst gemeint!?

xploit sagte:

Ergo: Ein offizielles / öffentliches Programm wird sich nicht unbedingt subversiver Crackermethoden bedienen, nur um ein paar persönliche Daten gen Heimat zu schicken - Ergo: jede billige PFW dürfte damit zurecht kommen, oder?

Denkst du nicht, dass es die Hersteller der betroffenen Software irgendwann lernen?

Dieser Beitrag wurde von Graumagier bearbeitet: 21. Juni 2005 - 21:52

[xploit]

ich dachte eigentlich, den Gegenbeweis hätte ich erbracht, das die Kerio sehr wohl geblockt hat... siehe oben, bitte nochmal lesen

ps:
mir fällt grad auf, dass Graumagier, Rika und ich hier die einzigen sind, die zu dieser Thematik sich fetzen - wurde das schon so oft diskutiert, dass den anderen langweilig ist, oder gibts sonst einfach keinen weiter der noch die eine oder andere Meinung vertritt. Mich würde schon interessieren, ob ichmit meiner Ansicht vollkommen alleine auf weiter Flur stehe

Dieser Beitrag wurde von xploit bearbeitet: 21. Juni 2005 - 21:51