Off Topic: (allgemeine) Frage zu Jetico Firewall

Zitat von _ab

Was mich allerdings wundert, daß sie als Benutzer angemeldet auch als Benutzer läuft, & nicht wie man erwarten würde als Dienst mit Adminprivilegien. Ein Eindringling könnte sie also einfach ausschalten. Da ich im Web eher gute Meinungen über diese PFW lese, frage ich mich, ob ich einen Denkfehler mache (schliesslich hätte eine Menge fähigerer Computerleute dies berücksichtigen müssen, einschliesslich der Programmierer). Was meint ihr dazu?

hm ganz so einfach ist das ja dann auch nicht als eindringling adminprivilegien oder min die gleichen benutzer rechte zu bekommen.
Ist auf jedenfall besser das über die Benutzer Ebene zu machen da ja wahrscheinlich nur für jeden einzelnen Benutzer die Rechte stehen.
Besser als nur per Admin/Systemrechte alle mal.
So wäre das System nicht komplett offen.
Aber so oder so weißt du ja das eine PFW da du dich informiert hast nichts bringt außer notiz zu bekommen das was gerade passiert...
nur wenn was passiert ist in der regel immer zu spät...
So ist also auch eine pfw generell sinnlos.
Jeder der sich informiert hat würde auf eine PFW auf Clientseite verzichten, und sich nach einen Firewall konzept per Hardware umsehen...
MfG Carsten

P.S. nur weil einige fähige Computerfachleute PfW entwickeln heißt das noch lange nicht das die Fachleute wie auch PfW gut sind.

rootkits gehen raus ohne das die pfw oder die ids auf dem client das mitbekommt...

Hm nen Layer8 Filter wäre wohl angebrachter...

Zitat von _ab

hehe, klar. Aber Rootkits habe ich laut "Rootkit Revealer" keine. Guck auch mal hier: http://www.winfuture.de/news,9754.html

Ja is klar keine die Rookit Revealer findet, und auch bei dem Tool steht dabei das es als ergänzung zu einen Firewall System empfohlen ist.
Als Ergänzung zu einer Firewall(keine PFW) sind all die genannten Sachen O.K.

Ansonsten kannst in die Tonne haun, denn alle Tools haben eins gemeinsam, sie laufen auf den zu überwachenden Client und lassen sich somit leicht umgehen z.B. rootkit.
Also da die sowieso sich leicht umgehen lassen, reicht dann auch eigentlich die normale WinXP Firewall aus dem SP2, wenn man WinXP nutzt.
Da braucht man nicht auf das gutes Marketing der sogenannten Security Software Industrie hereinfallen.

Ich jedenfalls kenne keinen Informatiker in meinen Umfeld der eine PFW nutzt. Da ich Hauptsächlich mit Informatiker seis Dipl.oder FI zusammenarbeite kann ich eben nur diese Erfahrung dir mitteilen.
Keiner aber wirklich keiner nutzt ein Firewall Konzept was nur auf einen Client beruht.
Was aber gut geht ist bei manchen Router(z.B. DLINK) gibt es eine Hardware Firewall die eine Schnittstelle zu den Client PFW haben, das ist eigentlich die einfachste Lösung für User mit PFW.

Oder Kostenlos einfach Linux nutzen fürs Internet und wenn doch mit win z.B. zum zocken, dann einen Linux Software Router dazwischen wenigstens/mindestens als Virtuelle Maschine so das Win nie direkt in Kontakt kommt mit dem Internet ohne kontroliert zu werden.
Alles besser als nur eine PFW+IDS direkt auf dem Client.

MfG Carsten

P.S. VMware mit VMplayer gibts kostenlos,ipcop gibts kostenlos, 2 zusätzliche Netzwerkkarten kosten auch nicht mehr als max 10,-€ und schon hat man ein echtes Firewallkonzept direkt auf dem Client. Man muss halt nur den software router in der Virtuellen Maschine jedesmal für die internet einwahl starten und die Netzwerkverbindungen im Win nur auf die VM einschränken.
Gehen tut das alle mal und ist günstiger und "sicherer" als jede PFW+IDS

Hi,
nicht "mit" VMware surfen sondern "durch".
In VMware läuft der Linux Software Router incl.Firewall genannt IPCop oder fli4l(beides Linux Software Router Betriebssysteme).

Die VMware wird auf die jeweiligen Netzwerkkarten eingestellt nur.
(2 Stück nur für VMware konfiguriert)

per patchkabel einmal von der netzwerkarte die vom win benutzt wird in die 1te karte von der vmware und per der 3ten karte wäre dann das kabel für den dsl anschluss.
Schalte vmware aus und kein internet geht...schalte an und warte bis ipcop bzw fli4l läuft und internet geht...
Das würde das risiko dierekt auf dem client etwas zu umgehen serh sehr stark verringern.
Howtos gibts im Intenet auch dazu.
Wie gesagt braucht man nur 2 zusätzliche Netzwerkkarten bei dsl zugang.
MfG Carsten

EDIT: natürlich lässt sich das durch viren, vmware exploits usw auch alles umgehen...wie immer eben nur eine client lösung

Zitat von _ab

Hi, der von Dir vorgeschlagene Weg klingt für mich sehr interessant, bloß müsste ich mal checken, ob genug Platz für insgesamt 3 (?) NICs wäre.
Ansonsten sehr erwägenswert das ganze.

Ja genau braucht man leider 3 NICs dafür aber ist es eine nette Spielerrei und dafür um einiges besser als eine PFW.
Gilt aber wie gesagt Schutz auf dem Client niemals so gut wie Schutz per extra Client. Aber wenigstens ist es ein 2ter Client in einer VM.

Auch so ein VM router braucht maximal 16mb ram+ eben das was vmplayer verbrät.

Ich kann dir ein altes howto für W2K senden(da ich nicht weis ob ichs einfach verlinken darf) als *.pdf für eine ältere http://www.fli4l.de version, da leider die alten Howtos nicht mehr im netz zu finden sind.
Aber dieses Howto kann man dann umsetzen auf die neuen versionen und auch anderen linux software routern.
MfG Carsten

EDIT: besser wäre natürlich gleich einen alten Rechner zu nehmen als Router und den per Bastelarbeit Stromsparend zu machen oder ein altes Laptop mit 2 NIC dann nur

Also eine Firewall in einer virtuellen Umgebung etwa mit Vmware ist ein Witz.
Wie soll die was überwachen, wenn die Anschlüsse gar nicht existieren.

Man braucht doch bloß einen Uraltrechner und da packt man das kostenlose und einfach zu bedienende IPcop rauf.
Bedienung über Browser, kein Keyboard, kein Monitor am IPCop.
An die erste Netzwerkkarte kommt der Switch fürs Heimnetzwerk, an die andere direkt das DSL-Modem. Router braucht man hier nicht.

Wer es überperfekt machen will, kauft sich 2 Switches und für jede Internetmaschine 2 Ethernetkarten. Die eine Karte wird mit dem obigen IPcop-Switch verbunden. Darüber läuft das Internet.
Die andere Karte wird jeweils mit dem 2. Switch (Gigabit) verbunden. Darüber läuft nur das Heimnetzwerk. Internetdaten laufen hierüber nicht.

Angriffe werden durch den IPCop perfekt abgeblockt.
Um einen Client vom Internet zu trennen, braucht man bloß den Stecker aus dem IPCop-Switch zu ziehen. Fertig.
Im Heimnetzwerk ist der Client dann nach wie vor voll verfügbar.

Problem: Im Gegensatz zu einer Desktop-Firewall kann ausgehender Verkehr schlechter kontrolliert werden. Es ist nicht möglich, bestimmte Programme auf dem Client zu blocken. Man kann nur komplette Clients blocken oder Urls im Internet.
Da bleibt also dann doch noch eine Lücke. Wenn Soft nach Hause telefoniert, kann man das nicht sicher verhindern, da man ja nicht alle URLs vorher kennen und blocken kann, die antelefoniert werden.
Ich habe mit das Fritz!Protect gelöst, einer Soft die den Fritz-Produkten beiliegt und genau nur für diesen Zweck geschrieben ist. Sie funzt sehr gut und greift bei weitem nicht so tief ins System ein wie eine Desktop-Firewall, wird aber auf dem Client installiert. Man wird da gefragt, welche Soft direkt ins Internet darf und welche zB. einen Browser starten darf. Gegen Rootkits und dergleichen wird das vermutlich aber nichts helfen. Da muß man dann schon weitere Maßnahmen ergreifen. Man darf den Virenscanner ebenfalls nicht abschalten und muß auch regelmäßig Spybot anwenden.

Zitat von hoppel

Also eine Firewall in einer virtuellen Umgebung etwa mit Vmware ist ein Witz.
Wie soll die was überwachen, wenn die Anschlüsse gar nicht existieren.

1. Wiso komplieziert wenn es einfach geht und Strom spart.
2. Die Anschlüsse sind durch Hardware(die 3 Netzwerkkarten) vorhanden.
3. Kann man das Host System wie aber auch die VM so konfigurieren das jeweils die Systeme keinen Zugriff auf die jeweils benutzte Hardware haben.
Das nennt man Virtualisierungs Technik.
4. Wiso wird den wohl gerade diese neue Technik von Intel und AMD extra in Ihren neuen CPUs (Conroe, Opteron, Windsor, Brisbane usw. usf. integriert...)

Sorry aber mal vorher google an schmeißen bevor man irgendetwas zu etwas sagen möchte mit dem man sich nicht auskennt...

*kopfschüttel*
MfG Carsten

P.S. ipcop und fli4l laufen wunderbar in so eine VM

EDIT: freundlicher versucht die Antwort zu machen

Zitat von dzweitausend

Sorry aber mal vorher google an schmeißen bevor man irgendetwas zu etwas sagen möchte mit dem man sich nicht auskennt...

*kopfschüttel*
MfG Carsten

P.S. ipcop und fli4l laufen wunderbar in so eine VM

EDIT: freundlicher versucht die Antwort zu machen

Fühlste Dir privat angemacht? Wollte Dir nich anmachen. Fühle mir aber jetzt selber etwas angemacht. Virtualisierung ist doch keine Religion. Ich würde die sofort verwenden, wenns Vorteile hätte. Stelle mir aber lieber noch einen weiteren Rechner hin. Wenn der kaputt geht ists dann nich so schlimm, wird gewartet, wenn Zeit ist.

Na klar kommt die Virtualisierung. Na klar looft der Cop gut auf Vmware.
Aber nur solange, bis der Angreifer direkt in Vmware reingeht und direkt und am eingesperrten Cop vorbei Dein System bearbeitet.
Der Cop liegt eben nicht direkt an der Karte sondern bekommt durch Vmware was vorgegaukelt. Vmware ist dem Angreifer direkt ausgesetzt.
Wart' mal ab, bis virtuelle Systeme verbreitet sind... Dann kommt auch die Ausnutzung der vielen virtuellen Lücken.

Übrigens: Warum sollte ich mich nicht auskennen? Woher willst Du das wissen? Mein Cop looft erstklassig und ich habe mich auch ordentlich informiert, bevor ich ihn aufgesetzt habe.
Bei den Typen, die ihn geschrieben haben und ihn in- und auswendig kennen, gibts nur Kopfschütteln über diese virtuellen Geschichten. Die lehnen Support für den virtuellen Cop ab, so daß dafür extra neue Seiten von anderen Leuten aufgemacht werden mußten.

Abgesehen davon hat ein virtueller Cop selbst für ein kleines Produktionsnetz wie meines weitere Gefahren: Er läuft ja dann unter Vmware zusammen mit anderer Soft. Jetzt überlege mal, was passiert, wenn irgendeine Drittsoft den Cop-Pc abschießt, so daß der nicht mehr richtig läuft. Dann sind alle Rechner im Privatnetz ohne Internet.
Da bräuchte es also Redundanzen: ein weiterer Rechner mit Vmware mit Cop drauf, der im Fall der Fälle bereitsteht. Kannste den dann einfach einstöpseln?

Alt-PC kriegste nachgeschmissen, wenn Du nicht selber damit schmeißt.
Der Cop ist ruckzuck aufgesetzt und total ausgereift. Braucht auch nicht viel Strom son PC. Macht dafür aber optisch den Wirker. Kannste ooch mit angeben wenn Du drauf stehst.

Sorry aber ich habe dir doch den link zu der AMD Präsentation gepostet oder?
Da wird ganz gut erklärt das es sehr restriktiv abläuft auf tiefster Hardware Ebene (also zum Teil im CPU).
Klar könnte es "Lücken" geben in dem VM Konzept aber dann ist das genauso ein gleiches risikobehaftetes Problem wie beim IPCop der nur ein Software Router ist.
Der IPCop ist schließlich auch nur ein Software Router ist, Betonung liegt auf Software.
Da bei Software es immer vorkommen kann leichter Bugs auszunutzen als z.B. bei Hardwareroutern ist das Sicherheitsrisiko eines Virtuellen Routers und eines Software Routers ungefähr gleich zu sehen.
Ein extra PC verbraucht auch noch mehr Strom und Platz.
Man kann dann auch gleich einen Server mit Routing Diensten nutzen.
z.B. einen eisfair server + xen +fli4l oder einen debian sarge server+xen+ipcop usw usf.
Das ersetzt einem eine Menge an Hardware und spart eine Menge Platz wie auch Strom.
Naja und war es nicht schon immer so das erstmal alles was "neu" ist verteufelt wird, bis es sich dann doch durchgesetzt hat?
Ich denke das VM er sehr großer Markt werden wird.
Deshalb nehme ich lieber gleich einen alten PC hau da einen richtigen Linux Server mit Xen drauf und mache dann Routingdienste zusätzlich mit einer Xen VM. Wozu erst kleckern mit einen kleinen linux ipcop oder fli4l wenn man klotzen kann und so seinen alten PC mehr Wert geben kann.
Und wenn ich das ganz ganz sicher haben will nutze ich paar (min 2) Cisco managed router/switchs als Hardware im Netz davor davor und realisiere mir so eine Hardware Firewall + eine Software Firewall incl einer DMZ, aber das ist eher was für Banken & Co, normale Netzwerke brauche so eine extreme Sicherung nun wirklich nicht.

Aber um endlich mal auf den Punkt zu kommen, es ging um das Thema Personal Firewall oder nicht, wenn ja welche.
Wenn jemand eben nicht einen extra PC sich anschaffen will sondern eben sogar am Ende alles auf seien Windows Client haben will, dann ist es alle mal sicherer einen Virtuellen 2ten Client zu nutzen der das Routing z.B. mit fli4l oder ipcop über nimmt zu nutzen anstatt ein reguläre PFW.

Der VM ipcop oder fli4l wird immer noch schwerer zu "knacken" sein als eine normale PFW. Dazu kommt das es eben ein "2ter" Client ist wenn auch nur ein virtueller, aber das weiß so ein Angreifer in der Regel zuerst einmal nicht.
Nur darum ging es mir.
Da braucht man als normaler Privat Anwender eben nicht unbedingt einen 2ten PC extra für einen Software Router.
Mein Rat ist generell für Privat User sich einen Hardware Router anzuschaffen und die ganz normale Windows SP2 XP Firewall zu nutzen oder besser direkt einen Linux Client(z.B. als Dual Boot Installation) fürs Internet + Hardware Router.
Die Hardware Router kosten nicht mehr die Welt(5-15,-€) dazu verbrauchen die meisten nur rund 5watt im gegensatz zu einen alten PC der ohne Bastelarbeit bei ca. 75watt liegt.
Das Stromsparen ist da wichtiger für private User als Aspekt, als ein halbes Fort Knox zu haben als Netzwerk...
Ich jedenfalls empfehle das so seit Jahren in meinen Umfeld wie auch meinen Kunden. Bisher sind alle zufrieden damit.

MfG Carsten

Jeder hat seine Ansicht und ein Dritter mag sich verschiedene Ansichten durchlesen und seinen Entschluß treffen.
Was mir aber geärgert hat, war eher wie Du mich abqualifiziert hast.
Du zeigst ja klar, daß Du voll den Durchblick hast. Die Frage ist nur, wie verschiedene Einzelaspekte bewertet werden. Gehst Du nur einen cm nach links oder rechts, haste eine völlig verschiedene Systemkonfiguration die dabei herauskommt.
Ich muß mal messen, wie viel ein Pentium III ohne Grafik, CDRom und Diskette so schluckt.
Mit die Lücken: In der virtuellen Kiste haste dann die IPCop-Lücken, die Lücken des verwendeten Trägerbetriebssystems, die Lücken der VM-Soft und noch zusätzlich die Lücken, die aus dem Zusammenspiel der ganzen Lückenträger entstehen.
Und das alles auf einem einzigen PC!
Das hat doch schon jeder gemerkt: je mehr verschiedene Soft für unterschiedliche Zwecke auf ner Kiste ist, umso instabiler wird das Teil.
Ich hatte das gerade wieder: Wenn ich zusätzlich zur Audiokarte auf meine Medienkiste die Satkarten-Soft raufpacke, habe ich im Audio nur noch Tonschrott. So. Da ist jetzt ne neue Karte fällig. Aber welche? Wird die funzen?
Das ist die sog. Kompatibilität. Auch Du wirst nicht behaupten, daß eine VM eine unkomplizierte Sache ist und ein System dadurch einfacher wird.
Es wird dann Firmen geben, die daran zugrunde gehen, daß sie ihre 1000 PC-Clients gegen 2-3 schlecht funzende VM-Großmaschinen, die die ganzen virtuellen Clients hosten, getauscht haben.

Zitat von hoppel

Jeder hat seine Ansicht und ein Dritter mag sich verschiedene Ansichten durchlesen und seinen Entschluß treffen.
Was mir aber geärgert hat, war eher wie Du mich abqualifiziert hast.

Sorry aber das warst es ganz allein der hier angefangen hat nicht qualifizierte Aussagen zu machen:

Zitat von hoppel

Also eine Firewall in einer virtuellen Umgebung etwa mit Vmware ist ein Witz.
Wie soll die was überwachen, wenn die Anschlüsse gar nicht existieren.

Die Anschlüsse sind sehr wohl vorhanden und unter Linux mit Xen VM sind die Anschlüsse sogar physikalisch konfiguriere pro VM.
Das ärgert mich also auch wenn du hier etwas sagst was einfach nicht stimmt.

Fakt ist, unter Xen läßt sich Hardware des Rechners nur fürs jeweilige Gast VM konfigurieren.
Fakt ist das so etwas auch in den neuen VMware auch möglich werden soll.

Wie gesagt du warst es schon selber der hier falsche Aussagen gemacht hat.

Als ersatz für eine Personal Firewall Software unter Windows reicht so eine VM Firewall mit Vmware alle mal.

MfG Carsten

EDIT: Bitte teste es einfach selber, ich als jahrelange fli4l User bin jedenfalls froh das ich mir so einen PC spare. Mein fli4l läuft nun auf einen Xen Eisfair Server und so habe ich meinen alten PC auch weiter genutzt.
Siehe http://hermestec.ath.cx/index.php?id=89 fli4l und ipcop sind jedenfalls sehr ähnlich und beides gute Software Router mit de rman Firewall Konzepte machen kann