Danke Danke:  0
Dislikes Dislikes:  0
Seite 1 von 7 123 ... LetzteLetzte
Ergebnis 1 bis 15 von 104

Thema: Warum Desktop Firewalls nix taugen

  1. #1
    Senior Member
    Registriert seit
    02.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    2

    Standard Warum Desktop Firewalls nix taugen

    Anzeige
    Warum Desktop-Firewalls nix taugen

    Vorüberlegung
    Zunächst einmal stellt sich die Frage, wovor dich eine Personal-
    Firewall eigentlich schützen soll?

    Im wesentlichen werden zwei Zeile angestrebt:
    - Unerwünschten Datentransfer von innen nach außen unterbinden
    - Schutz vor unerwünschten Zugriffen von außen

    Einige PF enthalten noch einen http-Proxy zur Filterung von
    Werbebannern oder Cokies.



    Datentransfer von innen nach außen
    Einige Beispiele aus dem realen Leben:

    1)
    Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
    Navigator / Internet Explorer Plugin und kommuniziert somit nicht
    *direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
    Probleme, die sonst bei einem Internetzugang über ein Netzwerk
    auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
    sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
    Beispiel von GoZilla und WebCopier verwendet.
    Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
    Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
    Programmen um "Internet-Software" handelt.
    Suchstichwörter: advert.dll, Radiate

    2)
    Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
    HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
    Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
    unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
    findet.

    Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung
    der Firewall mit dem Internet (auch wenn ZA die "normale" Kommuni-
    kation erkannt und unterbunden hat):

    C:\WINDOWS\TEMP\RN7080.htm
    |<HEAD>
    |<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real
    |.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx
    |xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xx xxx0X0X0x0X0x
    |xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxx xxXxxx0xx0x0x
    |xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xx xx">
    |</HEAD>

    Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x

    3)
    |Do you want Microsoft Internet Explorer to access the internet?
    |Do you want Netscape Navigator to access the internet?
    |Do you want Microsoft Windows 95 to access the internet?
    |Do you want DFÜ-Netzwerk to access the internet?
    |Do you want Zone Alarm to access the internet?

    Vernünftig programmierte Spyware wird sich ja kaum
    als "The ultimative hacking tool" in Windows anmelden.

    4)
    Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
    E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
    normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
    Protokoll über jedes andere tunneln, solange man Einfluss auf
    eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
    geht das auch über "viele Ecken".

    [1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige
    Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich
    diese auf Protokollebene korrekt verhalten und lediglich unerwünschte
    Inhalte transportieren.


    5)
    Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
    selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
    (also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
    wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
    ware im guten Glauben zu installieren.

    Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
    ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
    http://www.securityfocus.com/archive/1/244026 (Englisch)


    6)
    Mittlerweile gibt es auch die ersten bösen Programme [tm], die
    einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
    http://groups.google.com/groups?selm...tu-chemnitz.de
    http://www.seue.de/y3k/y3k.htm
    Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
    Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
    machtlos sein.

    Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
    Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
    der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
    namen eines entsprechend präparierten Programmes überschreibt.

    Normale Benutzerrechte reichen bei den meisten PFs,
    um neue Regeln einfügen:
    http://www.heise.de/newsticker/data/pab-18.05.01-001
    http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")


    Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
    mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
    angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
    allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.


    Zugriffsmöglichkeiten von außen
    Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen:

    Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und
    Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern
    auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel
    sind Personal-Firewalls recht erfolgreich)

    Bugs und Fehlkonfiguration (Default) z.B. in Browsern und
    Mailprogrammen. Gegen erstere haben Personal Firewalls nur
    dann eine Chance, wenn diese Fehler den Herstellern bekannt sind.
    Bevor diese allerdings ihre Produkte angepasst haben, hat MS
    (bzw. der Herstellers des fehlerhaften Programms) idR. ihre
    Sicherheitspatches schon längst veröffentlicht.

    Zu guter letzt könntest du dir noch eine Fernwartungssoftware
    oder ein anderes böses Programm installiert haben (wahrscheinlich
    eher unbewußt z.B. über Mail-Attachments, aktive Web-Inhalte
    (ActiveX), oder im guten Glauben ein nützliches Programm zu
    installieren). Dagegen sind PF ebenfalls machtlos: Es befindet
    sich in diesem Fall bereits ein Programm auf deinem Rechner,
    das die PF so verändern kann, dass sie Verbindungsaufbauten
    von außen ohne Rückfrage annehmen. Oder noch leichter:
    Es baut selbst eine Verbindung nach außen auf und holt sich seine
    Befehl ab. (Damit fällt es in den ersten Abschnitt).



    Weiterführende Informationen

    Artikel im HaBo-WiKi:
    http://wiki.hackerboard.de/index.php/Desktop_Firewall

    de.comp.security.firewall FAQ von Lutz Donnerhacke:
    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

    Die "Zonealarm-FAQ" von Utz Pflock aus news:de.comp.security.firewall
    enthält einige Informationen darüber, wie man als Privatanwender
    einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit
    erreichen kann. http://www.pflock.de/computer/za_faq.htm

    Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.):
    http://www.dslreports.com/forum/rema...ty,1~mode=flat

    http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
    http://www.team-cauchy.de/personal/
    http://www.fefe.de/pffaq/halbesicherheit.txt
    http://www.samspade.org/d/persfire.html (Englisch)




    Schlussüberlegung
    Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen,
    dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat
    oder sich in der Vertrauens-Einschätzung eines sehr schlampig
    programmierten bösen Programmes vertan hat.

    Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf
    *nicht* verlassen kann. Daraus ergibt sich eine nicht zu unter-
    schätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine
    PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal
    ein nicht vertrauenswürdiges Programm starten, ...

    Zu guter letzt handelt es sich bei Personal-Firewalls (von
    ipchains/iptables mal abgesehen) meist um closed-source Produkte,
    bei denen sich wieder die Vertauensfrage stellt. Die einer PF
    zur Verfügung stehenden Daten sind marketingtechnisch sicherlich
    nicht uninteressant.

  2. Gefällt mir L1ddleH4cK3R liked this post
  3. #2

    Registriert seit
    02.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Guten Tag

    Da hat sich jemand aber viel mühe gemacht.
    Finde ich super die "kleine" Überlegung. )

    Gruss Stefan

  4. #3

    Registriert seit
    31.01.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Ein wichtiger Punkt ist noch die Tatsache dass eine Desktop FW nicht in der Lage ist Pakete zu reassemblieren.
    Ausserdem blocken sie nur (meines wissens) und kennen keine "DENY" Option..
    Interessanter Text hierzu :
    www.little-idiot.de/firewall/zusammen.html

    respekt @tec !

    :wq!

  5. #4

    Registriert seit
    14.12.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    @seth
    und kennen keine "DENY" Option.
    Doch.Du verwechselst etwas.
    Siehe dazu diesen Link .

    Gruß

    Daika

  6. #5

    Registriert seit
    31.01.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    Auf meinem Desktop gibts es zum einen keine anderen
    "legitimen" Benutzer ausser mich (um mich auf Deinen Link zu beziehen) und mein privater PC wird auch nicht das Opfer von 1000 scans werden.

    Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.

    zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.

    :wq!

  7. #6

    Registriert seit
    29.11.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    tja...ich hab mit @tec mal im query darüber gequatscht.....

    mein fazit war (nachdem ich alle möglichen testprogramme laufen gelassen habe):

    NIX D-FW

    ich hab XP und wenn man ein wenig aufpasst ist das sys sicher (jo-es ist NIE sicher) und die D-FW machen so oder so nur ärger und mühe...und wen interessiert es ob mich die IP 2568x gescannt hat..... egal

  8. #7

    Registriert seit
    14.12.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    @seth
    Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.
    Falsch.
    Du solltest die Seiten nicht nur lesen,sondern auch verstehen.

    zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.
    Jaja.Alles klar.
    [ ]Du hast etwas verstanden.

    EOD,weil sinnlos.

  9. #8
    Träger des silbernen Seepferdchens Avatar von sieben
    Registriert seit
    24.04.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    11

    Standard Re:

    Original von TwoFinGaZ
    tja...ich hab mit @tec mal im query darüber gequatscht.....

    mein fazit war (nachdem ich alle möglichen testprogramme laufen gelassen habe):

    NIX D-FW

    ich hab XP und wenn man ein wenig aufpasst ist das sys sicher (jo-es ist NIE sicher) und die D-FW machen so oder so nur ärger und mühe...und wen interessiert es ob mich die IP 2568x gescannt hat..... egal
    Hmm. Also ein Grund sich zu quaelen waehre schonmal das man jede Menge lernt, ein besseres Gefuehl hat und Sicherheit auch Spass machen kann.

    Ich hab seit 3 Tagen regelmaessige Scans von einer IP-Adresse aus Japan. Was die arme Seele noch nicht weis ist das er sich mit einem Honeypot auseinandersetzt, nichts erreicht und ich dabei jede Menge lerne. :-)
    Diese Zeile ist reserviert für Clark Kent.

  10. #9
    Träger des silbernen Seepferdchens Avatar von sieben
    Registriert seit
    24.04.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    11

    Standard Re:

    Original von seth
    Auf meinem Desktop gibts es zum einen keine anderen
    "legitimen" Benutzer ausser mich (um mich auf Deinen Link zu beziehen) und mein privater PC wird auch nicht das Opfer von 1000 scans werden.
    Spaetestens seit DSL wuerde ich mich darauf nicht mehr verlassen. Kisten die lange im Netz sind und eine einigermassen taugliche Anbindung haben sind fuer viele Menschen interessante Ziele, sei es nur um von einem leicht zu knackenden Host angriffe auf ein anspruchsvolleres Ziel zu fahren.

    Fuer einen Privatanwender ist "DENY" die bessere Wahl und wenn es wirklich jemand (mit PLan !) auf meinen REchner abgesehen hat, macht es Ihm die Arbeit schwerer und sie dauert laenger.
    NAK. Es gibt Dienste wo ein REJECT durchaus Sinn macht. Als Beispiel sei nur mal 113 AUTH genannt.

    zum anderen ist es mit "DENY" nicht (und wenn nur sehr sehr schwer) moeglich einen DoS zu provozieren...ob ich auf 1000 scans ein "REJEKT" sende (!) oder auf 1000 scans hin gar nichts mache koennte darueber entscheiden, ob der FW weiterlaeuft oder nicht.
    Du moechtest dich bitte mit den Grundlagen von TCP/IP, Firewalls und DDoS befassen.
    Diese Zeile ist reserviert für Clark Kent.

  11. #10

    Registriert seit
    08.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Unhappy Kommentar

    Hi Tec,

    Deinen Beitrag finde ich sehr interessant, genauso wie alle anderen. Bei allen technischen Aspekten bzw. technischen Unzulänglichkeiten von vorhandenen DFW sollte man aber nicht vergessen, dass diese Programme auch einen wesentlichen Aufklärungseffekt für den "unbedarften" User haben!

    Besser etwas nicht ganz perfektes als gar nichts!

    Gruß
    Missi

  12. #11
    Rushjo
    Guest

    Standard

    @Missi

    Wo soll denn bitte dieser Aufklärungs-
    effekt einer DFW liegen?

    MfG Rushjo

  13. #12

    Registriert seit
    31.01.02
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard

    @missi

    Dann sollte aber auch der D-FW Hersteller fairerweise klarstellen DASS es
    die-eine-oder-andere "unzulaenglichkeit" gibt.
    ..denn das miese an der Sache ist ja nun mal das der "unbedarfte" Internetnutzer sich auf Texte a la Computer BILD nur zu gerne verlaesst und sich (und seine evtl. auch wichtigen Daten) in truegerischer Sicherheit wiegt..
    ...

    :wq!

  14. #13
    Senior Member
    Registriert seit
    02.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    2

    Arrow

    @missi

    ...dass diese Programme auch einen wesentlichen Aufklärungseffekt...
    Also bei der Tiny kann der User noch lernen das die TCP/IP Protokollfamilie nicht nur aus TCP und IP besteht und das es noch andere Ports als den 80iger gibt. Bei Norton und Zony kann man nur das zielgenaue ansteuern der immer wieder erscheinenden "Warnmeldungen" mit der Maus erlernen.



    @seth

    ...sich auf Texte a la Computer BILD nur zu gerne verlaesst...
    Stimmt! Und was propagieren die am laufenden Band -> die Norton FW. Und wie jeder weis taugt das Produkt nur als Ressourcen-killer etwas.

  15. #14

    Registriert seit
    08.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0
    Original von seth
    @missi

    Dann sollte aber auch der D-FW Hersteller fairerweise klarstellen DASS es
    die-eine-oder-andere "unzulaenglichkeit" gibt.
    Richtig!

  16. #15

    Registriert seit
    08.10.01
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard RE: Kommentar

    Anzeige
    Original von missi
    Hi Tec,

    Deinen Beitrag finde ich sehr interessant, genauso wie alle anderen. Bei allen technischen Aspekten bzw. technischen Unzulänglichkeiten von vorhandenen DFW sollte man aber nicht vergessen, dass diese Programme auch einen wesentlichen Aufklärungseffekt für den "unbedarften" User haben!

    Besser etwas nicht ganz perfektes als gar nichts!

    Gruß
    Missi
    ...zu meiner Verteidigung....

    Also...

    - D-FW sind kein Zauberwerk, richtig!
    - was die ComputerBild (@Seth) schreibt, ist zu 90% Müll, ok!
    - D-FW Hersteller übertreiben gerne, ok!

    Aber...
    ...meint Ihr wirklich nicht, das D-FW den "unbedarften" Benutzer sensibilisiert für Themen wie Cookies, JavaScript, Plug-Ins, falsche Druckerfreigaben, Throjan's, Ports etc ?( ?
    Ich denke schon, denn für viele "unbedarfte" INET-Nutzer ist das doch - trotz Computerbild - alles ein ziemlich großes schwarzes Loch.

    Gruß
    Missi

Ähnliche Themen

  1. in und um Firewalls
    Von ByteSurfer im Forum Doppelte Beiträge
    Antworten: 1
    Letzter Beitrag: 30.03.07, 10:45
  2. Einführung in Firewalls
    Von poiin2000 im Forum Security/Network Tutorials
    Antworten: 0
    Letzter Beitrag: 16.10.04, 11:26
  3. Firewalls knacken
    Von Frosty im Forum Virenschutz · Tools & Aggressive Software
    Antworten: 18
    Letzter Beitrag: 26.04.04, 20:57
  4. Firewalls und Antivirenprogramme
    Von Frosty im Forum Code Kitchen
    Antworten: 2
    Letzter Beitrag: 14.04.04, 17:42
  5. Neuer Hacker-Trick macht Desktop-Firewalls durchlässig
    Von Tec im Forum News & Ankündigungen
    Antworten: 0
    Letzter Beitrag: 03.05.02, 02:32

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •