TCP "ping" und non-stealthed

22.02.2003, 20:08
Reini
zu Gast
#1 Ich habe mir mal die Firewall "Secuties Personal Firewall" von Fa.Buhl besorgt!
(Soll ja mit Outpost gleich sein oder zumindest ähnlich)

Nun habe ich aber ein Problem den die test`s auf der Seite von http://www.pcflank.com/ sind identisch mit denen von dieser Seite bis auf das TCP "ping" ist bei mir non-stealthed.

Was muss ich den wo einstellen damit das auch stealthed ist ?

Hab mich schon dusslig gesucht und blicke nich mehr durch.....

Bitte hiermit um hilfe !

Gruß
Reini
Seitenanfang Seitenende
22.02.2003, 20:19
Member

Beiträge: 1516
#2 Ist egal ob stealth oder nicht stealth. Da man in wirklichkeit eh nicht unsichtbar ist.

Wenns dich genauer interessiert musste das Forum durchsuchen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
22.02.2003, 22:27
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

spunki postete
Ist egal ob stealth oder nicht stealth. Da man in wirklichkeit eh nicht unsichtbar ist.

Wenns dich genauer interessiert musste das Forum durchsuchen


Ja aber irgendwie muss es ja gehen wie man hier sieht unter "Erweiteter Secure-Test" da ist er ja auch unsichtbar !
http://www.bluemerlin-security.de/Securetest_Secuties_Firewall__Stealth_Scan_300402.php3

Gruß
Reini
Seitenanfang Seitenende
22.02.2003, 22:41
Member

Beiträge: 1516
#4 Keine ahnung frag mal beim Autor nach vielleicht haben sie ein Fehler auf der Seite.

Soweit ich weiß Testen sie immer mit den standard Einstellung oder schreiben auf was sie verändert haben.

Möglicherweiße wurde die Software auch umgeschrieben und blockt diesen scann
nichtmehr.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
23.02.2003, 15:02
Member

Beiträge: 124
#5 Hi Reini...

Punkt 1: wenn es dich interessiert, was es mit dem Mythos Stealth aus sich hat, folge spunkis Tipp und schau dich zu diesem Thema im Board um... wurde schon bis ins Detail beschrieben und diskutiert.

Punkt 2: Ich kenne die FW nicht, aber dein Problem hat mit Sicherheit folgende Ursache: Secuties lässt im Ruleset sicherlich das Konfiguration des ICMP-Protokolls zu. Beim Bluemerlin-Test wurde mit Sicherheit ICMP-Typ 0 geblockt. Die folge: Auf eine "Ping-Anfrage" (ICMP-Typ 8) gab der Testrechner einfach keine Antwort. Konfiguriere deine FW entsprechend, und TCP-Ping wird auch bei dir als "stealth" gemeldet.

Punkt 3: Ich hoffe, du hast den Test bis zum Schluss gelesen, wenn nicht, hier noch mal der letzte Absatz:

Zitat

...Secuties Personal Firewall ist wieder ein Stück Software, die wir Ihnen wärmstens empfehlen können. Aufgrund einer Kooperation können wir Ihnen schon bald selbst Secuties Personal Firewall zusammen mit zwei weiteren Schutz-Programmen zu einem äußerst attraktiven Preis anbieten.
Fragt sich, wie objektiv der Test wirklich war, wenn das Teil in Zukunft verkauft werden soll??!!

Punkt 4: Zum Test selbst:
Subjektiv entsteht für mich der Eindruck: bla bla bla... Keine Aussage zur Testumgebung, keine Hinweise auf das Audithing... Die durchgeführten Tests sind hornalt (GRC.com), und im Falle des Prüfsummen-Tests auch schon eindrucksvoll widerlegt (dll-injection). Die Behauptung, dass DoS- bzw. DDoS-Angriffe erfolgreich abgewehrt werden können, bleibt unbewiesen. Die Beschreibung lässt es lediglich vermuten und Erfahrungen mit vergleichbaren Apps lassen mich persönlich eher zweifeln.
Scheinbar haben sich die Tester bei der Beschreibung des "Erweiterten Secure-Tests" auch bei der Wortwahl etwas vergriffen, was bei mir zu ein wenig Verwirrung führte: Dort heißt es gleich ganz oben: "Stealth-Scan mit bekannten Trojanern" und weiter "Stealth-Test mit: TCP ping packet, TCP NULL packet..." Im Zusammenhang mit den verwendeten Scan-Tools entstand für mich der Eindruck, dass Stealth-Scans auf die erwähnten Ports durchgeführt wurden... und die beschrieben Scan-Arten sind per def. keine Stealth-Scans... Egal, irgendwann kam ich darauf, dass die Ports darauf getestet wurden, ob sie "stealth" sind oder nicht und es sich nicht um die Art des durchgeführten Scans handelte.

Punkt 5: Die Tester haben ja am Schluss schon zaghaft drauf hingewiesen? nur um es noch mal ganz deutlich zu sagen: solange du mit deinem Rechner online bist gibt es kein unsichtbar = stealth. Es gibt offene, geschlossene oder gefilterte Ports... das war's.

Wenn du sonst mit der Firewall zufrieden bist und mit dem Teil auf dem Rechner besser schlafen kannst, is' es ok. Wenn's dir nur auf das "stealth" ankommt, schmeiß sie wieder runter ;)

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.
Dieser Beitrag wurde am 23.02.2003 um 15:07 Uhr von dicon editiert.
Seitenanfang Seitenende
23.02.2003, 16:15
Member

Beiträge: 813
#6

Zitat

Punkt 2: Ich kenne die FW nicht, aber dein Problem hat mit Sicherheit folgende Ursache: Secuties lässt im Ruleset sicherlich das Konfiguration des ICMP-Protokolls zu. Beim Bluemerlin-Test wurde mit Sicherheit ICMP-Typ 0 geblockt. Die folge: Auf eine "Ping-Anfrage" (ICMP-Typ 8) gab der Testrechner einfach keine Antwort. Konfiguriere deine FW entsprechend, und TCP-Ping wird auch bei dir als "stealth" gemeldet.
Ich fürchte nicht, denn dieser ominöse "TCP-Ping" hat (wie der Name schon sagt ;) ) nix mit ICMP zu tun.
Dazu pcflank: "TCP ping packet
Description: An uniquely configured TCP packet with the ACK flag set to a probable port number"

Je nach dem, ob der ange"pingte" Rechner eine Antwort auf dieses spezielle TCP-Paket sendet, wird der Rechner als "stealth" oder "non-stealth" eingestuft. Sicherlich nicht weltbewegend, aber naja... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 23.02.2003 um 16:15 Uhr von forge77 editiert.
Seitenanfang Seitenende
23.02.2003, 18:07
...neu hier

Themenstarter

Beiträge: 2
#7 Danke für die Antwort !

Ich hab festgestellt das die "Secuties Personal Firewall" oberflächlich identisch ist mit der "Outpost Firewall". (Und kostet noch Geld)

Ich habe jetzt mal die Outpost installiert und siehe da....bei pcflank.com, grc.com und port-scan.de ist alles Stealth oder besser gesagt gefiltert.

@ dicon
Punkt 5.....von stealth spricht man halt, gefiltert hört man eher selten !
Was meinst Du mit "dll-injection"?

Etwa das hier.....
Der FireHole Test:
Der FireHole Test ist ein weiteres Penetrationtest-Tool, mit dem eine bereits freigegebene Anwendung "gekidnappt" werden und für die Übermittlung von Daten an einen externen Server missbraucht werden kann. Outpost Pro hat den Angriff nicht bemerkt und ließ die Verbindung zu.

Der TooLeaky Test:
Der TooLeaky Test ist ein drittes Penetrationtest-Tool, mit dem ein Firewallsystem getunnelt werden kann. Das Tool übermittelt einen Teststring an einen externen Server am Firewall vorbei. Outpost Pro hat auch diesen Angriff nicht bemerkt und ließ die Verbindung zu.

Das berifft scheinbar alle Firewalls (laut bluemerlin) oder ist das auch irgendwie blockbar?

Gruß
Reini
Dieser Beitrag wurde am 23.02.2003 um 18:10 Uhr von Reini editiert.
Seitenanfang Seitenende
23.02.2003, 20:21
Member

Beiträge: 124
#8 Ich nochmal...

forge77... stimmt, jetzt wo du's sagst, fällt's mir auch auf. Hast recht... bis auf die Seite von pcflank bin ich garnicht mehr gekommen... hätt' ich wohl tun soll'n. Naja, aber wie gesagt... die Wortwahl war etwas verwirrend... nix für ungut ;)

Reini...
"...von stealth spricht man halt, gefiltert hört man eher selten"
Das trifft leider auf semiprofessionelle Beiträge oft zu. Ein Grund dafür, dass es das Wort "stealth" im Zusammenhang mit Firewalls überhaut erst zu solchem "Ruhm" bringen konnte. Bei vernünftigen Scanern und Net-Audit-Tools wirst du allerdings immer irgendwas finden, was in Richtung "offen, gefiltert, geschlossen" geht.

"Was meinst Du mit "dll-injection"?
Genau das, was du nachfolgend beschrieben hast. Das "Einschmuggeln" einer dll in einen authorisierten Prozess ist aber nur eine Variante.

"Das berifft scheinbar alle Firewalls (laut bluemerlin) oder ist das auch irgendwie blockbar?
Da hat bluemerlin wohl recht. Meines Wissens gibt es noch keine App-FW, die dagegen gefeit ist. Mir fehlt das nötige KnowHow um es genauer erklären zu können, aber eine Ursache für das Versagen könnte damit zusammenhängen, dass eine App-FW halt doch nur den gestarteten Prozess in Form der ausführbaren Datei (z.b. den IE) überwachen kann. Zu einem laufenden Prozess gehören aber ein paar Dateien mehr als nur die EXE... natürlich mit den entsprechenden Bindungen und Freigaben, die für den Prozess gelten. Dr.Seltsam hat vor einiger Zeit mal das Thema genauer beschrieben. Möglicherweise findet ja noch jemand was dazu...

Alles in allem bestätigt aber der Test und dein Beitrag meine Meinung zu Application-Firewalls: ab in die Tonne damit! ;)

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.
Seitenanfang Seitenende
23.02.2003, 20:45
Member
Avatar Ajax

Beiträge: 890
#9 @Reini
"Das betrifft scheinbar alle Firewalls (laut bluemerlin)..."

Diesbezügliche Tests findest Du auch hier:
http://www.pcflank.com/art21.htm

Wie aktuell diese Tests sind weis ich nicht aber offensichtlich aktueller als die von Bluemerlin.Abgesehen davon ist die Leaktestliste unvollständig.

Gruß
Ajax
Seitenanfang Seitenende
23.02.2003, 20:47
Member

Beiträge: 813
#10

Zitat

"Das berifft scheinbar alle Firewalls (laut bluemerlin) oder ist das auch irgendwie blockbar?
Ja, zumindest die beiden genannten Exploits sind blockbar und die meisten aktuellen Firewalls (sowie diverse Zusatztools) tun dies auch (sorry, dicon ;) )! Outpost wird dies in Version 2 auch können.

Leider gibt es aber noch weitere Möglichkeiten, Firewalls zu tunneln, gegen die mglw. kein Kraut mehr gewachsen ist (z.B. "code-injection")

Dennoch sollte man imho erst dann Firewalls für gänzlich nutzlos erklären, wenn zumindest ein Großteil der Malware Firewalls durchtunneln kann. Und so weit ist noch laaaange nicht... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 23.02.2003 um 20:48 Uhr von forge77 editiert.
Seitenanfang Seitenende
23.02.2003, 20:54
Member

Beiträge: 1516
#11 Tja Firewall läuft als Systemdienst und man meldet sich als Benutzer an schon
ist das Problem "code-injection" aus dem weg. Sich als Admin anmelden und dann auf eine Firewall verlassen ;)
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
23.02.2003, 21:20
Member
Avatar Ajax

Beiträge: 890
#12 Kurz nachgeguckt.Ähnliches Thema hatten wir ja schon. ;)

http://board.protecus.de/t2053.htm

Dll-Injection dürfte kein unüberwindbares Problem sein.
Code-Injection ist da viel gemeiner.

@dicon
Deine Meinung über PFW's kann ich nicht uneingeschrenkt teilen.
Tatsache ist aber daß ihre zusätzliche Schutzfunktionen mich nicht dermaßen
überzeugen können, um eine selber zu installieren ;)

@spunki
Deine neue Signatur gefällt mir ;)
Seitenanfang Seitenende
23.02.2003, 21:31
Member

Beiträge: 813
#13 Ich hab heute mit Überraschung festgestellt, dass die aktuelle Version des "System Safety Monitor" sogar bestimmte Formen der "code injection" (die u.a. im AWFT, aber auch hier verwendet werden) erkennen und blocken kann. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
23.02.2003, 22:15
Member

Beiträge: 124
#14 'n Abend...

forge77... "sorry, dicon"... kein Problem... wie gesagt: ich bin bei den aktuellen App-FWs mit Sicherheit nicht mehr auf dem neuesten Stand... und außerdem nicht der Liebe Gott ;) ;)... man lernt halt nie aus...

Ajax... "Deine Meinung über PFW's kann ich nicht uneingeschrenkt teilen."... auch kein Problem... hab ja bewußt auf meine Meinung hingewiesen... Nur zur Erklärung: für mein Sicherheitempfinden sind sie nicht zu gebrauchen...oder besser: überflüssig.

Was mich ärgert ist, dass viele User Sicherheit als ein Stück Software verstehen und nicht als ein Konzept in dem eine App-FW normalerweise überflüssig ist. Noch viel mehr ärgert mich, dass besagtes Sicherheitsverständnis durch solche Tests wie oben noch bestätigt werden.

Dazu mal 'ne Frage: wer von euch wurde schon mal gehackt bzw, kann von sich sagen, dass ihn seine App-FW vor richtigem Ärger bewahrt hat? Ich meine vor Ärger, den man auch ohne FW hätte vermeiden können?

Brechen wir an dieser Stelle mal ab... es geht schon zuweit weg vom Topic. Und ich möchte nicht die X-te Debatte über für und wider von FWs anzetteln. ;) ;)

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.
Seitenanfang Seitenende
23.02.2003, 23:24
Member
Avatar Ajax

Beiträge: 890
#15 @dicon
Falls Du mein Statement genauer anguckst siehst ja meine Einstellung gegenüber PFW's und die kommt deiner Einstellung näher als Du denkst ;) .

Der einzige reale Nutzen den ich von meiner FW hatte war pädagogischer Natur.
(Anregung mich mit Ports,Protokolle,kurz mit meinem BS auseinanderzusetzen)
Diesen pädagogischen Wert kann ich einer besseren FW nicht abstreiten.

@forge
Ist schon beeindruckend was so ein kleines unscheinbares Freewaretool alles kann ;) .In welchem Maße es den "unbedarften" User konkret zu schützen vermag ist eine andere Geschichte ;) .

Schöne Nacht allerseits
Ajax
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: