Kerio Personal Firewall 3.0.0 Beta 2

#31 War ich wohl etwas zu lahm...

Also als eingeschränkter Benutzer geht der Test nicht? Das wollte ich als nächstes ausprobieren.

Würd mich schon interessieren, wie er das macht...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#32 Ich probier die Wall auch mal.

Und nein, ich spreche (schreibe) nicht mit mir selbst.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#33 Ich habe gestern Kerio 3.0 Beta2 unter WinXP installiert, und zwar relativ problemlos, nachdem ich Kerio 2.1.4 deinstalliert hatte. Die alten Regeln konnten leider nicht importiert werden. Zum Glück hatte ich vorher davon noch Bildschirmkopien erstellt und kann mich jetzt ggf. daran orientieren.

Nach den ersten Versuchen mit der neuen Beta fiel mir folgendes auf:

Die Passwortsicherung scheint noch nicht zu funktionieren. Der Zugang zur Administration klappt sowohl mit als auch ohne Passwort, ohne dass dazu vorher Einstellmöglichkeiten zu finden sind.

In der Kerio Administrationskonsole sind alle Bereiche von Kerio sehr übersichtlich aufgeführt.
Der Bereich Filter rules enthält anscheinend nur noch die direkt auf Internet zugreifende Programme

Im Bereich Connection security (u.a. mit den Applikationen NETBIOS, sychost.exe, und meinem Proxomitron.exe)

Der Bereich Network security ermöglicht Einstellungen in den Bereichen trusted area und internet, wobei ich nicht so recht weiß, was unter "trusted area" zu verstehen ist (der vertrauenswürdige Bereich meines PC bzw. meiner Programme im Offline-Zustand?)

Der Bereich System security scheint alle Programme auch die Systemprogramme aufzuführen, die irgendwann aktiv werden. Dies führte Anfangs dazu, dass ich häufig neue Genehmigungen erteilen musste. Hier kann man dann auch die Aktivitäten von Programmen in verschiedenen Stufen einschränken bis hin zum totalen Block. Dies führte einmal bei mir dazu, dass auf der Taskleiste nach einem Neustart kaum noch ein Programm zu Verfügung stand.

Den Bereich Instrusion detection ist für mich noch unbekannt. Dort geht es anscheinend scheint sich um div. Einstellungen zu ICMP, IP, TCP und UDP.

Der Bereich Definitions mit den Teilbereichen IP groups und Time groups sagt mir noch gar nichts.

Im letzten Bereich der Configuration Miscellaneuous gibt es noch ein paar Einstellmöglichkeiten u.a. hinsichtlich Update und Startmöglichkeit.

Im Bereich Status eingerichtet. Dort gibt es etwas neues, und. zwar u.a. Datengrafik zur Übertragungsgeschwindigkeit.

Der Bereich Logs wurde wohl auch erweitert. Interessant war für mich dort vorerst der Unterbereich "filter".

Neu ist auch die Möglichkeit, aus dem Log "filter" heraus von jeder Meldung neue Filter-Rules zu erzeugen. Man geht dazu mit der Maus zu der jeweiligen Meldungszeile und kann dann mit der rechten Maustaste ein kleines Fenster öffnen und von dort "Create Rule" aufrufen. Etwas irritierend ist lediglich, dass die ausgewählte Zeile (Meldung) vorher nicht markiert wird; es erscheint direkt das Regelmenu - die Markierung ist erst dann im Hintergrund sichtbar.

Die bereits angesprochene Ähnlichkeit zu ZONE-ALARM finde ich gar nicht so schlecht. Zumal ich die Optionen permit, ask und deny habe. Die Blockadeeinstellungen Deny und Drop werden etwas uneinheitlich dargestellt. Ob sie unterschiedliche Bedeutung haben, konnte ich bisher nicht feststellen.

