Danke Danke:  0
Dislikes Dislikes:  0
Seite 4 von 7 ErsteErste ... 23456 ... LetzteLetzte
Ergebnis 46 bis 60 von 104

Thema: Warum Desktop Firewalls nix taugen

  1. #46

    Registriert seit
    23.11.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Anzeige
    @Tec guter Bericht!

    Nun ich hab vernommen, dass IBM eine Destop-Firewall verwendet: Zone Alarm (Firmen-Version).

    Auf den Mitarbeiter PCs wirk kontrolliert ob die Firewall eingerichtet ist. Falls nicht, wird diejenige Person gewarnt, sie müsse die Firewall umbedingt wieder Aktivieren bzw. downloaden.Innnerhalb von 24h.
    Ich muss villeicht auch noch sagen, dass sich eine Mitarbeiter der IBM sich von irgendeinem Ort einwählen kann. Also es ist kein Anschlussgebune Verbindung (haben die meisten Universitäten etc. *glaub*).

    Kann mir nun jemand sagen für was die eine Desktop-Firewall haben.Wenn sie ja gar nichts nützen (oder fast nichts)????

    Ach ja, fragt micht nun ja nicht von wo ich das weiss . Es stammt von einer zuverlässigen Quelle, der ich vertrauen kann .

    cya Ph0eNiX

  2. #47
    Träger des silbernen Seepferdchens Avatar von sieben
    Registriert seit
    24.04.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    11

    Standard

    Nur fuer unsere Freunde die meinen das alle Probleme geloest sind:

    From: "RUS-CERT (Florian Weimer)" <unattended@Lists.CERT.Uni-Stuttgart.DE>
    To: Ticker@Lists.CERT.Uni-Stuttgart.DE
    Date: Today 16:03:02

    [Generic] Neuer UDP-basierter Wurm verbreitet sich
    (2004-03-20 11:47:09.803988+01)
    Quelle: http://isc.sans.org/diary.html?date=2004-03-20

    Ein neuer Wurm verbreitet sich über UDP-Pakete. Ähnlich wie beim
    Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von
    infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme mit
    BlackICE, einem ISS-Sicherheitsprodukt. Möglicherweise ist weitere
    Software von ISS anfällig.

    Betroffene Systeme
    * BlackICE PC Protection 3.6 ccf
    * Wahrscheinlich weitere BlackICE-Versionen, möglicherweise auch
    andere ISS-Sicherheitsprodukte.
    * Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt
    verwundbare Systeme in Mitleidenschaft gezogen werden.

    Einfallstor
    UDP-Paket mit Quellport 4000 und zufälligem Zielport. Sehr
    wahrscheinlich sind Angriffe über eine Broadcast-Adresse ebenfalls
    erfolgreich, d.h. das Paket muß nicht direkt an das Opfer gerichtet
    sein.

    Auswirkung
    Ein befallenes System verschickt in rascher Folge UDP-Pakete mit
    Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich
    dem [1]Slammer-Wurm).

    Gefahrenpotential
    hoch
    (Hinweise zur [2]Einstufung des Gefahrenpotentials.)

    Beschreibung
    Ein UDP-basierter Wurm verbreitet sich seit 2004-03-19 05:46 MEZ. Laut
    [3]ISC SANS sind Microsoft-Windows-Systeme mit BlackICE PC Protection
    3.6 ccf, einer PC-Sicherheitssoftware ("Personal Firewall"), für diese
    Angriffe anfällig. Es ist im Moment unbekannt, ob tatsächlich die von
    EEYE bekanntgegebene [4]Schwachstelle für den Angriff genutzt wird,
    und ob weitere ISS-Produkte (wie die RealSecure- und Proventia-Reihe,
    siehe [5]IIS-Advisory zu der von EEYE gefunden Schwachstelle)
    betroffen sind.

    Die verschickten UDP-Pakete haben als Quellport 4000, der Zielport ist
    zufällig gewählt (teilweise auch unter 1024), die Zieladresse
    ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes.
    Alle Pakete enthalten die Zeichenkette "insert witty message here".

    Wie beim [6]Slammer-Wurm kann der Verkehr zu einem Denial of
    Service-Angriff auf die Netzanbindung betroffener Systeme führen.
    Sowohl die Bandbreite an sich als auch die zufällige Auswahl der
    Zieladressen können eine Überlastung der Netzkomponenten verursachen.

    Bis 2004-03-20 11:35 MEZ konnten wir 4800 befallene Systeme im
    Internet detektieren. Wir beobachten derzeit pro 10.000 IP-Adressen
    etwa 7 Angriffspakete pro Sekunde, die aus dem Internet ankommen.

    Wenn weitere Information verfügbar wird, werden wir diese Mitteilung
    aktualisieren.

    Gegenmaßnahmen
    * Als Notfallmaßnahme sollte eine Sperre von Paketen mit Quellport
    4000 vor der verwundbaren Infrastruktur in Betracht gezogen
    werden. Diese Sperre kann jedoch unerwünschte Nebenwirkungen haben
    und z.B. DNS-Verkehr oder regulären ICQ-Verkehr beeinträchtigen.
    * BlackICE-Benutzer sollten temporär auf den Einsatz der Software
    verzichten und z.B. auf [7]Filter mit IPsec-Policies
    zurückgreifen.
    * Zusätzlich sollte eine Upgrade auf [8]BlackICE 3.6cfg vorgenommen
    werden. Derzeit ist allerdings unklar, ob diese Maßnahme wirksam
    ist. Eine Stellungnahme des Hersteller steht noch aus.

    Weitere Information zu diesem Thema
    * [9]Internet Security Systems PAM ICQ Server Response Processing
    Vulnerability
    * [10]Internet Security Systems Security Alert, Vulnerability in ICQ
    Parsing in ISS Products

    Aktuelle Version dieses Artikels
    [11]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1189

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der
    Universität Stuttgart recherchiert und zusammengestellt. Die
    Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
    Dieser Artikel darf ausschließlich in unveränderter Form und nur
    zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
    veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
    an anderer Stelle ist ausdrücklich gestattet.

    Copyright ? 2004 RUS-CERT, Universität Stuttgart,
    [12]http://CERT.Uni-Stuttgart.DE/

    References

    1. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
    2. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
    3. http://isc.sans.org/diary.html?date=2004-03-20
    4. http://www.eeye.com/html/Research/Ad...D20040318.html
    5. http://xforce.iss.net/xforce/alerts/id/166
    6. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
    7. http://CERT.Uni-Stuttgart.DE/os/ms/i...aketfilter.php
    8. http://www.iss.net/download/
    9. http://www.eeye.com/html/Research/Ad...D20040318.html
    10. http://xforce.iss.net/xforce/alerts/id/166
    11. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1189
    12. http://CERT.Uni-Stuttgart.DE/

    Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)
    Diese Zeile ist reserviert für Clark Kent.

  3. #48

    Registriert seit
    16.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    > Viel Spass mit euren Userspaceprogrammen die ihr Firewall nennt ;-)

    Wie kommst du darauf, dass das Userspace-Programme sind? Ich nehme doch stark an, dass fürs eigentliche filtern auf IP-Ebene etwas im Kernel laufen muss.


    Tec, deiner Signatur kann ich nur in vollem Umfang widersprechen.
    Was den Tee angeht, das ist natürlich zunächst Geschmacksfrage, nicht zuletzt aber auch eine Frage der Teesorte Ach und gar nicht wird gar nicht zusammengeschrieben

    Und jetzt zu wichtigeren Dingen: Ich gebe dir völlig Recht, es ist absolut idiotisch, eine PFW zu installieren und sich dann "sicher" zu fühlen. Es ist eigentlich fast immer idiotisch, sich "sicher" zu fühlen Es gibt viele Angriffsmöglichkeiten, gegen die eine PFW absolut nichts ausrichten kann, und zwar by design. Dazu kommt natürlich, dass jede Software Fehler enthalten kann. Trotzdem gibt es eben ganz bestimmte Dinge, die eine PFW wirksam verhindern kann. Es sind Konfigurationen möglich, mit denen man die meisten Scans vereitelt und sich so schon mal nervige connect-Versuche von Scriptkiddies vom Leib hält. Auch gegen diesen RPC-Wurm hätte ein korrekt konfigurierter Paketfilter geholfen. Die einzige Möglichkeit, den Rechnernamen und andere NetBIOS-Informationen nicht übers Internet bekanntzugeben, obwohl die Dateifreigabe installiert ist, ist ein Paketfilter.

    Ich denke die Liste lässt sich fortsetzen. Versteh mich nicht falsch, es ist gut und wichtig, die Leute darüber aufzuklären, dass PFWs beileibe nicht dazu geeignet sind, einen Rechner mal so eben "sicher" zu machen, die Fehleinschätzung solcher Software ist wohl in der Tat einer der größten Unsicherheitsfaktoren im Internet. Aber zwischen "eierlegende Wollmilchsau" und "taugt nix" ist ein weites Feld

    Greets, Ziri

  4. #49

    Registriert seit
    24.10.03
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Original von Chris
    Symantec stellt sehr wohl gute Software her (IMHO)! Ich benutze beispielsweise Norton AntiVirus 2003 und halte es für ein gutes AV.
    Was den Schutz vor Viren betrifft, hast du da auch Recht, Norten schützt sehr gut davor.
    Einen guten Schutz vor Trojaner hat das Teil allerdings nicht zu bieten, mit schon fast primitiv anmutenden Methoden kann man einen Trojanerserver für den Nortenscanner stealth machen. Das trifft gegenwärtig auf fast alle AVscanner zu, auch auf KAV, sofern man über ein paar entsprechende Tools verfügt.

