✔ Euer Tipp für Firewalls

[Norbert Eder]

Auch in einem Router ist das, was deine Ports blockt Software.

No na net

Aber genau daraus läuft es doch hinaus. Es sind zwei Kisten!

Toll, mehr Stromverbrauch, etc. Selbst die zweite Kiste hat Bugs, Angriffspunkte etc.

Mit einer Desktopfirewall installierst du dir nur noch mehr Software und dmit auch Bugs auf die Kiste, die du schützen möchtest.

Damit diese Bugs zum Tragen kommen, muss der andere wissen, welche Firewall und welche Version du installiert hast. Das gleiche gilt für deine Linux-Firewall. Wo ist hier also der Vorteil?

Was spricht also degegen, die nicht benötigt Software und damit verbundenen Ports einfach durch das beenden der Software zu schließen?

Die Outpost macht das gleiche wie eine Firewall unter Linux. IPs/Ports/Protokolle werden zugelassen, oder eben nicht. Wenn auf einem Port keine Software lauscht, is der Port auch nicht geöffnet.

Somit git es kein Argument mehr, sich eine Destopfirewall auf das zu schützende System zu installieren.

Wo gibts ein Argument sich deshalb eine eigene Linux-Box hinzustellen? Deine Vergleiche hinken ein wenig.

Das oft gebrachte Argument der Überwachung des ausgehenden Traffics ist auch non-sens. Sobald ein Programm seinen eignen TCP-Stack mitbringt, bringt dir eine Desktopfirewall auch nichts mehr.

Wo liegt der Unterschied zu einer Linux-Box mit IPTables? Nirgends.

Zum Thema TCP-Stack:
Die Outpost hängt auf der gleichen Ebene wie die HAL, ergo wird die Outpost melden, dass das Protokoll nicht erkannt werden kann. Ergo kannst mit einem eigenen TCP-Stack nicht viel erreichen, da müsstest bei Windows schon unter die HAL, eigenen Treiber reinkompilieren usw. Dürfte wohl eher unwahrscheinlich sein, dass das bei einem Home-PC passiert. Zudem hast du den Vorteil, dass die Desktop-Firewall auf Applikations-Ebene genauso laufen lassen kannst. Das funktioniert bei einer eigenen Box nicht. Ergo schon ein Nachteil.

Zu deinen Links:
Sorry, aber das CHIP-Forum nehm ich genauso ernst wie die Heise-Kommentare. Nämlich gar nicht. Lauter Trolle die sich wichtig machen wollen, jedoch keine Ahnung haben.

 

[MCIglo]

Eins Vorweg: jedesmal, wenn du sagst Linux-Firewall gehe ich davon aus, dass du IPTables meinst, Alles andere ergibt nämlich keinen Sinn.

Zitat von MCIglo
Aber genau daraus läuft es doch hinaus. Es sind zwei Kisten!

Toll, mehr Stromverbrauch, etc. Selbst die zweite Kiste hat Bugs, Angriffspunkte etc.

Dass die Kiste auch Angriffspunkte hat is klar, aber was ist wohl shclimmer. Wenn jemand deinen 'Router' kaputt macht, oder die produktiv-Kiste? Im übrigen bin cih der Meinung, dass man sowas als Home-User nicht braucht. Aber im Verglecih zu einer Desktopfirewall die deutlich klügere da sicherere Möglichkeit. Und zum Stromverbrauch: Du brauchst als Router einen alten 486er ohne Sound, ner alten Graka, keine Maus, keinen Monitor, keine Tastatur,...
Kaufste dir als Produktiv-PC halt nen AMD und keinen Intel und shcon haste mehr Strom gespart als der Router benötigt...

Zitat von MCIglo
Mit einer Desktopfirewall installierst du dir nur noch mehr Software und dmit auch Bugs auf die Kiste, die du schützen möchtest.

Damit diese Bugs zum Tragen kommen, muss der andere wissen, welche Firewall und welche Version du installiert hast. Das gleiche gilt für deine Linux-Firewall. Wo ist hier also der Vorteil?

1. werden IPTables cniht auf die Produktivkiste isntalliert und damit gilt das glecihe wie oben.
2. Ist es kein Problem, einfach mal ein paar soclher Exploits automatisch durchlaufen zu lassen.

Zitat von MCIglo
Was spricht also degegen, die nicht benötigt Software und damit verbundenen Ports einfach durch das beenden der Software zu schließen?

Die Outpost macht das gleiche wie eine Firewall unter Linux. IPs/Ports/Protokolle werden zugelassen, oder eben nicht.

Mit dem Unterschied, dass du durch malformed-packets bei einer externen Kiste immernoch nur Rechte auf dem Router hast. Machst du das auf der Produktivkiste, hat der Angreifer dort Systemrechte und das sind mehr, als du als Administrator hast!

Wenn auf einem Port keine Software lauscht, is der Port auch nicht geöffnet.

Und wieso willst du dann extra noch eine Software und damit Bugs installieren?

Zitat von MCIglo
Somit git es kein Argument mehr, sich eine Destopfirewall auf das zu schützende System zu installieren.

Wo gibts ein Argument sich deshalb eine eigene Linux-Box hinzustellen? Deine Vergleiche hinken ein wenig.

Argumente gibt es bei Heimanwendern nur in Relation zu den Desktopfirewalls. Ich bin seit Jahren mit Windows und ohne Firewall oder Router im Netz. Und hatte noch nie Probleme (weder mit Blaster, sorber noch sonst wem). Und dafür brauchst du kein so spezifisches Wissen zum Thema Security wie ich als Whitehat habe. Es reicht, wenn du z.B. die Links in der Signatur liest.

Das oft gebrachte Argument der Überwachung des ausgehenden Traffics ist auch non-sens. Sobald ein Programm seinen eignen TCP-Stack mitbringt, bringt dir eine Desktopfirewall auch nichts mehr.

Wo liegt der Unterschied zu einer Linux-Box mit IPTables? Nirgends.

Doch, denn wenn diese externe Box dein Ruter ist, müssen die Pakete dort auf jedenfall durch. Ob ob die nun von Winsock oder sonstwo kommen interessiert den Router nicht.

Dürfte wohl eher unwahrscheinlich sein, dass das bei einem Home-PC passiert.

Es dürfte auch eher unwarschenlich sein, dass ein echter Hacker in deinen Home-PC eindringen will. Und wenn doch, schafft er es sowieso. Egal ob Desktopfirewall, Router oder garnichts. Und die Scriptkiddies kannst du am besten durch geschlossene Ports abwehren. Desktopfirewalls dagegen bieten nur eine noch gößere Angriffsfläche.

Zudem hast du den Vorteil, dass die Desktop-Firewall auf Applikations-Ebene genauso laufen lassen kannst.

Vorteil? Das ist neben den Bugs wohl der größte Nachteil! Schonmal was von Injections gehört?

Zu deinen Links:
Sorry, aber das CHIP-Forum nehm ich genauso ernst wie die Heise-Kommentare. Nämlich gar nicht. Lauter Trolle die sich wichtig machen wollen, jedoch keine Ahnung haben

Generell hast du Recht, aber diese Links sind fundiert, gepinnt und gesperrt, so dass es dort keine unqualifizierten Bemerkungen geben kann.

Und noch was am Rande: Ist einmal eine Malware auf deinem System, kann keine Desktopfirewall der Welr mehr etwas ausrichten. Ein Router hingegen schon, denn dort kann die Malware cniht einfach mal den Paketfilter ausschalten.

 

[Norbert Eder]

Eins Vorweg: jedesmal, wenn du sagst Linux-Firewall gehe ich davon aus, dass du IPTables meinst, Alles andere ergibt nämlich keinen Sinn.


Dass die Kiste auch Angriffspunkte hat is klar, aber was ist wohl shclimmer. Wenn jemand deinen 'Router' kaputt macht, oder die produktiv-Kiste? Im übrigen bin cih der Meinung, dass man sowas als Home-User nicht braucht. Aber im Verglecih zu einer Desktopfirewall die deutlich klügere da sicherere Möglichkeit. Und zum Stromverbrauch: Du brauchst als Router einen alten 486er ohne Sound, ner alten Graka, keine Maus, keinen Monitor, keine Tastatur,...
Kaufste dir als Produktiv-PC halt nen AMD und keinen Intel und shcon haste mehr Strom gespart als der Router benötigt...

Wenn jemand deinen Router "kaputt" macht, dann geht er auch aufs Produktivsystem, sonst hätte die ganze Übung wenig Sinn gemacht. Also höchstens eine Frage von kurzer Zeit, wenn ich mir die Passwörter der User so anschau...

1. werden IPTables cniht auf die Produktivkiste isntalliert und damit gilt das glecihe wie oben.
2. Ist es kein Problem, einfach mal ein paar soclher Exploits automatisch durchlaufen zu lassen.

Ad 1: Aso? Bei allen Linux-Kisten ohne eigene "Router-Box" laufen die auf dem Produktiv-Rechner, sofern überhaupt aufgedreht.
Ad 2: Exploits kann man immer durchlaufen lassen

Mit dem Unterschied, dass du durch malformed-packets bei einer externen Kiste immernoch nur Rechte auf dem Router hast. Machst du das auf der Produktivkiste, hat der Angreifer dort Systemrechte und das sind mehr, als du als Administrator hast!

Die Outpost wirft dir deine malformed Packets mit Freuden zurück. Kannst ja gerne mal testen. Dank dem integrierten IDS (sofern aufgedreht), wird nach kurzer Zeit vom Angreifer ohnehin gar nichts mehr angenommen (je nach Konfiguration).

Argumente gibt es bei Heimanwendern nur in Relation zu den Desktopfirewalls. Ich bin seit Jahren mit Windows und ohne Firewall oder Router im Netz. Und hatte noch nie Probleme (weder mit Blaster, sorber noch sonst wem). Und dafür brauchst du kein so spezifisches Wissen zum Thema Security wie ich als Whitehat habe. Es reicht, wenn du z.B. die Links in der Signatur liest.

Mir sind die unterschiedlichsten Einstellungen und Tricks sehr wohl bekannt, dennoch läuft bei mir eine Desktop-Firewall und ein Router

Doch, denn wenn diese externe Box dein Ruter ist, müssen die Pakete dort auf jedenfall durch. Ob ob die nun von Winsock oder sonstwo kommen interessiert den Router nicht.

Du hasts net ganz verstanden, glaub ich: Auch bei der Outpost müssen _ALLE_ Pakete durch.

Es dürfte auch eher unwarschenlich sein, dass ein echter Hacker in deinen Home-PC eindringen will. Und wenn doch, schafft er es sowieso. Egal ob Desktopfirewall, Router oder garnichts. Und die Scriptkiddies kannst du am besten durch geschlossene Ports abwehren. Desktopfirewalls dagegen bieten nur eine noch gößere Angriffsfläche.

Aso? Dann sag mir bitte wie ein Skriptkiddy rausbekommt, welche Firewall ich in welcher Version laufen hab? Eher unwahrscheinlich, dass das ein Skript-Kiddy schafft. Und sobald das Kindchen sein Skripterl durchlaufen läßt, wird geblockt - und aus für das Kinderl.

Vorteil? Das ist neben den Bugs wohl der größte Nachteil! Schonmal was von Injections gehört?

Der größte Nachteil? Wow. Folgende Annahme: Für den User sind Programme installiert, aber nur bestimmte Programme dürfen sich ins Internet verbinden, dann kann das ein anderes neu installiertes Programm nicht. Weil es gesperrt ist. Es hängt hier von der Konfiguration ab. Auf einem Router erkenne ich nicht, ob der Verbindungsversuch vom Browser kommt oder von einem Tool, welches über HTTP Informationen meines Rechners an einen Server sendet. Mit einer Desktop-Firewall kann ich das sehr wohl verhinden - OHNE Content-Filter, welcher in diesem Fall ohnehin auch recht wenig bis gar nichts bringt.

Generell hast du Recht, aber diese Links sind fundiert, gepinnt und gesperrt, so dass es dort keine unqualifizierten Bemerkungen geben kann.

Mag sein. Ich sehe es nur als großen Fehler an, Leuten, die sich mit der Materie nur wenig bis ungenügend auskennen, zu erzählen, dass Desktop-Firewalls humbug sind. Sind sie nämlich nicht. Natürlich hängt es von der Konfiguration ab.

Es hat beides seine Vorteile, idealerweise ne Kombination aus Desktop-Firewall und Router-Firewall. Es macht jedoch keinen Sinn, zu sagen, dass zb die Outpost oder Kerio Müll sind.

Und noch was am Rande: Ist einmal eine Malware auf deinem System, kann keine Desktopfirewall der Welr mehr etwas ausrichten. Ein Router hingegen schon, denn dort kann die Malware cniht einfach mal den Paketfilter ausschalten.

Firewall != Paketfilter
Ad Paketfilter ausschalten: Schreib du mir ein Tool, welches mir den Paketfilter von der Outpost deaktiviert und ich schreib dir ein Tool, welches dir den Paketfilter von der Linux-Hütte deaktiviert.

 

[MCIglo]

kill_outpost.c

void main() {
 system("net stop outpost"); /*oder wie der Dienst auch immer heißen mag*/
}

Was man als Firewall bezeichnet bleibt jedem selbst überlassen. Für die einen ist es einfach nur ein Paketfilter. Für andere ist es ein Konzept, wozu auch sichere Passwörter und der Verzicht auf Microsoft-Produkte wie Outlook und IE zählen)

Im übrigen scheint es wenig Sinn zu machen, da weiter zu diskutieren. Ich weiß, dass man ein Windows System ohne Desktopfirewall sicherer machen kann als mit.

 

[Andreas Späth]

Im übrigen scheint es wenig Sinn zu machen, da weiter zu diskutieren. Ich weiß, dass man ein Windows System ohne Desktopfirewall sicherer machen kann als mit.

Also ich kann da MCIglo nur zustimmen und es immerwieder predigen, finger weg von Desktopfirewalls.
Ich hab schon selbst erlebt vor einiger Zeit wie einfach die umgangen werden können, und da kahm weder eine Warnung der Firewall, noch stand etwas verdächtiges im Logfile...


Das einzigste was ich mach ist Kerio als Werbefilter missbrauchen.
Sprich Firewallfunktionen deaktiviert und nur der Traffic von IE und Firefox wird gefiltert
Um sicher zu sein gegen Angriffe verlass ich mich aber nur auf meine externe Firewall.

 

[Norbert Eder]

Tja, wenn man als Admin angemeldet ist, mag das wohl stimmen ... aber das sollte wohl selbverständlich sein, dass man das nicht ist .... dann funktioniert die Methode schon mal nicht.

Musst dir also was besseres einfallen lassen

 

[MCIglo]

Tja, wenn man als Admin angemeldet ist, mag das wohl stimmen ... aber das sollte wohl selbverständlich sein, dass man das nicht ist .... dann funktioniert die Methode schon mal nicht.

Musst dir also was besseres einfallen lassen

http://people.freenet.de/mciglo/Kill.exe
Damit kannste die exe killen.
Aber pass auf, dass du nciht die Logon.exe abschießt...

 

[Andreas Späth]

Tja, wenn man als Admin angemeldet ist, mag das wohl stimmen ... aber das sollte wohl selbverständlich sein, dass man das nicht ist .... dann funktioniert die Methode schon mal nicht.

Dann stell ich mal folgende Behauptung auf.

97% Aller WindowsXP User sind als Admin unterwegs.
Und 95% Aller WindowsXP User wissen nichtmal das der Admin überhaupt existiert, dieser hat dann also kein Passwort.

Tadaa, führen wir eben das Programm als Admin aus der ja kein Passwort hat

 

[Keiba]

Erst mal danke euch allen für Euren fetten Support. Hätte ich gar nich gedacht das hier soviel Resonaz. Habt ihr eigentlich auch ne Lösung für so ein Ip changer teil?

 

[MCIglo]

Erst mal danke euch allen für Euren fetten Support. Hätte ich gar nich gedacht das hier soviel Resonaz. Habt ihr eigentlich auch ne Lösung für so ein Ip changer teil?

Du meinst Proxys.
Mal zum Problem: Stell dir vor, du unterhälst dich mit jemandem über Briefe. Du schickst einen Breif ab und wartest auf eine Antwort. Bist aber mitlerweile shcon umgezogen und hast dem anderen deine neue Adresse nicht gegeben. Was passiert? genau, der Breif kommt nie bei dir an.
Deine IP-Adresse ist die Adresse deines PCs im Internet. Diese kannst du nur ändern, wenn du dich neu einwählst und der ISP dir eine neue gibt. Es gibt zwar auch einige Programme, die dir vorgaukeln, dass sie deine Adresse ändern (oft auch als Feature in einer DFW), aber deine echte Adresse bleibt gleich. Lediglich die Pakete, die du verschickst erhalten eine adere Adresse (die des Proxys). Das hat nur den Effekt, dass du auf einem Webserver z.B. eine andere Adresse hinterlässt. Macht eigentlich nur Sinn, wenn du vorhast, mit dem Webserver etwas anzustellen. Und dann wiederum solltest du wissen, das man das trotzdem zurückverfolgen kann.
-> Schwachsinn.

Hat wohl wieder jemand zu viel Pseudo-PC-Profis wie denen von Planetopia-Online zugehört...