Platte Povl wrote:
> Michael U. Hove wrote:
>
>>
>>
>> Platte Povl wrote:
>>
>>> jeg bruger kun XP's pakkefilter. Det er FREMRAGENDE. Brug ikke dine
>>> penge på bloated usselt software der i sin marketing spiller på din
>>> instinktive frygt for de ukendte farer på internettet - FØJ - brug
>>> blot XP's pakkefilter. Har du brug for noget der er en smule mere
>>> sofistikeret, og lidt mere konfigurerbart - og som du OGSÅ må bruge
>>> lidt tid på at sætte dig ind og forstå ( det er den bedste sikkerhed
>>> - at forstå dit netværk ) så anskaf dig blackice defender fra
>>> networkice - det har en slags intrusion detection system der laver
>>> checksum på dit systems filer og alarmerer dig hvis der foretages
>>> ændringer, og kan også forbyde netadgang på en per-program basis.. fedt!
>>
>>
>>
>> Når du ligefrem synes at ICF er FREMRAGENDE...kan du så ikke forklare
>> hvad det er der gør den fremragende i forhold til andre *gratis*
>> personlige firewalls (PFW). Jeg har nemlig ret svært ved at se ICF's
>> fortræffeligheder:
>
>
> den er en simpel firewall der blokerer al indgående trafik der ikke er
> startet af brugeren, og lader alt komme ud.. man kan konfigurere den.
> den kræver næsten ingen resourcer af windows.
>
>>
>> Hvis man til at starte med, vælger at lægge hjernen i håndvasken, og
>> overhovedet nævner PFW og data-sikkerhed i samme sætning, har ICF i
>> mine øjne et par temmelig væsentlige problemer:
>>
>> 1. Der filtreres ikke på udgående trafik.
>>
> icf er fremragende fordi den fungerer fremragende som et simpelt
> pakkefilter. den er et simpelt PAKKEFILTER. ikke andet. kræver du (
> implicit ) af en firewall at den skal fange slemme activex bummelummer
> og beskytte dig mod virus og script exploits imod internet explorer?
>
>> 2. Der kan logges, men ikke "real-time" alarmeres. Selvom "real-time"
>> alamering er en af de ting, folk først slår fra, er det brugerens
>> eneste chance for reelt at se evt. suspekt datatrafik, mens den
>> foregår. Brugeren får altså reelt aldrig at vide om ind- ell. udgående
>> trafik indeholder problematiske data.
>
>
> det er rigtigt nok, og det er meget rart at få at vide når der sker
> noget.. jeg kan blive real-time alarmeret af min router hvis jeg vil,
> den har en dejlig firewall. men i løbet af 24 timer får jeg over tusind
> entries i min logfil, som de fleste firewalls ( der kan alarmere ) ville
> betegne som 'serious' og gøre et stort nummer ud af.
>
>> 3. Der kan ikke laves egne rulesets - dvs. en enkel trusted host kan
>> ikke lukkes igennem PFW'en på en bestemt port. Åbner du noget, er det
>> globalt åbent.
>>
>> 4. ICF'ens API kan åbne dynamiske porte for applikationer, der
>> understøtter kald til dette. Dette kræver dog at man er logget på som
>> Administrator - dvs. bliver ens maskine kompromitteret, er der fuld
>> adgang til at en suspekt applikation, kan modificere ICF's ruleset. Da
>> der hverken filtreres eller logges på udgående trafik, kan en
>> intetanende bruger være inficeret/kompromitteret uden at ICF på noget
>> tidspunkt vil gøre opmærksom på problemet.
>
>
> det stoler jeg da på er rigtigt.. har du set eksempler på det?
>
>> Man skal selvfølgelig tage produktets begrænsede pris i betragtning,
>> når man vurderer ovenstående faktorer, men hvis man ikke mener man kan
>> leve uden en PFW, finde der andre gratis produkter, der tilbyder mere
>> kontrol og information end MS' software. "Principle of least
>> complexity" er måske nok relevant i opbygning af sikkerhedssystemer,
>> men enkelthed skal i den sammenhæng, ikke samtidig betyde forsimpling
>> og ufleksibilitet.
>> Sidstnævnte er essentielt set problemet med enhver
>> "sikkerheds-software"...applikationen bliver en sårbarhed i sig selv,
>> og et springbræt til yderligere at eskalere privilegier og fortsætte
>> angrebet udfra.
>>
> javel, det lyder rigtigt nok. snakker du om icf og ham/hende der bad om
> en 'God firewall?' til sin pc, eller snakker du om den slags sikkerhed
> som NSA kræver?
>
>> Derfor kan det ikke siges nok gange:
>>
>> Uanset om prgrammet er "indbygget" i OS'et, eller er et gratis ell.
>> kommercielt produkt (uanset fabrikant!), er personlige firewalls,
>> efter min mening, en *misforståelse*, der sammen med alverdens
>> "all-in-one anti-virus/spy/spam/sikkerheds-pakker", reelt kun gør
>> skidt værre!
>>
> ja, men huh? den ( icf ) blokerer udefrakommende trafik som brugeren
> ikke selv har startet.. det gør kun skidt værre? har jeg misforstået
> dig? du forestiller dig evt. at brugeren tror sig helt sikker pga. at de
> har slået den indbyggede firewall til.. det ved jeg ikke om de gør. gør
> de altid det? det er rigtigt at en software firewall ikke er ligeså god
> som en hardware firewall.. men kan den ofte forhindre at sårbarheder og
> standard indstillinger i windows bliver udnyttet af fremmede over
> internettet?
>
>> Hvis en computerbruger er lidt usikker på "det der datasikkerhed",
>> bliver han nok ikke mindre forvirret, når den nyindkøbte
>> vidunder-software fortæller at han er med i et DDoS angreb på
>>
http://www.whitehouse.gov, når hans PC kontakter ISP'ens DNS-server,
>> for at checke en MX record!
>>
>
> tjah, det er ikke min erfaring. blackice er meget afbalanceret når den
> fortæller at der er noget galt.. den har en indlæringsperiode, hvor den
> lærer regler af brugeren, derudover er den ikke distraherende eller
> overgearet, ingen vildt bippende og blinkende alarmer. networkice har en
> fremragende, sandfærdig database, som brugeren bliver henvist til hver
> gang der kommer et 'angreb'. det bliver brugeren nok mindre usikker af
> at læse.
Beklager den lange qoute ; - )
Jeg er ikke enig i at nogen personligt firewall, uanset fabrikat, har en
sikkerhedsforbedrende effekt på en computer. Tværtimod.
Jeg har jeg valgt i det nedenstående, at liste min opfattelse af de
væsentligste generelle problematikker ved personlige firewalls,
anti-virus software, og endelig de særlige forhold vedr. MS XP ICF.
Sikkerhedsproblematikker ved personlige firewalls og anti-virus:
1. "Sikkerhed" kommer til at handle om at installere og enable, istedet
for at minimere og afinstallere.
2. Brugeren får en falsk følelse af tryghed og tror sig usårlige, bare
de har det seneste nye chrome-produkt.
3. Alarmerne fra personlige firewalls, kommer hurtigt til at irritere,
og de slås fra. Hermed fjernes det eneste punkt, hvorpå PFW's kunne have
en relevans nemlig: "Hov stop - du er ved at lave noget usmart"
-effekten. Desværre er det så svært at skelne skidt fra kanel, at PFW's
reelt er mere forvirrende end støttende for den sikkerheds-ukyndige
bruger. Hermed elimineres efter min mening, en PFW's berettigelse reelt.
4. De fleste folk jeg kender, der bruger anti-virus og PFW's, er
samtidig de *mest plagede* af virus og div. malware. Dette sker fordi
fokus fjernes fra fornuftig online opførsel, minimering af services og
patching, og istedet kommer til at ligge hos et stykke
"sikkerhedssoftware". At overlade sine data's skæbne til et stykke
sårbart kode, er i virkeligheden den *egentlige* sikkerhedsrisiko ved
PFW og anti-virussoftware.
5. Der er en skæmmende afgrund ml. tilgangen til professionel sikring af
data, og den slingre-kurs hjemmebrugeren (som regel) tager. Hvis jeg
anvendte de samme metoder til at sikre et erhvervsnetværk, som en given
privat bruger anvender, ville jeg for det første nok skulle lede efter
et nyt job, sekundært se netværket smelte under div. angrebsforsøg og
virus inficeringer. Dette misforhold er uheldigt, da de profesionelle
erfaringer kunne komme mange private, der har ligeså følsomme og
værdifulde data at beskytte, til gode. Med forbedret sikkerhed og et
mere velfungerende Internet til glæde for alle, som en positiv
følgevirkning.
Særligt vedr. MS XP ICF:
1. Som tidligere skrevet, ICF'en er en integreret del af XP, og giver
programmer mulighed for gennem ICF's API at ændre fw-rulesets efter
forgodtbefindende. Måske brugervenligt og helt i MS' ånd, men ikke så
snedigt for sikkerheden. SDK og dokumentation til ICF's API kan
downloades/købes fra MSDN, og så er det jo bare at gå igang med exploit
kodningen.
2. For at ovenstående API funktionalitet skal virke, kræves der
Administrator adgang. Har vi at gøre med en nogenlunde bevidst bruger,
der ikke bruger Admin-accounten til daglig surf/mail/chat, vil
pågældende opleve at ICF blokker for hans indgående trafik til
programmer der kræver lyttende åbne porte. Hele MS argument med
"turn-off-and-forget" funktionalitet ryger altså. Derfor vil den
sikkerhedsukyndige bruger i irritation opleve at ICF "ødelægger"
Internettet, og nok snart lukke firewallen, eller begynde at bruge
Administrator kontoen til hverdag. Og så er vi lige vidt.
3. XP logger ved en default installation på som administrator. Dvs.
fulde rettigheder = fulde sårbarheder. Hvis en bruger enabler ICF og
ellers ikke foretager sig andet, vil programmer der har rettigheder som
Admin, dynamisk kunne både åbne indgående port og "ringe hjem" uden at
ICF reagerer. Kombineret med den manglende real-time alarm, er dette jo
en anelse uheldigt.
4. ICF filtrerer ikke udgående trafik, overhovedet! Dvs. udgående
trojanere, vira og div. ware ryger lige igennem. Andre gratis PFW's har
dog et minimum af egress filtering.
Så min holdning er klar: Skal der endelig bruges en PFW, så vælg en der
som minimum giver mulighed for udgående filtering og ikke indeholder
mulighed for API integration med OS'et.
Skutteligt kan nævnes at ICF indeholder en application level proxy,
designet til at virke sammen med ICS, der åbner bestemte porte, for at
gøre ICF's stateful-FW mere venlig overfor div. protokoller. Dette øger
naturligvis angrebsmulighederne. Der kan læses mere om ICF og proxy
fænomenet i denne udmærkede Security Focus artikel:
http://www.securityfocus.com/infocus/1620
Mvh
/Michael
--
"Sed quid custodiet ipsos custodes?"
(But who will guard the guards themselves?)
- Juvenal, C. 100 C.E.