Diskussion über Desktop Firewalls
#541
geschrieben 25. August 2005 - 12:15
Denn:
1. Eine PFW lässt sich von innen (und evtl auch von außen) abschalten.
2. Da auf einer "richtigen" Firewall der Port 80 freigegeben sein sollte, hat man aber im Endeffekt eh keinen Schutz vor Malware, die genau diesen Port nutzt.
3. Alle anderen Ports, die man nicht explizit freigibt, bleiben geschlossen (was evtl auch diese ganzen Backdoor-Programme alt aussehen lässt)
4. Der Rest ist eh Sache des Brain (nicht jeden Sch.... installieren, sichere Browser als den Internet Exploiter verwenden, usw. usf.)
Zum Thema Punt 3:
Konnte man bei Sub7 nicht den Port einstellen, auf dem er operieren sollte?
Ist jetzt zwar ein wenig OT, aber... sind Hardware-Router von außen eigentlich angreifbar? Ich meine SO angreifbar, dass sie Pakete ungefragt und ungebeten durchlassen, obwohl die eingetragenen Sicherheitsregeln dies verbieten?
Anzeige
#542
geschrieben 25. August 2005 - 12:28
Zu deiner Frage:
Alles ist Angreifbar, auch Hardware Router, denn auch auf denen läuft eine Software!
Das ist zwar schwerer als bei reiner Software, aber dennoch möglich!
Der Vorteil liegt darin, das sich die Firewall vor dem zu schützenden system befindet, das heist wenn jemand es schafft die zu knacken, ist er im Router, aber nicht auf deinem PC!
Ausserdem ist eine Firewall nur ein Teil eines Sicherheitskonzeptes, wie du es schon sagstest, nicht alles installieren, nicht alles runterladen usw
#543 _max_
geschrieben 25. August 2005 - 16:25
#544
geschrieben 25. August 2005 - 16:45
Zitat (max: 25.08.2005, 17:25)
<{POST_SNAPBACK}>
Du verstehst anscheinend den Sinn und die Funktion von Ports nicht!
Ports sind an sich harmlos, entscheidend ist ob ein Dienst/Programm über den
Port anfällig ist!
Und wenn kein anfälliger Dienst läuft brauch ich auch keine PFW um den
Port zu verdecken!
Aber anscheinend hörst du nur zu gerne auf die Werbung der Hersteller
"Ports sind böse"
...Bisher hat das Universum gewonnen." - Autor mir unbekannt
Bad Angels - Pool Billard
#545 _max_
geschrieben 25. August 2005 - 17:00
Auf meine Frage in meinem letzten Beitrag weißt du keine Antwort? Oder hast du sie nicht verstanden?
Dieser Beitrag wurde von max bearbeitet: 25. August 2005 - 17:04
#546
geschrieben 25. August 2005 - 17:02
Zitat (max: 25.08.2005, 17:25)
Hast du nun mal geschaut ob nun der Microsoft-DS eigentlich mit in der default config von iSafer gedroppt wird oder nicht?
@The_Nightflyer: Er meinte nicht die eingehende Filterung mit Port-ACLs sondern die ausgehende Filterung mit Port-ACLs. Und um (normal) im Web zu surfen musst du ausgehend Port 80 erlauben (und für HTTP over SSL eben noch 443), und wenn du diesen ausgehend filterst kannst du ja auch nicht mehr im Web surfen bzw solltest es nicht mehr können.
Dieser Beitrag wurde von puppet bearbeitet: 25. August 2005 - 17:04
#547 _max_
geschrieben 25. August 2005 - 17:07
MS-DS habe ich nicht in iSafer gefunden.
Dieser Beitrag wurde von max bearbeitet: 25. August 2005 - 17:09
#548
geschrieben 25. August 2005 - 17:33
Zitat (max: 25.08.2005, 18:07)
Zitat (max: 25.08.2005, 18:07)
Dieser Beitrag wurde von puppet bearbeitet: 25. August 2005 - 17:38
#549
geschrieben 26. August 2005 - 16:47
Zitat
Du betreibst also einen Webserver? Oder hast es vielleicht doch nicht verstanden?
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#550 _max_
geschrieben 27. August 2005 - 18:21
#551
geschrieben 28. August 2005 - 08:32
Zitat (max: 27.08.2005, 19:21)
<{POST_SNAPBACK}>
Der Port 80 wird aber nur von einem Server/Dienst geöffnet und dann eingehende Verbindungen darauf angenommen.
Wenn du nur surfst, wird erstens der Port 80 nicht geöffnet und zweitens werden logischerweise auch keine eingehenden Verbindungen darauf angenommen. Dein Webbrowser öffnet einen beliebigen Port und verbindet mittels diesem auf den Port 80 des Webserver.
