Hi leute ich weis ich hab mir viel vorgenommen aber ist es möglich Firewalls auszuhebeln? Mit welchen Programmen, Exploits etc. funzt sowas? Ich denke zb. an Norton Internet Security oder Kaspersky Anti-Hacker... meine Frage ist einfach nur ob es Exploits oder andere Tricks gibt die Schwachstellen dieser Firewalls ausnutzen können um diese zu umgehen?
![[HaBo]](/styles/default/logoklein.png)
Firewalls knacken
- Themenstarter Frosty
- Beginndatum
jo.. "früher" hat auch ping flooding was gebracht (oft wurden alle "angriffe" mitgeloggt, gerade bei zonealarm usw. wurden pings auch als angriffe gewertet - du pingst einfach n paar millionen mal, das logfile bläßt sich n bisserl zu schnell auf --> der typ kommt ins schleudern..)
aber die zeiten sind imho vorbei.. trotzdem enthalten desktop fws immer noch jede menge vulns..
aber die zeiten sind imho vorbei.. trotzdem enthalten desktop fws immer noch jede menge vulns..
G
Gulliver
Guest
"Das hat sehr wohl was damit zu tun. Wenn die Software sich nicht gegen das Beenden per Task schützen kann dann ist deren Sicherheitskonzept unausgegoren!"
Nun ja, ich kann wenn ich Zugriff auf eine Linux maschine habe auch das komplette Regelwerk löschen, bei BSD ebenso - wenn man nicht gerade ein ACL System fährt. Also prinzipiell ist die Kontrolle darüber ob eine FW an-oder ausgeschaltet werden kann nicht der job des Regelwerks an sich, was eine DF ja im endeffekt ja ist.
Und heutzutage fährt man mit der integrierten FW von XP deutlich besser als mit zusätzlicher sog. "firewall" software.
mfg
Nun ja, ich kann wenn ich Zugriff auf eine Linux maschine habe auch das komplette Regelwerk löschen, bei BSD ebenso - wenn man nicht gerade ein ACL System fährt. Also prinzipiell ist die Kontrolle darüber ob eine FW an-oder ausgeschaltet werden kann nicht der job des Regelwerks an sich, was eine DF ja im endeffekt ja ist.
Und heutzutage fährt man mit der integrierten FW von XP deutlich besser als mit zusätzlicher sog. "firewall" software.
mfg
Hallo Gulliver,
Ich denke was Tec meint ist kein Implementierungs- sondern ein Konzept-Fehler von "Desktop-Firewalls". Eine echte Firewall bietet keine Dienste an und lässt damit auch prinzipiell keinen Login von außen zu, wenn allerdings die Firewall-Software auf dem Rechner läuft, den sie schützen soll, sieht die Sache eben anders aus. Prinzipiell sollte eine Desktop-Firewall es nicht ermöglichen, von einem normalen User beendet zu werden, gegen eine Deaktivierung durch den Admin kann sie sich aber verständlicherweise nicht wehren. Wer Desktop-Firewalls einsetzt dem sollten solche prinzipiellen Schwächen eben bekannt sein
Greets, Ziri
Ich denke was Tec meint ist kein Implementierungs- sondern ein Konzept-Fehler von "Desktop-Firewalls". Eine echte Firewall bietet keine Dienste an und lässt damit auch prinzipiell keinen Login von außen zu, wenn allerdings die Firewall-Software auf dem Rechner läuft, den sie schützen soll, sieht die Sache eben anders aus. Prinzipiell sollte eine Desktop-Firewall es nicht ermöglichen, von einem normalen User beendet zu werden, gegen eine Deaktivierung durch den Admin kann sie sich aber verständlicherweise nicht wehren. Wer Desktop-Firewalls einsetzt dem sollten solche prinzipiellen Schwächen eben bekannt sein
Greets, Ziri
G
Gulliver
Guest
Da kann ich nur herzhaft lachen. Von Verkaufsstrategien von MS mal ganz zu schweigen. Aber nenn DU mir doch mal fundierte Argumente. Nichts was du mal irgendwo aufgeschnappt, gelesen, gehört etc hast.
Ich weiss das da nichts kommen wird. Zeige mir ein whitepaper wo "2bewiesen" wird das für einen stinknormalen dial-up user dieses integrierte Regelwerk NICHT ausreichend ist und welcher Angriff eine XP Maschine "geowned" hat (und komm jetzt nicht mit dem IE oder Realplayer, das ist ein völlig anderes Ding).
Bring uns Fakten.
Dieser "Konzeptfehler" tritt bei allen aufgepflanzten Regelwerken jedwerder Art auf- und ist kein spezifischer Fehler von DF Firewalls.
Das tut eine DF Firewall auch nicht, sofern die anständug konfiguriert ist.
Ist unter NT5*, sofern auch hier anständig konfiguriert auch nicht (ohne weiteres) möglich.
Ich sehe hier immer noch keine Schwächen, sondern völlig normale gegebenheiten die auch eine Linux/BSD MAschine betreffen wenn $irgendein USer physikalischen ZUgang zu der Maschine hat.
Aber egal, hauptsache dagegen, nech?
Vielleicht wäre vorher informieren besser gewesen als gleich Leute runterzumachen:
- ICF kann keinen ausgehenden Verkehr filtern (schlecht, können fast alle anderen)
- ICF bietet eine API, über die Applikationen ihre eigenen Regeln hinzufügen können (zumindest fragwürdig)
- Die c't berichtete sogar über Regeln z.B. für Remote-Unterstützung, die komplett vor dem User versteckt werden, leider finde ich den Artikel nicht mehr.
Eine echte Firewall ist ein eigenständiges Gerät, das ganz sicher keine Dienste anbietet. Desktop-Firewalls sind oft auf Rechnern installiert, die sehr wohl Dienste anbieten.
Wer (außer dir) redet hier eigentlich von Betriebssystemen? Wenn iptables so konfiguriert wird, dass es den Rechner "schützen" soll, auf dem es läuft, ist das auch keine andere Funktionalität als eine bessere DF.
Dein Motto?
*verärgert*, Ziri
Da wir nun sowieso schon von Thema abgelitten sind, auch mal wieder was von mir. Da sich die Geister bei diesem Thema streiten, können wir uns vielleicht auf folgendes einigen:
Man kann Firewalls nicht miteinander vergleichen, es kommt immer auf ihr Einsatzgebiet an. Eine DF reicht für den 08/15 User, der nur ein wenig bei Ebay reinschaut, aus. Einen Server würde ich damit auch nicht absichern.
Und wenn nun auch einige Würmer potenzielle Schwachstellen bei DFs ausnutzen, so denke ich ist ihr Nutzen dann immer noch Größer als ihr Schaden.
Würde ich hingegen jeden PC am besten mit *NIX ausstatten, so wäre der Aufwand in keinem Verhältnis zum Ertrag. Bei Firewalls sehe ich das ziemlich ähnlich.
Just my 2 Cents
Man kann Firewalls nicht miteinander vergleichen, es kommt immer auf ihr Einsatzgebiet an. Eine DF reicht für den 08/15 User, der nur ein wenig bei Ebay reinschaut, aus. Einen Server würde ich damit auch nicht absichern.
Und wenn nun auch einige Würmer potenzielle Schwachstellen bei DFs ausnutzen, so denke ich ist ihr Nutzen dann immer noch Größer als ihr Schaden.
Würde ich hingegen jeden PC am besten mit *NIX ausstatten, so wäre der Aufwand in keinem Verhältnis zum Ertrag. Bei Firewalls sehe ich das ziemlich ähnlich.
Just my 2 Cents
G
Gulliver
Guest
@zirias
Wenn du hiermit "richtiger" firewall eine "box" meinst hast du in bezug auf die Dienste auf Firewalls natuerlich recht- gleichwohl auch einige kommerzielle BOX anbieter ebenfalls iptables implementieren.
Und ich kann nahezu jeder Firewall sofern ich nur $irgendeine schnittstelle habe regeln eintrichtern..auch remote sofern sie es zualesst. eine API ist ein boeses wort. Ich kann ueberall meine individuelle "API" basteln sofern ich nur irgendwie die moeglichkeit habe etwas irgendwo reinzupippen/schreiben/senden etc etc (zb shells und web)
mfg
Wenn du hiermit "richtiger" firewall eine "box" meinst hast du in bezug auf die Dienste auf Firewalls natuerlich recht- gleichwohl auch einige kommerzielle BOX anbieter ebenfalls iptables implementieren.
Und ich kann nahezu jeder Firewall sofern ich nur $irgendeine schnittstelle habe regeln eintrichtern..auch remote sofern sie es zualesst. eine API ist ein boeses wort. Ich kann ueberall meine individuelle "API" basteln sofern ich nur irgendwie die moeglichkeit habe etwas irgendwo reinzupippen/schreiben/senden etc etc (zb shells und web)
mfg
Mackz
0
Das ist auch nicht Sinn und Zweck der ICF.
