>>Kapierts du das denn nicht? NIS läuft auf Admin-Level, und wenn der User als "eingeschränkt" definiert ist, dann kann er keine Tasks auf Adminlevel killen. Diese Einschränkung vererbt sich auch auf alle Programme, die er starten und ausführt. Die Einschränkung werden selbst von der Kernel durchgesetzt, weshalb dein nettes Script mit TerminateProcess selbst bei ZoneAlarm einfach nicht durchkommen kann. Das funktioniert aber auch nur solange, wie sich Programme an ihr "Zugriffslevel" halten, Malware tut das nicht.
>>WinNT ist prinzipiell als absolut sicher konzipiert, einzug und allein lasche Benutzereinstellungen sind die Gefahr. Guckst du mal im Netz nach C2-Security. Und auch mal, was bei der C2-Zertifzierung von NT 4 rausgekommen ist: mit eingeschränktem Benutzer und IPSEC perfekt C2-konform.
Der Hauptfehler, dass das Argument mit dem Umgehen der Software nämlich funzt, ist ja genau, dass kaum jemand mit eingeschränkten Rechten Surft wird das ganze noch einfacher. Was zu C2 gesagt werden muss, hat Basil ja nun schon gesagt, und zum Rest: Ob ein System sicher konzipiert ist oder wirklich sicher ist, ist ein kleiner Unterschied, ausserdem gehst du die ganze Zeit davon aus, dass man unt Windows NT mit eingeschränkten Rechten etc. ins Netz geht, nur wer macht das? 99% aller PF-Nutzer freuen sich, dass ihre "Firewall" die gemeingefährlichen Hackerangriffe auf Port 4662 oder 135 abfängt und surfen munter weiter mit dem IE bei aktiviertem ActiveX und nutzen auch munter weiter Outlook Express.
Ausserdem: Wer in der Lage ist, so weit zu denken, der braucht erst recht keine PF, weil er in der Lage ist, die Lücken in seinem System richtig zu stopfen, statt mit irgedneinem Klickbunti-Tool.
>>Es geht ja gerade darum, dass eine DTF so konzipiert ist, dass sie direkt zwischen Anwendungs- und Netzwerkschicht sitzt und somit nicht umgegangen werden kann. Sorry, aber solche Billig-DTFs wie ZoneAlarm arbeiten nur parallel zu den Anwendungen, und kann daher umgangen werden. Einen Transport-Layer hingegen kann man schlecht umgehen. Die meisten PFs hängen sich nicht zwischen die Application- und Network-Layer, auch nicht zwischen Tansport- und Network-Layer, sondern nur zwischen den TCP-Stack von Microsoft und die Network-Layer, was man mit anderen TCP-Stacks macht kümmert die Dinger nicht.
Und mit dem von dir Zitierten Satz meinte ich eigentlich etwas komplett anderes: Wenn die PF beim Beenden die Netzwerkverbindung gleich mit in den Abgrung reißt, ist ein Trojaner wirkungslos, das stimmt, nur braucht man dann auch keinen Trojaner mehr, um dem User Schaden zuzufügen, weil der User bis er den Eindringling loswird keine Netzwerkverbindung mehr hinbekommt, sei es auch nur, um den Virenscanner upzudaten.
>> DTFs lassen sich problemlos aktualisieren. Wenn ich dagegen daran denke, wie in meinem Router 'n kleines Linux-System läuft, das aus mindestens 50 Teilkomponenten besteht, von denen alle Woche 3 aktualisiert werden sollten, und ich aber dazu verdammt bin, Monate zu warten, bis der Hersteller mittlerweile schon wieder veraltete Version zu 'ner neuen Firmware zusammengebastelt hat Dass HW-Firewalls nicht gerade leicht upzudaten sind, ist kein großes Geheimnis, nur hat man bei einer HW-Firewall die Bugs wenigstens nicht auf dem Hostsystem, ausserdem: Warum muss man besch...eidene Software installieren, nur weil andere Lösungen in der Hinsicht auch Probeme haben?
>>Wenn ich den Netzwerkzugang nicht zulasse, kann man auch durch nichts tunneln. Und auch die Weitergabe von Informationen z.B. über HTTP-Requests im Browser lässt sich über eine Tasklaunch-Verfolgung problemlos erkennen. Damit ich mir nicht einen Text ausdenken muss, in dem genau dasselbe steht: guckst du hier
>>Schon mal was von Modul-Whitlists, Task-Analyzer und MD5-Checksummen gehört? Ersteres wurde leider erst sehr spät in DTFs ordentlich implementiert Implentert ja, aber auf eine ordentliche und fehlerfreie Implentierung auch nur einer dieser drei Sachen kann man noch lange warten (und wenn es die endlich gibt, wird es auch schon wieder Methoden gebe, die zu umgehen
Und wo wir gerade beim Thema sind: Zitat von http://home.arcor.de/nhb/pf-austricksen.html (Die du dir wirklich mal zu Gemüte führen solltest):
Wenn man bei der Erzeugung einer .exe-Datei in die Versions-Informationen als Company "Microsoft Corporation" schreibt, stuft die Norton Personal Firewall alle Verbindungsversuche dieses Programms als "Low Risk" ein ("Trusted Company").
>>Außerdem habe ich so das Gefühl, dass du gar nicht verstehst, wozu DTFs und auch HWFs da sind:
1. Um dich vor möglichen und noch nicht entdeckten Lücken in deinem System zu schützen (z.B. blockierte ich instinktiv RPC, und in letzterer Zeit hat es sich ja als fehlerbehaftet herausgestellt).
2. DTFs, um applikationsspezifische Regel durchzusetzen. Z.B. habe ich es zwar gern, wenn mein Browser auf Remote Port 80 zugreifen kann, aber z.B. Kazaa soll das nicht dürfen. Mit HWFs kann ich Port nur entweder sperren (dann kann ich nicht mehr surfen) oder freigeben (dann macht Kazaa wiederum Mist). Mit DTFs kann ich für den Browser zulassen und für Kazaa blockieren. 1. Man installiert Sofware mit entdeckten und unentdeckten Lücken, um sich "vor möglichen und noch nicht entdeckten Lücken in deinem System zu schützen"? Und das auch, obwohl sich diese Lücken fast alle einfach abschalten lassen?
Ein etwas merkwürdigerAnsatz.
2. Application-Firewalling ist ein Sicherheitsloch sondergleichen, weil es sich extrem einfach umgehen lässt, die Checksummen etc. von PFs können da nichts machen. Und beim einem sicherheitstechnischen Scheunentor wie P2P-Clients auf dem Rechner kann auch die beste Firewall nichts machen, eine bessere Möglichkeit zum virensaugen, und ausspionieren lassen gibt es nicht.
Tyrfing