Somit können über deinen Webbrowser nur eine beschränkte Anzahl von Angriffen durchgeführt werden, wie JavaScript, Exploits im HTML-Renderer, Exploits durch Bilder, usw. Diese sind aber in den allermeisten Fällen durch Updates, eine ordentliche Browser-Wahl (also kein IE) und eine einigermasen sinnvolle Konfiguration zu verhindern.
#552
geschrieben 29. August 2005 - 13:15
Installieren sich eigentlich alle PFW´s vor/in den Kernel, also ähnlich wie Process Guard?
#553
geschrieben 29. August 2005 - 17:08
Zitat (jerrison: 29.08.2005, 14:15)
Zitat (jerrison: 29.08.2005, 14:15)
Oer würde man wie in Firmen i.d.R. üblich IPSec Regeln (oder simple IPsec Filter) verwenden oder sich um aktuelle Hotfixes kümmern (bzw dies automatisch machen lassen) würden solche Probleme nie entstehen, damit wäre auch zusätzliche teure Software in "Firmen Version!!!!" überflüssig.
Mal ganz davon abgesehen, dass auch wie schon bei anderen, auch bei Zotob der Patch schon eher verfügbar war.
Zitat (jerrison: 29.08.2005, 14:15)
Und an die "geblockten" oder "gefilterten" Daten zu kommen ist in Windows fast genauso einfach wie unter Linux, da ist das ja seit SilentDoor auch gut verbreitet, nur das man bei Windows mit Admin Rechten nichteinmalmehr einen pcap-artigen Filter benötigt, da geht das ganze ja ganz einfach über LLDA (das kann man in einem Programm mit 9kB unterbringen). Wobei die pcap Variante besser ist, da man dies auch mit eingeschränkten Rechten machen kann. Bei gelegenheit werde ich das mal testen ob dies auch mit dem Windows eigenen NetMon Treiber funktioniert.
#554
geschrieben 29. August 2005 - 18:41
Zitat
erstmal entspannen..so, dann zur klärung: es gibt verschiedene versionen von mcafee die sich alle irgendwas mit firewall und security bezeichnen, das mal zur klärung :).
ich weiss nicht wie das in deiner firma ist, aber bei uns können nicht einfach patches reingeknallt werden, das muss erstmal getestet, abgenickt und dann ausgerollt werden.
braucht leider zeit, weil es immer zu wenig tester gibt.
wie schnell kam eigentlich nochmal zotob raus nach bekanntmachung der pnp-lücke?
punkt ist aber auch, dass ich bisher mit keinem mehr oder weniger bekannten pen-test "einfach" ans system kam. und leider hab ich auch noch keinen bericht gesehen der besagte PFW niedermacht...und das bei allen PFW-Verächtern gab mir zu denken :).
#555
geschrieben 29. August 2005 - 19:27
Zitat (jerrison: 29.08.2005, 19:41)
Zitat (jerrison: 29.08.2005, 19:41)
Zitat (jerrison: 29.08.2005, 19:41)
Zitat (jerrison: 29.08.2005, 19:41)
Zitat (][size=1][...]While not the current target of these attacks, it’s important to note that on Windows XP Service Pack 2 and Windows Server 2003 an attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability. The vulnerability could not be exploited remotely by anonymous users or by users who have standard user accounts on Windows XP Service Pack 2 or Windows Server 2003.[...]While not the current target of these attacks, it’s important to note that on Windows XP Service Pack 1 an attacker must have valid logon credentials to try to exploit this vulnerability. The vulnerability could not be exploited remotely by anonymous users. However, the affected component is available remotely to users who have standard user accounts on Windows XP Service Pack 1. The existing attacks are not designed to provide the authentication required to exploit this issue on these operating systems.[....][/size][/quote]Und wer seinen nicht mehr aktuellen Windows 2000 Server nicht absichert (Server mit Anbindung an öffentliche Netzwerke sind bei Firmen mit halbwegs vernünftigen EDV Menschen sowieso immer durch eine Firewall gegen Angriffe auf unerwünschte Dienste (falls nicht am Server deaktiviert) geschützt) hat halt Pech gehabt. Und kritische Sicherheitsupdates die Dienste betreffen die man mit seinen Server in einem öffentlichen Netzwerk anbietet sollten sowieso sofort installiert werden, oder man sollte den Dienst temporär nicht mehr anbieten oder anderweitig (mit VPN oder IPsec) absichern. Zumal ich mich frage ob der Admin nicht ernsthaft einen Schaden hat MS-DS und NetBIOS im Internet anzubieten. Selbst wenn er es muss (wofür es ja nicht wirklich viele Gründe gibt) ist es ja seit Windows 2000 kein Problem mehr eine IPsec Regel dafür zu erstellen um dies u.a. gegen Angriffe und unbefugtem Zugriff abzusichern.[quote name=: 29.08.2005, 19:41)
Dieser Beitrag wurde von puppet bearbeitet: 29. August 2005 - 19:29