[HaBo]

25.11.09, 21:06

Hallo liebe community,

ich habe mich vor Kurzem mit Windows Desktop Firewalls etwas näher beschäftigt. Besonders interessiert mich hier der Paketfilter, der wohl über einen Zwischenstreiber realisiert wird, z.B. Firewall Hookdriver. Dieser Treiber arbeitet nun auf einer logischen Schicht zwischen dem Hardwaretreiber und der, für Anwendungen zugänglichen, Abstraktionsschicht des TCP/IP Stacks. So wird das droppen von Paketen möglich. Über einen Treiber auf dieser Schicht ist aber auch das assemblieren und senden von Paketen möglich. Jetzt brennt mit eine frage unter den Nägeln: Wenn ein solcher Zwischentreiber neben dem Firewall Hookdriver benutzt wird: Gelangt der, hierüber gesendete Datenverkehr an der Firewall vorbei ? Bevor ich jetzt den Aufwand betreibe das selber nachzustellen, hat doch bestimmt jemand etwas dazu parat, oder ?

Vielen Dank für euere Bemühungen.

26.11.09, 18:02

Ok,

ich konnte die Finger nicht davon lassen

.
Vielleicht war ich auch etwas zu ungeduldig in meiner Erwartung von Antworten.

Falls wer Interesse dran hat:

Ich habe heute bzgl. meiner Fragestellung einiges nachgestellt. Ich habe mir eine Windows Personal Firewall installiert, den Name nenne ich hier nicht. Ich richte eine Paketfilterregel ein, die fortan mit einer Popup Meldung alamierte wenn:

srcip: 192.168.0.2 (mein lokaler Rechner)
dstip: 192.168.0.1 (mein lokaler Router)
dstport: 80 (Das Webinterface meines routers)

Ich teste dies mit meinem browser: Alarm!
Ich schaue mir die installierten treiber an und stelle fest, dass meine Firewall einen NDIS Filter driver benutzt. Ich erstelle nun einen eigenen ndis Protokolltreiber, und stelle fest, dass ich keine raw ethernetpakete senden kann, mit erdachten Absender mac's. Eine kleine Korrektur im Treiber behebt dies(Was für meinen Test egal ist, interessierte mich einfach). Ich sende ein TCP Syn Paket an meinen Router auf Port 80 raw, über meinen Treiber.
Die Firewal meldet: Alarm

und Wireshark captured mein paket, d.h. dass mein Treiber noch vor Ethereal im driverstack genutzt wird.

Ein Paket durchläuft den driverstack von oben nach unten, mein Treiber ist recht weit oben, wo weis ich nicht, weil unkokumentiert. pcap ist darunter, und ganz unten sind die filter driver; Meine Firewall! Es scheint aber so, als könne man über einen Filter driver keine Pakete senden, meine recherchen sagen dies zumindest aus, ist das so ?

Wenn ja kann man eine so konstruierte Windows Software Firewall nicht über den driverstack umgehen, ich glaube fest dass es so ist! Das stimmt mich relaxed!

Anmerkungen ?

HaBo Ads

enkore · 28.11.09, 12:05

http://dl.28398.org/the_truth_about_firewalls.DE.html
Zum Schluss hin ist der Artikel irgendwie Müll (unschlüssig), aber der Anfang ist ganz gut.

28.11.09, 23:32

wow nicht schlecht,

allerdings äußere ich mich dazu erst, wenn ich vollständig verstanden und reflektiert habe was dort steht. Dasselbe Thema wird professionell beleuchtet an anderen Stellen.

Es ist beeindruckend finde ich, allerdings finde ich genauso beeindruckend, wie in diversen Abhandlungen verschiedener Herausgeber, die Tatsache, dass der bypass einer Windows Desktop Firewall prinzipiell möglich ist, von einer lächerlich vereinfachten Sichtweise reflektiert wird, oder ? Simple minded.

Ich meine.. viele disktutieren das Thema auf application layer und meinen es hier theoretisch beweisen zu können, obwohl die Möglichkeit erst im Kernelmode besteht....Trittbrettfahrer einer audiovisuellen Histerie .....

Ich entschulige mich hiermit, dieses Thema nocheinmal aufgemacht zu haben, obwohl es auch bei euch schon in einem "wichtig" thread mehrere Jahre läuft. ...Hoffe Ihr nehmt es mir nicht zu übel

Dennoch würde ich mich noch über Antworten freuen...

Empfehlung

25.11.09, 21:06	#1 (permalink)
AngelDelivery Guest Likes:	Windows Desktop Firewall - Sicherheit Hallo liebe community, ich habe mich vor Kurzem mit Windows Desktop Firewalls etwas näher beschäftigt. Besonders interessiert mich hier der Paketfilter, der wohl über einen Zwischenstreiber realisiert wird, z.B. Firewall Hookdriver. Dieser Treiber arbeitet nun auf einer logischen Schicht zwischen dem Hardwaretreiber und der, für Anwendungen zugänglichen, Abstraktionsschicht des TCP/IP Stacks. So wird das droppen von Paketen möglich. Über einen Treiber auf dieser Schicht ist aber auch das assemblieren und senden von Paketen möglich. Jetzt brennt mit eine frage unter den Nägeln: Wenn ein solcher Zwischentreiber neben dem Firewall Hookdriver benutzt wird: Gelangt der, hierüber gesendete Datenverkehr an der Firewall vorbei ? Bevor ich jetzt den Aufwand betreibe das selber nachzustellen, hat doch bestimmt jemand etwas dazu parat, oder ? Vielen Dank für euere Bemühungen.

28.11.09, 23:32	#4 (permalink)
AngelDelivery Guest Likes:	wow nicht schlecht, allerdings äußere ich mich dazu erst, wenn ich vollständig verstanden und reflektiert habe was dort steht. Dasselbe Thema wird professionell beleuchtet an anderen Stellen. Es ist beeindruckend finde ich, allerdings finde ich genauso beeindruckend, wie in diversen Abhandlungen verschiedener Herausgeber, die Tatsache, dass der bypass einer Windows Desktop Firewall prinzipiell möglich ist, von einer lächerlich vereinfachten Sichtweise reflektiert wird, oder ? Simple minded. Ich meine.. viele disktutieren das Thema auf application layer und meinen es hier theoretisch beweisen zu können, obwohl die Möglichkeit erst im Kernelmode besteht....Trittbrettfahrer einer audiovisuellen Histerie ..... Ich entschulige mich hiermit, dieses Thema nocheinmal aufgemacht zu haben, obwohl es auch bei euch schon in einem "wichtig" thread mehrere Jahre läuft. ...Hoffe Ihr nehmt es mir nicht zu übel Dennoch würde ich mich noch über Antworten freuen... Geändert von AngelDelivery (28.11.09 um 23:40 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

26.11.09, 18:02	#2 (permalink)
AngelDelivery Guest Likes:	Ok, ich konnte die Finger nicht davon lassen . Vielleicht war ich auch etwas zu ungeduldig in meiner Erwartung von Antworten. Falls wer Interesse dran hat: Ich habe heute bzgl. meiner Fragestellung einiges nachgestellt. Ich habe mir eine Windows Personal Firewall installiert, den Name nenne ich hier nicht. Ich richte eine Paketfilterregel ein, die fortan mit einer Popup Meldung alamierte wenn: srcip: 192.168.0.2 (mein lokaler Rechner) dstip: 192.168.0.1 (mein lokaler Router) dstport: 80 (Das Webinterface meines routers) Ich teste dies mit meinem browser: Alarm! Ich schaue mir die installierten treiber an und stelle fest, dass meine Firewall einen NDIS Filter driver benutzt. Ich erstelle nun einen eigenen ndis Protokolltreiber, und stelle fest, dass ich keine raw ethernetpakete senden kann, mit erdachten Absender mac's. Eine kleine Korrektur im Treiber behebt dies(Was für meinen Test egal ist, interessierte mich einfach). Ich sende ein TCP Syn Paket an meinen Router auf Port 80 raw, über meinen Treiber. Die Firewal meldet: Alarm und Wireshark captured mein paket, d.h. dass mein Treiber noch vor Ethereal im driverstack genutzt wird. Ein Paket durchläuft den driverstack von oben nach unten, mein Treiber ist recht weit oben, wo weis ich nicht, weil unkokumentiert. pcap ist darunter, und ganz unten sind die filter driver; Meine Firewall! Es scheint aber so, als könne man über einen Filter driver keine Pakete senden, meine recherchen sagen dies zumindest aus, ist das so ? Wenn ja kann man eine so konstruierte Windows Software Firewall nicht über den driverstack umgehen, ich glaube fest dass es so ist! Das stimmt mich relaxed! Anmerkungen ?

28.11.09, 12:05	#3 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 60	http://dl.28398.org/the_truth_about_firewalls.DE.html Zum Schluss hin ist der Artikel irgendwie Müll (unschlüssig), aber der Anfang ist ganz gut.


HaBo Ads HaBOT

[HaBo]

Windows Desktop Firewall - Sicherheit