Sysgate doch die beste Firewall?

#16 Hier ein Beitrag zum Thread-Titel:

Zitat

[Generic/Sygate Paketfilter] Schwachstelle bei der Filterung von
UDP-Ports
(2003-01-31 13:59:36.584296+01)
Quelle: http://cert.uni-stuttgart.de/archive/ntbugtraq/2003/01/msg00058.html

Die Filterung von UDP-Ports mittels der Sygate Personal Firewall sowie
des Sygate Security Agent 3.0 kann umgangen werden

Betroffene Systeme
* Sygate Personal Firewall Pro 5.0
* Sygate Personal Firewall 5.0
* Sygate Security Agent 3.0

Einfallstor
speziell gestaltete UDP-Pakete

Auswirkung
Umgehung der intendierten UDP-Filterung und somit ggf. Zugriff auf
UDP-Dienste

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
Die Schwachstelle selbst stellt keine Gefährdung dar, jedoch ist durch
Ausnützung dieser Schwachstelle ggf. der Zugriff auf schützenswerte
UDP-Dienste möglich
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Die Filterung von UDP-Ports mittels der Sygate Personal Firewall sowie
des Sygate Security Agent 3.0 kann unter bestimmten Voraussetzungen
umgangen werden:
* Befindet sich der Angreifer im selben Subnetz wie das geschützte
System, so kann die Filterung von UDP-Ports durch speziell
gestaltete UDP-Pakete umgangen werden
* Ist die NetBIOS-Filterung in den Sygate-Paketfiltern deaktiviert,
so können Angreifer mittels speziell gestalteter UDP-Pakete die
Filterung umgehen

Workaround
Sygate beschreibt in ihrer Mitteilung die einzelnen Schritte eines
Workarounds:
* [2]Sygate Security Bulletin ID SS20030129-0002

Vulnerability ID
* Sygate Security Bulletin ID: SS20030129-0002

Aktuelle Version dieses Artikels
[3]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1071

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[4]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://cert.uni-stuttgart.de/archive/ntbugtraq/2003/01/msg00058.html
3. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1071
4. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

__________
Durchsuchen --> Aussuchen --> Untersuchen

#17 Soll keiner glauben, daß andere Firewalls nicht auch Schwachstellen haben, aber das kam eben frisch ins Haus geflattert.
Eines haben Virenscanner und Firewalls gemeinsam: es reicht nicht sie nur auf dem Rechner zu haben. Sie müssen "gepflegt" der Umgebung entsprechend eingestellt, modifiziert werden.
Die Online-Portscans in ehren, aber was macht eine Firewall, wenn sie es mit speziell konstruierten Paketen zu tun bekommt ? Es ist für den User i.d.R nicht mehr nachvollziehbar , "testbar" wie die Firewall reagiert.
Man kann eine Firewall danach beurteilen, ob sie gut bedienbar ist, verständlich;
sich gut mit dem Betreibssystem verträgt und nicht die Durchsatzrate verlangsamt. Aber "die Beste" Firewall gibt es nicht. :o)
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#18

Zitat

Die Schwachstelle selbst stellt keine Gefährdung dar, jedoch ist durch
Ausnützung dieser Schwachstelle ggf. der Zugriff auf schützenswerte
UDP-Dienste möglich

Dies passt ganz gut, um folgende Aussage zu relativieren:

Zitat

Wenn jemand auf euren PC kommen will, dann kommt er auch drauf.

Nein, so einfach ist das nicht.
Man kann einen Rechner nur angreifen (oder hacken), wenn sich etwas "Angreifbares" auf diesem Rechner befindet. Und dies sind i.d.R. Server-Dienste, die der Rechner bewusst anbietet aber irgendeine Schwachstelle haben, oder aber "ungewollte" Dienste, die entweder durch Unwissenheit oder in Form eines Backdoor-Trojaners angeboten werden.

Ein einigermaßen saubergehaltener, richtig konfigurierter Durchschnittsrechner sollte aber weder bewusst, noch unbewusst irgendwelche Dienste anbieten (unabhängig von einer Firewall.)
Auf einen solchen Rechner _kann_ somit gar keiner "draufkommen."
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#19 Wir drehen uns im Kreis.

Wenn - von was ihr grundsätzlich ausgeht - jemand tatsächlich nachb der Einrichtung einer schlecht konfigurierten FW denken sollte, er sei jetzt geschützt wie das Pentagon - ok. Dann nützt es nicht viel, eine FW zu installieren. Dies gilt aber nur dann, wenn man davon ausgeht, daß der User ohne FW vorsichtiger vorgehen würde. Und das bezweifle ich. Ich kann die Leute, die ich kenne, welche private Daten - ungeschützt - über das Internet versenden, gar nicht mehr zählen.
Daher bleibe ich dabei: Unvorsichtig ist eh jeder - außer den edlen Herren dieses Forums natürlich. Dann lieber unvosichtig MIT einer schlecht konf FW.

