Enttäuscht von Kerio Firewall

    Hi,


    das mit dem Router habe ich jetzt so einigermaßen begriffen.


    Übrigens: Tiny Firewall hat mein WIN98 nicht mehr herunterfahren lassen.
    Ist also auch wieder von der Platte geputzt. Habe ich nicht einmal mehr im Archiv aufgehoben. Und das als notorischer Sammler.


    Gruß vom
    Tom

    Hi zurück,


    sowohl Tiny als auch ZA sind ja bekanntlich nicht so toll.


    Meine Erfahrung ist halt inzwischen, daß ich eine Firewall nur mit direkter Verbindung zum Netz wirklich testen kann.


    Alles andere davor verfälscht.


    Da hatte ich mir mit dem Router auch schon die Haare gerauft, bis ich darauf kam mal die Log von der FW mitlaufen zu lassen un da die jeweils angesprochenen Ports überhaupt nicht auftauchten, übers Modem jedoch immer als geblockt drin standen (und das Ergebnis als bravourös abgesegnet wurde).

    Hallo Tom,


    zu deinem Firewalltest habe ich noch einen Nachtrag:
    Hole dir mal das Progrämmchen PcAudit http://www.pcinternetpatrol.com/downloads/audit.php und lass das mal auf deinen Rechner los. Es ist sehr desillusionierend, zu sehen, wie einfach man an allen Sicherheitseinstellungen vorbei kommt.


    Gruß
    Gerald

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    Gerald,


    ich sehe das mit sehr gemischten Gefühlen.


    Auf dem Kommunikationsserver mit der installierten Kerio 2.15 kam pcaudit2 nicht zum Erfolg.


    Die Firewall hat es nicht rausgelassen, obwohl pcaudit2 das über mehrere Substitutes versucht hat:


    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1863->209.101.114.44:80, Owner: F:\WINNT\EXPLORER.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1863->209.101.114.44:80, Owner: F:\WINNT\EXPLORER.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1865->209.101.114.44:80, Owner: F:\PROGRAMME\TRAFFICMONITOR\TRAFFICMONITOR.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1867->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAADMIN.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1869->209.101.114.44:80, Owner: F:\PROGRAMME\AVPERSONAL\AVGNT.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1871->209.101.114.44:80, Owner: F:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
    1,[15/May/2004 00:04:22] Rule 'TCP Out 1-65535 Deny': Blocked: Out TCP, localhost:1873->209.101.114.44:80, Owner: F:\WINNT\SYSTEM32\NOTEPAD.EXE


    Aber auf einem der lokalen Clients ohne Firewall (die ist ja auf dem Server (JanaD.exe ist der JanaServer - hier in der Proxy-Funktion zu sehen):


    2,[15/May/2004 00:01:47] Rule 'Jana Server Out 1': Permitted: Out TCP, localhost:1855->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAD.EXE
    2,[15/May/2004 00:01:47] Rule 'Jana Server Out 1': Permitted: Out TCP, localhost:1854->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAD.EXE
    2,[15/May/2004 00:01:47] Rule 'Jana Server Out 1': Permitted: Out TCP, localhost:1856->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAD.EXE
    2,[15/May/2004 00:01:47] Rule 'Jana Server Out 1': Permitted: Out TCP, localhost:1860->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAD.EXE
    2,[15/May/2004 00:01:47] Rule 'Jana Server Out 1': Permitted: Out TCP, localhost:1861->209.101.114.44:80, Owner: F:\PROGRAMME\JANA2\JANAD.EXE


    Verwendet werden mit Sicherheit etliche der IE-Funktionen in Windows.
    Da kann natürlich die Firewall auf dem Server nicht überprüfen, von wem die Daten stammen, da irgendwie muss ja auch Kommunikation funktinieren.


    Quintessenz ist also, dass auf jedem Rechner (auch hinter einer zentralen Firewall) ein Tool laufen sollte (oder vielleicht doch gleich eine Firewall,, das überprüft wer da Daten in die Welt schicken möchte auf den erlaubten Ports einer zentralen Firewall.


    Habe heut mal de ISDN-Router wieder zugunsten des ISDN-Modems abgeklemmt, weil es einfacher an günstigere ISDN-Tarife anpassbar ist, als über den relativ starren Router (auch wegen der Kontrollierbarkeit der Abrechnungen.


    Das vorher ziemlich saubere Firewall Log sieht ohne Router echt schlimm aus.
    Wenn es doch nur ne vernünftige Flatrate auch für ISDN gäbe (oder eben DSL auf'm Dorf )

    Hi,


    mein PC + Kerio 2.15 hat alle Telefonate von PC-Audit gemeldet und ich konnte sie abblocken.


    Allerdings scheint dieses PC-Audit lernfähig zu sein: beim zweiten Aufruf des Leak-Tests hat sich dann das Programm meines Firefox' bemächtigt.
    Wenn ich nicht gerade diesen Test durchgeführt hätte, wäre die Spionage unentdeckt geblieben.


    Aber was lehrt uns das?
    Wir haben schließlich dieses PC-Audit freiwillig auf unserem Rechner zum Laufen gebracht. Und aus den Tiefen des w-w-w wäre das dank Router und Firewall überhaupt nicht auf unserem PC gelandet.


    Das ist ja so, als wenn ich einem Einbrecher den Zugang zu meiner Wohnung gestatte und mich dann wundere, wenn er hinausposaunt, was man bei mir alles mitgehen lassen kann.


    Ganz ruhige Grüße vom
    Tom

    Hi Tom,


    hast Du die Kerio 2.15 jetzt doch drauf gelassen ?


    Aber ich meine, wir haben uns das Tool auch runtergeladen, um zu sehen wie gut wir gegen solche Spionage (und deren Folgen) geschützt sind, falls uns doch mal ein "böser" Trojaner ereilt


    Richtig konfigurierte Router und Firewalls erhöhen auf jeden Fall die Schwelle immens, dass von aussen sich so ein Programm ungefragt einnisten kann.


    Aber es gibt auch andere Wege, um auf unsere Rechner zu kommen, z.B. über den von uns gewollten Datenaustausch.


    Und da finde ich es gut mit einem nicht wirklich böswilligem Programm testen zu können, was mir da so in etwa passieren kann, was ich dagegen tun kann und worauf ich zu achten habe, um mich und meine Daten besser zu schützen.


    Den vollkommenen Schutz im Rund-um-Sorglospaket wird es wohl nie geben (und dann macht das arbeiten am PC sicher au keinen Spass mehr)


    In diesem Sinne

    Hallo,


    ich möchte Martin zustimmen. Es ist sehr nützlich, dass man seine Sicherheit testen kann, ohne auf Schadsoftware zurückgreifen zu müssen.
    Was mir (und hoffentlich auch euch) aufgefallen ist: Keine Software, sei es Firewall oder Virenscanner, hat versucht, den Download oder die installation des Spionageprogrammes zu verhindern. Da uns keine Software auf die Finger haut, wenn wir Unsinn anstellen, sieht man hier deutlich, dass jeder für seine IT Sicherheit selbst verantwortlich ist und sie keinesfalls irgendwelcher unkontrollierbarer Software überlassen sollte.


    Gerald :pc:

    ich bin Root! Wenn du mich grinsen siehst, hast du besser ein Backup.

    Hi,


    jetzt habt ihr mich sicher verkehrt verstanden.
    Ich finde das Programm PC-Audit auch sehr gut.
    Zeigt es doch die Schwächen der IT-Sicherheit auf weil man gut sehen kann, dass fast jedes Anwendungsprogramm zum ungefragten Telefonieren umgemodelt werden kann.
    Sicherlich hätte ich bei einer realen Attacke und der Warnung durch Kerio 2.15, Programmen wie CorelDraw, Nero, NetObjectsFusion, AntiVirPE, dem Explorer, Geoclock usw. das Telefonieren verboten, aber eben meinem Browser nicht!


    Und daher sind die Warnungen berechtigt, dass eine FireWall eine Sicherheit vortäuscht, die real so nicht vorhanden ist!


    Man muss also genau wissen, was man sich auf seinen Rechner lädt.


    Dazu noch ein Tipp: wer ein Image besitzt (und das hat doch hoffentlich jeder!), kann durch Vergleich der im Image enthaltenen Dateien mit dem Ist-Zustand sehr gut sehen, welche Dateien neu auf dem Rechner gelandet sind oder verändert wurden. Dadurch kann man gezielte Analysen anstellen (Was ist das? Wo kommt das her? Was bewirkt das?).


    @ Martin: ich habe Kerio 2.15 auf meinem Rechner gelassen. Outpost hatte die Performance des Rechners negativ beeinflusst.
    Meine Kerio-Version hat übrigens 2.170.516 Bytes. Das Datum ist irrelevant. Es ist das Datum des Downloads.


    Gruß vom
    Tom

    Wie schon woanders geschrieben, habe ich mir mal die Firewall zum pcaudit2 Leaktest installiert namens InternetPatrol in Version 3.


    Das ist die erste Firewall, die eigentlich einen DSL-Anschluß mit Flatrate braucht.
    Leider ist das nicht wirklich abschaltbar (ausser über einen kleinen Trick - die Proxy-Einstellungen benutzen). Allerdings scheint danach bei einem Neustart die Firewall zwar zu funktionieren, man kann allerdings das Hauptmenü nicht öffnen, bevor die mit ihrem Herrn und Meister telefoniert hat.


    Viel einzustellen gibt es nicht. Es werden einzelne Applikation erlaubt, verboten oder auf Standard gestellt. Hierzu gibt es eine Datenbank und eben den Heimatserver, wo die Firewall bestimmte Daten des Programmes hinschickt und dann Online direkt zurückbekommt, ob es ein gutes oder ein böses Programm ist.


    Auch bedingt durch das Lizenzmodell (monatlich 15 Dollar), Quartal oder jährlich) für den Support ständig aktualisierter Applikationsüberwachung wird das relativ teuer + den Onlinegebühren.


    Mal sehen, was passiert, wenn die 7 Tage Testzeit zu Ende sind.


    Die Scantests bei grc.com und bei scan/sygatetech über Direktzugang waren nicht so berauschend (ICMP 8 offen, ansonsten fast alles geschlossen und einige stealthed.


    Aber "Angriffe von innen nach aussen" scheinen sich damit zuverlässig abfangen zu lassen.


    Wäre also für Netzwerk-Clients hinter einer Port-gesteuerten Firewall auf einem Server eigentlich ideal, wenn das viele "telefonieren nach Hause" und die hohen Kosten nicht wären - da hier die Port-basierenden Firewalls versagen müssen.


    Nun bin ich auf der Suche nach etwas vergleichbarem ohne diese "Nebenwirkungen" ...

    Hier noch einen Nachtrag:


    So - jetzt habe ich die Kerio 2.15 nochmal frisch aufgesetzt anstelle der Internet Patrol und dem lokalen LAN nicht alles erlaubt wie im ersten Test - das werde ich wohl auf meinem (Jana)Server auch noch machen.


    Interessant ist es schon, da zuzuschauen, wie pcaudit2 als Beispiel eines Trojaners vorgeht.


    Die versuchen schlicht über eine DNS-Anfrage über Services.exe die DFÜ-Verbindung aufzumachen über verschieden lokale Ports. (Bei mir ist der Jana-Server Proxy als DNS eingestellt am Client).


    Ich hatte auf dem Client mehrere Versuche mit verschiedenen Varianten:


    1. IE Proxyangabe deaktiv, DFÜ-Verbindung deaktiv, IE in kerio verboten
    Ergebnis: pcaudit ist geblockt ;)


    2. IE Proxyangabe deaktiv, DFÜ-Verbindung deaktiv, IE in kerio erlaubt
    Ergebnis: pcaudit kommt durch. :(


    3. IE Proxyangabe aktiv, DFÜ-Verbindung deaktiv, IE in kerio verboten
    Ergebnis: pcaudit kommt durch :(


    Fazit:
    Wer nur mit dem IE arbeitet hat auch mit einer lokalen Firewall KEINE Chance, sich gegen sowas zu wehren. Wer sowas schreibt, achtet darauf, dass er die breite Masse trifft - also heutzutage IE-Nutzer (weit über 90%).


    Wer einen alternativen Browser benutzt, muss im IE trotzdem alle Verbindungseinstellungen deaktivieren oder so verstellen, das der IE als Informationsquelle ausgehebelt wird.