Kerio Personal Firewall 3.0.0 Beta 2 |
||
---|---|---|
#0
| ||
31.08.2002, 09:42
Moderator
Beiträge: 6466 |
||
|
||
31.08.2002, 09:52
Nautilus
zu Gast
|
#17
Ich habe den Anspruch aus folgendem Grund: Wenn die Regel aufpoppt, habe ich unter create Advanced Rule zwei Optionen für local Port. Und zwar Port und Port Range. Port Range funktioniert aber nicht korrekt...probier's mal aus.
Bei der alten Kerio konnte man zwar auch keine vernünftigen Regeln auf Anhieb erstellen, dafür wurde dann aber auch die Anwendung komplett freigegeben. Bei mir wird aber immer nur ein einziger lokaler Port freigegeben, wenn ich mich nicht um die Regelerstellung kümmere, sondern einfach auf create rule und permit klicke. Da nur ein lokaler Port freigegeben wird, nervt mich danach aber sofort wieder das aufpoppende Fenster. Ich kann also weder eine sehr breite Regel erstellen (wie bei Kerio alt), die mich zunächst mal in Frieden lässt, noch eine vernünftige enge Regel, da der Regelassistent buggy ist. Ich muss deshalb jedesmal sofort in den Adminmodus, um die soeben erstellte Regel nachzubearbeiten. Oder klappt es bei Euch besser? Thanks, Nautilus |
|
|
||
31.08.2002, 10:42
Member
Beiträge: 1516 |
#18
Nein ich nehme an das es ein bug ist oder du musst immer die Registrier karte beim erstellen der
Regel öffnen und den Lokal port raus nehmen das mit der Ip range und den Ports dürftest du über die gruppen der Ip hinbekommen das ist da wo deine trustful ip´s sind Übrigens TooLeaky test ist absolut nicht bestanden er fragt zwar nach aber eigentlich ruft dauernd eine anwendung eine andere auf also kann man nicht wirklich wissen ob man es erlauben soll oder nicht zumindestens unerfahrene anwender können das nicht sagen __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 10:59
Moderator
Beiträge: 6466 |
#19
In der Tat, man kann über den Pop-Assi richtig gute Regeln erstellen. (Gerade erst den Umfang entdeckt) Und bei mir werden die auch wunderbar in die "filter rules" übernommen. Solltest auf jeden Fall das an "Kerio-Vorschlägen" rauslöschen was Du nicht brauchst. Sodann deine "was-auch-immer" eintragen, bestätigen.
Dass von Kerio nur ein Port freigegeben wird (, sofern Du es nicht änderst) ist mehr als sinvoll und dient ausschliesslich der Sicherheit. Wer´s bequem mag kann sich Zone-Alarm draufspielen. Josch __________ Durchsuchen --> Aussuchen --> Untersuchen Dieser Beitrag wurde am 31.08.2002 um 11:00 Uhr von joschi editiert.
|
|
|
||
31.08.2002, 11:10
Member
Beiträge: 1516 |
#20
nein das immer nur ein Lokal port freigegeben wird ist absolut sinnlos da der immer wechselt selbst bei server anwendungen ist es ziemlich sinnlos da immer nur der port sichtbar ist hinter den wirklich eine anwendung läuft
was ich total vermisse ist der Schiebebalcken der die Nachfrage verhindert war echt praktisch lässt sich bei euch das Ids modul durch eigene regeln ergänzen __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 11:13
Nautilus
zu Gast
|
#21
@Spunki Ich glaube, anders kann man TooLeaky nicht bestehen. Das Gute ist, dass Kerio 3 ausdrücklich darauf hinweist, dass eine ANDERE Anwendung den Internet Explorer starten will. Andere Anwendungen haben den Internet Explorer aber NIE zu starten und zu benutzen. Deshalb finde ich die Kerio Lösung im Prinzip gelungen. Ich gebe Dir aber recht, dass man in die Anleitung einen entsprechende warnende Erklärung aufnehmen sollte. Das Problem ist es, dass es keinen Sinn macht, beim Benutzen des Internet Explorers durch eine andere Anwendung ein spezielles Warnfenster aufpoppen zu lassen, da man anstelle des IE genauso gut auch Outlook Express etc. missbrauchen könnte.
