Der große "Personal Firewalls sind grundsätzlich sinnlos - ja/nein"-Thread

Nautilus

@Iron: Ich sprach nicht von einem weiteren Tutorial zur Konfiguration von Firewalls. Davon gibt es in der Tat schon viele. Ich will auch nicht argumentieren oder ins Abstrakte abgleiten.

Woran ich dachte, ist Folgendes: Es wird beispielhaft ein klassischer Infektionsvektor dargestellt (z.B. das Starten einer Anwendung namens xyzinstall.exe, die man per Email erhalten oder in Kenntnis des damit verbundenen Risikos aus einer Filesharingbörse gesaugt hat) und dem User erklärt, wie man in einer solchen Situation sinnvoll vorgeht (wenn der Verzicht auf ein Ausführen des Programmes nicht in Betracht kommt). So ein Tutorial habe ich noch nicht oft gesehen und es würde eigentlich gut zum Trojaner-Board passen. Es könnte dabei ganz konkret die Vorgehensweise zur Erkennung eines im Installer potentiell vorhandenen Trojaners (sogar die eines firewalltunnelnden Trojaners) per AV Scanner, Firewall, Cleansweep bzw. Registryüberwachungstool, etc. veranschaulicht werden.
*******
*******
*******

@Prantl

Stichwort BuHa-Board...wenn Du dort mal in den Trojaner-Thread schaust, wirst Du sehen, dass es total verödet ist. Da bekommt kaum noch jemand Hilfe. Aber ich stimme Dir zu, es gibt immer noch genug Boards, wo man Hilfe bekommt...
*****
"Die umständliche Handhabung, die kindische Oberfläche und das Hauptproblem zwischen Tastatur und Stuhl...Ich finde ZA(Pro) generell Mist, weil sie auch viel zu aufgeblasen ist. Tiny/Kerio ist deutlich schlanker."

Antwort: Das sind aber relativ "weiche" Argumente. Dafür besteht die Kerio 2 viele Leaktests nicht. (Ich will damit keineswegs sagen, dass ZAP die beste aller Firewalls ist, sondern nur für eine differenzierte, faire Beurteilung plädieren. Wenn ZAP beispielsweise allzu tief ins System eingreift und sich nicht mehr vernünftig deinstallieren laesst, wäre das für mich durchaus als wirklicher Minuspunkt dieser Wall anzusehen. Andere Walls sind aber auch nicht perfekt.)
******
Stichwort: Buffer Overflow -- In der Tat ist das nicht gänzlich auszuschliessen. Aber wohl eher eine theoretische Gefahr. Bislang wurde eine Wall IMHO noch nie erfolgreich aus dem Internet heraus exploited. Anders sieht es bei Webbrowsern aus etc.
*****
"Normalerweise wird ... die Firewall zum Absturz gebracht.
...
In diesem Moment stehst du mit heruntergelassenen Hosen da, und eventuell laufende Dienste (Datei- und Druckerfreigabe) können angegriffen werden."

Wenn man sogar solche Dienste auf dem Rechner laufen hat, dann sollte man auf jeden Fall eine FW installieren (wenn das Geld nicht für Deine Lösung reicht). Die FW wird zwar evt. mal "abgeschossen"...aber wenn man sie deshalb erst gar nicht laufen lässt, ist es ja noch schlimmer. Du wolltest aber wahrscheinlich sagen, dass man sich primär darum kümmern soll, dass die Datei- und Druckerfreigabe deaktiviert ist (wenn man sie nicht braucht). Da stimme ich Dir natürlich zu. Die Firewall ersetzt keine vernünftige Systemkonfiguration, sondern ergänzt sie.
********
Stichwort: Firewalltest. Sag mir doch per Email Bescheid, welche Tools Du benötigst. Vielleicht habe ich sie ja. Rokop und Wizard haben meine Email. Ich möchte sie hier nicht ständig im Forum posten, sonst bekomme ich bald wieder Spam. (Ansonsten PM.)
*****
*****
*****

@Seltsam

"Ich setze keine [Personal Firewall] ein [img]redface.gif[/img] ). Für andere kann ich nicht spechren." -- Kein Wunder, dass sich dann Dein TDS immer wieder deaktiviert hat )))

****
"Weil sie Scriptkiddies sind. So einfach wie möglich soll das gehen." -- Genau das ist ja mein Punkt.

***
"Welche neuen Lücken macht ZA oder ZAP auf?

Fehler im Treiber und Layer bei hoher Belastung."

Antwort: Das Problem haben Kerio und Outpost wohl auch. In der Praxis wird man als Normalsurfer, der keinen Webserver betreibt, aber sehr sehr selten das Opfer eines gezielten, lang andauernden Floods. Ausserdem kann man dann immer noch wie oben bereits beschrieben vorgehen.
*******
"5. Warum wird Assasin in einem PFW-Thread als
>firewalltunnelnder Trojaner bezeichnet und
>angedeutet, dass eine ganz normale PFW Assasin
>nicht blockieren würde?

Weil viele Firewalls eine recht unsichere Standardkonfiguration haben und ausgehende Verbindungen zu gewissen Ports (DHCP, DNS usw.) ist erlaubt sind und man mit Hilfe von Assasin diese Lücken ausnutzen kann."

Antwort: Der Hinweis auf den potentiellen Konfigurationsfehler in Sachen DNS ist gut und richtig. Man kann ihn aber leicht abstellen. Wer diesen Thread liesst, sollte dies tun.

Ich sehe Assasin vor allem als Gefahr für LANs und Unternehmen an, die keine PFW (Applicationfirewall) einsetzen. (Schönen Gruss an Prantl Eine normale PFW meldet dagegen bei Assasin, dass die Datei msspool32.exe (falls sie nicht umbenannt wurde) ins Web will. Das liegt daran, dass Assasin IMHO nicht die Technik der .dll Injektion unterstützt.
****
"Weil sie nicht theoretisch sind. Code Injection wird von vielen Viren und Würmern genutzt. RAW Sockets werden z.B. von ACKCMD genutzt (ist allerdings nur ein Testtrojaner). Du wirst wohl kaum bestreiten, daß Firewall Tunnelnde Trojaner itw sind, oder?"

Antwort: Nein. Das bestreite ich nicht. Habe selbst auch gerade wieder einige dau-taugliche Tools zur .dll Injizierung gefunden. Aber noch sind die entsprechenden Trojaner nicht sehr verbreitet und ausserdem bietet die neue Firewallgeneration insoweit schon wieder etwas Schutz. Also kein Grund zu verzweifeln. (Raw Sockets werden meines Wissens zumindest von ZA, Kerio und Sygate überwacht?) Nur nochmal zur Klarstellung: Die Warnhinweise und die Sicherheitstips in Deinen beiden Threads unterstütze ich voll uns ganz.
*****
Stichwort Button-Click:

Mein Tip...Administrationspasswort setzen (um ein Allow All oder ein Manipulation der Rules zu verhindern); bei Kerio 2 den DisableAllUponTermination Regkey aktivieren; darauf achten, ob das Firewall- bzw. AV Scanner- Icon in der Taskleiste erlischt. (IMHO sind Firewallkilling-Techniken viel zu auffällig und führen dazu, dass ein Trojaner binnen kürzester Zeit entdeckt wird.)
****
"Weil sich Optix prima dazu eignet die Schutz Software abzuschalten auf dem Rechner. Optix Aufgabe dient ja nur dazu einen "umfangreicheren" Backdoor auf dem System zu platzieren.
In der Praxis lässt sich Optix Lite recht einfach verstecken - finde ich."

Antwort: Ich gehe davon aus, dass wir immer noch von Optix Lite FWB (und nicht Optix Lite) sprechen. Das Abschalten der Schutzsoftware ist IMHO auf Dauer sehr auffällig und stellt deshalb den Sinn dieser Schutzsoftware nicht in Frage. Natürlich ist es aber wieder richtig, dass Du auf diese Gefahr hinweist.

Schicke mir doch einmal einen ungepatchten, aber dennoch unerkennbaren Optix Lite FWB. Meine Email hast Du ja. Ich wäre sehr überrascht, wenn Du das mit konventionellen Methoden hinbekommst
*****
"Wieso wird vor Viren gewarnt aber nicht darauf hingewiesen, daß sie so kompliziert sind, daß ein Scriptkiddie nicht mal wüsste wie man ihn verbreiten soll? Ob Person xy nun weiß wies geht oder nicht - die Gefahr bleibt."

Antwort: Die Gefahr bleibt in der Tat bestehen. Der Unterschied ist aber, dass sich Viren und Würmer sehr schnell und automatisch verbreiten. Trojaner in der Regel nicht.
****
"Ein guter AV Scanner macht eine Firewall für den normal Anwender imho überflüssig."

IMHO bieten PFWs selbst für sehr unerfahrene Anwender einen gewissen Zusatzschutz, wenn nach der simplen Methode verfahren wird: "Im Zweifel blocken (es sei denn der Computer funktioniert dann nicht mehr wie gewünscht)". Je mehr der Anwender dann die Funktionsweise einer PFW versteht, desto mehr Sinn macht sie auch. So war es zumindest bei mir. Gäbe es ZoneAlarm nicht, hätten viele Leute vielleicht niemals eine PFW installiert und gelernt, sie zu verstehen.
****
Weil im Gegensatz zu Firewalls neue Konzepte existieren, die diese Probleme nicht haben *fg*.

Konzepte...*ggg*. Was hältst Du von Bitdefender?

Gruss Nautilus

[ 11. Oktober 2002, 20:25: Beitrag editiert von: Nautilus ]