icfu wrote:Wir drehen uns im Kreis: Welchen Grund gibt es, daß man die standardmäßig offenstehenden Ports <1024 dem großen weiten Internet öffnet? Wenn die Ports geschlossen sind, ist es wurscht, wieviele Exploits noch gefunden werden, sie betreffen einen eh nicht, egal ob das System gepatcht ist oder nicht.
Auf
www.ntsvcfg.de steht ja schon, daß es zu Problemen kommen kann, wenn man den RPC Dienst vom LAN Interface abschirmt. Ich wusste gar nicht, daß das geht,
ohne ihn ganz abzuschalten. Wenn ich das richtig verstanden habe, macht dieser "Dienst-Abschalter" das genau so. Vielleicht
wollte ich auch einfach nicht glauben, das man bei Windows mit Bordmitteln und ohne Nebenwirkungen die Schotten dicht bekommt, das klingt so unglaubwürdig im ersten Moment
icfu wrote:Warum mußt Du Dienste offen lassen? Verstehe ich nicht, bitte erklären, welche Dienste Du brauchst und inwiefern Dich Deine PFW dann schützen soll, wenn Du den Zugriff eh freigibst.
Meine Infos bisher waren, daß ein abgeschalteter RPC Dienst massiv Probleme bereitet. Das man ihn vom LAN Interface entkoppeln kann, ist sehr interessant, das werde ich mir mal anschauen. (Oder hab ich jetz da immer noch was falsch verstanden?)
Wenn die Catalyst Treiber das einzige Problem bei abgeschaltetem RPC Dienst wären, wäre das zwar lästig (ich habe natürlich ausgerechnet ATI Grafik), aber gerade noch erträglich.
Wenn man die Dienste irgendwann völlig abschirmen kann, ohne jegliches Problem, hättest Du mich tatsächlich von der Nutzlosigkeit von PFW bzgl. eingehender Verbindungen überzeugt!
icfu wrote:Ob ein Heim-PC, bei dem der User jederzeit den Stecker ziehen oder sonstwie die Kontrolle zurückerlangen kann, eine geschickte Wahl ist, sei mal dahingestellt.
Man hüpft einfach zum nächsten, wenn der eine zumacht, so what?
Ja,
kann man machen, aber warum, wenn es so viele dick angebundene Dedicated Server gibt, die auch von DAUs betrieben werden (nur sitzen sie nicht davor, und die IP bleibt fest, und der Strom an).
Aber egal lass diesen Diskussionszweig mal beenden, ist ja albern im Endeffekt
icfu wrote:Erstes Video angucken, dann nochmal melden. Daß Du Exploits gezeigt bekommst, die jedem Laien von außen über die Attacke einer Firewall Adminrechte beschert, erwartest Du nicht ernsthaft.
Der CCC hätte es ja in seinen Video demonstrieren können, OHNE gleich den Quellcode auf den Projektor zu schmeissen.
Der Exploit, der über die URL Daten schickt, ist aber echt nett.
Das "Self-DoSing" der Norton Firewall zu zeigen, fand ich allerdings total überflüssig. Natürlich ist Norton hervorragend geeignet, um zu demonstrieren, das eine PFW "schlecht" ist. Aber warum hat man nicht ein paar Dinge an einer Firewall demonstriert, die unter Nicht-DAUs als die "besseren" gelten (Kerio, Sygate). Das hätte in meinen Augen die Glaubwürdigkeit nach oben geschraubt.
Das Nebeneinanderstellen der nackten Zahlen der Registry Einträge fand ich einfach nur unprofessionell. OK, man konnte sehen, daß Norton total über das Ziel hinausschießt, aber die pauschale Aussage das "keine PFW mehr Einträge bräuchte als die Outpost, weil die ja alle nicht mehr können", fällt unter diese Argumente, die ich total oberflächlich und zu pauschal finde. Wenn ich zeigen wollte, daß PFW Resourcenfresser sind, würde ich verschiedene Benchmarks laufen lassen - einmal mit, und einmal ohne die installierte PFW. Aber warhscheinlich wären die Zahlen, die dabei herauskommen, nicht so beeindruckend, wie das sinnfreie Abzählen der Registry Einträge.
Es hätte mich auch gefreut, wenn man den Features, die man als nicht-DAU sowieso von vornherein als schwachsinnig abstempelt ("Schutz persönlicher Daten"), nicht so viel Zeit gewidmet hätte, und stattdessen weitere
interessante Exploits gezeigt hätte. Wie gesagt, am liebsten mal einen der von außen
über die Firewall eindringt (und nicht ausgerechnet bei Norton Nervig).
Das dieser outbound Exploit über Start->Ausführen von der Sygate nicht gebklockt wird, glaube ich schon. Aber die Gefahr, den Paket-Inspektor der Firewall mit einem bösen Paket von außen zu "knacken", und einen Buffer Overflow auszulösen, halte ich für sehr sehr gering. Unter den PFWs herrscht nicht eine solche Monokultur, wie sie unter den Betriebssystemen mit WinXP vorherrscht. Somit sind sie für Cracker einfach kein attraktives Ziel. Hoher Aufwand, geringer Nutzen.
Als Ergänzung zum Virenschutz halte ich daher eine PFW immer noch für sinnvoll. Viren verbreiten sich automatisiert. Sie finden nicht aktiv neue Exploits, wie ein böser Cracker. Für Otto-Normal-User dürften auf 1000 Versuche irgendwelcher Viren evtl. 1 "echte Attacke" kommen. Höchstens. So leicht, wie der CCC behauptet, gewinnen zumindest die Virenautoren somit das "Wettrennen" gegen die Firewallhersteller nicht. Eine bedingte Kontrolle sehe ich da schon. Das solche Features wie "Anti Application Hijacking" umgangen werden können im ewigen Wettrennen, das ist allerdings unbestreitbar.
Die Wahrscheinlichkeit, auf ein "böses" Programm zu stoßen, das nach Hause telefonieren will, und es dabei mit einer PFW zu erwischen, halte ich für höher als die Wahrscheinlichkeit, daß das eigene System
über z.B. einen Buffer Overflow im Paketinspektor der Firewall komprommitiert wird. Den erwähnten Witty-Wurm, der wohl genau so etwas macht, kenne ich nicht, allerdings kann man wohl allgemein davon ausgehen, daß er nur bei
einer Firewall funktioniert (Stichwort "keine Monokultur") - schade, daß das Video auf diesen Wurm und seine Arbeitsweise nicht näher einging.
icfu wrote:Ich verstehe nicht, warum Du permanent von nicht abschaltbaren Diensten redest. Dieser Thread dreht sich zu 50% darum, daß man eben alle Dienste abschalten kann, weil man sie schlicht und ergreifend nicht braucht. Das ist der Kerninhalt von
www.ntsvcfg.de, ich dachte Du hättest Dich da umgeschaut? Bin langsam aber sicher etwas verwirrt...
Siehe RPC Dienst oben, kann sein das
ich da etwas verwirrt war, ganz 100% klar ist mir die Sache an der Stelle immer noch nicht.
Weil sonst der Eintrag in der 'whitelist' nicht sinnvoll ist - schliesslich moechte das Schadprogramm ueber dieses neu geoeffnete Port kommunizieren.
Hersteller von Antivirenprodukten. Also sch**ß auf alle Antivirenprogramme, wer irgendein solchen Schrott einsetzt, ist mehr als blauäugig und nicht mehr ganz bei Sinnen und hat hat von Computerei nicht den blaßesten Schimmer. Und wer sogar die Empfehlung gibt AV einzusetzen, gehört sowieso hinter Schloß und Riegel. 
