Diskussion über Desktop Firewalls
Anzeige
#362
geschrieben 24. Juni 2005 - 16:32
>> Jedes dieser Produkte ist definitv abschaltbar.
stimmt, vielleicht.. aber dazu muss die Malware erstmal auf den Rechner, und dann hilft eigentlich fast _nichts_ mehr weiter! (Wobei das ein Fakt ist, denn noch niemand bewiesen hat, bisher wurden nur einige wenige Vertretet getestet, aber adas scheinst du ja bewusst zu überlesen)
>> Wenn man ...eine PFW installiert, ist diese auf jeden Fall das größte Eingangstor für Malware.
niemals, wenn das jemand ohne Ahnung liest, denkt der, jeder kann deinen Rechner fernsteuern, nur weil ne FW drauf ist, dass ist Unsinn - denn dazu gehört noch mehr...und dann ist sowieso alles verloren.
Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 16:33
#363
geschrieben 24. Juni 2005 - 16:34
Zitat
ja eben nicht, die 2005er version verfügt über einen selbstschutz und ich arbeite im adminaccount.
wie du siehst lässt sich der applikationsmanager nicht beenden.
wie du siehst lässt sich der autoprotect ebenso wenig einfach beenden.
das könnte ich jetzt mit jeder symantec-ressource veranstalten es kommt immer dasselbe raus.
wie wärs wenn du dich auchmal informierst !? ich weiss das machst du sowieso nicht, du hast deine festgefahrene meinung und die willst du auch nicht relativieren.
#364
geschrieben 24. Juni 2005 - 16:35
xploit sagte:
Das kann ich zurückgeben
xploit sagte:
Nicht selten ist das auch von außen möglich, siehe dazu einmal mehr Bugtraq.
xploit sagte:
Eine PFW ist in einem ansonsten dichten System die größte Schwachstelle, das ist einfach so.
xploit sagte:
Es gibt andere Methoden, einen Prozess zu beenden. Der "Selbstversuch" über den Taskmanager ist nicht gerade repräsentativ.
Dieser Beitrag wurde von Graumagier bearbeitet: 24. Juni 2005 - 16:36
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#365
geschrieben 24. Juni 2005 - 16:40
Zitat
ja soweit war ich auch schon und hab das mit dem tool "Advanced Process Termination" (apt.exe) auch probiert, es kommt aufs selbe ergebnis hinaus.
du kannst nicht immer recht behalten .
#366 _max_
geschrieben 24. Juni 2005 - 16:44
Dieser Beitrag wurde von max bearbeitet: 24. Juni 2005 - 16:45
#367
geschrieben 24. Juni 2005 - 16:47
das meiste sind hier ehh nur behauptungen , die teilweise recht falsch oder inaktuell sind , mach dir nichts draus und behalte die software mit der du sehr gut zurechtkommst
#368
geschrieben 24. Juni 2005 - 16:49
Zitat (Graumagier: 24.06.2005, 18:35)
<{POST_SNAPBACK}>
... alles eine Frage des Standpunktes....
naja, ich mach nicht mehr mit, wie max treffend konstatiert, gehts hier nur noch um Meinungen und Vermutungen und Pauschalisieren - und jedesmal auf irgendwelche halbgare Kommentare zu reagieren, macht keinen Spass. Soll halt jeder selber wissen, was für einen die beste Lösung ist.
Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 16:50
#369
geschrieben 24. Juni 2005 - 16:59
auch wenn ich glaube das die festgefahrenen meinungen der leute bleiben.
#370
geschrieben 24. Juni 2005 - 17:23
siehe die Sticky Threads im Sicherheitsforum!
@ shogun03, Xpolit und Graumagier
Gegenseitige unterstellungen bringen nichts, entweder ihr habt ein sachliches Argument, oder ihr lasst das Posten einfach,
Wir sind hier nicht bei Wünsch dir was
Dieser Beitrag wurde von Flo bearbeitet: 24. Juni 2005 - 20:12
#371 _max_
geschrieben 24. Juni 2005 - 19:30
Zitat (Flo: 24.06.2005, 18:23)
Ja da steht, dass man mit einem Router auf jeden Fall sicherer unterwegs ist als mit einer PFW. Nur was machen die Win98/ME-User, die über Modem oder ISDN onlineln?
#372
geschrieben 24. Juni 2005 - 20:02
Du kannst deinen Computer z.B. entsprechend www.dingens.org konfigurieren und dann darauf hoffen, dass dein Computer "zu" ist. Sollte dir das nicht genügen, bleibt eigentlich nur der Weg über eine PFW. Bevor du da aber wahllos eine auswählst, lass dich auf jedenfall beraten, die Unterschiede sind frappierend, was ressourcenverbrauch, usability und reliability angeht.
(Grossteil der Lücken im Rechner sind unnötig gestartete Dienste, achte aber darauf, dass du mit einem LAN zu Hause nicht alle dort erwähnten Dienste ungefragt abschaltest, viele benötigst du um im Netzwerk nach Freigaben zu suchen und drauf zuzugreifen)
ps:
ich empfehle auch zumindest auf Win2k oder WinXP umzusteigen, von der Ressourcenplanung sind beide ausgereifter als Win98 - und sicherer sowieso. Nach meinem Dafürhalten ist sogar WinXP nach sinnvoller Konfig auf gleichem System schneller als Win2k - ist aber geschmackssache.
Dieser Beitrag wurde von xploit bearbeitet: 24. Juni 2005 - 20:04
#373
geschrieben 24. Juni 2005 - 20:44
Ich teile dieses Posting mal etwas auf.
Zitat
Ja, wobei hier ein richtiges hostbasierendes IDS geeigneter wäre. Ich empfehle "Snare".
Zitat
Ja. Prüfsummen sind auch gut, Veränderungen am System aufzudecken und damit auch Malware sauber entfernen zu können. Naja, ein paar kranke Sachen wie die Registry ändern sich leider ständig...
Zitat
Dateiweise!
Zitat
Wenn man einen eingeschränkten Benutzeraccount hat, kann man gezielt auf ACCESSDENIED, ACCDENIED und ACCERROR filtern. Hilft auch, um störrische Programme zu bändigen.
Zitat
Nein.
1. Kaum ein Anwender braucht eine Firewall.
2. Auch eine PFW muss ordentlich konfiguriert werden, die Anwender können das nicht selbst und die pseudointelligenten Wizards sind der letzte Dreck.
Zitat
Ein Router mit Paketfilter, der nur eine DENY-Regel implementiert, funktioniert sehr zuverlässig. Aber warum nicht gleich das Kabel ziehen? Denn Tunnel sind immer ein Problem, wenn man nicht ein gut durchdachtes Application Layer Gateway hochzieht.
Zitat
Weil sein Netzwerk kaputt ist? Weil er sich selbst künstlich ausbremst? Weil er vielleicht gar nicht mal merkt, daß sein System schon längst umgangen wurde?
Zitat
Warum nicht? eMail sind zur einfachen Kommunikation da, und wenn mich eine eMail potentiell interessiert, dann will ich nicht darüber nachdenken müssen, ob ich sie nun anklicke oder nicht. Deshalb setze ich einen Mailclient ein, der nicht bekannte Sicherheitslücken implementiert und bezüglich Klickverhalten arg überraschend reagiert.
Zitat
Hast du das von mir verlinkte Posting im Usenet überhaupt gelesen?
Deshalb mal als Zusammenfassung: PFWs wären akzeptabel, wenn sie den User auf die richtige Art und Weise konditionieren würden. Nur welche PFW bringt denn die Meldung "Hier, ich habe dies und jenes blockiert. Du hats noch mal Glück gehabt, das hätte nämlich auch verdammt ins Auge gehen können. Pass das nächste mal etwas besser auf, aus welchen Quellen du deine Programme beziehst!.
[ NEIN, mein System und andere Systeme im Netz sind mir scheißegal] [ok]"?
Zitat
Du hast das interessanteste Schema vergessen: Gar keine (|Pseudo-)Firewall. Braucht man idR nämlich gar nicht, und die User haben doch eh keine Ahnung von der Verwendung.
Zitat
Du bist nicht sonderlich offen für eMail-Kommunikation und verwendest auch kein OpenPGP?
Zitat
Dagegen war meine Norton-PFW damals machtlos.
ROFL!
Zitat
Dann hast du offenbar nicht mal von PFWs was verstanden.
Zitat
Jep, weil die genauso inkompetent ist. Oder deine Konfiguration gezielt Scheiße war.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#374
geschrieben 24. Juni 2005 - 20:48
Zitat
Es gibt auch Schutz, der nicht prinzipbedingt versagen muss, sondern bestenfalls gegen zufällige Programmierfehler oder Fehlkonfiguration anfällig ist.
Zitat
Und? Sicherheitsmaßnahmen müssen vor allem zuverlässig und kalkulierbar sein.
Zitat
Gaobot? Try again!
Zitat
Hier läuft win-ipfw. Die arbeitet als Kernelmode-Treiber + nichtinteraktiver Dienst, lässt sich nur als Admin konfigurieren, das Configtool läuft ordentlich im Usermode, die Logdaten landen im Systemlog... alles in allem das, was eine ordentliche Implementierung ausmacht.
(Zumal ist der Syntax dem originalen ipfw entspricht, mit cygwin kann man bereits erstellte Scripte nahezu 1:1 übernehmen. Oder halt als cmd-Batch neuimplementieren.)
Zitat
Firmennetze sind was ganz ganz anderes. Bitte keine Apfel-Birne-Vergleiche!
Zitat
Also xinet.d sollte schon konfiguriert werden. tcpwrapper ist besser, netfilter sollte man durchaus auch verwenden - wobei dort vor allem die Filterung nach (Effective) UID/GID einen Anklang von Application Control hat, wie sie sein sollte, Sinn ergibt und zuverlässig arbeitet.
Und sei's nur, um Traffic zu sparen, indem man den TCP/IP-Stack auf die üblichen Verdächtigen gar nicht erst reagieren lässt.
Zitat
Offensichtlich doch, wenn du solche Software auf deinem System tolerierst.
Zitat
Warum setzt du nochmal eine PFW ein?
Zitat
Was hat die Application Control damit zutun?
Was willst du mit Programmen, die du nicht ausführst? Merkwürdiger Kauz.
Wie kommt ein Programm definitiv unfreiwillig auf den Rechner und wird dann nicht ausgeführt? Merkwürdiger Exploit.
Zitat
Meinst du, daß die anderen weniger Scheiße sind? Oder prinzipiell unlösbare Probleme lösen können?
Zitat
Quatsch. Selbst Win98 bindet keine Freigaben an DFÜ-Adapter, und im LAN sind sie durch den Router maskiert.
Zitat
Wenn du Freigaben im WLAN willst, dann hilft eine PFW nicht.
Wenn du keine willst, dann biete keine an. CIFS lässt sich in Windows hervorragend an Netzschnittstellen binden.
Zitat
Was für ein Quatsch, FTP arbeitet mit direkten Verbindungen.
Zitat
Warum benutzt du PFWs nochmal?
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#375
geschrieben 24. Juni 2005 - 20:50
Zitat
Wenn ein Realtime-Dingens mich davon abhält, Malware auszuführen, dann würde mir verdammt mulmig werden, was ich denn da für Scheiße baue.
BTW, du plenkst!
Zitat
Die Informationen sind aktuell.
Oder existiert der Zweite Weltkrieg nicht mehr, weil er schon 60 Jahre her ist?
Zitat
Wie wurde es generiert? Geringe Entropie ist immer angreifbar.
AtGuard 3.22 (leider nicht mehr weiterentwickelt, trotzdem recht gut) -> Nein, veraltet.
Securepoint Firewall 3.7 -> == Outpost
602ProLanSuite -> Trivial abzuschalten. Einfach alle Dateien zu löschen versuchen, Treiber entfernen, rebooten, Rest löschen.
iSafer Winsock Firewall -> Schau dir den Quellkot an. Vor allem funktioniert das DLL-Injection mit eingeschränkten Benutzerrechten logischerweise nicht.
Jetico PFw -> s.o.
Look'n'Stop (schön klein..) -> s.o.
SoftPerfect PFw -> s.o.
Falls du es immernoch nicht begriffen hast: Man kann ein prinzipiell unlösbares Problem nicht lösen, egal was man programmiert.
Zitat
Das will ich mal überlesen haben.
Zitat
Es ist egal, was er denkt. Das System wird dadurch komplexer und somit fehleranfälliger. Sichere Systeme sind vor allem einfach und schlank.
Zitat
Weil du es ja gar nicht ernsthaft versucht. Einen Hook auf ntdll::TerminateProcess zu setzen kann ich auch. Was hält mich davon ab, einfach die Syscalls direkt zu nutzen? Oder gleich einen Treiber in den Kernelmode zu laden und direkt an Kernelstrukturen rumzupfuschen? Oder einen Treiber laden, der beim nächsten Systemstart die PFW einfach löscht? Du meine Güte, ist das denn so schwer zu begreifen? Adminrechte -> You loose.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)