Die ICF soll ausschließlich vor eingehenden Verbindungen schützen.
Wenn es schon möglich ist, das fragwürdige Programme auf den Rechner gelangen, deren Verbindung man blocken muss, ist es ebenso möglich, dass dieses einfach eine Funktion besitzt die dfw zu beenden / sich an ihr vorbei zu mogeln.
=> Das Feature ist also im Prinzip sinnlos und wiegt den user wiedereinmal nur in falscher Sicherheit.
(Bei der ICF in xp wurde übrigens bewusst auf diese Funktion verzichtet, eben weil dessen Nutzen höchst fragwürdig ist.)
Wieso auch nicht? iptables ist ein Paketfilter, der kann sowohl als Desktop-Firewall als auch in einer richtigen Firewall zum Einsatz kommen.
Genau deshalb hat ja auch nur der Administrator eine solche Schnittstelle. Bei einer Desktop-Firewall hat die aber zusätzlich bösartige Software und eventuell ein "Cracker", wenn ein auf der Box installierter Dienst exploitable ist. Bei einer richtigen Firewall gibt es von außen keinen Weg.
Seit wann denn das? Ich hoffe doch du weißt, was ein API ist? Bei ICF ist es vorgesehen, dass Anwendungen die Regeln ändern, die Schnittstelle dafür (eben Programming Interface) ist genau spezifiziert und dokumentiert.
Was gleichbedeutend ist mit "sie kann weniger".
Korrekt. Alle Bestrebungen, Systeme abzusichern, haben das Ziel, Angriffe weiter zu erschweren. Das wird dir wohl auch jeder Profi auf dem Gebiet sagen.
Wieder das gleiche falsche Argument wie das gegen Desktop Firewalls allgemein. Wer sich aufgrund solcher Software "sicher" fühlt ist selbst schuld bzw. hätte sich besser informieren sollen. Erstens kann das Filtern ausgehender Verbindungen durchaus Aktivitäten gewisser Spyware aufdecken, zweitens kann man mit dem Filtern ausgehender Pakete zum Teil interessante Effekte erzielen:
Code:
iptables -A OUTPUT -p tcp --tcp-flags RST RST -o ppp0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -d ! 129.13.251.69 -o ppp0 -j DROPHmm dieser Satz klingt so ähnlich wie die Aussage "IE ist sehr fehlertolerant und stellt deshalb mehr Seiten korrekt dar". (In Wirklichkeit hat er einfach einen laxen Parser, und dass der einfacher zu implementieren ist sollte man z.B. in den formalen Sprachen gelernt haben *g*)
Greets, Ziri
Es gibt auch Firewalls konfigurationen die nur über ein Serielles kabel o.ä. zugriff auf die Konfiguration erlauben. Dagegen sind die meisten Exploits rel. nutzlos . Auch evtl. installierte würmer viren etc. können dann nicht nach aussen kommen da die Firewall nicht abschaltbar ist ( windows ) oder eventuelle regeln veränderbar sind (Zonealarm).
cu
silenced
. Auch evtl. installierte würmer viren etc. können dann nicht nach aussen kommen da die Firewall nicht abschaltbar ist ( windows ) oder eventuelle regeln veränderbar sind (Zonealarm). cu
silenced
So ich bin zurrück, glücklicherweise geht mein Internet wieder. Ihr redet immer davon das Desktopfirewalls Sicherheitslücken haben usw aber habt ihr vielleicht ein paar konkrete Beispiele, die mir eventuel helfen würden?
Oder zb würde mich interessieren nach welchen Kretierien eine Firewall Paktete filtert und ob man nicht vielleicht die Kontrolle umgehen könnte (ich denke da zb. an Exploits für ICQ,MSN oder IRC Ports, somit könnte man ja der Firewall vorgaukeln das es nur Nachrichten wären... ganz schön gerissen oder? )
Ich denke mal das kommt auf die Firewall an, die man verwendet ob diese Methoden erfolg haben...
aber habt ihr vielleicht ein paar konkrete Beispiele, die mir eventuel helfen würden? Oder zb würde mich interessieren nach welchen Kretierien eine Firewall Paktete filtert und ob man nicht vielleicht die Kontrolle umgehen könnte (ich denke da zb. an Exploits für ICQ,MSN oder IRC Ports, somit könnte man ja der Firewall vorgaukeln das es nur Nachrichten wären... ganz schön gerissen oder?
)Ich denke mal das kommt auf die Firewall an, die man verwendet ob diese Methoden erfolg haben...