Wie schützt ihr Eure Systeme

[Evil]

Original von green_point
@ Evil....
Jo was würdest du denn fürne Desktop FW empfehlen ?

KEINE,
Linux oder Hardware
Und wenn es eine Software/Desktoplösung sein soll/muss, dann halt Netop oder maximal noch Outpost

NETOP dESKTOP FW ?

Ja weil Treiberbasierend

hmmmm..... Scriptkiddies, denn ausdruck mag ich ned so besonders
Aber in meinem Alter was will man .....

Wollte damit niemand persönlich angreifen, sorry!!!

Achso unter Linux würde ich BitDefender als Virenscanner empfehlen...

 

[+++ATH0]

Ja weil Treiberbasierend

Ähmm. Nur so nebenbei. So gut wie jede Desktop-Firewall installiert Kernel-Module.
Damit Werbung zu machen ist eine andere Sache...
Hat wohl geklappt.

PS: Den Wikieintrag, den Silver gepostet hat, finde ich ganz gut.

 

[green_point]

also ich habe linux und WinXP, also Kubuntu.
Und ich wollte eigentlich wissen was ihr für WinXP empfehlen wollt ? auf Kubuntu hab ich nix drauf da die meisten Viren etc. ja für Windows basierende systeme programmiert worden sind.

Was würdet iihr für WinXp vorschlagen ?

Ich habe:

Router: Netgear
Norton
Ad-Aware

 

[Oi!Alex]

Original von green_point
Was würdet iihr für WinXp vorschlagen ?

Ich habe:
Router: Netgear
Norton
Ad-Aware

alles aber nur nicht norton (firewall/virenscanner)

ansonsten findest du ja hier im thread im allgemeinen gute hinweise was es noch so gibt

das wichtigste ist eigentlich das man "denken" muss bei dem was man tut und nicht jeden shice installiert den es im web gibt

 

[Evil]

Original von +++ATH0

Ja weil Treiberbasierend

Ähmm. Nur so nebenbei. So gut wie jede Desktop-Firewall installiert Kernel-Module.
Damit Werbung zu machen ist eine andere Sache...
Hat wohl geklappt.

PS: Den Wikieintrag, den Silver gepostet hat, finde ich ganz gut.

DIE PROZESSE VON NETOP LASSEN NICHT KILLEN, DEAKTIVIEREN, DEBUGGEN NOCH SONST IRGENDWAS!!!
Im gegensatz zu ALLEN anderen Firewall (die ich kenne).
Probier es aus!!!!!!!!!!!

 

[+++ATH0]

Was sagt das bitte über die Sicherheit von Netop aus?
AFAIK hooken auch andere Desktop Firewalls ein paar APIs um nicht abgeschossen zu werden.

 

[CDW]

DIE PROZESSE VON NETOP LASSEN NICHT KILLEN, DEAKTIVIEREN, DEBUGGEN NOCH SONST IRGENDWAS!!!

*Ohrenstöpsel raushol*
Du meinst also, Treiberbasierendes Zeug lässt sich nicht debuggen - wozu soll dann SoftIce noch gut sein?
Auch müsste der User NETOP deaktiviren können - und was der User kann, kann die Malware auch (übrigens: wer sagt dass man unbediengt die PFW deaktivieren muss anstatt z.B eine zugelassene Anwendung zu infizieren?). Eventuell ist sie nicht so verbreitet wie ZA und deswegen noch nicht "unter Beschuss" genommen worden.

 

[NeonZero]

Original von +++ATH0
AFAIK hooken auch andere Desktop Firewalls ein paar APIs um nicht abgeschossen zu werden.

Naja, eine treiberbasierte Überwachung bestimmter Systemereignisse ist theoretisch zuverlässiger, als das Hooken von APIs. Treiber arbeiten als Thread im Kernelspace, die native API liegt im Userspace. Einem Treiber ist es möglich, IRPs abzufangen, die von der native API initiiert wurden, um mit einem Thread im Kenelspace zu kommunizieren. Eine gehookte Funktion lässt sich noch immer über die Adresse direkt ansprechen und somit der Kontrolle der Firewall entziehen. Ein Treiber aber sitzt dahinter.

Original von CDW
Auch müsste der User NETOP deaktiviren können - und was der User kann, kann die Malware auch

Das ist der Punkt, die Schwachstelle oder besser der Irrsinn dahinter.

Original von CDW
übrigens: wer sagt dass man unbediengt die PFW deaktivieren muss anstatt z.B eine zugelassene Anwendung zu infizieren?

Und genau hier liegt der Vorteil dieser Methode. Solange die Firewallthreads nicht deaktiviert wurden, können sie z.B. DLL-Injection zuverlässiger verhindern, als eine Firewall, die das Problem durch das Hooken der native API zu lösen versucht. Aber wie gesagt: Nur solange keine Malware die Firewallsoftware über das User-Interface abschaltet.

Bye, nz

 

[Oi!Alex]

was ich mich jetzt natürlich frage ist warum netop so unbekannt ist wenn es doch um längen besser ist als die verbreiteten FW's
somal mir sysgate etc. reicht da es mir nur darum geht das software nicht nachhause telefoniert (ja ich weiss es gibt tricks und methoden das zu umgehen) - kann sowas nicht leiden - aus prinzip schon nicht

 

[NeonZero]

Um Missverständnisse auszuschließen: In dem Text zuvor wird nicht behauptet, dass ausgerechnet diese Desktopfirewall besser oder schlechter ist, als andere. Das wäre auch vermessen, weil ich sie nicht kenne.

