Viren, Spyware, Datenschutz 11.220 Themen, 94.263 Beiträge

Firewall

guenzi1 / 66 Antworten / Flachansicht Nickles

reicht Kaspersky Firewall aus, ich habe windos firewall deaktiviert

bei Antwort benachrichtigen
dank dir guenzi1
shrek3 neanderix „ OK, dann meldet dir deine Pseudo-Fire-Wall in 5 von 20 Fällen, dass ein...“
Optionen

Nun, Diskussionen über DTFWs hatten wir doch schon öfters,auch mit deiner Beteiligung.

http://www.nickles.de/forum/viren-spyware-datenschutz/2008/kann-man-jemandem-unbemerkt-bilddateien-auf-den-pc-kopieren-538488017.html

Daraus hervorheben möchte ich noch die Zusammenfassung eines Dialogs zwischen Xafford iund Xdata (mein erstes Posting in diesemThread):

Die Arbeitsweise einer DTFW hat Xafford mal in einem Thread mit Xdata sehr anschaulich beschrieben:

http://www.nickles.de/c/a3/538334224.htm

Eine DTF ist kein Postitivfilter, der irgendwo auf dem Rechner ruht und sich anschaut, welche Programme die es in seiner Liste hat gerade was tun und ob sie das dürfen... das wäre von Grund auf schwachsinig und nutzlos, gerade wenn dieser Filter im gleichen Kontext liefe, wie die zu beobachtende Software.

Es stimmt auch nicht, dass der ausgehende Netzwerk-Datenstrom nur schwer zu kontrollieren sei, denn er passiert immer den Netzwerkstack und hier ist es auch, wo eine DTF ansetzt / ansetzen muss. Fast jede DTF (zumindest wenn sie nur im entferntesten etwas taugen soll) klinkt sich als Treiber in den Netzwerkstack des Betriebssystems ein und installiert noch andere Dienste und Treiber. Sie filtert dann innerhalb des Netzwerkstacks, den jeder Datenstrom der nicht seinen eigenen Netzwerkstack mitbringt (was prinzipiell aber auch passieren kann) passieren muss. Es funktioniert also nicht so, dass die DTF nach dem schaut, was bestimmte Programme senden wollen, sondern sie schaut was gesendet wird und prüft dann erst, wer da versucht zu senden, sie hangelt sich also über den Netzwerkstack nach oben auf die Anwendungsebene und prüft den Hashwert der Anwendung und eventuelle Hooks, also ob sich ein anderes Programm eventuell in diese Anwendung eingeklinkt hat. Diesen Hash vergleicht sie dann mit der Filterliste und im Idealfall blockiert sie erst einmal jeden Datenstrom, der nicht explizit erlaubt wurde anhand der Programmsignatur.

Natürlich hat so ein System auch Lücken, wie jedes System prinzipiell, aber ganz so einfach ist es nun auch wieder nicht dies auszuhebeln. Schwierig wird es allerdings, wenn so wie Du voraussetzt die Malware administrative Rechte hat, denn dann kann sie im schlimmsten Fall wirklich ihren eigenen Natzwerkstack mitbringen und installieren und somit die Filter schlicht umgehen, deswegen sollte man wirklich niemals als Administrator arbeiten. Zwar ist es dann immer noch möglich mittels diverser Techniken verschiedene Anwednungsfilter zu umgehen, aber es macht es um einiges schwieriger.
...
...
Was ich oben beschrieben habe war das Grundprinzip einer DTF, die Umsetzung ist dann immer noch einmal etwas anderes und da gibt es mitunter wirklich lausige. So hat es ein Hersteller geschafft, dass z.B. die Konfiguration beliebig änderbar war, aus jedem Kontext heraus... damit fällt Sicherheit erst einmal flach. Ebenso dürfte nicht jede Application Level Firewall auch wirklich richtig überprüfen, ob ein zulässiges Programm eventuell von einem anderen Programm oder Prozess missbraucht wird, oder ob wirklich nur der Nutzer eine Seite aufrufen will. Und auch der Missbrauch eines anderen Programmes lässt sich wohl so anstellen, dass die Firewall es nicht bemerkt.

Die Aussage mit dem leichten Umgehen einer DTF ist auch immer so eine Sache... es hängt davon ab wer es in welchem Zusammenhang äußert. Ein fähiger Hacker wird kein großes Problem damit haben eine DTF auf einem System zu umgehen welches er kennt, wenn er also weiß welche DTF auf dem System läuft, denn er kann diese gezielt aushebeln.
Wenn diese Aussage jedoch ein beliebiger User X in einem Forum äußert und generalisiert ist sie schlichtweg dummes Geblubber, denn es gibt zig verschiedene Produkte, die unterschiedlich zu Werke gehen und unterschiedliche Schwachstellen aufweisen. Ein 08/15-Trojaner kann zwar vorgefertigte Angriffsvektoren für eine bestimmte Anzahl Y an verschiedenen Produkten und verschiedenen Versionen dieser Produkte mitbringen, aber es wird immer Produkt Z geben, dass er nicht einfach umgehen kann... man hat so also immer noch die Chance den Schädling zu blockieren und zu erkennen, die man ohne eine DTF erst garnicht hätte... und in Zeiten missbrauchter AdServer, gehackter Webpräsenzen seriöser Firmen und Institutionen, Viren und Trojanern auf nagelneuen Datenträgern und durch Einbrüche auf Entwicklungsservern verseuchte Software zeugt in meinen Augen der verbreitete Spruch mit "Brain 2.0" in meinen Augen eben nicht gerade von allzuviel eben davon. Mitdenken ist ein wichtiger Punkt, aber so lange nicht jemand in Echtzeit sämtliche Daten verzögerungsfrei analysieren und verstehen kann, die so über sein Netzwerkkabel wandern, der sollte sich hüten davon auszugehen dass dies alles so seine Richtigkeit hat.


Hinweis für Adelsforscher:
Garftermy war da auch rege daran beteiligt.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Danke für die Info. Xdata
Stimme Dir voll zu Conqueror
Bitte Conqueror