W22

#20 OK,OK,OK,

kann mir dann mal jemand erklären - Schritt für Schritt - wie ich die Kerio richtig konfiguriere? (Auch Links willkommen)

#21 http://www.protecus.de/Firewall_Security/firewall_regeln_links.html
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#22 Tja, stellt sich die Frage, durch was sich die schlecht konfigurierte Firewall auszeichnet !?
Wenn man mal davon ausgeht, daß das ganze Spektrum an Desktopfirewalls nach dem Prinzip "Verbiete alles, was nicht ausdrücklich erlaubt ist"-Prinzip funktionieren, ist es unwarscheinlich, daß durch diese installierte Firewall , selbst bei "schlechter" Konfig. ein "Sicherheitsrisiko" entstehen sollte. Ein Dienst wäre mit "schlechter" Firewall nicht zugänglicher also ohne Firewall.
Und ein unerwünschtes Programm könnte bei schlechter Konfig. wohl eine Vebindung ins Netz aufnehmen; ebenso, wie wenn keine Firewall installiert ist.
Ein größeres Risiko ist es, Serverdienste anzubieten und die dahinterstehende Programm nicht gepacht zu halten (z.B.).
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#23 Die ewige Story.
Da ich gelesen habe daß eine FW mich vor böse Hacker schützt installiere
ich mir eine.Schaden kann es ja nicht und wenn sie vorkonfiguriert ist brauch ich mich ja auch darum weiter nicht kümmern.Wie goldrichtig meine Entscheidung war bestätigt mir dauernd meine Lieblingsfirewall.Man brauch keine Ahnung davon haben.Ein Blick in die Logfiles genügt.Unglaublich was da sich von böse Hacker im Netz tummeln.Da werde ich im Sekundentakt Tag für Tag angegriffen.Möchte gar nicht wissen was ohne FW alles passieren
hätte können.Hoffentlich passiert meiner FW nichts schlimmes dabei und wird mich auch in Zukunft vor böse Jungs und Trojaner schützen.Sollten letztendlich doch Unklarheiten auftauchen gibt es dafür Foren.Wenn man Glück hat werden eigene Anschaungen von einfühlsame und nette Menschen geteilt.Leider aber gibt es da auch unsympathische Besserwisser.
Vermutlich haben solche Typen nie eine Logfile gesehen und haben weniger Ahnung als ich oder sie wollen ihr Wissen nicht preisgeben und wollen bloß verarschen.Die können doch nicht von mir ernsthaft erwarten ein Studium über Protokolle anzufangen um ihr Gelaber verstehen zu können.Windows habe ich schließlich auch ohne Studium zum Laufen gebracht,ansonsten wäre ich ja nicht im Netz.Manche von ihnen sind sogar so dreist daß sie
sogar manchmal den Sinn einer FW in Frage stellen.

Forge bringt es eigentlich in seinem letzten Satz auf den Punkt:
Ein einigermaßen saubergehaltener, richtig konfigurierter Durchschnittsrechner sollte aber weder bewusst, noch unbewusst irgendwelche Dienste anbieten (unabhängig von einer Firewall.)
Auf einen solchen Rechner _kann_ somit gar keiner "draufkommen."

Klar kann man durch eine FW durch restriktive Regelerstellung mehr "Sicherheit" erlangen.Solche Regel sind in keiner Vorkonfiguration enthalten da sie auch unerwünschte Nebenwirkungen zur Folge haben können und die Wahrscheinlichkeit so einer potentiellen Gefahr sehr gering ist.
Beispielsweise könnte auch das ICMP oder UDP Protokoll missbraucht werden.
Wer sich aber über die Nützlichkeit seiner PFW selbst überzeugen möchte kann es auf sehr einfacher Weise tun.Logfiles lesen um nachzuschauen was da alles geblockt wurde und dann mit TCPView gucken ob an den jeweiligen Ports etwas lauscht.Falls da nichts lauscht wären auch
OHNE FW keine Datenpakete angekommen.
TCPView kann man von:
http://www.sysinternals.com/
downloaden.Da diese Seite auch andere nützliche Tools anbietet ist sie sehr empfehlenswert.

Mit Viren & Trojaner ist es i.d.R. so daß die größten Schäden und die größte Infektionsgefahr meistens von neuer Malware ausgeht.Der Einsatz von veralteter Malware ist viel weniger effektiv und daher höchst uninteressant.Der Schutz den da nur wöchentliche Updates bringen ist eher
zweifelhaft.Dazu kommt noch die Tatsache daß die meisten Scanner nicht einmal mit gängige Packformate zurechtkommen von exotischere ganz zu schweigen.
Da macht es wirklich wenig Unterschied ob man im Winter in Badeschlappen oder barfuß spazierengeht.Einziges Gegenargument für's obige Beispiel wäre die Tatsache daß man sich auch mit Lammfell gefütterte Stiefeln erkälten kann.
Deshalb gibt es ja auch den 100% Schutz nicht.

Gruß
Ajax

#24 @ Ajax,

da Du ja mit Deinen Ausführungen über die User, die dieses Forum für Besserwisserei halten, offensichtlich den Anstoßenden dieser Diskussion, sprich mich, gemeint hast, möchte ich Dir gerne etwas entgegensetzen.

Wenn man Deiner Hauptaussage folgte, hieße das, daß eine FW deswegen nicht notwendig ist, weil es ja gar keine (oder kaum) Angriffe aus dem Netz gibt. Die Hersteller der FW sind zugegebenermaßen auch Geschäftsleute, aber davon auszugehen, daß die Welt rein und rosa ist, halte ich für überzogen. Außerdem ist eine FW nicht nur dafür da, die D.E. nicht vorhandenen Angreifer abzuwehren, sondern auch, um EIGENEN PROGRAMME einen unkontrollierten Zugriff aufs Netz ZU ERSCHWEREN.

Zweitens ist immer die Rede von sauberen Rechnern, von nicht angeklickten Links, von intelligentem Surfen. Es ist zwar richtig, daß viele "Unfälle" im Netz auf Unerfahrenheit (Naivität?) beruhen, daraus aber die Quintessenz abzuleiten, man wäre bei einem Angriff selbst schuld, ist bodenlos.

Drittens bleiben Angriffe aus dem Netz trotz evtl. Mitverschuldens trotzdem Angriffe; ein aggressives Vorgehen im Netz wird nicht zu einem freundlichen Akt, nur weil ich "meinen Rechner nicht sauber halte".

Ich habe zwar in diesem Forum keine Lobby, bitte aber um Erhöhung der Arroganzschwelle...

Thor

#25

Zitat

Ich laß Euch Eure Ruhe

War wohl leider nur Gelabber...

Zu deinen Argumenten:
Wenn jemand einen Portcan auf deine IP macht (und auf hunderte andere) oder nachschaut ob deine NetBios-Ports offen sind, dann ist das noch lange kein Angriff.
Wirkliche Angriffe finden meist nur auf größere Server statt.

Der Grund dafür ist simpel:
Warum sollte irgendjemand Interesse daran haben dich anzugreifen?
Was unterscheidet dich von Millionen anderer User die vielleicht viel leichter anzugreifen sind?
Was hast du für unglaublich interessante Files die es wert sind Stunden in dem Versuch zu verbringen auf deinen Rechner zu kommen?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#26 @asdrubael

Es geht hier nicht um einige Portscans sondern darum dass hier viele in diesem Forum gesagt haben, dass eine FW unnütz ist. Was schwachsinn ist.

Denn es gibt genügend Scriptkiddies die einfach mal probieren!
Und viele Programme vom Betriebssystem Windows sind auch immer gesprächsbereit mit der Herstellerfirma (z.B. Media Player)

#27 Außerdem denke ich, dass jeder min. ein Dukument etc. auf seiner Platte hat die derjenige nicht jedem an die Nse binden will.

#28 Der Nutzen einer Desktop-Firewall wird von vielen überschätzt (woran u.a. auch die Hersteller, Zeitschriften, Internet schuld sind.) Ich würde für so ein Programm niemals Geld ausgeben.

Viele der angeblichen Gefahren existieren gar nicht; vor anderen, realen Gefahren schützt eine Firewall nicht absolut zuverlässig. Es gibt jedenfalls wichtigere Schutzmaßnahmen als eine Firewall.
Dennoch halte ich FWs nicht für grundsätzlich nutzlos und setze selber eine ein (Kerio).
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#29 Ich kann mich nicht daran erinnern das hier jemand gesagt hat das Firewalls prinzipiell unnütz sind.
Es ging nur darum das eine vorkonfigurierte Firewall die einfach nur "draufgeklatscht wird" ein System nicht automatisch sicherer macht.

Zu dem Dokument kann ich nur sagen das dir das schönste Passwort nichts bringt wenn du nur die IP-Adresse einer Person kennst.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#30 Zitat:
Ich laß Euch Eure Ruhe

War wohl leider nur Gelabber...



Oh Jammer, @ asdrubael,

Deine Arg ist der geschlagene Schlag eines geschlagenen Ex-Champions...

bitte bestätige doch nicht alle Vorurteile, die man gegen das Board haben könnte. Wenn Du keinen Bock auf mich hast ist das cool -
aber bitte mit mehr Niveau. Bist doch sonst auch nicht so ungelenk beim Formulieren...

Geeeeeeaa,

Thor

PS: thanx watchman

PSII: @ forge77: Das mit dem Geldausgeben stimmt. Habe auch niemals über Norton oder ähnliche debattiert, sondern von FREE ZA, Kerio/Tiny oder Sygate. Dahingehend sind wir uns ja einig.