[shogun03]

@semprino

tja, ich trage keine markenklamotten , trinke keine teuren getränke und werbespots find ich meistens fad billig oder lächerlich , manchmal auch recht lustig.
dein argument greift hier nicht das ich software nutze nur weil sie schön bunt abgedruckt ist. sicher es mag user geben die sich ohne genügenden weitblick und technischem verständnis von den werbestrategien verleiten lassen , aber es sind bestimmt nicht alle firewallnutzer dumm wie stroh.

@AlienSearcher

eine gute FW macht bestimmt etwas mehr als nur die hand vor 2 offene ports zu halten.
ich würde mir sehr wünschen wenn sich die leute endlich mal aus eigenem interesse damit beschäftigen und sich auch wenigstens mal belesen bevor sie ihre standpunkte darlegen.

Dieser Beitrag wurde von shogun03 bearbeitet: 08. August 2005 - 12:16

[AlienSearcher]

Zitat (shogun03: 08.08.2005, 13:12)

eine gute FW macht bestimmt etwas mehr als nur die hand vor 2 offene ports zu halten.
ich würde mir sehr wünschen wenn sich die leute endlich mal aus eigenem interesse damit beschäftigen und sich auch wenigstens mal belesen bevor sie ihre standpunkte darlegen.
<{POST_SNAPBACK}>

Du kannst mir glauben, eine PFW (oder auch Paketfilter genannt) sollte eben nicht mehr machen, als die Hand vor 2 offene Ports halten. Alles darüber hinaus ist schlichtweg nicht ihre Aufgabe und zudem technisch äußerst schwierig oder gar unmöglich zu realisieren.
Und du kannst mir glauben, ich habe mich in das Thema eingelesen und dazu Vorlesungen gehört. Alles über den Paketfilter hinaus ist bei den gängigen PFWs einfach unsinnig oder technisch unausgereift.

[shogun03]

@AlienSearcher

sicher, die softwareentwickler sind alle frisch aus der klappse entsprungen es ist technisch also unmöglich zu realisieren das der netzwerkfilter auch andere sachen rausfiltert , die man der software einprogrammiert was sie zu filtern hat , z.b. malforme packete verschiedenster art , exploits zur schwachstellenausnutzung ...usw. , alles was man z.b. per signatur dem filter hinzufügen kann was er zu erkennen hat.

hier mal 2 exploit-beispiele die sich selbst erklären können.




und hier noch einer .

Erklärung

und davon ist derzeit der filter in der lage ca. 450 davon zu erkennen.

deine argumente kenne ich , ich habe diesselben quellen dazu auch gelesen und gehört , nur demonstrieren diese menschen dort nur ein bestimmtes bild was ihrer meinung nach so ist und was nicht so ist.
ich könnte hier an der stelle auch unterstellungen mutmaßen, das du genauso leicht beeinflussbar bist wie die anderen user die den bunten PC-heftchen glauben schenken , jeder glaubt das was er am besten oder am leichtesten versteht , es kommt dann nurnoch drauf an wie man es rüberbringt

Dieser Beitrag wurde von shogun03 bearbeitet: 08. August 2005 - 14:26

[AlienSearcher]

Nein, ich habe es nicht aus bunten PC-Heftchen, sondern aus Vorlesungen an der Fachhochschule Aber vielleicht hast ja du zuviele bunte PC-Heftchen gelesen, aber das ist wohl nicht Thema dieses Threads.

Und klar kann man noch sonstige Filter einbauen, nur ist die Frage, wie weit die funktionieren. Die meisten Signaturen dürften sich durch eine kleine Varianz in der Art des Angriffs aushebeln lassen. Von daher taugt das vielleicht gegen automatisierte und daher immer gleichbleibende Angriffe, wie z.B. Würmer. Aber dagegen kann man genauso gut auch Patches des Herstellers installieren. Gegen Angriffe von Menschen (also Crackern) taugt das aber nichts.

PS: Das mit den "Softwareentwicklern sind frisch aus der Klapse entsprungen" kannst du dir sparen, ich bin selbst auf dem Weg einer zu sein

Dieser Beitrag wurde von AlienSearcher bearbeitet: 08. August 2005 - 14:12

[shogun03]

ich weiss , das ist immer die stammerklärung "Die meisten Signaturen dürften sich durch eine kleine Varianz in der Art des Angriffs aushebeln lassen."
wenn man damit immer alles erklären will sollte mann vll. ganz offline gehen um vor den bösen veränderungen gefeit zu sein.

[AlienSearcher]

OK, wenn das so ist. Was denkst du denn, wieviele deiner 450 Lücken schon durch entsprechende Patches seitens des Herstellers oder durch eine einfache Konfigurationsänderung des jeweiligen Programmes behoben werden können? Ich denke, dann kommt schon ein nützlicherer Wert raus, als "450 mögliche Angriffe werden gefiltert". Ich tippe auf unter 5 übrigbleibende Lücken, dein Tipp?

Und so leid es mir tut, aber wenn sich eine Signatur eben durch eine Varianz aushebeln lässt (wie es bei den meisten heutigen ist), dann ist sie eben nicht brauchbar oder nur in einem bestimmten Bereich brauchbar. Darauf verlassen sollte man sich auf keinen Fall, egal ob sie durch eine Varianz ausgehebelt werden kann oder nicht.