Die div. Online-Sicherheitstest bestand das Programm aus meiner Sicht sehr gut. Benutzt habe ich dabei Norton
(http://security1.norton.com/SSC/GetBrowser.asp?pkj=TOKYTOABMSTHXOAMEQV&langid=us&venid=sym&from=/ssc/home.asp) ,
Shields UP (https://grc.com/intro.htm) und
PCFlank (http://www.pcflank.com/).

PCFlank fragte auch den Port (0) ab. Kerio gab darauf mehrere Warnmeldungen, aus denen ich vier dauerhafte neue Filter-Rules erzeugte, und zwar von der Applikation <Tcpip Kernel Driver> mit den Protokollen 0, 4, 12 und 41 (was immer sie bewirken mögen); hierbei wurde automatisch jeweils deny anstelle von drop eingetragen. Ähnliche Regeln (z.B. Incoming IP Protokoll 8) habe ich auch schon unter Kerio 2.1.4 einrichtet; dort war aber - soviel ich weiß - die Bezeichnung der Applikation nicht aufgeführt.

Die an irgendeiner Stelle vorgesehene Spracheinstellung und auch die Hilfefunktion fehlen noch in dieser Betaversion.

Letztlich finde ich aus meiner laienhaften Sicht das Programm sehr gut, zumal es alle Onlinechecks bestanden hat und anscheinend auch keinen Systemstress erzeugt.

Ob das Programm jetzt den Trojaner-Angriffen über eine Tunnelung (die ich nur sehr begrenzt verstehe) standhalten kann, würde ich allerdings gerne mal wissen. Wird dies u.U. über PCFlank gecheckt?

Gruß
Horst

#34 Hmmm...also bei mir macht PC Audit auch im Admin Modus nichts anderes als zu versuchen, mit dem explorer (nicht internet explorer) über port 80 ins Netz zu connecten. Das schlägt natürlich fehl.

Kann also nicht bestätigen, dass irgendwas getunnelt wird. Komisch...was mag bei meinem System anders (sicherer ;-) sein als bei Eurem?

@spunki Keine Frage, TinyTrojanTrap ist gut und sicher. Eine Sandbox halt..und dementsprechend umständlich in der Bedienung + nicht gerade resourcensparend. Benutze sie selbst auch, um Malware zu testen.

Nautilus

#35 Mh meine Begeisterung von Trojan Trap sinkt langsam gegen null die Log funktion
regt mich auf übrigens falls ihr dieses Programm abschießen wollt müsst ihr ein programm
schreiben das 1000 von security allerts auslöst danach kackt das Teil ab ähnlich wie hier
http://board.protecus.de/t925.htm




@Nautilus du hat garnicht gemerkt das was getunnelt wird da du nicht gelogt hast
da sieht man wie schön dieses Tool funktioniert
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#36 @Spunki ...nene. Ich wurde nicht getunnelt. Erstens hat PC Audit gesagt, dass ich sicher bin und zweitens hätte ich ja sonst die entsprechende Email bekommen. Zu Kontrolle habe ich ja auch einmal den Explorer ins Netz connecten lassen. Dann wurde ich freiwillig "getunnelt".

Mit der Logfunktion von TTT hatte ich noch keine grossen Probleme. Allerdings benutze ich das Teil ja auch nur zum Austesten von Malware. Ich habe dann so gut wie alle Einstellungen auf "Nachfrage" gesetzt und bekomme so Schritt für Schritt mit, was eine Anwendung eigentlich so auf meinem Computer machen will. Im Prinzip gebe ich Dir aber Recht, dass Intrusion Detection Systeme und generell alle Systeme, die versuchen zu loggen, anfällig sind. Versuche doch mal, die Log Funktion auszustellen, falls das geht.

Gruss Nautilus

#37 Nochmal@Spunki Genau genommen, finde ich Deine Bemerkung zu TTT sogar ziemlich wichtig. Ich finde, dass bei vielen Firewall etc. Tests viel zu wenig auf die Stabilität geachtet wird. Ich würde mich gerne mal im IRC mit einigen Leuten treffen, die nett, vertrauenswürdig und kompetent sind. Dann könnte man verschiedene Firewalls bzw. Intrusion Detection Systeme auf ihre Belastbarkeit hin testen. Jeweils 3 oder 4 Personen mit Breitbandverbindung würden dann das "Opfer" mit verschiedenen Nukern bzw. Floodern bombardieren. Wir könnten dann anschliessend hier im Forum darüber berichten...

Gruss Nautilus

#38 du musst natürlich eine anwendung laufen haben die zugriff auf internet hat wie
icq oder ein browser anders geht natürlich nicht aber überleg mal nehmen wir an du
weiß einer benutzt Opera als Browser dann lässt du alles über opera schicken und keiner
merk es jemals

Übrigens du musst erstmal den explorer erlauben wenn der geblockt wird bricht
das Programm ab und du siehst die anderen aufrufe nicht mehr

aber das mit der Log ist echt lustig das liegt wieder an dieser scheiß "scheiß BUNT POP UP scheiße"
was ein Word aufjedenfall haben die bei Trojan trap mit den dll´s mächtig geschlammpt
so wie bei den Log funktionen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#39 Genau, du musst eine "erlaubte" Anwendung laufen haben, Nautilus.
Im Prinzip mach pcaudit genau das, was ich im Laufe des Tages schon zu bedenken gegeben habe: es benutzt eine Anwendung, ohne sie (bzw. eine neue Instanz) extra zu starten. Also muss der User sie schon gestartet haben.
Der mögliche Trojaner könnte also einfach darauf warten, bis der User den Browser startet und dann aktiv werden.
Kerio3 ist dagegen machtlos.

Sygate5 übrigens nicht, da es überprüft, ob eine neue dll in einen Prozess geladen wird. Genau das tut pcaudit nämlich ("winlnet.dll" irgendwo im windows-ordner.)
Also das firehole-Prinzip ohne eigenen Start der Träger-Anwendung.

Sygate kann dafür tooleaky nicht blocken... fehlt halt die "Start-Erkennung" von Programmen.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#40 Ich bestätige, dass PC Audit die neue Kerio tunnelt, wenn der Internet Explorer bereits gestartet ist :-((

Muss mir das Ganze jetzt mal genauer anschauen...

Gruss Nautilus

#41 Ich wunder mich echt warum das nicht in Trojan trap intergriert wurde und man
auch im nachhinein keine dll´s kontrollieren kann sollten die wirklich nachholen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#42 @spunki Bist Du 100% sicher, dass das sich das nicht mit TTT kontrollieren lässt. Hast Du die Einstellungen per Hand angepasst?

#43 @forge77 Du schreibst, dass die neue Sygate durch PC Audit NICHT getunnelt wird. Hab sie gerade installiert und wurde doch getunnelt. Welche besonderen Einstellungen hast Du gewählt?

Gruss Nautilus

#44 Hab sie schon wieder deinstalliert (gefiel mir irgendwie nicht... ), aber ungefähr weiß ich es noch:
Unter "Optionen" => "Sicherheit" (oder so) musst du erst die dll-Überwachung aktivieren. Das Häkchen bei "bekannten dlls" kannst du aktiviert lassen.
So müsste es mit dem Blocken klappen.

Übrigens hab ich noch kurz beackstealth ausprobiert, was ja auch die sygate "unterstützt". Allerdings soll die aktuelle Version schon immun dagegen sein, was auch in einem dem backstealth-test beigelegten .txt-file steht.
Dies scheint auch zu stimmen, obwohl backstealth ausdrücklich einen Erfolg beim Tunneln meldet!
Das ist aber wohl gelogen, denn die Datei, die runtergeladen werden soll, konnte ich nicht finden. Der Test verläuft auch irgendwie zu schnell...
Bitte mal selbst probieren.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#45 Zieh mal den Netzstecker und schau, ob BackStealth immer noch eine erfolgreiche Verbindung meldet :-)
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen