Kerio responds to PC Flank users (Content Filter!?)

#1 Hi

Anstatt KPF unnötiger Weise aufzublähen (Web-Filtering) wäre es sinnvoller
eine reinrassige FW weiter zu entwickeln und bekannte Sicherheitslöcher zu
beseitigen.Mag sein daß viele Leute nach der Wundertüte schreien die angeblich alles kann.Das einzige das solche Proramme perfekt können,ist das
Speicherfressen.Bewert haben sich in der tat nur auf einzelne Bereiche spezialisierte Programme.Die alte Stammkundschaft von Tiny/Kerio dürfte das Kerio-Statement weniger berauschen.
Was ist eure Meinung dazu?

http://www.pcflank.com/interv04.htm

Gruß
Ajax

#2 Ajax deine News hier sind wirklich erstklassig - Danke!

Ich muss gestehen, das Content Filtering insgeheim mein Wunsch für Kpf war, da es dem guten alten Atguard näher kommt!

Was Speicherfressen anbelangt, denke ich es ist besser eine Kpf statt Kpf + Webwasher + etc. laufen zu haben; und ausserdem welche Content Filtering Software ist heute schon gut - ich finde den Webwasher zwar hervorragend von den Funktionen her, aber mich stört einfach das er übers Loopback läuft (zu fehleranfällig)

Isnogod

#3 hab den Thread mal fest gemacht...

Eigentlich war Kerio dafür berühmt schlank und einfach zu sein
Ich bin gespannt wie sie das realisieren, hoffe jedoch, das sie auch dort schlank aber gut sind.

Gruß
Ando

#4 Es gibt Webfilter die beruhen auf dem, was sich in Browsern sowieso einstellen lässt- und darauf kann man getrost verzichten. Ich bin einfach mal gespannt was sich Kerio da einfallen lässt, wenn´s denn überhaupt soweit kommt.
Es muss ja auch nicht zwingend integriert sein, bzw. zu und abschaltbar, so wie das meistens bei Webfiltern läuft; alles in allem denk ich, dass Kerio für recht
intelligente Lösungen steht....bleibts einfach abzuwarten haben.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hi

Schön auch andere Meinungen zu hören.
Leider ist es schwer für alles erstklassige Lösungen zu finden.Da wäre es
sinnvoller sich auf das Kern (Firewall)zu konzentrieren.Ich kenne Atguard,
war seinerzeit neben Conseal erste Wahl.Die Anforderungen Desktop-FW's
gegenüber sind heute viel größer.(damit sie ihre Präsens auf dem Rechner
rechtfertigen) Habe selber KPF aus Überzeugung auf dem Rechner.
Ausschlaggebend dabei ist daß sie so vielfältig konfigurierbar ist(könnte man
weiter verfeinern auch protokollmäßig) und sie ist TINY.(kein unnötiger Firlefanz) Der Webfilter wird ja deaktivierbar sein und bringt hoffentlich keine Bugs in die FW.(hoffenlich kein Cookie-Blocker usw noch dazu)
Zum Beispiel wollten ja viele aus Bequehmlichkeit die Update-Funktion in Tiny haben.Was hat sie gebracht(genutzt)? Was es gebracht hat ist ein unnötiges
Sicherheitsloch daß bis heute nicht beseitigt wurde.(Blackstealth würde ohne dieses Sicherheitsloch z.B. bei KPF so nicht funktionieren) Ein zweites
Sicherheitsloch das im Zusammenhang mit dieser Update-Funktion entstand
wurde inzwischen behoben.Gegenüber neue Features die sowieso nicht
Sicherheitsrelevant sind, bin ich deshalb sehr skeptisch.
Noch ein Wort zu Webfiltern.
Habe Webwasher(schon länger her) getestet.Nicht schlecht aber war auch nicht davon begeistert.Für mich bleibt Proxomitron erste Wahl.Wer das
Programm kennt weiß wovon ich rede.Wer es nicht kennt kann es auf Herz
und Nieren testen.Ich weiß auch daß viele sich mit Proxo schwer tun.
Das ist aber keine Garantie daß Kerio einen besseren und komplexeren Web-
Filter implmentieren wird.(vielleicht einfacher zu bedienen mangels seiner geringeren Komplexität) Wollen wir gute Software oder es soll nur einfach
zu bedienen sein? Beides geht leider nur selten.
Nicht allzu ernst nehmen,ist bloß meine Meinung zum Thema.

Gruß
Ajax

#6 Hallo,

@Ajax
Bin im Grunde deiner Meinung. Wichtig ist, dass sich ein FW-Entwickler auf das Wesentliche konzentriert. Wenn nebenbei noch ein paar nette Sachen eingebaut werden ist das OK (wie z.B bei Outpost), aber wenn dadurch neue Sicherheitslöcher entstehen...
Außerdem sollten einige Dinge lieber von anderen Progs übernommen werden, z.B. Pop-Up-Blocker oder Active-X-Filter durch den Browser (siehe Opera). Die können das durch ihre "Nähe" zum jeweiligen "Problem" besser.

Was genau ist denn bei Kerio durch die Update-Funktion "entstanden"? Würd mich als Kerio-User schon interessieren.

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Hallo forge77

Opera ist ein gutes Beispiel aber mal kurz zu deiner Frage.

-Nachdem man TPF die Update-Funktion verpasste(ab dieser Version), machte sie für die eigene .exe kein MD5-Check.Eine beliebige Datei konnte z.B umbenannt und als persfw.exe eingeschleust werden.Bemerkt wurde es
viel später und es dauerte dann noch eine Weile bis man das Problem
löste.
-Mit der Update-Funktion bekam die FW auch das tolle Recht über Port:80
sich beliebig nach außen zu verbinden und das egal ob die Update-
Funktion aktiviert ist oder nicht.Dazu kommt noch die Tatsache daß
diese Verbindung alle Blockregel umgeht und weder angezeigt noch
geloggt wird.Man muß sämtliche Tricks anwenden um dies zu verhindern.
(wahrscheinlich von Kerio so gewollt) Wenn Kerio seine Verbindung auf
Port:80 melden würde hätte sie zumindest "diesen" Blackstealth-Test
bestanden(wie z.B. ZoneAlarm)
Ich sage bewußt "diesen"B-Test weil die verwendete Technik auch anders
ausgenutzt werden könnte.Man stelle sich vor was so ein unerkannter
Trojaner im Arbeitsspeicher der FW alles machen könnte.
WICHTIG : KEINE FW würde es merken!!!
ZoneAlarm merkt es ja auch nicht, meldet lediglich seinen eigenen
Verbindungsversuch nach außen.(zur Zeit würde nur eine Sandboxlösung für so einen Fall wirksam sein)

Gruß
Ajax

#8 Hi

Nun da auch andere Kerio-User den Web-Filter in einer FW nicht sooo toll
fanden, wurde eine E-Mail an Stanislav Kolar verschickt.
Hier seine Antwort:

We want to have more versions:

1) Personal Firewall Basic - packet filter + system security (improved
MD5 checking, IDS, improved system checking against FIREHOLE, trojan horses etc.).
2) Advanced Personal Firewall - PersFw Basic + web content filtering +
privacy subsystem..
3) Enterprise Personal Firewall (Desktop security) - Advanced PersFw +
Antivirus..

So you will have chance to select product according to your
requirements..

PS: It was not my interview, but somebody of our PR office...

S. Kolar


So wie es aussieht werden alle auf ihre Kosten kommen.Finde ich auch als die
beste Lösung.
(Hoffentlich bleibt zumindest die Basic auch in Zukunft Freeware)

Gruß
Ajax

#9 Great News !? - Danke auf jeden Fall!!

hört sich ja wirklich recht vielversprechend an, nur irgendwie auch ein wenig nach Profit! - ich werde das auf jeden Fall gespannt mitverfolgen!

Gruß
Lukas
__________
Gruß Lukas

#10 Sagte doch: Kerio is ne intelligente Lösung zuzutrauen
Find ich klasse, dass sich jemand die Mühe gemacht hat und dem Herrn Kolar
div. Meinungen per Mail zukommen lässt.
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 hallo,

also gegen web-filter hab ich nichts einzuwenden....schon der gute at-guard..und auch die outpost-firewall verwendeten bzw verwenden diese
funktion...und dieses hat keine auswirkung auf die stabilität. diese integrierten
virenchecker wie es manchen leuten vorschwebt..halte ich für nonsens..die haben in einer firewall meiner meinung nach nicht zu suchen. man sollte irgendwie auch die kirche im dorf lassen;0)...ich möchte bei der kerio eine
solide überschaubare und sichere firewall haben....genauso wie ich bei meinem antivirenscanner f-prot win verlange das er solide, überschaubar und sicher ist. bei den zwitterlösung kommt meist eine gute firewall mit einem bescheidenen virenscanner raus..was zum resultat hat das ich mir dann einen weiteren auf dem system installieren muss...und das braucht keiner ;0)....
was interessant wahre sind rulesets die auf bestimmte MS Betriebssysteme zugeschnitten sind und primär die sicherheit des users im auge haben und nicht deren unsicherheit. wenn man die tiny/kerio installiert sind bestimmte funktionen erst einmal default erlaubt die man getrost deaktivieren kann (Bsp: Windows XP)....so was sollte man unterlassen um bei unerfahrenen usern nicht von vornherein die haustür offen zu lassen ;0)

gruss zerberos

#12 Hi Zerberos

At-guard(war für seine Zeit eine tolle FW) und Outpost(persönlich nicht getestet) sollten keine Referenz-FW's für Kerio sein.So wie du deinen AV selber aussuchen möchtest,würden andere das auch mit ihrem Web-Filter tun.Wer die Komplettlösung aus einer Hand haben möchte soll sie auch bekommen.Die das nicht wünschen ,sollen die Möglichkeit haben sich die verschiedene Komponente selber auszusuchen.Im Falle KPF wird das auch so sein.
Predefinierte Rulesets bei KPF(rulebased FW) sind Schwachsinn.Der eigentliche Sinn einer rulebased FW ist die Rules nach !!EIGENE!! Bedürfnisse zu gestalten.Predefinierte Rulesets sind bloß als Anhaltspunkte für unerfahrene User zu betrachten.Das ist der einzige Zweck.Für die Sicherheit des Users ist der User allein und selber verantwortlich.Schön und gut wäre es wenn der Softwarehersteller ihm die technische Möglichkeit dazu bieten könnte.Wie der User mit der Software umgeht ist sein Problem und kann (sollte)vom Hersteller nicht vordefiniert sein.Ein Neuling(das war erstmals ein !!JEDER!!)hat die Möglichkeit sich elementare Grundkenntnisse anzueignen(wenn ihn das Thema interessiert) oder eine einfache FW zu installieren die angeblich keine Grundkenntnisse erfordert.Wenn man nicht weiß was man von einer FW erwarten kann und wofür genau sie man laufen lässt wird ihr Sinn auf dem PC sowieso mehr als fragwürdig.

Gruß
Ajax

#13 Hallo!
in der Yahoo-Group-Seite von Kerio
http://groups.yahoo.com/group/keriofirewall
gibt es eine "Wishlist". Ihr könnt dort für jedes einzelne vorhandene oder vorgeschlagene feature abstimmen bzw. auch die Ergebnisse einsehen.
Dann füllt mal euren Wunschtettel aus
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14

Zitat

´Ajax postete
Hallo forge77

Opera ist ein gutes Beispiel aber mal kurz zu deiner Frage.
-Mit der Update-Funktion bekam die FW auch das tolle Recht über Port:80
sich beliebig nach außen zu verbinden und das egal ob die Update-
Funktion aktiviert ist oder nicht.Dazu kommt noch die Tatsache daß
diese Verbindung alle Blockregel umgeht und weder angezeigt noch
geloggt wird.Man muß sämtliche Tricks anwenden um dies zu verhindern.
(wahrscheinlich von Kerio so gewollt) Wenn Kerio seine Verbindung auf
Port:80 melden würde hätte sie zumindest "diesen" Blackstealth-Test
bestanden(wie z.B. ZoneAlarm)

@Ajax: Koenntest Du bitte erklaeren, auf welche Weise Du den Port 80 wieder dicht bekommst?

Many thanks,

Devlin

#15 Irgendjemand hat mein obiges Posting veraendert. Die Passage von "Hallo forge77 ... (wie z.B. ZoneAlarm)" stammt nicht von mir. Ich zitiere dort Ajax.

Devlin