Grauenhaftes Englisch und die Assemblerzeilen kann man getrost ignorieren, aber trotzdem ein sehr interessanter Artikel:

The truth about personal firewalls

Zitat:

Zitat von MaD

Cool, there is not any trouble to write some shit in the kernel space, we can make a DoS or even a code execution. I just don’t want to dig deeper, hope that will be done by one of my colleagues

Zitat:

Seems like every firewall can be bypassed and I say it’s true, there is no total protection against something. Rootkits, trojans, worms and other malicious software become more stealthed and sophisticated and it’s harder to find them. I don’t want to give any advice on which firewall to use, just be sure, that you use a firewall that has more functionality.

übersetzt von Google:



Scheint wie jede Firewall kann umgangen werden, und ich sage, es ist wahr, es gibt keinen absoluten Schutz gegen etwas. Rootkits, Trojaner, Würmer und andere schädliche Software zu mehr verdeckte und anspruchsvoll und es ist schwieriger, sie zu finden. Ich möchte nicht, dass eine Beratung zu geben, auf die Firewall zu verwenden, müssen Sie nur, dass Sie eine Firewall verwenden, die mehr Funktionalität.

Alles in allem eine "nette" Seite..vor allem der "Defender" für XP...

Zitat:

Zitat von evilphreak

POC will not be - burn in a hell a script kiddies!

Zitat:

Zitat von [GC]Sunny

Alles in allem eine "nette" Seite...

Nett ja, aber leicht verdaulich ist was anderes. Sachverhalte mit Assemblerzeilen zu untermauern finde ich unmenschlich.

naja man muss es halt verstehen^^ aber ich denke es war schon lange klar das software fws längst nicht so effizient sind wie ein router. Wenn schon normale trojaner mit Firewall Bypass arbeiten wird es eh schon kritisch

hmm...mittlerweile kann man sowieso nicht mehr 100%ig sicher surfen...

Zitat:

Zitat von sufffer

aber ich denke es war schon lange klar das software fws längst nicht so effizient sind wie ein router.

wie schützt denn ein normaler Router?

Hi,

gemeint ist ein NAT-Router (NAT = Network Adress Translation). Ursprünglich dienten die dem Zweck, dass mehrere Rechner eine IP gemeinsam im Internet nutzen können um der Verknappung des Adressraums entgegenzuwirken. Die Rechner hinter dem Router nutzen einen speziellen Adressraum für private Netze, der häufigste sind die IPS, die mit 192.168 anfangen. Will jetzt ein Rechner eine Verbindung ins Internet aufbauen, kommt das erstmal bei dem Router an. Der übersetzt die auf die IP-Adresse, die er im Internet hat, leitet es weiter und trägt die Verbindung in eine interne Tabelle ein. Wenn jetzt vom Server Antworten kommen, kann er anhand der Tabelle ausmachen, zu welcher Verbindung sie gehören, übersetzt zurück auf die interne Adresse und leitet sie an den entsprechenden Host weiter.

Hier geht es darum, dass wenn ein Wurm versucht zu der öffentlichen IP eine Verbindung aufzubauen um dort einen Rechner zu infizieren, das nicht Teil einer vorhandenen Verbindung ist und der Router es einfach wegwirft.

Eigentlich ist das erstmal noch keine Firewall. Die Hersteller der Router bauen in dieses Grundprinzip unterschiedliche Filtermöglichkeiten ein, um z.B. Verbidungen zu bestimmten IP(Bereichen), Ports, usw sperren zu können. Ebenso gibt es Filtermöglichkeiten auf der Seite des lokalen Netzes, z.B. kann eine Sperre nur für einen bestimmten Computer eingerichtet werden.

Die "Krönung" ist ein alter PC, auf dem ein Linux/BSD o.ä. mit netfilter/iptables installiert wird. Da kann man so ziemlich jeden Filterwunsch dann realisieren, mit der einschränkung, dass auf dem Router nicht bekannt ist, von welchem Prozess auf dem Computer die Daten stammen. Viele lassen sich aber anhand der Daten erkennen, ich habe es zum Beispiel geschafft, die Nutzung von P2P in unserem lokalen Netz zu unterbinden. Nicht wegen der moralisch/juristischen Gründe, sondern weil an dem Netz über 40 Rechner hängen und eine kleine Minderheit die komplette Bandbreite damit blockiert hat.

Allerdings braucht auch die Software auf dem Router Updates, auch dort kann es vorkommen, dass Fehler vorhanden sind, mit denen es möglich ist, dass auf dem Router Code des Angreifers ausgeführt wird. Ist er einmal erobert, gehört er dem Angreifer, der damit einen Computer im lokalen Netz hat. Unangenehme Vorstellung. Wenn ich allerdings die Häufigkeit, mit der Updates für Windows erforderlich sind, mit der für Linuxupdates (besonders den Kernel und den Netzwerkcode) anschaue, dann spricht das sehr dafür.

