Kerio 3.0

#1 Hallo, hat hier schon jemand die neue Kerio 3.0 beta 1 ausprobiert?
http://www.kerio.com/us/beta_section.html
Ich bekam sie leider noch nicht zum laufen, aber sie sieht zumindest sehr vielversprechend aus. (Naja, vieleicht ein bißchen Bunt)
Gruß
Klaus

#2 Kurz mal ausprobiert...ja.
Nachdem aber der Stealth-Test bei PC-Flank für Ping- und Fin-Packets scheiterte, obwohl nach meiner Meinung alles sauber eingestellt war, werde ich die 3.0Beta erst mal auf nem Zweitrechner installieren und mir gemächlich den Überblick verschaffen. Die Aufteilung finde ich etwas verwirrend.
Hast Du Erfahrungen mit der Vorgänger-Version? Das hilft zumindest die neue ein wenig besser zu verstehen.
Was genau "läuft" denn nicht bei Dir ?
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Also bekomme zwar dauernd fehler meldung ist aber geil das Teil besonders der regel editor man kann entweder einen wie bei Zonealarm benutzen oder einen richtigen wie bei kerio 2
Alle outbound sachen hat es bei mir bestanden es fragt auch nach ob neu anwendungen ausgeführt werden dürfen
Mit den resourcen ist es nicht so sparsam wie 2.0 aber verbraucht lang nicht so viele wie tiny 3.0 oder trojan trap
Ich erwarte das die Final die Fehlermeldung nicht mehr hat wird bestimmt geil
Außerdem block sie sich sogar selbst





Wer wettet mit mir das es vor den Final ein paar tools zum tunneln gibt
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#4 Naja also so geil ist das Teil nun wirklich nicht. Gut ist ne inoffizielle Beta. Nicht mal die Konfig. mit den Rules aus Version 2.x kann es importieren. Wenn das in der Final so bleibt dann kann man das Teil bald vergessen. Auch ist es komplett anders aufgebaut als die 2.x. Fazit ein komplett neues Programm. Erheblich größer usw. Man kann nur hoffen das die das bald ändern, denn sonst werden bestimmt etliche Leute bestimmt nicht updaten. Die wollen wohl dieser Mist Tiny 3.0 nachahmen. IDS ist ganz ok. Aber für mich fragt das Teil einfach zuviel ab.
Fazit die 3.0b1 sowie die jetzt ist, hat es nichts mehr mit Kerio zutun. Da kann ich doch dann auch jede andere Firewall nehmen. Kerio ist optimal weil klein, für Anfänger und Profis geeignet. Wenig Resourcen usw.

#5 Ich möchte auf folgenden Thread hinweisen:

http://board.protecus.de/t780.htm


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Hallo,
@ joschi
es war eigene dusseligkeit, der 0190 W beta war nicht freigegeben, so das kein Verbindungsaufbau möglich war. Bei PC-Flank waren lediglich UDP -Packets nicht stealth. Mit der Vorgängerversion hat die neue nur noch wenig zu tun, Kerio 2.14 war klein, kompakt und "simpel", was man von der 3er wahrlich nicht sagen kann.
Probleme habe ich mit dem Ap.-Filter der rumzickt. Wenn ich die Regeln im advanced Mode ändere, passiert alles mögliche, nur nicht das was soll.
Leider tut es die deutsche Übersetzung noch nicht, wäre in dem Fall eine große Hilfe. Tooleaky, Firewhole und co schnappt sie sich, solange ich im a.M. keine Regeln erstelle danach ist sie unberechenbar.
Alles in allem ein mächtiges Werkzeug, für den Heimgebrauch aber vieleicht doch etwas viel des guten.
Gruß
Klaus

#7 http://www.bluemerlin-security.de/Securetest_Kerio_Firewall_3Beta_020802.php3

Hier ein test übrigens du musst in admin konfiguration die connection security
deine anwendung anklicken und copy too filter rules danach kannst du sie erst im erweiterten modus bearbeiten etwas nervig aber eigentlich ganz sinnvoll

Upd ist irgendwie noch nicht stealth siehe Link aber es ist halt noch beta auch mit der Md5 hat er noch probleme oder es ist total verwirrend
(braucht es ja eigentlich auch nicht)


Funktioniert bei euch IDs ich kann zwar wählen ob die alten regeln ein oder ausgeschaltet werden sollen aber sonst nichts laut den Link funktioniert es aber einwandfrei
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8 Hi,

ich habe auch einmal Kerio 3.0 b1 installiert und finde sie in den Ansätzen sehr gut, auch wenn die Beta noch so einige Bugs hat.
So finde ich beispelsweise die erweiterte Konfiguration der Filterrules aus folgendem Grund nicht gut gelungen:

Zwar ist es möglich die Filterrules einer Anwendung (z.B. IE) in die erweiterte Konfiguration zu kopieren und dort manuell nachzubearbeiten. Doch müssen anscheinend alle Einstellungen für die Anwendung (wie z.B. TCP, UDP, IP´s ...) daraufhin in genau dieser einen Regel umfassend und abschließend konfiguriert werden.
So habe ich in der erweiterten Konfiguration mehrere Regeln für den IE entsprechend meiner alten Einstellungen unter Kerio 2.1.4 erstellt. Kerio 3.0b1 ignorierte jedoch all jene Einstellungen für den IE, die NICHT über die Option "copy to filter rules" erstellt wurden. Erst nachdem ich diese erweiterten Filterregeln in das durch "copy to filter rules" generierte Ruleset integriert hatte, wurden sie angenommen. Eine wie ich finde unflexible Gestaltung eines Regelwerkes.
Besonders bedenklich finde ich weiterhin den Umstand, dass der IE durch diese Maßnahme penetriert werden könnte. So ist es notwendig, auch DNS Inbound in der besagten Regel für den Explorer freizuschalten, da eine separate Regelung bei mir erfolglos war. Dies hat zur Folge, dass es bei kumulativer Betrachtung der so erstellten Regel dem IE auch gestattet ist, Inbound-Trafic über Port 80 - welcher u.a. von Trojanern verwendet wird - laufen zu lassen. Meiner Meinung nach schafft man sich auf diese Weise ein Sicherheitsrisiko, da von einem anderen Computer über diesen Port Kontakt aufgenommen werden kann. Dabei ist es ohne Belang, eine entsprechende Block-Rule vorzuschalten, da sich diese Methode bei mir ebenfalls als wirkungslos erwiesen hat.
Vielleicht mache ich ja etwas bei der Konfiguration falsch. Aber bis nicht die Final released wird, werde ich lieber wieder Kerio 2.1.4 einsetzen.
Wenn jemand positivere Erfahrungen gesammelt hat oder mir sagen kann, was ich falsch gemacht haben, so möge er respektive sie dies einfach mal posten.

CU

#9 Hi,

was meinst du mit "DNS inbound" über port 80. DNS läuft doch nur über UDP, meist port 53?! Wie können darüber Verbindungen erstellt werden?
Ansonsten hört sich die Kerio in der aktuellen Beta-Version noch nicht so doll an... also lieber abwarten...

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Falls du Xp hast läuft alles was mit den zu tun hat über die svchoste.exe die kannst du auch in den erweiterten regeleditor bearbeiten dann braucht dein I.E kein Dns mehr
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#11 @forge77

Hi,

mit DNS Inbound hatte ich gemeint, dass der Nameserver meines Providers über Port 53 den IE kontaktiert hatte (so wurde dies zumind. von Kerio in einer Warnmeldung angezeigt).
Im übrigen sollten meine Sicherheitsbedenken nichts mit DNS zu tun haben, denn Du hast natürlich recht, dass eine Verbindungsaufnahme per UDP schwerlich möglich ist, also wohl kaum ein Sicherheitsrisiko darstellt. Ich habe mich da wohl etwas missverständlich ausgedrückt Meine Bedenken bezogen sich vielmehr auf folgenden Umstand:

Ich sehe in der Notwendigkeit, für den IE sämtliche Verbindugsfreigaben in einer einzigen Regel zusammenzufassen, ein Risiko - sofern ich mit dieser Annahme überhaupt richtig liege.
Da der Nameserver meines Providers über UDP Port 53 Kontakt mit dem IE aufnimmt, bin ich gezwungen, auch Inbound-Kontakte für den Browser freizugeben. Da ich jedoch in dieser Regel ebenfalls den Port 80 zum Surfen freigegeben habe - was ja normalerweise alleine ausreichend zum Surfen ist -, würde ich dem IE somit auch erlauben, auf Kontaktaufnnahmen anderer Computer über den Port 80 positiv zu reagieren. Da meine Versuche entsprechende Block-Rules unter Vers. 3.0 vorzuschalten bisher nicht von Erfolg gekrönt waren und auch Trojaner über Port 80 kommunizieren, kam bei mir der Gedanke auf, dass dies ein mögliches Sicherheitsrisiko darstellen könnte.

Vielleicht bin ich auch nur etwas paranoid und sehe Gespenster?! Ich hoffe nur, dass ich mich nun etwas verständlicher ausgedrückt habe und mich nicht lächerlich mache (ich bin kein Netzwerkexperte)?! Wenn ich mit meinen Annahmen falsch liege, so korrigiere mich bitte, da ich gerne dazulerne! Auf jeden Fall danke ich Dir schon mal für Deine Antwort!

@spunki

Hallo spunki,

die svchost.exe sagt bei mir keinen Pieps mehr und ich bin aufgrund diversester Diskussionen bezüglich der Sicherheitsrelevanz dieser Datei im Zusammenhang mit WinXP´s PhoneHome auch nicht gerade daran interessiert, diese Datei zu reaktivieren. Mit Kerio 2.1.4 kann ich auch ohne diese Datei wunderbar surfen. Aber trotzdem vielen Dank für Deinen Vorschlag.

CU

#12 Hi Duke,

ich hab die neue Kerio noch nicht ausprobiert und habe es, um erlich zu sein, in naher Zukunft auch nicht vor, weil ja offensichtlich noch einiges nicht so richtig funzt. Deshalb kann ich einige Dinge hier nicht ausprobieren/ nachvollziehen.
Aber wenn ich richtig verstanden habe, kannst du pro Anwendung nur EINE Regel (im Stile der alten Kerio?) erstellen?! Das wäre natürlich fatal und garantiert nicht von Kerio gewollt. Das ist also entweder ein bug oder ein Bedienungsproblem...

Allerdings sind deine Befürchtungen bzgl. Trojaner meines Wissens nicht ganz begründet:
Da die Regeln immer nur für eine Anwendung gelten und darüberhinaus die heute bekannten Methoden, sich als ein anderes Programm auszugeben, verhindert werden (sollen... ), kann sich eigentlich kein Trojaner/Backdoor die Internet-Explorer-Regel zu Nutze machen; und da der I-Explorer selbst keinen Internet-Dienst anbietet, ist ein erlaubtes "incoming" wohl eher egal.

Trotzdem ist das garantiert nicht im Sinne des Erfinders (oder das Teil taugt doch nix!)

Tschö
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#13 forge hat recht Duke du hast nicht ganz verstanden was remot und local port ist so wie in und outbound du bringst da irgendwas durcheinander übrigens ich lasse die svchost nur zur ip des t-online namenservers conntact aufnehmen soviel zu Phonehome weiterhin sind mir keine dos oder Bufferoverflows attacken auf diesen Dienst bekannt also (zumindestens nicht auf den DNS Teil ) falls dieser komische port 1900 und 5000 von dieser Datei auch benutzt werden es gibt einen Patch dafür weiterhin kann man diese durch die firewall blocken oder den dienst einfach unter service abstellen

Warum willst du nur eine regel für I.E machen du kannst auch mehrere nehmen da gibt es kein problem eine zb für dns
applikation: Eigentlich kannst du alle raus lassen da es nur auf ip des provider geht besser aber für jeden einzelnd die konfiguration
Remot ip: ip des dns server (entnehme das aus deiner log datei)
remot port:53
Upd in/out

und dann für www
applikation:I.E
Tcp out
und remot port:80 oder alle spielt keine große rolle bei outbound
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#14 Hi spunki,
wenn ich Duke richtig verstehe, KANN er nicht mehr als EINE Regel pro Applikation erstellen. Er will ja mehrere erstellen, aber es geht bei ihm nicht... warum auch immer.
Aber gut, wenn du sagst, dass das kein Problem ist, sollte es auch bei Duke gehen.
Vielleicht würde es helfen, wenn du ihm das Regelerstellen nochmal in kleinen Schritten erklärst, vielleicht hat er ja irgendeinen Button übersehen o.ä.?
Wie gesagt, ich kann da im Moment weniger helfen...

Tschö
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#15 Also bei der Beta hab ich es auch hinbekommen @ Duke nimm einfach Kerio 2
Kerio 3 zickt noch rum. nachdem du das ganze zu den advance filter rules schickst kannst du nach belieben neu regeln für die applikationen machen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}