[Rika]

Klar doch, man kann seinen eigenen WndProc schreiben - Spinner wie die Leute bei Sygate machen das auch teilweise, pfuschen dann auch noch mit Kernelmode-Treibern und bauen damit eine ganz eigene Sicherheitslücke. Aber willst du wirklich zig Megabyte zusätzlichen fehlerhaften Code einbauen, der das System unbenutzbar langsam und unstabil macht, anstatt Microsoft dazu anzuhalten, das Problem im DefaultWndProc zu fixen?

Nebenbei, solch ein Sicherheitssystem ist idR unpraktisch. Schau dir nur mal bei X11 die X Security Extension an und wie xspy und xsnap funktionieren.

[xploit]

Zitat (Graumagier: 15.07.2005, 12:05)

pi's Law

@sYnTaX: Sagt dir Broken by design was?
<{POST_SNAPBACK}>

Dann dürfte man gar keine Software mehr nutzen, nicht mehr Auto fahren, nicht mehr atmen, denn "broken by design" ist schon der Mensch in seiner reinen Existenz.
Natürlich ist eine Firewall "broken by design". Aber das ist sie auch, wenn morgen ein Hersteller ein unüberwindbares Firewallsystem anbieten würde, denn 1 Woche später wird auch dieses überwunden. Unabwendbar. Auch ein Virenscanner ist "broken by design", ein Betriebssystem, ein Apfel der von einer Made angegriffen werden kann, ein Flugzeug was abstürzen kann...
Verteidigung und Angriff, Gut und Böse, Actio und Reactio, wo Licht, da auch Schatten... um's philosophisch zu sagen - aber gut, dass du diesen Spruch irgendwo aufgeschnappt hast

[Graumagier]

xploit sagte:

Dann dürfte man gar keine Software mehr nutzen, nicht mehr Auto fahren, nicht mehr atmen, denn "broken by design" ist schon der Mensch in seiner reinen Existenz.

Nein, ich glaube du bist dir nicht ganz klar darüber, was "by Design" bedeutet.

xploit sagte:

Auch ein Virenscanner ist "broken by design"

Nein. Außer du meinst Real-Time-Scanner, dann natürlich ja.

xploit sagte:

ein Betriebssystem

Nein, nicht "by Design".

xploit sagte:

ein Apfel der von einer Made angegriffen werden kann

Nein, dann wären Äpfel schon lange ausgestorben.

xploit sagte:

ein Flugzeug was abstürzen kann...

Nein, ebenfalls nicht "by Design".

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juli 2005 - 14:51

[xploit]

dann klär mich doch bitte auf, was "by design" bedeutet

Dieser Beitrag wurde von xploit bearbeitet: 15. Juli 2005 - 14:54

[Graumagier]

xploit sagte:

dann klär mich doch bitte auf, was "by design" bedeutet

"Broken by Design" --> Kann nicht funktioniert, weil aus bestimmten Umständen heraus unmöglich.

Eine PFW ist broken by Design, weil sie auf dem zu schützenden System läuft, ebenso ein On-Access-Virenscanner.

Die anderen genannten Beispiele sind nicht "broken by Design", immerhin funktionieren sie so wie sie sollen.

[xploit]

Zitat (Graumagier: 15.07.2005, 15:58)

Eine PFW ist broken by Design, weil sie auf dem zu schützenden System läuft, ebenso ein On-Access-Virenscanner.
<{POST_SNAPBACK}>

aha... vielen Dank.

xploit

Ein Elefant ist ein Porzellanteller, weil nicht fliegen kann.

[Rika]

Zitat

Natürlich ist eine Firewall "broken by design". Aber das ist sie auch, wenn morgen ein Hersteller ein unüberwindbares Firewallsystem anbieten würde, denn 1 Woche später wird auch dieses überwunden.

Richtig. Deshalb ist es sinnlos, Resourcen zu verschwenden und das System instabil zu machen, indem man versucht, so etwas zu implementieren.

Zitat

Ein Elefant ist ein Porzellanteller, weil nicht fliegen kann.

So in etwas hören sie die Beschreibungen der PFWs seitens der Hersteller an. Wie vollständige und umfassende Lösungen für unlösbare Probleme.

Die Lösung ist die Abschaffung des WndProc, d.h. vollständige Implementierung als Dienste, die ohne Bildschirmausgaben arbeiten und sich wirklich nur mit Adminrechten ansteuern lassen. Aber das ist irgendwie nicht das, was die Zielgruppe will.

[pagestyles]

Hallo, ich habe mir jetzt eine menge Themen hier durchgelesen, konnte mir aber kein richtiges Bild machen, welche Firewall einen guten mix aus Sicherheit und Systemressourcen bietet.

Bisher hatte ich immer zonealarm personal, und bin damit eigentlich recht gut gefahren, da die Funktion mit den Popus die Fragen ob ein Programm zugriff haben kann oder nicht, sehr nützlich ist.
Nachteil ist meines erachtens, das zonealarm ein ziemlicher ressourcen fresser ist.

Meine Frage:
Gibt es ähnlich gute Programme?

- Ich surfe über einen Router mit integrierter Firewall
- Ich bin permanent im Netz
- Wenn ich ab und zu mal Zocke möcht eich nicht erst Stundenlang an der Firewall schrauben.

Hat jemand ähnliche kriterien und eine gute Firewall gefunden?

Ein kumpel hat mir Kerio empfohlen, taugt die was?

danke.

Dieser Beitrag wurde von pagestyles bearbeitet: 22. Juli 2005 - 00:51

[puppet]

Über was für Saucen redest du hier?
Der Thread hier wird sicher eh bald wieder geschlossen, und du wirst darauf hingewiesen bitte die Suchfuntkion zu benutzen. War bis jetzt jedenfalls immer so. Dies solltest du auch tun.
Aber trotzdem, PIX501 sollte für ein HomeLAN ausreichen, dazu noch der Lernstoff hier und hier

[pagestyles]

Wie ich bereiz schrieb, ich habe mich vorher umfassend informiert, und auch die Suchfunktion genutzt.

Danke für die bisherigen infos

Zitat (puppet: 22.07.2005, 01:40)

Aber trotzdem, PIX501 sollte für ein HomeLAN ausreichen

Wie gesagt, es ist ein Router!

Dieser Beitrag wurde von pagestyles bearbeitet: 22. Juli 2005 - 01:01

[puppet]

Ja und? Kann man da auch anschließen, obwohl es sicher besser wäre den Router an die PIX anzuschließen (oder einfach zu verbrennen)
Was ist es denn für ein Router?
Das Problem bei den meisten Routern ist wohl die Implementierung des Paktfilters. Von einigen schwerwiegenen Fehlern (wie z.B. das Spielchen mit dem FTP-Helpermodul) mangelt es den meisten an der ausgehenden Verbindungskontrolle. Selbst wenn diese vorhanden ist (ist sie ja sowieso, lässt nur selten konfigurieren) mangelt es dort meistens sehr stark an der konfiguierbarkeit. Von der meist fehlenden Logfunktionen (wenn welche vorhanden sind, sind diese meist unbrauchbar) sowie Content-Filtering ganz zu schweigen.
Und das PFWs mit Application Control nichts bringen und der Content-Filter auch total unbrauchbar ist (--> siehe google-mp3search was hier letztens gab, war lustig zu hören von wievielen Leuten trotz eingeschränkter Benutzerrechte und Desktopfirewall die Passwörter vom System gewandert sind aktuell finden es ja auch mal wieder die Virenscanner nicht ) ist ja auch kein Thema.
Und "sichern" tun PFWs die Verbindung auch nicht, der MitM im WLAN freut sich sicher (ja auch HTTPS-Dissection ist ja mittlerweile für die MitM-Kids kein Problem mehr), und ich kenne sehr wenige Router die richtiges IPsec/L2TP können. Bei den meisten steht zwar IPsec drauf aber das ist dann wohl doch immer nur Pass-Throu
Selbst mit IPsec-PSK bist du da besser vor MitM-Kids besser geschützt.

Dieser Beitrag wurde von puppet bearbeitet: 22. Juli 2005 - 01:59

[pagestyles]

Es ist ein Allnet ALL 0198

[puppet]

Ist das nicht die alte 802.11b Schachtel wo es nicht mal eine WPA fähige Firmware gibt?
Und mit IPsec ist da ja auch nichts... genauso wie mit integrierter Firewall, nur normales NAT/PAT.
Naja viel ist da nicht mit konfigurieren und Sicherheit.

[W@yne]

Zitat (pagestyles: 22.07.2005, 02:23)

Bisher hatte ich immer zonealarm personal, und bin damit eigentlich recht gut gefahren

Das ist weder eine Firewall noch bietet es Sicherheit; mit Suchfunktion wär's nicht passiert!