Dieser Beitrag wurde von AlienSearcher bearbeitet: 08. August 2005 - 14:34

[shogun03]

@AlienSearcher

denke z.b. mal daran das microsoft aus verschiedenen gründen nicht immer ganz so schnell ist fehler zu beheben in software und treiber . hierdurch eröffnet sich der schutzsoftware die möglichkeit durch signaturhinzufügung die ausnutzung der schwachstelle vorher schon herr zu werden.
sicher könnte man hier wieder viele "aber" anführen , aber nicht alle internetnutzer sind solche hacks und cracks (oder besser formuliert technisch versierte menschen) die sich in 10min. im system auskennen.

[AlienSearcher]

Aber
Damit die PFW die Lücke schließen kann - sofern sie technisch überhaupt dazu in der Lage ist - muss den Entwicklern der Exploit bekannt sein. Das ist aber des öfteren nicht der Fall. Dann kommt es eben zum Wettrennen, wer schneller ist... der Hersteller der Software, der Hersteller der PFW oder die Cracker. Und die einzigst sinnvolle Lösung für das Problem ist, dass der Softwarehersteller das Rennen gewinnt.

PS: Außerdem spielt hier dann auch wieder die Varianz in den Signaturen eine Rolle

[shogun03]

wenn man so argumentieren will kann man sich Antivirenscanner grundsätzlich sparen.

[AlienSearcher]

Antivirenscanner sollten sinnvollerweise auch nur als Hilfsprogramm zur Diagnose angesehen werden. Sich auf einen Antivirenscanner grundsätzlich zu verlassen und sich in Sicherheit zu glauben ist falsch und leichtsinnig.

[shogun03]

völlig richtig und genau so verhält es sich auch bei diesem thread-thema.

[Rika]

Zitat

Außerdem lautet das erfolgreichste Konzept im Bezug auf Netzwerkfilterung immer noch "Es ist alles erlaubt was nicht verboten ist".

Äh, was? Ich dachte es geht um Filterung im Kontext von Sicherheit.

Zitat

alles was nicht in das eigene Weltbild passt als Schwachsinn zu bezeichnen bzw. in die Müllecke zu verschieben.

Richtig, wir arbeiten hier mit Vernunft und Logik, basierend auf Fakten. Sogar manche Leute bei Microsoft haben die und ziehen ebenfalls die Konsequenzen. (http://www.microsoft...gmt/sm0504.mspx)

Zitat

du bist mit den werkzeugen nie richtig zurecht gekommen

Und festgestellt, daß es an den Werkzeugen liegt. Sorry, aber es gibt keine PFW, die auch nur den Paketfilterteil korrekt hinbekommt. Erbärmlich.

Zitat

technisch also unmöglich zu realisieren das der netzwerkfilter auch andere sachen rausfiltert , die man der software einprogrammiert was sie zu filtern hat , z.b. malforme packete verschiedenster art ,

Technisch ist es unmöglich, so etwas auch nur für die Mehrzahl der relevanten Fälle zu implementieren, und es dann auch noch so zu gestalten, daß es weder inperformant noch trivial unsicher ist.

Zitat

wenn man damit immer alles erklären will sollte mann vll. ganz offline gehen um vor den bösen veränderungen gefeit zu sein.

Man sollte nichts benutzen, was böse Veränderungen überhaupt zulässt, z.B. einen ordentlichen Webbrowser, bei dem es auf aktuellem Stand keine bekannten Lücken gibt.

Zumal das sowieso Blödsinn ist, da lokal interpretierter Code idR sogar höhere Privilegien genießt - lokale HTML-Dateien sind als potentiell gefährlicher Programmcode zu betrachten, und jede ordentliche Sicherheitsrichtlinie berücksichtigt dies.

Zitat

Ich tippe auf unter 5 übrigbleibende Lücken, dein Tipp?

81. Nach swissboy-kritischer Zählung noch auf über 40. Und so manche davon nicht zu patchen, ohne weite Teile von Grund auf neu zu implementieren.

Zitat

Und so leid es mir tut, aber wenn sich eine Signatur eben durch eine Varianz aushebeln lässt (wie es bei den meisten heutigen ist), dann ist sie eben nicht brauchbar oder nur in einem bestimmten Bereich brauchbar. Darauf verlassen sollte man sich auf keinen Fall, egal ob sie durch eine Varianz ausgehebelt werden kann oder nicht.

Es geht, allerdings idR nur kumulativ.
Sogar beim IE. Man muss herausfiltern: JavaScript komplett, CSS komplett, Object-Tags, Frames und IFrames, Bilder, diverse Attribute, alle MIME-Typen auf text/html zwingen, about:-URLs (das geht ohne Varianzen, denn escape(unescape()) ist deterministisch und vollständig), ...
Nur leider sehen dann die Webseiten total ärmlich aus und machen nix mehr.

Zitat

denke z.b. mal daran das microsoft aus verschiedenen gründen nicht immer ganz so schnell ist fehler zu beheben in software und treiber .

IE seit 1999? OE seit 2001? Windows 2000 seit 2003? DirectX seit 2004?
Warum haben sie angeblich 200 Mio. $ in XPSP2 investiert und den IE angeblich in weiten Teilen überarbeitet, es aber nicht mal geschafft, bekannte Lücken zu schließen und sogar einige alte wieder aufgerissen?

Zitat

hierdurch eröffnet sich der schutzsoftware die möglichkeit durch signaturhinzufügung die ausnutzung der schwachstelle vorher schon herr zu werden.

Soso... und was machst du mit SSL? Oder gegen Local-Root-Exploits?

[shogun03]

@Rika

wenn du soviel "abers" finden kannst frage ich mich warum du überhaupt noch online bist ? ich weiss das du (meistens) unbedingt auf deinen behauptungen beharren willst (egal was da kommt) , aber was willst du damit bezwecken?

[shiversc]

kannst du mal deine intension etwas verdeutlichen?