Gruß, Karl

Karl, was Du geschrieben hast, ist mir alles bekannt.

meine Frage bezog sich auf die Aussage von sufffer, die ohne weiterreichende Erläuterungen mehr als irreführend ist.

Zitat:

Zitat von KarlKarl

Hier geht es darum, dass wenn ein Wurm versucht zu der öffentlichen IP eine Verbindung aufzubauen um dort einen Rechner zu infizieren, das nicht Teil einer vorhandenen Verbindung ist und der Router es einfach wegwirft.

Das war "gestern", als die Router noch nicht so verbreitet waren.

"Heute" wird mit reverser Verbindung gearbeitet, also von "innen" nach "außen", und da schützt eben ein Router nicht durch bloße Anwesenheit.

deshalb meine Frage an sufffer:

Zitat:

wie schützt denn ein normaler Router?

Zitat:

wie schützt denn ein normaler Router?

^^ ich schätze, dass war nicht ganz ernst gemeint...

Letztendlich kann man jeden Schutz umgehen.. Ich finde den Artikel gut strukturiert da er ja nicht grundsätzlich behauptet, dass PFW nutzlos wären sondern vielmehr verdeutlicht, dass das Preis-Leistungs-Verhältnis praktisch nie stimmt.
Windows liefert eine Firewall "kostenlos" mit die die wichtigsten Aufgaben erfüllt. In Kombination mit den Funktionen eines NAT-Routers ist eine Basis-Schutz gewährleistet.
Allerdings möchte ich anmerken, dass sicherliche eine ganze Menge User die Firewall nicht primär gegen Schädlinge sondern auch gegen die zahlreichen "Home-Calls" von legitimen Progs auf dem PC einsetzten.
Die Diskussion um den gläsernen Menschen hat da in den letzten Jahren sicherlich einiges zu beigetragen und auch ich bin der Meinung, dass man sich in der heutigen Zeit um das Thema durchaus Gedanken machen sollte.
Dafür wird dann allerdings keine kostenpflichtige Variante benötigt sondern man kann getrost auf eine kostenlose PFW zurückgreifen.

PS: Hi Heike. dachte ich mir doch.. ^^

Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router. Wenn man wüßte, wohin die Verbindung geht oder über welchen Port, dann könnte man sperren, aber wenn überhaupt, dann weiß man das erst, wenns bereits passiert ist. So gesehen wird das mit dem Router natürlich übertrieben. Er schützt davor, dass auf den Rechner vom Internet aus direkt zugegriffen werden kann. Also davor, dass Fehler in der Netzwerksoftware ausgenutzt werden können, um den Rechner überhaupt erst mal zu infizieren. Wenn alle Updates zeitnah installiert werden, spielt das eine recht kleine Rolle, im Falle eines 0-Day-Exploits könnte es relevant werden. Liegt er allerdings im Browser, in einem ActiveX, wo auch immer, dann nützt er auch nichts.

Ein weiterer Pluspunkt auf dem Router ist noch, dass man dort die Verbindungen kontrollieren kann. Auf dem Rechner können Techniken eingesetzt werden, dass sie isch innerhalb des Systems nicht ermitteln lassen, wenn sie durch den Router gehen, liegen sie offen. Das habe ich schon auprobiert: ein Backdoor in einer VM, eine weitere VM (Linux, netfilter) durch die der Traffic der ersten VM Richtung Internet durch muss. In der erstem VM ist höchstens mit Rootkitscannern was zu ermitteln, Netstat und Tcpview zeigen nichts. In der zweiten ist es offensichtlich, da kann ich den Traffic mitschneiden. Oder auf dem Hostsystem, auf dem die VMs laufen, ich bevorzuge aber eine zweite VM, weil ich mit netfilter wesentlich besser filtern kann, will ja keinen Spam versenden.

Diese Versuche dem bereits installierten Backdoor die Verbindung in die Heimat zu verwehren, taugen nichts, das ist die falsche Herangehensweise. Es kommt einzig darauf an, ihn garnicht erst zu installieren. Wenn das erstmal passiert ist, dann hat man verloren, weder Softfirewall, noch Hardfirewall noch Router ändern da was dran.

Gerade heute in einem anderen Forum erlebt: Ein Backdoorserver als ADS an das system32-Verzeichnis gehängt, ein unsichtbarer Browser läuft und Zonealarm merkt nichts.

Selbst wenn so eine Firewall was meldet und man dann auf "verweigern" klickt: Es gibt viele Techniken, an der Firewall vorbei zu kommen. Nur weil eine auffliegt, heißt das nicht, dass die nächste nicht umso besser funktionieren kann. Anwender ist glücklich "meine Firewall hat mich beschützt" während die Daten rausfließen. Bisherige Vergleichstest auf solche Techniken (Stichwirt Leaktests) hat noch keine Firewall komplett bestanden. Und es lassen sich sicher neue Techniken entwickeln.


Die Homecalls legitimer Programme: Da kann man erwarten, dass sie sich ausschalten lassen. Wie z.B. die Anfragen, ob es Updates gibt. Programme, die das denooch gegen den Weillen des Anwenders tun, gehören nicht auf den Rechner. Das schlimmste Homecall-Problem hatte ich mal mit Zonealarm (ich bekenne, dieses Programm auch mal genutzt zu haben). Irgendwann ist es mir dann aufgefallen, dass Zonealarm verschlüsselte Daten zu seinem Hersteller überträgt. In Zonelalarm also Zonealalarm das Internet verboten. Alert-Advisor (hieß irgendwie so ähnlich) getestet: Richtig, Zonealalarm teilt mir mit, dass es mir keine Informationen leifern kann, da ich ihm ja die Verbindung ins Internet verboten habe. Gleichzeitig sch....t das Programm auf die erteilten Regeln, denn im Hintergrund telefoniert es fleißig weiter. Ruhe gab es erst, nachdem ich diverse Adressen von Zonelabs in der Hosts-Datei auf 127.0.0.1 umgelenkt habe. Kurz danach ist der Mist vom Computer geflogen, das war dann das nächste Abenteuer.

Zitat:

Zitat von KarlKarl

Das mit der reversen Verbindung ist mir bekannt. Da hilft natürlich kein Router.

Genau das ist der Punkt.

Üblicherweise nutzt jede moderne Schadsoftware eine reverse Verbindung, also ist ein normaler Router kein Schutz, der durch bloße Anwesenheit wirkt, leider wird es oft so vermittelt.

Zitat:

Die Homecalls legitimer Programme

Ich meinte weniger die automatischen Updates, als wie du schon meintest die verschlüsselten Daten. ICQ ist auch ein ganz großer Kandidat für verschlüsseltes Datensenden. Ist mir über meine Kis FW aufgefallen. Danach bin ich gaaaanz schnell auf qip umgestiegen.
Desweiteren gehen mir die zahlreichen online "Registrierungen" total auf den Senkel. Mal eins der vielen Beispiele: Logitech Sound Software vor kurzem installiert. Da wurde ich gefragt ob ich mich online registrieren möchte.?!. wozu denn bloß? Ich habe eindeutig verneint und siehe da: *Ploing* Logitech versucht trotzdem nach draußen zu kommen.. Was da dann noch gesendet werden sollte bleibt mir ein Rätsel. Vielleicht, dass User XY sich nicht registrieren möchte und wir ihn ab und zu mal auf die Vorteile einer solchen Registrierung hinweisen sollten?? Man man..


PS: Hat jemand Ahnung von der KIS FW? Scheint jedenfalls "besser"/intelligenter als die von NOD's SmartSecurity zu sein. Die hat ICQ und vieles andere nämlich nicht bemerkt/bemängelt.

Zitat:

Zitat von undoreal

PS: Hat jemand Ahnung von der KIS FW? Scheint jedenfalls "besser"/intelligenter als die von NOD's SmartSecurity zu sein. Die hat ICQ und vieles andere nämlich nicht bemerkt/bemängelt.

ich teste gelegentlich mal Firewalls. Grundsätzlich denke ich, der "Lernmodus" ist bei allen Firewalls der größte Mist den es gibt, einige Stilblüten sind mir da schon aufgefallen. (für Server, die in den IE injecten wird gleich eine Regel erstellt, die den Traffic zukünftig erlaubt)

vom "Entdecken" wäre eigentlich Comodo mein Favorit, nur die Logs gefallen mir so gar nicht.

<off-topic>


PC-Tools Firewall Plus installiert, Spyware Doctor installiert, Einstellungen auf default gelassen, Poison Ivy Server gestartet, remote auf den PC verbunden, ohne irgendeine Warnmeldung.

PC rebootet, könnte ja sein, Spyware Doctor hat den Start des Servers nach dem Reboot verhindert, nein, der Server connected wieder.

ganz normaler Poison Ivy Server, released vor über einem Monat.

klasse, oder?

Zitat:

ganz normaler Poison Ivy Server, released vor über einem Monat.

löl. das ist ja prima.

...und über allem schwebt halt immer noch das größte aller Sicherheitslöcher......
Der Administrator der in Zonealarm dann einen Prozess rausläßt und auf "frag mich nach diesem nie wieder" klickt,nur weil er so ähnlich heißt wie dieses Zeugs von Microsoft oder eben ,weil ja MS per se böse ist, ein Programm das sich "Zonalarm" nennt oder vielleicht so "Zonealam"...
Was mit den svchost exen geht,wird auch mit Programmnamen funzen...
Irrlicht