    Norten und AntiVir sind aber mit Abstand am leichtesten auszutricksen.

    Edit: Einer Firewall jegliche Schutzfunktion abzusprechen, ist reine Arroganz und Inkompetenz.
    Denn merke: Software ist oft fehlerhaft und das trifft auch auf Malware zu.

  5. #50

    Registriert seit
    16.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    1. Es heißt "Norton".
    2. Wer einen guten Virenscanner sucht kann auch F-Prot nehmen, mit Shell-UI (DOS) ist der kostenlos man bekommt ständig aktuelle Signaturen.
    3. Ein "guter" Trojaner kann (sofern er mit Admin-Rechten installiert wurde) niemals auf dem befallenen System selbst von einem Scanner gefunden werden, denn er klinkt sich in entsprechende Syscalls und untertrückt z.B. schon dort die Ausgabe der eigenen Dateien. Wenn man sich nicht darauf verlassen kann, dass die Syscalls wie definiert arbeiten, ist ein Scanner nutzlos. Also bei einem solchen Verdacht immer von CD booten.

    Greets, Ziri

  6. #51

    Registriert seit
    24.10.03
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Original von Zirias
    1. Es heißt "Norton".
    Greets, Ziri
    Recht haste... )

  7. #52
    Moderator Avatar von Elderan
    Registriert seit
    30.03.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    26

    Standard

    Frage war: Wann ist man 100% sicher
    Es gibt eine Lösung: Stecker ziehen!
    Zitat aus "Die Kunst der Täuschung - vom Kevin Mitnick"

    Sicherheit ist nur eine illusion.
    ...

    Der Social Engineer bringt einem dazu, den PC wieder anzumachen.
    Also bringt selbst Stecker ziehen nicht

    Aber zum Thema zurück:

    Also ich selber finde DF nicht absolut Sinnlos.

    Denn dich frage ist doch:
    Von wem werde ich Privat Angegriffen?

    Ich denke das sind doch fast immer Script Kiddis die mit einem Nuker, Trojaner, Sniffer, gegebende Freigabe von Dateien etc. Schaden anrichten.

    Eine DF mit Standardkonfiguration schützt einen vor den meisten dieser Angriffe. Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.

    Zwar stimmt es das diese DF schwachstellen hat, wie jede andere Software auch, allerdings bietet sie für wenig Geld/Kostenlos doch schon einen gewissen Grundschutz gegen solche Kinder.

    Auch finde ich Praktisch an diesen Firewalls, das der Anwender sieht, welche Progs. versuchen eine Verbindung aufzubauen und diese dann auch "Blocken" kann.
    Dies bringt schon Schutz vor Trojaner die vorher nicht die Firewall gekillt haben, und welche Kiddies können schon Trojaner bauen, die das machen? Höchstens einen Runterladen.

    Und dort kommt das Anti Viren Programm zum Einsatz, denn dies erkennt normalerweise den Trojaner.

    Also ich würde jedem DAU eine DF empfehlen, allerdings dazu sagen, das diese nur eine gewisse Sicherheit bietet.
    Und genau das sollten die Hersteller auch machen

  8. #53

    Registriert seit
    03.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    hallo zusammen,

    hoch interesanter Fred- wirklich!

    Ich möchte mal noch einen weiteren Aspekt zur Diskussion stellen.
    Ausgehend von der Frage: Wem droht eigentlich die größte Gefahr? kann folgender Ansatz entwickelt werden.

    Es dürfte unbestritten sein, dass in der Windows Welt die breiteste Angriffsfläche geboten wird.
    Neben Mängeln und vielfältigen Sicherheitslücken im Betriebssystem gibt es auch für Windows die meisten Viren.

    Der letzte Mac Virus beispielsweise wurde vor über sechs Jahren gesichtet (experimentell, keine Verbreitung im Internet).
    Trojaner am Mac OS sind zwar theoretisch möglich aber bislang völlig unbekannt.

    Ich arbeite seit 1984 u. a. an Macintosh Rechnern, hatte noch nie einen Virus oder Trojaner (keiner Schutzsoftware im Einsatz) und das schlimmste, was mir bisher passiert sind die Dödel, die regelmäßig den IIS Exploit gegen meinen Webserver fahren und mir damit die Logfiles füllen.
    Sollen die doch lieber erstmal checken, mit welchem OS sie sich da verbinden. :-b

    Andere Alternativen sind die Open Source Systeme aus der Unix Ecke (sicher nicht für jeden Einsatzzweck) wie OpenBSD, FreeBSD, NetBSD u. a. nicht zu vergessen Linux, obwohl sich da schon wieder viele Interessierte Tummeln.

    Die Lösung "Stecker raus" kommt mir dagegen so sinnvoll vor wie Selbstmord aus Angst vor dem Tod *ggg*

  9. #54

    Registriert seit
    21.08.03
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.
    Aber vielleicht "könnten" Sie aber ein kleinen 0815Codeschnipsel kompilieren, der sich "Exploit" nennt und damit eventuell Schaden anrichten .

  10. #55
    Senior Member
    Registriert seit
    02.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    2

    Standard

    Original von Riskman
    Denn Script Kiddies können zwar auch den Button "Nuke" klicken, allerdings denke ich, das fast alle nicht in der lage wären, ein Prog. zu schreiben, welches eine DF Ausschaltet.
    Aber vielleicht "könnten" Sie aber ein kleinen 0815Codeschnipsel kompilieren, der sich "Exploit" nennt und damit eventuell Schaden anrichten .
    Korrekt, das sind dann immer die Jungs hier welche nachfragen warum der Sploit xyz nicht compiliert wird.

  11. #56

    Registriert seit
    16.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Nun, das ist alles richtig, und ich denke die Schwächen von Desktop Firewalls sind hier auch erschöpfend diskutiert Nur ist es eben nicht so, dass sie _nichts_ nützen würden. Gefährlich ist die Überzeugung mancher DAUs, damit sicher zu sein, das lässt aber nicht den Schluss zu, solche Software tauge generell nichts.

    Greets, Ziri

  12. #57

    Registriert seit
    03.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    hahaha-

    und einen diese Blicker haben wir hier
    Sicherheit unter Windows

  13. #58

    Registriert seit
    12.10.03
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    darum hab ich mir ne hardware firewall gekauft

  14. #59
    Moderator Avatar von Elderan
    Registriert seit
    30.03.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    26

    Standard

    Ich benutze keine Personal Firewall und würde auch jedem dringend davon abraten, eine zu verwenden.

    Zu den Gründen:
    Personal Firewalls wiegen den User in Sicherheit - und das zu unrecht.
    Naja wenn der user sich aber nicht in "Sicherheit" wiegt, und weiß das eine PF ihn nicht zu 100% schützt (wie manchmal versprochen), dann wiegt er sich auch nicht in Sicherheit. Also bringt das Argument nicht allzuviel.

    Also sollte mehr Aufklärungsarbeit von den Herstellern getrieben werden.

  15. #60

    Registriert seit
    03.04.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Anzeige
    Original von Elderan
    Ich benutze keine Personal Firewall und würde auch jedem dringend davon abraten, eine zu verwenden.

    Zu den Gründen:
    Personal Firewalls wiegen den User in Sicherheit - und das zu unrecht.
    Naja wenn der user sich aber nicht in "Sicherheit" wiegt, und weiß das eine PF ihn nicht zu 100% schützt (wie manchmal versprochen), dann wiegt er sich auch nicht in Sicherheit. Also bringt das Argument nicht allzuviel.

    Also sollte mehr Aufklärungsarbeit von den Herstellern getrieben werden.
    Sehen Sie mal: Wir haben hier eine DF; gut ist sie nicht, aber teuer
    -
    ne mal im Ernst, der bringt doch in seinen Erklärungen Etliches durcheinander.
    Ein Highlight:

    Ein weiteres Problem des Stealth Modus ist, dass er das Internet (genauer: den Traffic) belastet, da der anfragende Rechner denkt, weil keine Bestätigung des zuvor gesendeten Packets angekommen ist, dass das Packet verloren gegangen ist und sendet es erneut. So wird das Internet unnötig belastet.
    Ja und dann legt da so ein gemeiner Hacker mit seinen 128 kBit den Provider lahm *ggg*

Ähnliche Themen

  1. in und um Firewalls
    Von ByteSurfer im Forum Doppelte Beiträge
    Antworten: 1
    Letzter Beitrag: 30.03.07, 10:45
  2. Einführung in Firewalls
    Von poiin2000 im Forum Security/Network Tutorials
    Antworten: 0
    Letzter Beitrag: 16.10.04, 11:26
  3. Firewalls knacken
    Von Frosty im Forum Virenschutz · Tools & Aggressive Software
    Antworten: 18
    Letzter Beitrag: 26.04.04, 20:57
  4. Firewalls und Antivirenprogramme
    Von Frosty im Forum Code Kitchen
    Antworten: 2
    Letzter Beitrag: 14.04.04, 17:42
  5. Neuer Hacker-Trick macht Desktop-Firewalls durchlässig
    Von Tec im Forum News & Ankündigungen
    Antworten: 0
    Letzter Beitrag: 03.05.02, 02:32

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •