Enttäuscht von Kerio Firewall

  • Hi,


    da einige User auf den Kerio-Firewall setzen, habe ich mir das Programm auch mal näher angesehen.


    Da nur mein SoHo-Rechner am Netz hängt, beziehen sich meine Erfahrungen nur auf Win98SE (aber welche Sau interessiert das noch....)


    Ich habe die Version 4.0.16 ausprobiert.
    Die 4.x-er Version ist für den Privatgebrauch Freeware, allerdings sind nach 30 Tagen einige Funktionen nicht mehr aufrufbar (u. A. Statistiken).


    Bei der Installation wird der Windows-Installer aktualisiert. Das Setup lädt einfach die "instmsia.exe" aus dem Netz. Aus welcher Quelle wird nicht gesagt :(
    Nach der Installation ist ein Reboot erforderlich. Wenn man den PC neu startet und Windowsgeladen ist, wird sofort eine Internetverbindung aufgebaut :dagegen:
    Aus der Hilfedatei erfährt man dann, dass dies eine automatische Suche nach Updates ist, die man nicht abschalten kann.
    In den Einstellungen findet sich zwar ein Kästchen, mit dem man den automatischen Update abwählen kann, das bezieht sich aber nur auf die ungefragte Installation eines evtl. vorhandenen Updates. Gesucht wird trotzdem :dagegen:
    Angeblich soll dies nur alle 24 Stunden geschehen, stimmt aber nicht. Bei jedem Rechnerstart ist die Internetverbindung hergestellt.
    Sinnigerweise ist das aber in keiner Log-Datei vermerkt.
    Da ich dieses Verhalten nur durch die blinkenden Lampen an meinem Router bemerkte (eine Überprüfung mit dem Router-Konfig-Programm bestätigte die aktive Internetverbindung) ist das für diejenigen, die keine Flatrate besitzen, inakzeptabel. Ganz großes Minus!


    In der Konfiguration hatte ich dann ausgewählt, dass jede Anwendung, die gestartet wird und jede, die eine andere Anwendung startet, um Erlaubnis fragen soll.
    Das ist dann natürlich am Anfang etwas nervig zu konfigurieren.


    Besonders blöd ist allerdings, dass ich jede Änderung speichern und Kerio runterfahren musste. Sonst hing die nächste Anwendung und der Affengriff war erforderlich. :dagegen:


    Wenn man den PC startete, das Konfigurationsmenu aufrief und dann Windows benden wollte, fror der Rechner mit dem Bild "Windows wird heruntergefahren" ein. Dieses Verhalten war reproduzierbar.


    Obwohl jede Anwendung, die direkt oder indirekt ins Netz will, gemeldet werden sollte, war das beim Real-Player nicht der Fall. Der war schwupp-die-wupp zu Hause!
    Das ist ja wohl nicht Sinn der Übung.


    Kerio ist wieder von meinem Rechner gelöscht worden.


    Gruß vom
    Tom

  • Ähm, im Router ist keine Firewall integriert, oder wars ein reiner Test?


    DesktopFirewalls können nie eine Sicherheit bieten, wie extra Hardware (Systembedingt).


    Ansonsten untermauert es nur die Meinung, dass eben gerade die unterwandert werden können (Siehe Dein RealPlayer Beispiel).

  • Tom,


    ein Großteil der geschilderten Dinge im Rahmen der Installation beziehen sich ausschließlich auf "veraltete" Windowsversionen ohne den neuen MS Installer.


    Noch spannender wäre das aber alles geworden, wenn Du einen Proxy vorgeschaltet hättest.


    Ich hätte gerne das automatische Update genutzt, aber zumindest die gekaufte Kerio 4.0x kann nur irekt ins Internet - über einen Proxy können die das nicht.


    Bei der Sygate geht das Automatische Update nur in der Vollversion.


    Aber wie auch immer.


    Ich bin nach langen aund nervigen Tests der Flaggschiffe von Kerio und Sysgate und OutPost (wie bisher immer) zur guten alten Kerio 2.1.5 zurückgekehrt - die läuft und läuft und stört nicht. Von Elephant Seven habe ich mein Geld wieder gekriegt und der Key ist wieder deaktiviert.


    Sollen sich andere mit diesen Bananen rumärgern und die zum brauchbaren Produkt mit Beta-Testen.


    Sowohl die Kerio 4.0x als auch die Sygate 5.5. Pro haben tolle Features, von denen ich gerne einige hätte, aber nicht für den Preis, daß ich meine Videodaten vom Videoserver (auf dem läuft die Firewall - ist auch der Kommunikationsserver und Proxy) nur noch mit unter 4 MB/S tröpfelnd statt wie vorher mit 20 MB/s auslesen kann, bloss weil die Biester so langsam sind und mit Gigabitkarten nicht umgehen können (wenn die Karten die Checksummen selber berechnen, kommen die Firewalls aus dem Tritt)


    Beide sind mir auch mehrfach abgestürzt oder haben sich nach einiger Laufzeit selbst teilweise gesperrt.


    Was ich noch spannend fand: Beide haben noch interne Regelwerke, auf die der User keinen Zugriff hat, was aber auch erst rauskommt, wenn man sich da tiefer in die Foren einliest.

  • Hi,


    wenn man so will, habe ich als "Proxy" den WebWasher vorgeschaltet.


    Es war aber nur ein Test, um mir selbst ein Bild von der Software zu machen.


    Nun habe ich gerade OutPost Pro 2.1 am Wickel.


    Immerhin brauchte ich dafür keinen neuen Installer. Und abgestürzt ist das Programm auch noch nicht.


    Ich sehe gerade auf meiner FP, dass ich den Kerio 2.15 auch mal gesammelt hatte.


    Wird auch noch angetestet.


    Gruß vom
    Tom

  • Hallo,


    aus ähnlichen Gründen habe ich auch noch die Version 2.1.5 von Kerio.
    Die läuft stabil bei mir unter Win2000 und wurde nicht "kaputtoptimiert".


    Bis Win98SE hatte ich immer AtGuard, was ab 2000 ja leider nicht mehr vernünftig läuft. Seitdem Symantec die Soft gekauft, umgetauft und "weiterentwickelt" hatte, waren die neuen Versionen leider unbrauchbar (zu viele, sich teils widersprechende Einstellungen).


    Für mich ist ein applikationsbezogener Portfilter genau das richtige. Mehr brauche ich nicht (OK, ich habe außerdem noch einen fli4l Router).

  • Ich hab's folgendermassen gemacht : XP-SP2RC1 installiert und danach das SP1-Rollup-Package ( um das System auf den Standard zurückzuführen). Dabei bleibt der XP-Firewalll bestehen.
    Letzterer funktioniert bei mir sehr gut. Er blockt alles, ausser man lässt es explizit zu. Erfordert natürlich auch einiges an Hintergrundinformationen. Aber sasser hat's bei mir nicht geschafft.
    Natürlich ist meine Vorgehensweise nur für versierte XP-ler zu empfehlen. Und man sollte auf jeden Fall ein Image des System haben - für alle Fälle. Da ich immer noch schreiben kann, scheint das eine gute Möglichkeit zu sein, den XP-Firewall zu bekommen.


    MfG E.Z.


    Was HW-Firewalls angeht, so möchte ich bemerken, dass es sich bei diesen auch um Rechner handelt. Mir ist mindestens ein Fall bekannt, wo solch ein Firewall geknackt worden ist. Attacker-SW verfügt z.T. über Routinen zur Identifizierung von HW-FW's und umgeht diese dann. Vergesst bitte nicht, dass auch diese FW's konditioniert werden müssen. Das geschieht i.d.R. per TCP. Das ist fast so, als wolle man eine Grenze gegen Spionage sichern, indem man auf der gegnerischen Seite eine Wache aufstellt, der man dann vertrauliche Informationen über den Zaun wirft. :D


    Hab' ja eigentlich schon Urlaub.

  • Tom,


    mit der OutPost V1 war ich mal ne Zeit lang ganz zufrieden, aber leider wurde der Windows Dienst nicht immer zuverlässig geladen.


    Und Klemmer gab es auch des öfteren.


    Deine Ergebnisse von der OutPost V2.1 Pro würden mich schon interessieren


    Die "gesammelte" Kerio 2.1.5 würde ich gut aufheben - die gibt es nämlich kaum noch irgendwo zum runterladen.


    Eine bekannte Macke der Kerio 2.1.5 möchte ich aber nicht verschweigen.
    Beim Rechnerneustart kann es gelegentlich vorkommen, daß sie Ihren Konfigfile vergisst und dann mehr blockiert als nötig.
    Daher den aktuellen Konfigfile separat speichern. Dann steht er für den den Fall des Falles zur Verfügung.
    Das ist mir aber in 2 Jahren nur 3 mal passiert, aber es gibt auch nur einmal die Woche einen Neustart.

  • Hi,


    Kerio 2.15 baut auch sofort beim Windowsstart eine Internetverbindung auf.


    Der Haken bei "Check For New Versions of Personal Firewall" ist selbstverständlich entfernt.
    Mist.


    Der Stealthscan von Sygate http://scan.sygatetech.com/prestealthscan.html findet einen nur "Closed" Port jenseits von 62000.
    Bei jedem scan wird ein anderer Post benutzt.


    Selbst die Definition eines Portranges für TCP und UDP von 60000 bis 65535 der geblockt werden soll, führt zu keinem anderen Ergebnis.
    Jedesmal ist der Port, über den der Sygate-Server den Scan durchführt, nur "closed".


    Also auch nicht das Gelbe vom Ei.
    Oder habe ich den Portrange falsch definiert?


    Fragt
    Tom

  • Hi Tom,


    das macht sie bei mir nur, wenn der Router vrne dran hängt, also eine LAN Verbindung da ist. Wenn das ISDN-Modem dran hängt passiert mir das nicht.
    Da ist es dann der Router, der sich beim Rechnerstart aktuelle Daten für DNS holt.


    Ansonsten denke ich mal, Du hast was falsch eingestellt.


    Bei mir kommt alles als Stealthed Ports, aber ich denke mal, daß das eh nicht zu 100 % die Firewall ist, sondern eher Dein DSL-Teil der da abgefragt wird und antwortet.


    Die gleiche Problematik hatte ich auch, wenn der Router davor war, anstelle des ISDN-Modems. Gelegentlich wird sogar der Provider überprüft ;)


    Also immer mal gucken z.B. bei grc.com, ob der getestete Port überhaupt zu Hause bei der Firewall ankommt! und das Firewall Logfesnter mitlaufen lassen.


    Hier die erlaubten Dinge Deiner Wahl:


    - Lokales Netz darf alles (Group Custom definieren)
    - DNS
    - Email und Browser und was weis ich.


    - Antivirus Update TCP Out ANy 62.146.66.182 Any Port INETUPDATE.EXE


    Am Ende Deines Regelwerkes sollte folgendes stehen:


    TCP Out Any Port Any Adress Any Port Any Application
    TCP In Any Port Any Adress Any Port Any Application
    Block UDP Other-17 Both Any Any Any Any
    Block ICMP Ozher-1 Any Any Any Any
    Block in all Others Any In Any Any Any ANY


    Damit werden alle Tests bei Sygate und grc bestanden
    Hängt der Router davor, sieht es anders aus, aber da kommt dann auch nicht alles durch und der Router spricht halt mit der Sygate Website.


    Ansonsten schau mal hier in den Beitrag von Enigma-2
    Da habe ich meine Weisheit her:
    http://forums.kerio.com/index.…8d65ab755cbcd755fd7fef6c4

  • Hi,


    >>Da ist es dann der Router, der sich beim Rechnerstart aktuelle Daten für DNS holt.<<


    denke mal nicht.
    Beweis:
    Alle am Router hängenden PC's sind gestartet.
    Kerio in Systray mit Exit beendet.
    Router Config aufgerufen: Status ist "disconnect"
    Kerio manuell gestartet, Router Config sagt nun Status ist connect.
    Wer, außer Kerio, sollte denn jetzt die Verbindung aufbauen?


    Gefällt mir nicht.


    Im Netz habe ich jetzt noch eine Tiny FW Version gefunde, die auch unter WIN98 läuft (4.15). Werde die nun auch antesten.


    Gruß vom
    Tom

  • Tom,


    bei mir unter W2K startet die Firewall definitiv KEINE Verbindung nach draussen, wenn der Rechner oder die Firewall gestartet wird (die wird hier als NT-Dienst beim Rechnerstart geladen). Habe es gerade auch noch mal manuell versucht.


    Entweder Du hast da eine andere Version oder aber das hängt mit Win98 zusammen oder anderen Einstellungen


    Wie heisst denn Deine runtergeladene Datei ?


    kerio-pf-2.1.5-en-win.exe 2.120 KB 16.08.2003 09:18


    Nicht, dass Du da eine Spyware-Version hast.

    • Offizieller Beitrag

    Moin,
    warum dieser Aufwand? Bei mir ist alles dicht lt. http://scan.sygatetech.com
    XP mit AOL9 und ZoneAlarm 2.6?, also nicht mal aktuell.
    Keine XP Firewall.
    Geblockte Grüße
    Ulrich

  • Hi,


    erstens beziehe ich mich auf WIN98, zweitens hatte ich auch mal ZoneAlarm. Das telefoniert aber derart unkontrolliert nach Hause, so dass ich mich davon auch getrennt habe.


    Gruß vom
    Tom

  • Tom,
    noch ein Nachtrag zum Thema nach Hause telefonieren.


    Passiert das immer nur unter Windows 98 ?


    Dann dürfte das eine simple DNS-Anfrage, DHCP-Broadcast oder sonstwas in der Art sein.


    Schau doch mal in Deinen DSL-Router, was da die Verbindung aufmacht und vor allem womit - Adresse und Port..


    Ich denke, mal das das auch die Konfiguration Deines DSL-Routers sein könnte, der aufgrund eines Broadcasts der Firewall beim Start zur Abfrage, wer alles da ist, sofort die Verbindung aufmacht und durchleitet.


    P.s. Von der Tiny habe ich nicht viel Gutes gehört ...

  • Hi,


    nach dem Start von Kerio ist im Router-log folgender Eintrag:
    *DOD:192.168.0.146 query DNS for 0.0.0.0.in-addr.arpa
    Saturday, Mai 08, 2004 19:54:21 PPPoE start to dial-up
    *PADI sent
    *PADO recv 0016 FREX12-erx
    *PADR sent
    *PADS recv 8002 EF18
    *PAP3: OK
    *IPCP3: IP is 80.139.xx.xx (von mir ausge-xt)
    *IPCP3: DNS0 is 217.237.151.161
    *IPCP3: DNS1 is 194.25.2.129
    *LOG: cannot connect 0.0.0.0:25 (-11)
    *LOG: cannot connect 0.0.0.0:25 (-11)
    *LOG: cannot connect 0.0.0.0:25 (-11)
    *LOG: cannot connect 0.0.0.0:25 (-11)


    und was sagt mir dieses?


    Grübelnde Grüße vom
    Tom

  • Hallo Tom,


    wie ich mir schon dachte: ein DNS Broadcast an den Router (0.0.0.0), was möglicherweise von der Firewall ausgelöst, aber von Windows erledigt wird.


    Bei mir reden die auf Adresse 240.0.0.0 miteinander (die auch eine allgemeingültige Adresse dafür ist.


    Das liegt aber nicht an irgendwas abnormalen der Firewall, sondern ist ein ganz normales Verhalten von Windows - soweit ich weiss.
    Hier dürften sich Win98 und Win2k auch etwas im Verhalten unterscheiden.


    Du könntest ja mal testhalber UDP Out an 0.0.0.0 an Port 53 verbieten und ins Firewall Log schauen, wer da wirklich schreit nach draussen.


    Zumindest bei mir beobachte ich in regelmässigen Abständen solche Broadcasts, die Windows macht zum Testen ob noch alles da ist - hier DHCP:


    1,[08/May/2004 20:49:19] Rule 'Block UDP': Blocked: Out UDP, localhost:68->255.255.255.255:67, Owner: F:\WINNT\SYSTEM32\SERVICES.EXE
    1,[08/May/2004 20:49:19] Rule 'Block UDP': Blocked: Out UDP, localhost:68->255.255.255.255:67, Owner: F:\WINNT\SYSTEM32\SERVICES.EXE


    1,[08/May/2004 20:49:34] Rule 'Block UDP': Blocked: Out UDP, localhost:68->255.255.255.255:67, Owner: F:\WINNT\SYSTEM32\SERVICES.EXE
    1,[08/May/2004 20:49:34] Rule 'Block UDP': Blocked: Out UDP, localhost:68->255.255.255.255:67, Owner: F:\WINNT\SYSTEM32\SERVICES.EXE


    Wenn es nicht geblockt würde, hätte ich jedes Mal eine Verbindung auf dem Router. Und sowas ähnliches düfte das bei Dir auch sein.


    Andererseits sind die Bradcast nicht so häufig, wenn Services.exe mal ne Antwort bekäme, aber das kriegt es halt nur, wenn ich wirklich Online bin.


    Leider ist das alles nicht so einfach ...

  • Tom,
    noch ein Nachtrag.


    Habe noch mal meinen Router aktiviert, um Dir die Routes zu übermitteln, die mir Aida32Net auswirft.



    Aktiv 0.0.0.0 0.0.0.0 10.0.0.1 1 10.0.0.3 (Realtek RTL8139/810x Family Fast Ethernet NIC)
    Aktiv 10.0.0.0 255.0.0.0 10.0.0.3 1 10.0.0.3 (Realtek RTL8139/810x Family Fast Ethernet NIC)
    Aktiv 10.0.0.3 255.255.255.255 127.0.0.1 1 127.0.0.1 (MS TCP Loopback interface)
    Aktiv 127.0.0.0 255.0.0.0 127.0.0.1 1 127.0.0.1 (MS TCP Loopback interface)
    Aktiv 127.0.0.1 255.255.255.255 127.0.0.1 1 127.0.0.1 (MS TCP Loopback interface)
    Aktiv 192.168.0.0 255.255.255.0 192.168.0.1 1 192.168.0.1 (Realtek RTL8169/8110 Family Gigabit Ethernet NIC)
    Aktiv 192.168.0.1 255.255.255.255 127.0.0.1 1 127.0.0.1 (MS TCP Loopback interface)
    Aktiv 224.0.0.0 240.0.0.0 10.0.0.3 1 10.0.0.3 (Realtek RTL8139/810x Family Fast Ethernet NIC)
    Aktiv 224.0.0.0 240.0.0.0 192.168.0.1 1 192.168.0.1 (Realtek RTL8169/8110 Family Gigabit Ethernet NIC)
    Aktiv 255.255.255.255 255.255.255.255 10.0.0.3 1 10.0.0.3 (Realtek RTL8139/810x Family Fast Ethernet NIC)
    Aktiv 255.255.255.255 255.255.255.255 192.168.0.1 1 192.168.0.1 (Realtek RTL8169/8110 Family Gigabit Ethernet NIC)


    Dann wird vieleicht klar, wieso auf die Zieladresse 0.0.0.0 was abgeht.


    10.0.0.1 ist der Router
    10.0.0.3 ist die Netzwerkkarte zum Router
    192.168.0.1 ist die Netzwerkkarte zum Switch (und den anderen PC's)


    Ach ja - und die Scans bei Sygate und grc fallen mit dem Router natürlich erheblich schlechter aus als wenn das direkt übers Modem kommt.


    Dafür kommt aber bei der Firewall fast überhaupt nichts mehr an, wenn gescannt wird. Und genau diese Beobachtung hats Du ja auch gemacht, aber wahrscheinlich nicht Dein Firewall Log offen gehabt, als Du Dich hast Scannen lassen.