@Joshi Jo..im Prinzip ist der neue Popup Assi gut. Wenn da halt nur nicht der Bug wäre... Nautilus |
|
|
||
31.08.2002, 11:40
Member
Beiträge: 1516 |
#22
Da hast du recht anders lässt sich das wohl kaum lösen allerdings glaub ich nicht das
man über diese art viel daten versenden kann Ich habe aber eine andere Lösung gefunden man benutzt z.B Opera oder Mozilla lässt I.E aber als Standart Browser dann und sperrt anschließen I.E so findet es nicht Opera u und mozilla aber ich denke das kann wohl jeder programmierer dazu programmieren das jeder Browser benutzt wird __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 12:02
Member
Beiträge: 813 |
#23
Zitat Und wenn ich unter Remote erst einen Port freigebe und dann eine Adress-Range. Wirken diese beiden Regeln dann nicht kumulativ? So hatte ich das auch verstanden. Zitat Wenn ich dort eine beliebige Portrange eingebe, dann wird anschliessend immer nur von Port 7-7 freigegeben. Das meinte ich ja mit den "bekannten" ports. Wird hoffentlich gefixt. Zu tooleaky: Wie Nautilus schon sagte, scheint das Blocken des Browser-Starts die einzige vernünftige Möglichkeit zu sein. Ich frage mich nur, ob der Start des Browsers unbedingt notwendig ist... könnte der mögliche Trojaner nicht einfach warten, bis der User den Browser öffnet und dann darüber Daten verschicken? Kerio3 würde das dann nicht mitbekommen. Sehe ich das richtig, dass die dll-injection von z.B. firehole nicht erkannt wird (wie z.B. bei der sygate)? Ok, auch hier wird der Browser-Start "erkannt", aber trotzdem... Kann mir jetzt eigentlich jemand erklären, was die "connection-security" soll? Eigentlich würde ich das alles gerne über Filter-Regeln machen... Bei Netbios läuft bei mir übrigens auch noch nix "rund"... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 31.08.2002 um 12:03 Uhr von forge77 editiert.
|
|
|
||
31.08.2002, 12:10
Member
Beiträge: 1516 |
#24
forge hat recht Backstealth der in der speicher der applikation schreibt wurde nicht von
von Kerio gefunden meiner meinung nach kann das nur Trojan Trap verhinden Netbios hat bei mir gut funktioniert allerdings kann man es nicht in den erweiterten Rules bearbeitet werden Eine weitere möglichkeit ist natürlich ein programm zu schreiben das immer ja drückt und so die Freigabe erlaubt Ich habe auch getestet die Firewall zu beenden über Taskmanager hat das geklappt aber über so ein programm das mir ein bekannter gegeben hat hat es nicht funktioniert Ist das ein Schutzmechanismus der Firewall oder warum geht das nur über den Taskmanager __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 12:38
Nautilus
zu Gast
|
#25
@forge77 Kerio entdeckt den Missbrauch des Browser auch dann, wenn dieser schon gestartet ist und nur ein neues verstecktes Fenster geöffnet wird. Die Idee hatte ich nämlich auch und es gleich getestet.
Auch die .dll Injektion wird erkannt...dies zeigt sich letztlich auch wieder durch die Meldung, dass eine andere .dll oder Anwendung den Browser missbrauchen will. Connection Security...da waere ich auch auf ne Erklaerung gespannt. Habe den Eindruck, dass hier eine Anwendung KOMPLETT freigegeben wird. Falls das stimmt, wäre es ein Äquivalent zu den Zonealarm Einstellungen für Anfänger (konnte mir das Wort DAU diesmal erfolgreich verkneifen...bin also lernfähig ;-) @spunki Blackstealth funktioniert mit der neuen Kerio einfach nicht, weil ein Proggie wie Blackstealth die Firewall quasi im RAM patcht. Dies setzt aber voraus, dass der Blackstealth Leaktest genau auf die jeweilige Firewall hin programmiert wird. Ausserdem bietet Sicherheitsvorrichtung einen zuverlässigen Schutz vor Blackstealth: Das eingeschränkte Windows XP Benutzerkonto. Nur im Admin-Modus ist es Programmen erlaubt, andere geschützte Speicherprozesse einfach zu patchen. |
|
|
||
31.08.2002, 12:59
Member
Beiträge: 813 |
#26
Backstealth würde durch Kerio3 meines Wissens einfach dadurch geblockt werden, dass die Firewall selbst nicht mehr ohne Nachfrage ins Internet darf.
Das merkt man z.B., wenn Kerio automatisch updaten will. Ohne Erlaubnis geht da nix... Zu der Methode, dass der Trojaner einfach auf "ja" klickt: Das könnte man wahrscheinlich durch den Zwang einer Passwort-Abfrage o.ä. umgehen. Wäre zwar zu Beginn sau-umständlich, aber später, wenn das ruleset erstmal steht, sind Regel-pop-ups doch eher selten. Und schließlich zu netbios: Standardmäßig wird unter "trusted" das komplette LAN (192.168.0.0) freigegeben. So funzt Netbios problemlos, da es für "trusted" erlaubt ist. Wenn ich aber unter "trusted" nur die tatsächlich vorhandene LAN-IP-Range eingebe, scheint die Regel nicht zu funktionieren. Kerio fragt dann bei jeder Netbios-Aktion nach... Und für Netbios eine "echte" Filterregel einzurichten, hat bisher auch nicht geklappt. Ciao __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
31.08.2002, 13:42
Member
Beiträge: 1516 |
#27
ich wollte damit sagen das Trojan trap das erkennt und blockt das die Kerio nicht mehr anfällig ist weiß ich auch
aber man kann sicher auf die selbe art ander applikation dazu bewegen daten zu senden und das blockt trojan trap __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 18:46
Member
Beiträge: 813 |
#28
Hast schon recht, spunki, wenn ein Trojaner den I-Explorer-Prozess patcht, kann Kerio3 auch nix machen... aber wie genau schafft das TinyTrojanTrap?
Hat jemand von euch schonmal den leaktest pcaudit ausprobiert ( http://www.isa-llc.com/downloads/audit.php )? Der geht bei mir "durch"... komisch, als ich noch Kerio2 hatte, scheiterte er immer daran, dass er versuchte über den WINDOWS-Explorer zu senden, der natürlich geblockt war. Jetzt kommt gar keine Meldung von Kerio3... Weiß jemand, wie der Test funktioniert? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 31.08.2002 um 18:46 Uhr von forge77 editiert.
|
|
|
||
31.08.2002, 19:42
Member
Beiträge: 1516 |
#29
Also der Leaktest lässt sich auch nicht durch Trojan Trap verhinden der schlägt durch
egal was du macht. Bei Backstealth merkt er es aber. @ forge der benutzt nicht nur den Explorer der benutzt browser icq einfach alles um die information zu versenden nur wenn man als User angemeldet ist ist man davor geschützt Mh was haltet ihr von der Firewall ich glaub ich probier die mal aus __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
31.08.2002, 19:51
Member
Beiträge: 813 |
#30
Oha... :o ich hab noch ein bißchen mit "pcaudit" rumgespielt und folgendes festgestellt:
Das Teil kann sich offensichtlich einen bestehenden, für's Internet erlaubten Prozess (I-explorer, Opera, u.U. Win-Explorer...) zunutze machen, OHNE das entsprechende Programm (bzw. eine neue Instanz) dafür extra zu starten (wie tooleaky & firehole). Somit ist die System-Firewall von Kerio3 machtlos. Dafür hat der Test auch nur dann Erfolg, wenn eine erlaubte Anwendung (z.B. der Browser) gestartet ist. Ein nettes Feature von pcaudit ist, dass es nacheinander verschiedene Anwendungen "ausprobiert", so dass die "Erfolgs-" wahrscheinlichkeit recht goch ist. Ob pcaudit nun eine dll injiziert oder sonstwas macht, weiß ich nicht, aber gut ist das definitiv nicht... Ich teste noch ein bißchen... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
In der "alten" Kerio konnten an dieser Stelle auch keine Port-Ranges erstellt werden. Lediglich ein einziger remote-port, ein local-port, und eine remote-adresse konnten definiert werden, und es steht nirgendwo, dass das jetzt auf einmal anders sein soll . Bezgl Rules, kann man nachwievor alles festlegen, was bisher auch möglich war.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen