kritischer Fehler Kerio

#1 Lücke in Kerio Personal Firewall

Kerio hat einen Fehler in seiner Personal Firewall gemeldet, mit der Angreifer offene Ports auf PCs von Anwender trotz Paketfilter erkennen können. Dem Fehlerreport zufolge versagt die Firewall bei sogenannten TCP-Stealth-Scans, also Port-Scans bei denen das Angriffs-Tool keine vollständige Verbindung aufbaut, sondern beispielsweise die Reaktion auf FIN- oder RST-Pakete auswertet. Nähere Angaben macht Kerio zu dem Fehler nicht. Benutzer von Kerio PF sollten auf Version 4.0.10 wechseln.

(c) heise
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 http://www.heise.de/newsticker/data/dab-19.12.03-003

http://www.kerio.com/kpf_releasehistory.html

#3 Hallo!

Muss ich nun von meiner 2.1.5 auf die neueste umsteigen? Ich habe was gegen die bunte Oberfläche und wollte daher den Umstieg so weit wie möglich hinauszögern.


nibor

#4 Ich denke nicht, dass der Fehler auch die alte Kerio 2 betrifft. Zumindest reagierte die bei meinen Scanversuchen immer so, wie man es erwarten würde.
Außerdem ist "stealth" zu sein eh nicht wichtig (sondern teilweise eher verpönt...)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Ja ich weiß,ich kann lästig sein aber ich konnte einfach nicht widerstehen:

Zitat

4.0.10 - December 12, 2003
- fixed GUI crash when using certain combinations of color depth and font size...

Und das bei einer Sicherheitssoftware mit der Versionsnummer 4!!
Na ja,eine esthetische Farbenkombination die den unbedarften User in Extase versetzen kann (unter Umstände auch auf seine Psyche beruhigend wirkt) hat eben seinen Preis und sogar seine Risiken

Gruß
Ajax

#6 >> Ich denke nicht, dass der Fehler auch die alte Kerio 2 betrifft.

Weiß es jemand sicher?

nibor

#7

Zitat

TCP ping packet
Description: An uniquely configured TCP packet with the ACK flag set to a probable port number
TCP NULL packet
Description: An uniquely configured TCP packet that contain a sequence number but no flags
TCP FIN packet
Description: The TCP FIN scanning is able to pass undetected through most personal firewalls, packet filters, and scan detection programs. The scan utilizes TCP packet with the FIN flag set to a probable port number.
TCP XMAS packet
Description: The TCP packet with the URG, PUSH(PSH) and FIN flags set to a probable port number.
UDP packet
Description: An uniquely configured UDP packet with empty datagram.

www.pcflank.com bietet einen Stealth-Scan an.
die 2.1.4/2.1.5 hat hier zumindest keine Probleme, am besten selbst testen.

Allerdings weiß ich nicht, was das Ergebnis wäre, wenn der Scan gezielt auf einen aktiven Port ausgeführt wird.
Kann man mit Nnmap in einem Lan oder über das Internet ja selbst testen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 hallo

ich habe auch mal den stealth-test auf pcflank.com durchgespielt.
ich verwendete
w2k sp3
kerio 2.1.5

der packet type TCP "ping" wurde mir dabei als non-stealthed angezeigt. ich habe erstmal ungläubig überprüft, ob ich meine icmp-rules nach der letzten LAN nicht zurückgesetzt hatte. Das war aber der Fall. Die waren in Ordnung. Also bin ich davon ausgegangen, ich hätte da irgendwas falsch verstanden und habe alle icmp-kommandos geblockt für in und out. das ergebins war allerdings das gleiche.
handelt es sich dabei um den oben beschriebenen fehler oder habe ich nur wieder irgenwas verkurbelt. Letzteres ist ja wohl wahrscheinlicher, sonst wären diese symptome wohl vor mir schon mal jmd aufgefallen.
Meinem System fehlen übrigends dutzende Sicherheitsupdates, aber an Windows sollte das doch nicht liegen.

#9 Benutzt du "is running on gateway"? Dann ist das Verhalten normal.

Kerio muss hier die Pakete durchlassen, sonst würde das NAT auf dem Gateway nicht funktionieren (wobei ich nicht ausschließen will, dass man das nicht evtl. etwas eleganter hinbekommen könnte, als Kerio... )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Ich habe den Stealth-test auf pcflank.com ebenfalls durchgespielt (WinXP, 2.1.5)...

... und alles im grünen Bereich

#11 vielen dank forge77. ich verwende tatsächlich diese option. allerdings ist mir nicht klar, weshalb zur sicherstellung der funktion von NAT, das echo zugelassen werden muss. ich kenne jetzt zwar nicht die genau realisierung von nat, aber prinzipiell ist das doch eine sache die sich nur im router abspielt und an der keinerlei andere rechner beteiligt sind. höchstens am anfang einer verbindung der pc der durch das gateway ins netz geroutet wird. wozu wird also das echo so dringend gebraucht?

#12 Bei diesem "TCP-Ping" geht es um TCP-Pakete mit ACK-Flag, mit denen geprüft werden kann, ob der gescannte Rechner überhaupt vorhanden ist, und ob er durch eine Firewall geschützt wird, oder nicht.

Solche ACK-Pakete sind aber auch essentieller Bestandteil einer jeden Internet-Kommunikation (nämlich die erste Rückantwort auf einen TCP-Verbindungsversuch), d.h. die meisten eingehenden ACK-Pakete sind legitim, und nur wenige sind ungewollt, da sie von einem TCP-Ping-Scan stammen.

Handelt es sich bei dem Rechner mit installierter Kerio um einen "normalen" Stand-alone-Rechner mit Internetanschluss, kann die Firewall erkennen, ob die ACK-Pakete gewollt oder ungewollt sind.

Wird der Rechner dagegen als Gateway eingesetzt, bekommt Kerio Probleme, da es keinen Einblick in den NAT-Verkehr hat, und daher die "guten" ACK-Pakete (mit denen NAT ausgeführt wird) nicht von den "schlechten" unterscheiden kann.
Deshalb werden entweder gleich alle Pakete durchgelassen (-> "is running on gateway"), oder gar keine... im zweiten Fall funktioniert dann nur das NAT nicht mehr...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#13 ok. jetzt hab ich's kapiert. thx