[PaxTrax]

Zitat (Rika: 04.03.2005, 21:49)

Das ist eher das Argument schlechthin - ein Paketfilter ohne korrekte Konfiguration erhöht nicht nur nicht die Sicherheit, sondern macht das System sogar anfälliger.

Das ist korrekt. Was ich meinte war, dass du PFW Nutzer automatisch die Kompetenz absprichst diese zu konfigurieren und damit die Unfähigkeit der PFWs begründest. Auch eine "richtige" FW ist falsch konfiguriert sinnlos.

Zitat

Was macht eine PFW dagegen?

Sie kann nicht die Ursache abschalten, aber die Symptone lindern.

Zitat

Wenn es funktionieren könnte, dann ja. Meine Wohnung wäre auch einbruchssicher, wenn alle Einbrecher freiwillig aufgeben würden, weil meine Tür so schön aussieht.

Warum in WLANs WEP aktivieren, SSID abschalten und MAC-Filter nutzen, wenn alles locker ausgehebelt werden kann? Es erhöht die Sicherheit und das ist doch das Ziel!?

[PaxTrax]

Zitat (max: 04.03.2005, 22:23)

Du hast Recht. Man kann aber alles in Windows deaktivieren (Dienste und Programme die online gehen wollen, außer Vmware) und mit dem emulierten System surfen. Alles was geladen wird, hat dann nichts mit dem eigentlichen Windows zu tun. Es wird alles in das emulierte System geladen. Dies kommt dem gleich, wenn man alles was man lädt, in ein Image packt. Ich habe das selbst ausprobiert, mich stört dabei nur, dass mein Sound nicht von Vmwae unterstützt wird.
<{POST_SNAPBACK}>

Ich finde die Idee nicht sehr gut. Unter dem Motto: Fass bloss nicht meinen Host an, aber die VMWare kannst du ruhig kompromitieren... Was wird wohl passieren wenn deine VM geknackt wurde? Dann kämpfst du im internen Netz und das ist noch viel bescheidener als von Rot nach Grün (WAN <-> LAN). Zumal werden jede Menge Ressourcen für nichts verbraucht.

Ich sehe absolut keinen Vorteil in dieser Idee. Kannst du mir mal die Vorteile aufzeigen?

[PaxTrax]

Zitat (max: 04.03.2005, 22:49)

Das sehr viel Ressourcen verbraucht werden, stimmt. Vorteile sehe ich hauptsächlich darin, dass alles was man in Vmware macht nur in einer Datei gespeichert wird, die irgendwo im eigentlichen Windows abgelegt ist. Aus dieser Datei kann eigentlich nichts raus - zumindest habe ich noch nichts gehört, dass dies möglich ist.
<{POST_SNAPBACK}>

Dein Host hat aber eine IP und auch Deine VM. Damit hast du doch schon eine Verbindung (sprich du musst den Host auchsichern). Genauso könnte Deine VM zu einem Zombie fürs WAN werden. Im Grunde verschiebst du die Sicherheit nur in eine VM, aber auch diese muss gesichert werden... Nimm Dir lieber etwas mehr Zeit das Hostsystem zu sichern, als die VMs zu vergewaltigen

[Rika]

Zitat

Sie kann nicht die Ursache abschalten, aber die Symptone lindern.

Und sie kann auch selber die Schwachstelle sein, wobei dies sogar wahrscheinlicher ist.

Zitat

Warum in WLANs WEP aktivieren, SSID abschalten und MAC-Filter nutzen, wenn alles locker ausgehebelt werden kann? Es erhöht die Sicherheit und das ist doch das Ziel!?

Und es macht Probleme und vergeudet meist auch Ressourcen. Indes erhöht es die Sicherheit nur marginal (WEP) oder gar nicht (SSID,MAC-Filter).

Zitat

Ich habe das selbst ausprobiert, mich stört dabei nur, dass mein Sound nicht von Vmwae unterstützt wird.

Huh? Es wird ein ganze normaler Creative Soundblaster 16 emuliert und die Ausgabe an das Soundinterface des Hostbetriebssystems durchgeschleift.

[PaxTrax]

Zitat (Rika: 04.03.2005, 23:30)

Und es macht Probleme und vergeudet meist auch Ressourcen. Indes erhöht es die Sicherheit nur marginal (WEP) oder gar nicht (SSID,MAC-Filter).

Sorry, aber deine Herangehensweise ist entweder überheblich oder einfach nur dumm. Nur weil ein AP nicht 802.11i unterstützt soll ich alles offen lassen, weil es möglich ist WEP relativ schnell zu brechen? Und auch wenn der MAC-Filter nur 10 von 100 Leuten auffällt, so half er trotzdem die Sicherheit zu erhöhen. Die meisten Angriffe gehen nachweisslich auf Skriptkiddies zurück und diese haben eben nicht immer das Fachwissen um alle Hürden zu umgehen.

Rika, es gibt keine absolute Sicherheit! Sollen wir deshalb gleich den Kopf in den Sand stecken und gar nicht erst versuchen etwas dafür zu tun? Natürlich dürfte kein Penetrationtest zu meinem AP kommen - dann wäre das wirklich völlig für die Katze, aber wir reden ja hier von Heimnetzwerken....

[Rika]

Zitat

Nur weil ein AP nicht 802.11i unterstützt soll ich alles offen lassen

Nein. Wenn er nicht mindestens per Firmwareupdate WPA begebracht bekommen kann, dann sollte man ihn austauschen.

Zitat

Und auch wenn der MAC-Filter nur 10 von 100 Leuten auffällt, so half er trotzdem die Sicherheit zu erhöhen.

Er hält genau 0 Angreifer auf.

Zitat

Die meisten Angriffe gehen nachweisslich auf Skriptkiddies zurück und diese haben eben nicht immer das Fachwissen um alle Hürden zu umgehen.

MAC-Filter sind trivial zu umgehen, sogar für Kiddies.

Zitat

Natürlich dürfte kein Penetrationtest zu meinem AP kommen - dann wäre das wirklich völlig für die Katze, aber wir reden ja hier von Heimnetzwerken....

Penetrationstests == all die leicht zu bedienenden und überall erhältlich WEP-Cracktools

[PaxTrax]

Hmm, wir sind jetzt bisschen vom Thema abgekommen, aber nicht so schlimm Ich bin da wohl halt einfach anderer Meinung und glaube nicht, dass ausnahmslos jeder auch triviale Schutzmechanismen umgehen kann. Insofern schenke ich auch zusätzlichen Sicherheiten meine Beachtung...

Naja, jedem die seine Meinung - right? Und tschüss.....

Achja:

"Penetrationtest ist die Bezeichnung für eine Sicherheitsüberprüfung eines Netzwerk- oder Softwaresystems aus Sicht eines Hackers.

Innerhalb der Einordnung von Sicherheitstests bezeichnet ein Penetrationtest einen Test, bei dem ein Sicherheitsexperte versucht, mit entsprechenden Programmen in ein System einzudringen. Oftmals wird der Begriff Penetrationtest auch für einen automatischen Vulnerability Scan verwendet, was jedoch verwirrend und falsch ist. Während der Vulnerability Scan weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationtest menschlichen Zutuns. Der Security Scan unterscheidet sich vom Vulnerability Scan durch eine manuelle Verifikation der Testergebnisse...."
-http://de.wikipedia.org/wiki/Penetrationstest

Dieser Beitrag wurde von PaxTrax bearbeitet: 05. März 2005 - 00:35

[big bidi]

Zitat (Rika: 04.03.2005, 22:49)

Das ist eher das Argument schlechthin - ein Paketfilter ohne korrekte Konfiguration erhöht nicht nur nicht die Sicherheit, sondern macht das System sogar anfälliger.
Was macht eine PFW dagegen?
Wenn es funktionieren könnte, dann ja. Meine Wohnung wäre auch einbruchssicher, wenn alle Einbrecher freiwillig aufgeben würden, weil meine Tür so schön aussieht.

@big bidi: Irgendwie stand in der URL aber "leaktest" drin. Indes, ob 130 verschiedene "Angriffe" irgendwas mit professionellem Auditing zu tun haben darf auch stark bezweifelt werden.
<{POST_SNAPBACK}>

Ja, das stimmt. Aber so wie ich mich noch erinnern kann, wurden zwar tatsächlich
auch Leaktests durchgeführt wie z.B. FireHole, es wurden aber auch Hakerangriffe
simuliert. Das Resultat war auf alle Fälle für die meinsten PFW vernichtend. Die Beste
(lookadstop) wehrte gerade einmal ca 70 % ab, Sygate ca 50 %, Kaspersky ca
15 %, Norton nicht viel besser. Ich weiss es nicht, ob das mit professionellem Auditiing
zu tun hat. Es hat mich auf alle Fälle davon abgehalten, eine PFW zu installieren.
Ich begnüge mich mit dem Zyxel P623ME, welcher eine Paket Firewall eingebaut hat
und zudem NAT funktionfähig ist. Dazu habe ich noch die MS SP2 aktiviert und auch
richtig konfiguriert.

[puppet]

Auf der Kaspersky-Seite wirst du schlauer

Dieser Beitrag wurde von puppet bearbeitet: 05. März 2005 - 12:04