Bye, nz

 

[+++ATH0]

Naja, eine treiberbasierte Überwachung bestimmter Systemereignisse ist theoretisch zuverlässiger, als das Hooken von APIs. Treiber arbeiten als Thread im Kernelspace, die native API liegt im Userspace. Einem Treiber ist es möglich, IRPs abzufangen, die von der native API initiiert wurden, um mit einem Thread im Kenelspace zu kommunizieren. Eine gehookte Funktion lässt sich noch immer über die Adresse direkt ansprechen und somit der Kontrolle der Firewall entziehen. Ein Treiber aber sitzt dahinter.

Ja ist richtig. Über den NDIS-Filter hinaus, hooken manche PFWs auch Funktionen der System Serivce Descriptor Table (SSDT). Also im Kernel-Mode. So habe ich das eigentlich gemeint.

 

[Evil]

Sorry, wollte hier kein BESTE/SCHLECHTESTE Firewall-Thread starten!
1) Wie ihr sicher gemerkt habt, bin ich kein grosser "Desktop Firewall Freak"

2) Prinzipiell hat NeonZero die Schwerpunkte aufgeführt und dem kann ich nichts hinzufügen.

3) Ich habe es NICHT geschaft NETOP von aussen zu auszuhebeln.
- Treiberebene (Ring 0)
- und das macht keine andere die ich kenne
Will jetzt niemand in Sicherheit wiegen auch wenn ich von mir behaupten kann daß
ich doch etwas Ahnung von Firewalls und deren Schwachstellen habe.

4) Okay, die Popularität diverser Software (speziel von AV und FW) spielen sicher eine grosse Rolle wie gut oder sicher eine Software ist.

5) daß NETOP nicht so verbreitet ist, lässt aus meiner Sicht ganz einfach damit erklären, das es keine Share-/Free-ware (*Daumen hoch*) ist.
Oder auf jeden "Aldirechner" schon vorinstalliert ist.
NETOP ist eher für Firmen bzw. kleine Netzwerke gedacht, nicht für den Standardhomeuser, was auch am Preis zu sehen ist.

zurück zum Thema??? ?(

 

[+++ATH0]

- Treiberebene (Ring 0)
- und das macht keine andere die ich kenne

Das machen so gut wie alle, die ich kenne.

EDIT:
Du kennst z.B. ZoneAlarm nicht?
http://www.teltarif.de/arch/2003/kw32/x6695.html

oder Outpost?

?Als Hersteller von Outpost Firewall Pro müssen wir auf die Kernel-Ebene zugreifen?, so Alexey Belkin, Leiter der Softwareentwicklung bei Agnitum.

http://openpr.de/news/94492/Agnitum-analysiert-Kernel-Patch-Protection-von-Microsoft.html

 

[dapartiou]

@+++ATH0
Iregndwie kann ich mit Using Software Restriction Policies to Protect Against Unauthorized Software nichts anfange. Könntest du mir das kurz in de erklären? =)

 

[+++ATH0]

Hilft das weiter?
www.virusbtn.com/files/johnlambert_vb2002.pdf

 

[dapartiou]

Arghhh auch in englisch! :]

Naja, dann werd ich meine Schulkenntnisse mal einsetzten müssen! Ich danke dir aber schonmal für diese Information!

 

[bitmuncher]

Die beste Loesung sein System zu sichern duerfte sein, wenn man einfach eine Unix/Linux-Kiste als Router verwendet. Diese stattet man mit einer guten Paketfilter-Firewall aus, setzt ein IDS wie Snort drauf um unerwuenschten Traffic auszufiltern und installiert einen Proxy-Server, der dafuer sorgt, dass bestimmte Webseiten, die fuer schadhafte Inhalte bekannt sind, abgeblockt werden. Dann laesst man seine Emails noch via Fetchmail o.ae. abholen, so dass diese erstmal auf dem Router landen, wo sie gleich auf Viren und Spam gescannt und gefiltert werden (Stichwort: amavisd-new, ClamAV, Spamassassin).
Damit hat man dann schonmal seine Kiste ziemlich sicher, denke ich.

 

[Iverson]

Ich nutze

Brain 2.0
Opera, Firefox und Thunderbird
Spybot S&D
Router mit Hardware Firewall
Bitdefender 9 Professional Plus

Das mit dem Eingeschränkten Benutzerkonto werd ich mir einrichten wenn ich meinen PC formatiert habe da das mal wieder kurz bevorsteht

Was gilt es zu beachten bei einem Eingeschränkten Benutzerkonto?

 

[b4ck]

antivir (freeware)
Spybot S&D
win firewall deaktiviert
router mit firewall
und wichtig HIRN!

 

[bcom]

ich nutze die outpost 3.5er, bitdefender 8(die gratis edition dies mal einen tag im netz gab)+router.
Fürn normalen Windoof rechner reicht das meiner Meinung nach. Wenn man irgednwas machen will wo man denkt man könnte sich was einfangen empfehlen sich ja eh vms oder linux rechner...