@Bo:

Ich würde schon sagen, dass eine PF wie z.B. Sygate gegen den ASN.1-Bug hilft, da _gerade_ die Funktionalität des Paketfilters dagegen hilft. Default-Mässig lässt eine einigermaßen vernünftige PF-Software keinen Traffic ein, der nicht explizit erlaubt ist (TCP SEQ-Nr. Identifizierung, SYN/ACK Tracking). Um den ASN.1-Bug auszunutzen, muss man connecten können, und das unterbindet eine PF-Software per Default, es sei den man erlaubt dies explizit, dies gilt für alle anderen Dienste. Und was die Abschaltung von Diensten betrifft, stimme ich dir voll und ganz zu, und unter Linux bzw. Solaris oder *BSD ist dies auch ganz klar die für einen Desktop-PC die korrekte Lösung, aber gerade unter Windows, wo teilweise einzelne Servicepacks spezielle Dienste ungefragt wieder aktivieren ist es m.E. verantwortungslos, keine FW-Software zu verwenden.

PS: Ich entwickle an dem Linux-Paketfilter iptables mit und kenne mich daher mit der Materie ein bissl aus, nicht nur von der Aussenansicht sondern auch von der Implementierung. Und wie gesagt, ich sehe ein dass ein nicht laufender Dienst besser ist als einer der läuft, aber durch eine FW vom Inet abgeschirmt wird. Nur traue ich diesbezüglich Windows egal welcher "Geschmacksrichtung" (XP,2000,NT,98 etc.) erheblich weniger als den Entwicklern einer fast beliebigen Firewall-Software

Hm, ist es nicht so, dass die Library gar nicht selbst connected, sondern die Anwendungen, welche diese nutzen? Wenn Du diese zulässt, hilft Dir die Firewall leider auch nicht weiter. Aber wir scheinen uns ja einig zu sein: eine Firewall ersetzt die sorgfältige Konfiguration und Wartung des Systems nicht. Der mögliche, zusätzliche Sicherheitsgewinn ist aber auch für mich unbestritten. Jetzt benötigen wir nur noch einen User, der dies bestreitet *g*

hm, wo ist Wizard
Rudi

</font><blockquote>Zitat:</font><hr />Original erstellt von micha_x:
Ich würde schon sagen, dass eine PF wie z.B. Sygate gegen den ASN.1-Bug hilft, da _gerade_ die Funktionalität des Paketfilters dagegen hilft. </font>[/QUOTE]Falsch.
</font><blockquote>Zitat:</font><hr /> To successfully exploit this vulnerability, an attacker must force a computer to decode malformed ASN.1 data. </font>[/QUOTE]Quelle

wieso falsch?
http://www.sygate.com/alerts/SSR20040211-00011.htm

tony

Ich habe den Verdacht, dass Hardware Firewalls noch viel unsicherer sind

Siehe c't 5/2004 S. 74 bzw. http://www.rokop-security.de/board/i...showtopic=2042

</font><blockquote>Zitat:</font><hr />Original erstellt von tony manero:
wieso falsch?</font>[/QUOTE]Ein Paketfilter wie Sygate kann vor dem ASN.1 Bug nicht schützen. Das Senden von TCP/UDP-Paketen ist eine weder notwendige noch hinreichende Bedingung für einen erfolgreichen Einbruch, sondern das Ausnutzen geschieht durch das clientseitige dekodieren bösartiger Daten.

HTH,
docprantl

Begründung? Wenn ein TCP/IP Paket abgelehnt wird bevor es verarbeitet werden kann, ist keine Gefahr vorhanden.

Deine Begründung zwecks Menge von Code greift hier übrigens: Der Code um ein eingehendes Paket an einen unerwünschten Port abzulehnen ist äußerst simpel, wohingegen die Verarbeitung und Interpretierung eines Protokolls deutlich fehleranfälliger ist (Buffer Overflows, Protocol Flaws etc. pp)