Softpicks.Net Deutsch

Nicolas Berr <nicolas [at] lfbs.rwth-aachen.de> writes:

> Wobei das in dem Falle nicht ganz so dringend ist. Beim nächsten
> Rechnerneustart befindet sich die "no-HD" Variante ja wieder im
> jungfreulichen Zustand...

Gna. Aktuelle Wurmepidemien weisen Infektionszeiten auf, die klein
gegenüber der gesamten Nutzungsdauer des Rechners sind.

> Davon aber abgesehen, bietet die Standardkonfiguration von Knoppix nach
> aussen kaum Angriffsfläche.

Welche Dienste sind nach außen offen?

Hendrik
.

It was Mon, 24 May 2004 17:51:10 +0200 when Raphael Pilarczyk wrote:

> Abs: from [at] alexander.skwar.name (Alexander Skwar)
> Bet: "Re: Die (wahre) Konzeption einer Personal Firewall"
>
>> > Leider bleibt es in der heutigen Zeit immer weniger Zeit um Buecher
>> > oder 'meterlange' Artikel zu lesen...
>>
>> Ja. Darum ist es natürlich naheliegend, das eine hoch komplexe
>> Software wie eine PFW installiert wird,
>
> Hoch komplex aus der Sicht der Programmierer oder der Anwender?

Anwender. Und auch Programmierer - aber mir gings um den Anwender.

Alexander Skwar
--
/*
* Should be panic but... (Why are BSD people panic obsessed ??)
*/
2.0.38 /usr/src/linux/net/ipv4/ip_fw.c

.

Hallo,

Raphael Pilarczyk <PIK [at] amigo.ping.de> wrote:
[...]
> b)
> Leute die ihre groesstenteils halb vorkonfigurierte PFs trotzdem falsch
> konfigurieren bzw. eher dekonfigurieren, kriegen erst recht nicht Windows
> samt Diensten sicher konfiguriert. Nur DAS ist dann sicher.

Das ist so nicht richtig. Das ausfuehren des scripts von ntsvcfg.de
(oder des GUI-Tools, dass Volker gerade bastelt) erfordert nur sehr
wnig Wissen, ggfs. notwendige zusaetzliche Arbeiten sind (sofern es
gute Anleitungen dafuer gibt, und die gibt es) auch nichts, was einen
User vor wirklich unloesbare Probleme stellen sollte ...

Die richtige Konfiguration einer PFW (besonders, wenn dann noch ein
"umkonfigurieren" notwendig wird, weil das Lieblings Filesharing-Tool
oder die liebgewonnen "Messenger" Software nicht mehr laeuft) ist alles
andere als trivial und die Dokumentation, die es *vielleicht* ermoeg-
lichen koennte, das Ding sinnvoll zu konfigurieren, ist oftmals erheb-
lich schwieriger zu finden als das oben erwaehnte script ...

>> W32\Witty.worm existiert.
> Ich glotz mir den mal an.

Der Punkt bei dem ist, dass er Sicherheitsluecken in der PFW selbst
genutzt hat, es wurden also *ausschliesslich* Systeme befallen, die
durch eine PFW "geschuetzt" waren ...

>>>> Leute, die ihre Kiste richtig konfiguriert haben, waren *immer*
>>>> gesch?tzt.
>>> Leider bleibt es in der heutigen Zeit immer weniger Zeit um Buecher
>>> oder 'meterlange' Artikel zu lesen...
>> Wie kommen die Leute dann in die Lage, ihre PFW so zu konfigurieren,
>> dass sie hinreichend gesch?tzt sind?
> Ja wie? Eine PF kann man doch nicht so konfigurieren, dass man hinreichend
> geschuetzt ist :-)

Manche moeglicherweise schon, aber in den meisten Faellen waere der
"08/15 User" damit *erheblich* ueberfordert ...

> - Welchen Konfigaufwand gibt es zB. bei der XP-PF? Schuetzt die schlechter
> als ZA?

Nein, vermutlich besser als die meisten ZA-Installationen (sofern sie
nicht wieder vom unwissenden User "umkonfiguriert" wurde ...).

> - Welchen Aufwand gibt es bei der Kerio?

Vermutlich laesst sich auch dort reichlich flacsh machen (und wenn der
Benutzer keine Ahnung davon hat, wird er nahezu all diese Moeglichkeiten
auch wirklich nutzen ...).

> - Kennst Du einen proof-of-concept wie man die aktuelle Kerio4 unter
> 'eingeschraenktem' User von aussen knackt?

Das muss ich nicht kennen, wenn ich eine Loesung kenne, die nahezu
die selbe Sicherheit verspricht, *ohne* dass ich Zusatzsoftware auf
dem Rechner installieren muss ...
Jede zusaetzlich installierte Software birgt prinzipiell Moeglichkeiten
weiterer Sicherheitsluecken. Daher laesst man nicht benoetigte software
vom Rechner runter ...

Tschuess,
Juergen Ilse (juergen [at] usenet-verwaltung.de)
--
Merke: Die N. ist eine FAQ zur Frage: "Warum nennen mich alle PLONK?"

Oliver Gassner in dsnu ueber die Netiquette.
.

Gerald Vogt schrieb:

> Das Problem ist da, es existiert. Ich will eine Lösung.

Vielleicht eine, mit der dann Du anstatt McAffe und Norton
Geld verdienen kannst?

Dann solltest Du Dich weniger auf die Technik, als vielmehr
auf das Marketing stürzen. Wenn das gut ist, ist die Technik
dahinter scheissegal. Es muss sich halt gut verkaufen, also
schön bunt sein, sich _leicht_ (auch fuer den Super-Dau geeignet)
installieren lassen und Sicherheit in Form eines Schiebereglers,
am besten beschriftet mit superschnell <---------> supersicher.

Und _falls_ ich Dich flahsc verstanden haben sollte und Du
_wirklich_ technisch etwas ändern möchtest, dann:

bring Microsoft dazu, Ihre Systeme so auszuliefern, dass Sie es
_versierten_ Administratoren überlassen, irgendwelche Ports zu
öffnen. Denn welcher Deiner "Dau's" genannten benötigt denn
wirklich einen laufenden Dienst nach aussen?

Wenn er das tut, ist er zumindest jemand, der weiß, wie
File-Sharing funktioniert. Und wenn er _das_ dann nicht blickt:
Pech. Und das ist dann so wie mit den Geisterfahrern, über
90% Absicht, Mutproben und anderes. Man _kann_ einfach nichts
dagegen machen ohne den "nicht Geisterfahrer" massiv
miteinzuschränken, leider.

Übrigens mag ich den Ausdruck "DAU" auch nicht, obwohl gerade
der, im Sinne des Wortes m.E. nach der Lernbereiteste ist,
sobald man ihm zeigt, wie und was er machen soll.

Und die anderen: wollen sich sowieso nicht von einer Software
einschränken lassen in dem was sie da tun.

Achja, meine Lösung falls Dir http://ntsvcfg.de nicht gefällt:

mach einfach alles, was dort sauber erklärt wird, manuell
Schon bist Du _fast_ alle Probleme los. Und das (für den
Nutzer sogar dauerhaft kostenlos, keine Support- oder
Update-Gebühren o.Ä.)

Gruss
Chris
.

Hallo Gerald Vogt, Du teiltest mit:


> > Auf WinXP genauso wie auf Win2000 und WinNT (weil diese BS zu einer
> > Familie gehören, eine andere Familie ist Win95, 98, ME) gibt es Dienste,
....
> Ich finde den Text immer noch nicht für Anfänger geeignet. Den Anfänger
> mit für die Sache unwichtigen Dingen vollzustopfen bringt nichts und er
> wird eh die Hälfte nicht verstehen.

Richtig. Übrigens war meine Passage auf ntsvcfg.de bezogen, " Daher ist
es wichtig,..." weiter im Kontext." bezog sich darauf, s.u.

> Und wenn sich die Linie zurückverfolgen liesse bis zum C64...

IIRC existiert weder die produzierende Firma noch sind die Versuche, den
Namen wiederzuerwecken, von Erfolg gekrönt gewesen.

Andererseits verwende ich bei der Einführung von Kerberos im Active
Directory [TM Microsoft] gerne die Manuals von Redhat, da sie das schön
BS-unabhängig beschrieben haben.

> Es ändert nichts am Sachverhalt
> und der muss dem Anfänger vermittelt werden. Ich versuche hier mal ein
> paar Stichpunkte, wie ich mir das vorstellen würde.
>
> - Auf Deinem Windows laufen viele sogenannte "Dienste", von denen Du
> viele als Anfänger nie brauchst.

Welchem Windows? ME? Wird mit recycleten PCs gern mit "verkauft".

> - (hier eine Randbemerkung: zur Historie oder wie sich dies so
> entwickelt hat einen Link auf die ausführliche fortgeschrittene
> Variante, wie von Dir geschrieben.)

NT und W2k existieren sogar noch bei MS's Sicherheitsdownloads. Die sind
keineswegs "historisch":

| Title: Microsoft Windows Security Bulletin Summary for April 2004
| Issued: April 13, 2004
....
| MS04-011 - Security Update for Microsoft Windows (835732)
|
| - Affected Software:
| - Windows NT Workstation 4.0 Service Pack 6a
| - Windows NT Server 4.0 Service Pack 6a
| - Windows NT Server 4.0 Terminal Server Edition Service Pack 6
| - Windows 2000 Service Pack 2
| - Windows 2000 Service Pack 3
| - Windows 2000 Service Pack 4
| - Windows XP and Windows XP Service Pack 1
| - Windows XP 64-Bit Edition Service Pack 1
| - Windows XP 64-Bit Edition Version 2003
| - Windows Server 2003
| - Windows Server 2003 64-Bit Edition
| - Microsoft NetMeeting

[Anleitung gesnippt]

Jo, hier nebenan laufen 3 Threads, wo das mit hinpassen könnte:

Subject: Windows-Dienste abschalten, RC2 - *BITTE* testen!
Subject: Vorschlag für Homepage von ntsvcfg-GUI
Subject: Win XP und Dienste

Evtl. da mit einklinken.
Wolfgang
--
Hier sind ja alle, die nicht auf das Marketinggeblubber der
PFW-Hersteller hereinfallen, bornierte Fundies, die nicht selber
denken können. [Joh. Mueller in dcsf]
.

Hallo Gerald Vogt, Du teiltest mit:

> Die Erläuterung, dass XP aus NT4 hervorgegangen ist,
> ist da völlig egal. Dies ellenlang breitzuklopfen, lässt den Anfänger
> bestenfalls aussteigen

Nö, weist darauf hin, dass ich Sicherheitshinweise für NT auch mit XP
ernst nehmen kann (bei cert.org hört's mit NT übrigens auf ).

Und wer in der Firma vor einer eNTe gesessen und sich neu XP zulegt,
weiss dann auch, dass das kein ME++ ist. Historisch ist das allemal
nicht, auch wenn das Microsoft gern so hätte und schon mehrmals versucht
hat zu erklären.

Wolfgang
--
Hier sind ja alle, die nicht auf das Marketinggeblubber der
PFW-Hersteller hereinfallen, bornierte Fundies, die nicht selber
denken können. [Joh. Mueller in dcsf]
.

Hendrik Weimer schrieb:
> Gerald Vogt <vogt [at] spamcop.net> writes:
>
>>Wobei n10 und n11 (also vorne die 1) die beiden Klassen mit
>>installierter PFW sind (wohl gemerkt, egal ob sie läuft oder nicht, ob
>>sie korrekt konfiguriert ist oder nicht!)
>
> Dann gibt das Modell die Realität nur ungenügend wider.
> Fehlkonfigurationen kommen nunmal vor, oder wie erklärst Du Dir die
> ganzen Berichte, daß Rechner trotz Personal Firewall mit Sasser
> infiziert wurden?

Das Modell berücksichtigt Fehlkonfigurationen der Firewall, wie Du bei
der Abschätzung für Klasse n10 sehen kannst, da ich dort eben 0<p<1
angesetzt hat, was genau diesem Sachverhalt Rechnung trägt (und ich auch
dort geschrieben habe).

> Desweiteren fehlt in Deinem Modell eine Betrachtung der
> Risikokompensation und ein Parameter für Fehler in der Personal
> Firewall selbst.

Für den Parameter bei Fehlern in der PFW gilt gleiches wie geradeeben
gesagt, da ich explizit einen Angriff gegen die PFW ausgeschlossen
hatte. Ob also die PFW selbst einen Fehler macht oder vom Benutzer
falsch konfiguriert wurde, habe ich mit p berücksichtigt.

Risikokompensation hat für den Vergleich überhaupt nichts zu tun, da sie
wieder das Verhalten des Benutzer berücksichtigt, was ich explizit
ausgeschlossen hatte, da dies ein ganz anderes Modell benötigen würde.

> Dann sieht die Sache nicht mehr so einfach aus.

Ja, und? Dies habe ich alles berücksichtigt bzw. mit entsprechenden
Annahmen festgelegt. Dazu habe ich selbst noch gesagt, dass diese
Annahmen sicherlich in Frage gestellt werden können (Und damit
gezwungenermaßen in ein wesentlich komplizierteres Modell münden würde
oder aber dass ein zahlenmäßiger Vergleich reine Spekulation bleibt).
Dies hat aber nichts damit zu tun, dass für einen einfachen Vergleich,
was wäre mit bzw. ohne PFW diese Rechnung trotzdem so stimmt. Es ging
nur darum, modellmäßig zu erläutern, wie dieser Vergleich motiviert ist
(da es letztendlich der einzige direkte Zahlenvergleich ist) und darauf
hinzuweisen, dass die beiden geforderten "Ersatz"-Vergleiche in diesem
noch viel unzureichender bzw. spekulativer sind. Aber auf die
Einschränkungen und Diskussionsmöglichkeiten hatte ich bereits explizit
hingewiesen...

Gerald
.

Wolfgang Ewert <W.Ewert2002 [at] gmx.de> writes:

> Leider; bei SuSE ging es auch (smtp, (http) und wahlweise X lokal, nur
> noch ssh remote erreichbar).

Was ist mit dem Portmapper?

Hendrik
.

Raphael Pilarczyk wrote:
> Abs: usenet-2004 [at] planetcobalt.net (Ansgar -59cobalt- Wiechers)
> Bet: "Re: Die (wahre) Konzeption einer Personal Firewall"
>>> Abs: usenet-2004 [at] planetcobalt.net (Ansgar -59cobalt- Wiechers)
>>> Bet: "Re: Die (wahre) Konzeption einer Personal Firewall"
>>
>> Was soll das? Das Subject steht im Header und hat in der Attribution
>> nichts verloren.
>
> Ich selbst lass mir im Reader keinen 'meterlangen' Header anzeigen.
> Wenn das aber sonst alle machen, dann aender ich das...

Tu das bitte.

>>>> Es bleibt dabei: PFW-Nutzer waren vielleicht meist geschützt,
>>>
>>> Vielleicht waren sie aber auch meist immer geschuetzt. Ich weiss
>>> es nicht und Du wohl auch nicht.
>>
>> Doch, ich weiß es. Hier und auch anderswo schlagen genügend Berichte von
>> User,
>
> Keine gesehen.

http://groups.google.com/

>> die trotz PFW befallen wurden (weil sie den Dreck falsch konfiguriert
>> oder temporär abgeschaltet hatten).
>
> a)
> 'Also' wenn Leute den "Dreck" richtig konfigurieren und temporaer
> nicht abschalten, dann funktioniert dieser "Dreck"?

In Bezug auf das Filtern eingehender Verbindungen? Ja. Vorausgesetzt
natuerlich, dass er nicht gerade mal wieder irgendwelche exploitbaren
Bugs hat, wie kuerzlich erst NoISe.

Dazu gehoert allerdings ein Kenntnisstand, den $ZIELGRUPPE eben gerade
nicht hat.

> b)
> Leute die ihre groesstenteils halb vorkonfigurierte PFs trotzdem
> falsch konfigurieren bzw. eher dekonfigurieren, kriegen erst recht
> nicht Windows samt Diensten sicher konfiguriert. Nur DAS ist dann
> sicher.

Sie muessen lediglich ein Skript ausfuehren. Wer das nicht hinkriegt,
sollte die Finger ganz von Computern weg lassen. Es gibt so viele andere
sinnvolle und/oder schoene Hobbies.

>>>> Leute, die ihre Kiste richtig konfiguriert haben, waren *immer*
>>>> geschützt.
>>>
>>> Leider bleibt es in der heutigen Zeit immer weniger Zeit um Buecher
>>> oder 'meterlange' Artikel zu lesen...
>>
>> Wie kommen die Leute dann in die Lage, ihre PFW so zu konfigurieren,
>> dass sie hinreichend geschützt sind?
>
> Ja wie? Eine PF kann man doch nicht so konfigurieren, dass man
> hinreichend geschuetzt ist :-)

Wo habe ich das geschrieben? In Bezug auf eingehende Verbindungen kann
man das durchaus, wenn man die Grundlagen verstanden hat. In Bezug auf
eingehende Verbindungen ist es aber regelmaessig weitaus sinnvoller,
einfach die nicht benoetigten Dienste abzuschalten.

cu
59cobalt
--
"Ich heisse Li, mein Vorname ist Kao, und ich habe einen kleinen
Charakterfehler."
--Li Kao (Barry Hughart: Die Brücke der Vögel)
.

Hendrik Weimer schrieb:
>>Für den Parameter bei Fehlern in der PFW gilt gleiches wie geradeeben
>>gesagt, da ich explizit einen Angriff gegen die PFW ausgeschlossen
>>hatte. Ob also die PFW selbst einen Fehler macht oder vom Benutzer
>>falsch konfiguriert wurde, habe ich mit p berücksichtigt.
>
> Das ist aber nicht das gleiche. Wenn die Wahrscheinlichkeit für einen
> Exploit gegen die Firewall q ist, dann gilt n_00_eff = (1-q) * n_00.

Jetzt verwirrst Du mich. n00 war ein Rechner oder PFW und mit laufenden
Diensten, der für einen bestimmten Wurm immer anfällig ist.

Und: ich hatte auch explizit einen Angriff gegen die Firewall selbst
ausgeschlossen, weil es nur um einen Wurm ging, der von der Firewall
verhindert wurde oder werden konnte.

Ich glaube aber, dass wir hier nicht viel weiter diskutieren müssen, da
es nicht um ein exaktes Modell ging, was alle Aspekte berücksichtigen
sollte, sondern eine einfachen Zahlenvergleich zeigen sollte. Wenn Du
die Wahrscheinlichkeit für einen Exploit gegen die Firewall ansprichst,
dann ist dies bereits Spekulation, es sei denn Du hast eine Quelle mit
einer ordentlichen statistischen Auswertung, wie wahrscheinlich so etwas
ist. Ich auf jeden Fall habe keinen Zahlen, würde die Wahrscheinlichkeit
allerdings als ausreichend gering angesehen, dass der Gesamtsachverhalt
auf die Summe aller Würmer sich nicht dramatisch verändert. Aber für
eine definitive Aussage braucht man dafür harte Zahlen...

O.K. Übertragen auf ein Real-Life-Beispiel: Du sagst wahrscheinlich auch
manchmal, wenn ich nicht xyz gemacht hätte, dann wäre nicht abc
passiert, weil xyz kausual vor abc kam. Dies ist allerdings genau
betrachtet reine Spekulation, weil Du im Prinzip annimmst, dass Du
alles, was zwischen Deiner Entscheidung um xyz und dem späteren
Auftreten von abc exakt gleich abgelaufen wäre, so dass aufgrunddessen
abc wirklich nicht passieren würde. Dies ist zwar von der Reihenfolge
und der Abhängigkeit der Ereignisse her korrekt, allerdings
berücksichtigt es nicht, dass eine veränderte Entscheidung in der Kette
weitere veränderte Entscheidungen bringen könnten, die wiederrum ein
völlig anderes Ergebnis ergeben könnten.

Deswegen halte ich es für schlecht, auf einen schlechten Vergleich, der
auf einer solchen Annahme berruht, mit zwei noch völlig anderen
Vergleichen zu widersprechen (die wahrscheinlich irgendwie aus einem
gewissen Bewusstsein des Obigen entstanden sind), statt für die
Argumentation auf das eigentliche Problem hinzuweisen...

Gerald
.

Gerald Vogt <vogt [at] spamcop.net> writes:

> Hendrik Weimer schrieb:
> >
> > Dann gibt das Modell die Realität nur ungenügend wider.
> > Fehlkonfigurationen kommen nunmal vor, oder wie erklärst Du Dir die
> > ganzen Berichte, daß Rechner trotz Personal Firewall mit Sasser
> > infiziert wurden?
>
> Das Modell berücksichtigt Fehlkonfigurationen der Firewall, wie Du bei
> der Abschätzung für Klasse n10 sehen kannst, da ich dort eben 0<p<1
> angesetzt hat, was genau diesem Sachverhalt Rechnung trägt (und ich
> auch dort geschrieben habe).

Stimmt, das hatte ich übersehen.

> > Desweiteren fehlt in Deinem Modell eine Betrachtung der
> > Risikokompensation und ein Parameter für Fehler in der Personal
> > Firewall selbst.
>
> Für den Parameter bei Fehlern in der PFW gilt gleiches wie geradeeben
> gesagt, da ich explizit einen Angriff gegen die PFW ausgeschlossen
> hatte. Ob also die PFW selbst einen Fehler macht oder vom Benutzer
> falsch konfiguriert wurde, habe ich mit p berücksichtigt.

Das ist aber nicht das gleiche. Wenn die Wahrscheinlichkeit für einen
Exploit gegen die Firewall q ist, dann gilt n_00_eff = (1-q) * n_00.

> Risikokompensation hat für den Vergleich überhaupt nichts zu tun, da
> sie wieder das Verhalten des Benutzer berücksichtigt, was ich explizit
> ausgeschlossen hatte, da dies ein ganz anderes Modell benötigen würde.

Eben.

Hendrik
.

Raphael Pilarczyk schrieb:
>>Moment! Willst Du einen Anfänger einfach helfen, oder willst Du alle
>>möglichen Fälle und Szenarien abdecken?
>
> Jein. Auch ein Anfaenger kann in ein Szenario passen, welches DU als
> "brauchst nie" definierst. Es gibt Leute die kaufen sich keine PCs nur
> um CDs zu brennen und BoeseNachbar zu spielen.

Ich sagte nicht, dass ein Anfänger nicht ins Szenario passt. Wenn einer
ein hoch komplexes Netz von verschiedenen Servern aufbauen will, um was
weiß ich zu machen, dann brauch er eben professionelle Hilfe. Es geht um
eine eingeschränkte Menge von Szenarien unter vernünftigen
Einschränkungen, die man halbwegs sinnvoll abdecken und erläutern kann.
Irgendwo auf der Skala von primitiv zu komplex ist eben Schluss...

> Es ging mir dabei nicht um die Infos, sondern um die Verpackung.
> Mit /langem/ Text.txt bringst Du imho /niemandem/ etwas bei.

O.K. Sorry, mein Missverständnis... Ich dachte mehr an .html mit ein
paar <img> Tags drinnen. (at least)

Gerald
.

KONZEPT
=======

Hier ein paar Regeln für eine Software die im Bereich "Sicherheit"
agieren soll:

1) Der Benutzer muss volle Kontrolle über die Sofware haben.
2) Die Software darf nicht von alleine kommunizieren, auch darf Sie
keine Schnittstellen (z.B. Plugin-Interface) zur Verfügung stellen,
damit ein Missbrauch durch andere Programme verhindert werden kann.
D.h. die Software darf nur passiv agieren.
3) Die Software sollte aus mind. 2 Modien bestehen: Für den erfahrenen
Benutzer und für den unerfahrenen Benutzer (wie man hier so schön
sagt, DAU).
4) Im Zweifelsfall wird alles geblockt.

Nennen wir die PF mal Betriebssystem Sicherheits-Management (BSM):

- Das BSM sollte verschiedene Konfigurationsmöglichkeiten, bzw Wege
zur Verfügung stellen:

Regeln anhand von Anwendungen, im nächsten Schritt dann: Einschränkung
der Anwendung anhand von Regeln.

z.B. OE.EXE zugelassen, darf aber nur auf Port 110 (POP3) zugreifen.

oder alle Programme dürfen auf Port 110 (POP3) zugreifen.

Damit können einfache Konfigurationen und komplexe Konfigurationen
realisiert werden.

- Das BSM gibt dem unerfahrenen Benutzer Hilfe durch eine interne
Dateiliste mit bekannten Diensten und hat Standardregeln für diese
definiert. Das BSM sollte aber nur Empfehlungen geben.

- Das Design der GUI sollte angepasst sein, an das gänige Windows
Layout - keine High-end Graphic Engine.

- Das BSM sollte Resource-schonend arbeiten.

- Beim ersten start des BSM ist alles gesperrt, im Zweifelsfall wird
immer alles gesperrt.

- Das BSM sollte Protokolle eindeutig, leicht nachvollziehen aufführen
und keine Hyroglyphen und Fremdwörter benutzen.

z.B. Nicht:

[10-10-04/19:12:21] PACKET TCP SRC:192.168.4.99 DST:192.168.4.10 OUT
LEN:60

sondern:

10.10.2004 um 19:12:21 Eingehendes Packet von Adresse 192.168.4.99
nach Adresse 192.168.4.10 unter Verwendung des Protokolls TCP
[Erweiterte Meldung]

Vielleicht auch noch die DNS namen auflösen, das kostet aber viel
Zeit, deshalb vielleicht in einem Extra-dialog eine Erweiterte Meldung
mit mehr Infos anzeigen.


Das wars fürs erste,

Gruss,
Andreas
.

[Andreas Schwarz]

>
> FLASCH! Nicht der Benutzer, nur der Administrator darf Kontrolle über
> Sicherheitsrelevante Software haben. Aus Sicherheitsgründen sollte man
> normalerweise Administrator und normalen Benutzer trennen.

Ok geb ich Recht .. nur der Administrator darf konfigurieren.

Allerdings, meinte ich auch , das die Software nicht aktiv interagiert
sondern nur das macht,
was die konfiguration sagt.

>
> > 2) Die Software darf nicht von alleine kommunizieren, auch darf Sie
> > keine Schnittstellen (z.B. Plugin-Interface) zur Verfügung stellen,
> > damit ein Missbrauch durch andere Programme verhindert werden kann.
> > D.h. die Software darf nur passiv agieren.
>
> Irgendwo muß die Software aber ihre Konfiguration ablegen.... das
> bleibt immer ein Angriffspunkt.


Die Konfiguration sollte weitgehends verschlüssel sein. Z.B. lösen wir das
bei unserer PF damit,
das die Konfiguration direkt im Speicher liegt, also die Config wird nur
einmal eingelesen und das
wars. Klar jetzt kann jeder Virus oder Trojaner wenn er die SCHnittstelle
besitzt auch das so pushen,
das die Konfiguration neueingelesen wird und zwar mit einer anderen, aber
sollte der Trojaner bereits
drauf sein, ist is eh vorbei. Die PF soll ja so schützen, das nichts
reingeht was "böße" ist. Da bringt
auch die Konfiguration mit http://www.ntsvcfg.de/ auch nichts mehr.


>
> Hinzu kommt das Grundproblem: Wenn Brain 1.0 durch $Trojaner
> ausgehebelt wird, dann hilft die beste Software nicht dagegen. Jedes
> Betriebssystem (auch Linux oder *BSD) ist unsicher, wenn ich den
> Benutzer dazu bringen kann, sich als Admin/Root anzumelden und $FOO
> auszuführen - ich muß ihn nur irgendwie dazu bringen das zu tun (z.B.
> weil $Spiel unbedingt eine Verbindung zum Internet braucht um die
> Highscore-Liste abzugleichen... Social Engineering läßt grüßen).

Was will man machen, der Benutzer wird schon irgendwann es kapieren, nachdem
er jeden 2. Tag sein system neuinstallieren kann.

Gruss,

Andreas Schwarz


.

Raphael Pilarczyk wrote:
> Abs: usenet-2004 [at] planetcobalt.net (Ansgar -59cobalt- Wiechers)
> Bet: "Re: Die (wahre) Konzeption einer Personal Firewall"

Reparier endlich Deine Attribution.

[ Berichte von trotz PFW infizierten Usern ]

>>> Keine gesehen.
>>
>> http://groups.google.com/
>
> Bitte nicht so genau.

Bisschen was darfst Du auch selbst machen.

[...]
>>> b)
>>> Leute die ihre groesstenteils halb vorkonfigurierte PFs trotzdem
>>> falsch konfigurieren bzw. eher dekonfigurieren, kriegen erst recht
>>> nicht Windows samt Diensten sicher konfiguriert. Nur DAS ist dann
>>> sicher.
>>
>> Sie muessen lediglich ein Skript ausfuehren. Wer das nicht hinkriegt,
>> sollte die Finger ganz von Computern weg lassen. Es gibt so viele
>> andere sinnvolle und/oder schoene Hobbies.
>
> Das ist ja einfach. Kann man die Dienste nicht genauso einfach
> 'hinterlinks' wieder aktivieren?

Klar kann man. Wenn man ohnehin schon auf dem Rechner ist. Dann kann man
aber auch PFWs deaktivieren/umgehen, den Bildschirm blau anmalen oder
sonstige lustige Spielchen treiben. Oder meintest Du von remote? Dann
nein.

cu
59cobalt
--
"Ich heisse Li, mein Vorname ist Kao, und ich habe einen kleinen
Charakterfehler."
--Li Kao (Barry Hughart: Die Brücke der Vögel)
.