# Zonealarm für Linux? Zorp???

## return13

Suche was aehnliches wie zonealarm für linux, ist eigentlich noch das einzige was ich von meinen windows Zeiten her misse...

hab ein bisschen gesucht und das gefunden

https://forums.gentoo.org/viewtopic.php?t=218452&highlight=zonealarm

Frage: Kann Zorp wirklich mit Zonealarm mithalten,

Ich mein Programmen internetzugriff ermöglichen oder verweigern?

Was für alternativen gibts?

Was benutz IHR ???

----------

## tacki

iptables  :Smile: 

ok, auch wenns nicht so komfortabel ist, mehr brauch ich net

----------

## return13

und wie?

nehm wir an ich möchte dass das programm ping nicht mehr ueber ppp0 zugreifen kann..., wie geht das denn dann?

und andersrum, wie schalt ichs dann wieder frei?

----------

## tacki

ich muss zugeben, auf programm-basis war iptables noch nie thema für mich. ich bin auch nicht sicher ob iptables das kann. jedenfalls würde ich von solchen lösungen sowiso abraten und gleich (in deinem fall) icmp sperren. wie das geht kann ich dir sagen.

warum willst du das auf dieser basis machen? gibt es einen bestimmten anwendungsgrund? unter windows wurde ja dieser 'schutz-mechanismus' oft genug ausgehebelt

----------

## ralph

http://www.gentoo.de/doc/de/gentoo-security.xml#doc_chap12

Und wenn du eine sehr einfache gui für iptables haben willst, dann empfehle ich dir firestarter.

----------

## sirro

Mit den grsecurity-patches kannst du den Netzzugriff AFAIK auf bestimmte Gruppen beschraenken. Dann "einfach" nur noch vertrauenswuerdige Programme mit einem Benutzer dieser Gruppe starten.

Extrem restriktiv, aber auf jeden Fall wirkungsvoll  :Wink: 

Gab aber auch noch einen anderen maechtigen Patch, der Programme so stark einkesseln konnte, dass die nur noch das durften, was man vorher explizit erlaub hat... Hab natuerlich den Namen vergessen, kam IMO aus der BSD-Ecke...

----------

## return13

Danke für euren geistigen Beistand   :Smile: 

Werds schaun was so mit iptables geht...

----------

## sirro

 *sirro wrote:*   

> Gab aber auch noch einen anderen maechtigen Patch, der Programme so stark einkesseln konnte, dass die nur noch das durften, was man vorher explizit erlaub hat... Hab natuerlich den Namen vergessen, kam IMO aus der BSD-Ecke...

 

Wenn mans nicht weiss, dann muss man wissen wo es steht... (alte Studentenweisheit  :Wink: )

http://www.citi.umich.edu/u/provos/systrace

Die hardened-sources sind (waren zumindest mal) bereits gepatched, im Linux Magazin Security Edition gabs da mal nen Artikel zu, falls du das noch irgendwo bekommst. (Interesse vorausgesetzt)

EDIT: Brauchst nicht zu suchen, den Artikel gibts online: http://www.linux-magazin.de/Artikel/ausgabe/2003/01/systrace/systrace.html

----------

## return13

Aber falls noch paar gewillte programmierer da sind, vielleicht kann das als Anreiz dienen, denn ich denk dass das noch eine relative schwach besetzte Ecke im Linux bereich ist...

----------

## Ragin

Wenn es dir nur um den Ping geht musst du icmp 8 sperren.

Iptables kann grundsätzlich alles in allen nur erdenklichen Varianten sperren/zulassen. Du musst nur wissen, wie du was anzuordnen hast und welche Ports mit welchen Protokollen zugelassen/gesperrt werden müssen.

http://www.iptables.org

http://www.pl-berichte.de/work/firewall/index.html

----------

## return13

 *sirro wrote:*   

>  *sirro wrote:*   Gab aber auch noch einen anderen maechtigen Patch, der Programme so stark einkesseln konnte, dass die nur noch das durften, was man vorher explizit erlaub hat... Hab natuerlich den Namen vergessen, kam IMO aus der BSD-Ecke... 
> 
> Wenn mans nicht weiss, dann muss man wissen wo es steht... (alte Studentenweisheit )
> 
> http://www.citi.umich.edu/u/provos/systrace
> ...

 

Danke, passt wie die Faust aufs Auge, genau das richtige!

thx

----------

## sarahb523

ich nutze iptables, ansonsten nutze ich nur progs die ich vertraue. da keine unvertrauenswürdigen programme laufen (ich schaue öfters mit ps u.ä. nach), brauch ich keinem programm das internet zu verbieten. Unter win ist das anders, da aktivieren sich programme die man nicht will (z.b. gator) oder man garnicht in der ps liste sieht. Daher ist es dort sehr wichtig auf programmebene zu sperren. Obwohl auf dieser ebene sich der schutz durchaus aushebeln läßt, besonders wenn man mit "administrator" arbeitet.

----------

## Sas

 *return13 wrote:*   

> Aber falls noch paar gewillte programmierer da sind, vielleicht kann das als Anreiz dienen, denn ich denk dass das noch eine relative schwach besetzte Ecke im Linux bereich ist...

 Genau das Gegenteil ist der Fall. Immerhin basiert meines Wissens jede etablierte Firewall-Lösung auf netfilter/iptables.

----------

## øxygen

 *Sas wrote:*   

> Genau das Gegenteil ist der Fall. Immerhin basiert meines Wissens jede etablierte Firewall-Lösung auf netfilter/iptables.

 

Das mag ich zu bezweifeln. Meistens ist das pf.

----------

## ian!

http://kmyfirewall.sourceforge.net/

----------

## moe

Also entweder ists mir bisher entgangen, dass iptables auch auf Programm-Ebene arbeiten kann, oder fast alle der Antwortenden hier haben das Thema verfehlt..

----------

## Xk2c

```
net-firewall/guarddog

      Latest version available: 2.0.0

      Latest version installed: [ Not Installed ]

      Size of downloaded files: [no/bad digest]

      Homepage:    http://www.simonzone.com/software/guarddog/

      Description: Firewall configuration utility for KDE 3
```

Ist ein intutiv zu bedinendes Tool mit dem du deine Firewall aka  Iptables konfigurieren kannst.

Dabei kannst du sowohl ankommenden wie auch abgehenden Verkehr explizit sperren.

Andere Möglichkeiten die ähnliches leisten sind ja schon genannt worden (kmyfirewall, firestarter)

----------

## isreal

ich wuerde eher sagen das Zonealarm ueberhaupt nicht mit iptables mithalten kann, weil du da schon auf einer ganz anderen Schicht den Netzwerkverkehr regelst!!

Etwas was mir sehr geholfen hat TCP/IP und UDP/IP zu verstehen in Verbindung mit IPTables sind die Tutorials auf www.selflinux.org! 

mfG

----------

## Jtb

Warum wollt ihr eigentlich auf eurer Kiste eine Firewall drauf haben? ZoneAlarm ist ja schon eine Seuche, aber jetzt auch unter Linux damit anfangen?

Ein Ping ist nichts gefährliches  :Wink: 

Alle Netzwerkdienste, die ihr nur lokal braucht einfach an localhost binden und fertig..

"Sicherheits"-argument, dass im Kernel ja irgendwo ein Fehler sein sollte (siehe Ping of Death) gilt auch nicht, da iptables noch eine weitere Fehlerquelle einführt...

----------

## moe

Leute, Leute..

Es geht in dem Thread nicht zwingend darum ein grafisches Tool für iptables zu haben, sondern eine Möglichkeit bestimmten Programmen den Internetzugriff zu verbieten/einzuschränken. Das mit ping war ein Beispiel, und mit Angriffen von aussen oder lokal laufenden Diensten hat das genauso wenig zu tun, wie iptables dafür geeignet ist..

Sicher ist das bei Opensource-Programmen nicht so notwendig wie unter Windows, aber nicht jeder ist in der Lage oder willens den Code zu lesen und auf mögliche Spyware o.ä. zu untersuchen. Ist in meinen Augen zwar ein recht paranoides Sicherheitsbewusstsein, aber wohl jedem selbst überlassen..

----------

## Deever

Zumal "brauchbare" Spyware/Malware sich über die erlaubten Ports verbindet. Sind ja auch nicht total blöde, diese Programmierer.

SCNR,

/dev

----------

## ruth

hi,

soll das _noch_ so ein firewall && iptables thread werden??? *gg*

https://forums.gentoo.org/viewtopic.php?t=168773

https://forums.gentoo.org/viewtopic.php?t=130666

...

mein ja nur...  :Wink: 

und sowas wie zonealarm und konsorten auch nur in die nähe von iptables / netfilter zu rücken - das grenzt ja schon an häresie...

im übrigen werkelt in sehr vielen kommerziellen black box firewalls im handel genau dieses iptbles / netfilter system...

gruss

rootshell

p.s.

hi deever...  :Wink:  auch wieder fleissig dabei? *gg*

----------

## amne

 *rootshell wrote:*   

> hi,
> 
> soll das _noch_ so ein firewall && iptables thread werden??? *gg*
> 
> 

 

Nein bitte nicht, das haben wir eh schon in den beiden anderen Threads.

Vielleicht können sich die Beitragenden in diesem Thread ja darauf beschränken, wie man jetzt auf Programmebene Zugriff aufs Netz gibt so wie bei Zonealarm.  :Wink: 

----------

## Deever

 *rootshell wrote:*   

> im übrigen werkelt in sehr vielen kommerziellen black box firewalls im handel genau dieses iptbles / netfilter system...

 

Stimmt.

Außerdem kann man mindestens bei Windows und Linux zur Laufzeit (!) einen weiteren IP-Stack registieren, was den Sinn von hostbased packetfilters noch weiter schmälert. Dank Micro$oft, die nun scheinbar standardmässig demolieren wollen, wirds sowas IMHO bald geben.

 *Quote:*   

> p.s.
> 
> hi deever...  auch wieder fleissig dabei? *gg*

 

Jo, klar!  :Wink: 

Kein Wald ohne Wild, der auch ohne Jäger ist!  :Very Happy: 

 *amne wrote:*   

> Vielleicht können sich die Beitragenden in diesem Thread ja darauf beschränken, wie man jetzt auf Programmebene Zugriff aufs Netz gibt so wie bei Zonealarm. 

 

Squid. HTH!  :Wink: 

Gruß,

/dev

----------

## ohoiza

 *Quote:*   

> Vielleicht können sich die Beitragenden in diesem Thread ja darauf beschränken, wie man jetzt auf Programmebene Zugriff aufs Netz gibt so wie bei Zonealarm.

 

naja, zumindest bei meiner kernelversion (2.6.7-mm6) lässt sich für netfilter folgende option einstellen:

```
CONFIG_IP_NF_MATCH_OWNER:

Packet owner matching allows you to match locally-generated packets based on who created them: the user, group, process or session.
```

damit ließe sich doch eigentlich das gewünschte zonealarm-verhalten bewerkstelligen, oder?

----------

## Shadows

Der einzige der es (außer dem Ursprungsposter) verstanden hat ist moe und vielleicht noch Deever.

Den anderen sei vielleicht folgendes als kleiner Tip gegeben:

Hier von einer "Firewall" zu sprechen ist vielleicht nicht das richtige und scheinbar genau der Grund, warum einige den Sinn hinter der Sache nicht verstehen können. Nennen wir es einfach "Applikationsbasierte Netzwerkzugriffskontrolle (ANK) (tm)"

Der Sinn einer Firewall besteht darin, den Verkehr zwischen zwei Netzwerken basierend auf Regeln zu schützen. Damit ist sowohl der eingehende sowie der ausgehende Netzwerkverkehr gemeint. Das hat aber erstmal überhaupt rein nie gar nix mit einzelnen Rechnern oder gar Applikationen zu tun. Null. Niente. Nada.

Der Sinn einer ANK besteht darin, einen einzelnen Rechner hauptsächlich vor AUSgehendem Netzwerkverkehr zu schützen - mehr nicht. Und wir vergessen jetzt einfach mal die so called "Personal Firewalls" - das ist nämlich nicht mehr als eine Marketingseifenblase. Es ist nämlich immer noch ein Unterschied, ob ich Netzwerkpakete bestimmter Protokolle oder bestimmter Programme filtere. Meine Firewall lässt nämlich HTTP-Pakete ungehindert passieren, aber wer sagt mir, dass die Maleware ihre Pakete nicht über HTTP tunnelt? Firewalls besitzen nämlich keinerlei Intelligenz - der User aber sehr wohl (sollte man zumindest meinen). Und genau deswegen macht das auch Sinn, den Zugriff Applikationsbasiert zu überwachen. Period.

 *amne wrote:*   

> Vielleicht können sich die Beitragenden in diesem Thread ja darauf beschränken, wie man jetzt auf Programmebene Zugriff aufs Netz gibt so wie bei Zonealarm.

 

Gibt es meines Wissens (und das soll erstmal nichts heißen ;) ) noch nicht, obwohl es rein programmiertechnisch auf den ersten Blick kein großer Aufwand sein sollte, alle vorhandenen Netzwerkinterfaces auf die zugreifenden Programme hin zu überprüfen. Ich weiß auch gar nicht, warum immer gleich alle auf den IP-Stack zugreifen wollen - schließlich soll sowas ja Protokollunabhängig funktionieren und was liegt da näher, als die Netzwerkinterfaces zu überwachen?

 *ohoiza wrote:*   

> naja, zumindest bei meiner kernelversion (2.6.7-mm6) lässt sich für netfilter folgende option einstellen: 
> 
> Code:
> 
> CONFIG_IP_NF_MATCH_OWNER: 
> ...

 

Auf den ersten Blick sieht das ganz danach aus, als ob man das damit hinkriegen könnten. Man bräuchte natürlich nur noch ein Userspace-Programm, welches neue Pakete abfängt und die Regeln nach Interaktion mit dem Benutzer on-the-fly hinzufügt/löscht/ändert.

Greetz

Shad

----------

## tacki

natürlich hab ich auch verstanden was er will. allerdings ist das noch lange keine sicherheit wenn man das auf programmebene macht. 

nehmen wir als beispiel mal nen normales gentoo-system.

wer gentoo benutzt wird sicher wget als proggy freischalten. nunja, wget ist bekanntlich sehr verbreitet, und ein 'böses' script wird sicher versuchen über wget mehr 'böse' sachen herunterzuladen und auszuführen. auf diese weise wurde zonealarm unter windows auch mehrmals umgangen (mit dem internet explorer statt wget).

deshalb reicht es nicht wenn man nur diesen kontrollmechanismus einsetzt, sondern wenn dann schon richtig via selinux + firewall. dann ist man relativ sicher  :Wink: 

----------

## Sas

Ich glaube auch nicht, dass ihn hier keiner verstanden hat. In den Augen der Poster wäre er lediglich mit nem richtigen Paketfilter besser bedient. Deshalb raten wir ihm alle dazu.

----------

## Shadows

 *tacki wrote:*   

> natürlich hab ich auch verstanden was er will. allerdings ist das noch lange keine sicherheit wenn man das auf programmebene macht.

 

Bietet auf Einzelplatzsystemen für ausgehenden Netzwerkverkehr in meinen Augen sogar wesentlich mehr Sicherheit als jede Firewall. Begründung siehe unten.

 *tacki wrote:*   

> wer gentoo benutzt wird sicher wget als proggy freischalten. 

 

Die Annahme ist schon falsch. Auch hierzu siehe unten.

 *tacki wrote:*   

> nunja, wget ist bekanntlich sehr verbreitet, und ein 'böses' script wird sicher versuchen über wget mehr 'böse' sachen herunterzuladen und auszuführen. auf diese weise wurde zonealarm unter windows auch mehrmals umgangen (mit dem internet explorer statt wget).

 

Es ist überhaupt kein Problem, das Programm zu ermitteln, welches wget aufruft. Damit hast Du das Problem auch schon gelöst - selbst die PF-Lösungen unter Windows können das heute schon so gut wie alle. Auch die Möglichkeit, gezielt die PF ohne Erlaubnis des Users zu töten (also das PF einfach zu schließen zum Beispiel) wird von den meisten mit guter Erfolgsquote abgefangen.

Ich habe auf meiner W2k-Installation Sygate Personal Firewall laufen. Natürlich habe ich es so eingestellt, dass ausnahmslos bei jedem Programm das auf das Internet zugreifen will vorher um Bestätigung gefragt wird. Schon alleine durch diese Maßnahme sind die Möglichkeiten für Maleware auf zwei Fälle beschränkt:

1. Fehler im BS / in der PF, sodass die PF bei einem Netzwerkzugriff komplett umgangen wird.

2. Ich klicke auf "Ja, erlauben" obwohl ich das besser nicht tun sollte.

Gegen Punkt eins kannst Du nichts machen - Bugs im BS kannst Du genau so wenig verhindern wie Bugs in Sicherheitssoftware (dazu zählen auch iptables & Co.).

Und gegen Punkt zwei kannst Du sowieso nichts machen - der User ist immer Sicherheitsrisiko Nr. 1 - auf egal welchem System. Das war schon immer so, ist auch heute noch so und wird auch ewig so bleiben.

Und was den Punkt "böse Sachen ausführen" angeht den Du angesprochen hast (im letzten Zitat-Block):

ANK soll lediglich verhindern, dass unerwünschte Programme den Zugriff auf das Netzwerk erhalten. Das Ausführen von schädlichem Code hat überhaupt nichts mit Netzwerkbezogener Sicherheit zu tun (auch nichts mit Firewalls oder sonstigem) sondern ist Sache des Systems. Also wieder ein ganz anderes Thema. Wie ich schon sagte:

Es ist ebenso wenig ein Problem ein Programm / Script zu schreiben, welches über HTTP schädlichen Code aus dem Netz lädt. Und geht auch wunderbar durch Firewalls hindurch.

 *sas wrote:*   

> Ich glaube auch nicht, dass ihn hier keiner verstanden hat. In den Augen der Poster wäre er lediglich mit nem richtigen Paketfilter besser bedient. Deshalb raten wir ihm alle dazu.

 

Und genau deswegen bin ich der Meinung, dass ihn hier kaum einer verstanden hat - auch Du nicht wie es scheint. Es geht hier nicht darum, ob ein Paketfilter besser oder schlechter ist - es ist einfach Fakt, dass Paketfilter und ANK zwei verschiedene Sicherheitsfeatures sind, welche beide unterschiedliche Aufgabenbereiche haben. Ein Paketfilter kann nicht leisten was eine ANK kann und umgekehrt. Und in meinem ersten Posting habe ich auch schon beschrieben, wo genau der Unterschied liegt. Beide Ansätze erhöhen die Sicherheit des Systems und ergänzen sich.

Und da beide verschiedene Aufgabenbereiche haben ist die logische Schlussfolgerung, dass all die jenigen, die ihm einen Paketfilter empfehlen obwohl er nach einer Lösung für Applikationsbasierte Netzwerkkontrolle sucht, die, dass eben jene Personen ihn nicht verstanden haben.

Greetz

Shad

----------

## Jtb

Hi Shadows,

mir scheint, als hängst du dich an alten Begriffen auf..

Eine Firewall kann heutzutage sehr wohl nicht nur auf Netzwerk- und Transport-Schicht arbeiten (das wäre ein Paketfilter), sondern auch die höherern Schichten einbeziehen (siehe Stateful Inspection) oder sogar Application-Traffic "verstehen" und verändern (siehe Application Gateway/Proxy)..

Die Option CONFIG_IP_NF_MATCH_OWNER ist übrigens nur eine Möglichkeit einen Paket Filter die Option zu geben auch nach Owner des Sockets zu filtern.. D.h. du kannst Paketfilter und ANK nicht trennen.

Zum Thema Sicherheit von Firewalls unter Windows und Linux: sobald man root ist kann man sie sowieso vergessen.. Wer also z.B. versucht, sich mit einem Paketfilter oder ANK vor einem Rootkit zu schützen, hat gleich verloren  :Wink: 

Ich weiß zwar nicht, wie MATCH_OWNER funktioniert, aber wenn z.B. ein Binary suid root ist und MATCH_OWNER das dann nicht filtert, hätte der "böse Angreifer" aus dem Internet leichtest Spiel: der User lädt sich ein Programm aus dem Internet runter das er haben will und prüft nachher nicht was denn da eigentlich installiert wurde.. Bei Gentoo muss man das noch von Hand machen, bei Debian ist es einfach ein Source-Eintrag in apt und schon lädt man möglicherweise malware über die ganz normalen Wege runter ohne das irgendeine Firewall hilft...

Ihr könnt also nicht einfach eine Sicherheitssoftware installieren und gut ist...

Wer übrigens seine Firewall so einstellt, dass sie jedesmal nachfragt, braucht entweder sehr viel Geduld um wirklich jedesmal prüfen zu können, ob der Zugriff berechtigt ist oder wird sehr bald immer häufiger schnell auf Ja klicken - aus diesem Grund sind PF imho nicht für den Endanwender geeignet..

----------

## Shadows

Hi jtb :)

 *Jtb wrote:*   

> Hi Shadows,
> 
> mir scheint, als hängst du dich an alten Begriffen auf..
> 
> [...]
> ...

 

Nein, ich hänge mich nicht an alten Begriffen auf - ich versuche lediglich klar zu machen, dass es zwei verschiedene Aspekte bei der Realisierung von Netzwerksicherheit sind. Das Software wie zum Beispiel netfilter beide Lösungsansätze vereinigen kann habe ich ja nie bestritten. Macht in dem Falle auch Sinn das unter einer einheitlichen Schnittstelle zu verheiraten.

 *jtb wrote:*   

> Eine Firewall kann heutzutage sehr wohl nicht nur auf Netzwerk- und Transport-Schicht arbeiten (das wäre ein Paketfilter), sondern auch die höherern Schichten einbeziehen (siehe Stateful Inspection) oder sogar Application-Traffic "verstehen" und verändern (siehe Application Gateway/Proxy)..

 

Ja, auch richtig. Aber stateful inspection funktioniert bis zu einem gewissen Grad ausschließlich Rechnerbezogen und lässt sich nicht auf eine dedicated Firewall auslagern. Bei einer externen Firewall-Lösung gehen nämlich Informationen wie process, parent process, owner, file permissions etc. verloren. Und im erweiterten Sinne ist stateful inspection exakt das, was PFs bieten, und das auf eine sehr komfortable Weise, ohne gleich die Windows-API Doku wälzen zu müssen. Und genau danach hatte der Urposter auch gefragt. Nach einer komfortablen GUI die dynamisch Regeln basierend auf stateful inspection generiert indem sie im laufenden Betrieb mit dem User inter-agiert (<-- ? klingt komisch irgendwie ;) ). Ob diese GUI jetzt auf netfilter oder auf sonst was aufsetzt ist erstmal völlig egal.

 *jtb wrote:*   

> 
> 
> Zum Thema Sicherheit von Firewalls unter Windows und Linux: sobald man root ist kann man sie sowieso vergessen.. Wer also z.B. versucht, sich mit einem Paketfilter oder ANK vor einem Rootkit zu schützen, hat gleich verloren ;)

 

Volle Zustimmung - habe ich davor ja auch gesagt. Vor der Installation und Ausführung  eines Rootkits und ähnlichem zu schützen ist Aufgabe des Systems und nicht einer Firewall. Aber eine Anwendung a la PF könnte das Rootkit zumindest davon abhalten nach hause zu telefonieren, Kommandos über das Netzwerk zu erhalten, (D)DoS-Attacken zu fahren etc. Wenn in meinem KDE auf einmal ein Fenster aufpoppen würde worin steht "Anwendung /usr/bin/lp versucht eine Verbindung mit Adresse x.x.x.x aufzubauen - möchten Sie das erlauben?" könnte ich mit dem entsprechenden Wissen darauf schließen, dass irgendwas nicht stimmt und diese Aktion unterbinden. Und das ist der ausschließliche Sinn einer PF (oder einer Firewall mit stateful inspection - völlig egal welchen Namen das Kind trägt). Und wie ich in dem Posting davor auch schon gesagt habe - eine schlecht konfigurierte PF bietet ebenso wie eine schlecht konfigurierte Firewall überhaupt keinen Schutz. Aber das Sicherheitsrisiko User ist dafür verantwortlich, und dieses Sicherheitsrisiko wird man nie zu 100% ausschließen können.

 *jtb wrote:*   

> Ich weiß zwar nicht, wie MATCH_OWNER funktioniert, aber wenn z.B. ein Binary suid root ist und MATCH_OWNER das dann nicht filtert, hätte der "böse Angreifer" aus dem Internet leichtest Spiel: der User lädt sich ein Programm aus dem Internet runter das er haben will und prüft nachher nicht was denn da eigentlich installiert wurde.. Bei Gentoo muss man das noch von Hand machen, bei Debian ist es einfach ein Source-Eintrag in apt und schon lädt man möglicherweise malware über die ganz normalen Wege runter ohne das irgendeine Firewall hilft...

 

Das Firewalls nicht dazu dienen das herunterladen, installieren und ausführen von schädlicher Software auf den Rechner zu unterbinden habe ich oben ja bereits erwähnt und brauche das nicht nochmal auszuführen. Aber all diese Maßnahmen erhöhen den Grad an Sicherheit, und darum geht es schließlich, wenn man Sicherheitsfeatures in das System implementiert.

 *jtb wrote:*   

> Ihr könnt also nicht einfach eine Sicherheitssoftware installieren und gut ist...

 

Dieser Kommentar ist absolut überflüssig. Niemand hat das behauptet. Genau so gut könnte ich sagen "Da man nie 100%ige Sicherheit mit keiner existierenden Software hat, lassen wir es einfach ganz sein". Ebenso blödsinnig. Und ein vernünftig konfiguriertes Ruleset für iptables ist genau so wenig ein Garant für Sicherheit.

 *jtb wrote:*   

> Wer übrigens seine Firewall so einstellt, dass sie jedesmal nachfragt, braucht entweder sehr viel Geduld um wirklich jedesmal prüfen zu können, ob der Zugriff berechtigt ist oder wird sehr bald immer häufiger schnell auf Ja klicken - aus diesem Grund sind PF imho nicht für den Endanwender geeignet..

 

Das zeigt mir, dass Du noch nie mit einer PF gearbeitet hast. Eine PF fragt nur beim ersten Zugriff eines Programms auf das Netzwerk ob es in Ordnung ist, diese Aktion zu erlauben. Für alle weiteren Zugriffe merkt es sich die vom User getroffene Entscheidung. Bsp.: Ich starte den Internet Explorer unter Windows. Ich will Google öffnen, der IE will auf das Netzwerk zugreifen und die PF meldet mir das und fragt ob es das erlauben soll oder nicht. Ich klicke also auf "ja", denn ich habe den IE schließlich gerade geöffnet. Wenn ich jetzt eine andere Seite mit dem IE öffne fragt die PF natürlich nicht mehr nach sondern übernimmt die vorher getroffene Einstellung automatisch. Und das bleibt solange so, bis ich den IE nicht komplett schließe. Wenn ich allerdings danach wieder den IE aufrufe, kommt wieder die Nachfrage der PF usw. Und auch das Argument "dann startest Du einmal den IE und danach nutzt die Maleware den IE um auf das Netz zuzugreifen" zieht auch nicht, da die PF durchaus erkennen kann ob der User den IE bedient oder ein anderes Programm den IE aufgerufen hat. In dem Falle kommt also wieder ein Popup mit dem Hinweis, dass das Programm xy mit Hilfe des IE auf das Netzwerk zugreifen will. Aber das habe ich bereits in dem Posting davor geschrieben.

Generell werde ich das Gefühl nicht los, dass die wenigsten überhaupt genau wissen wie eine PF funktioniert und welchen Zweck sie erfüllt, geschweige denn, dass sie mal damit gearbeitet hätten. Ich rede auch nicht von Dingen die ich nicht kenne oder über die ich nichts weiß - das führt zu nix. Die meisten hören nur "PF" und schalten sofort aus. Das Standardprogramm, gefütter mit Vorurteilen die was-weiß-ich-woher-auch-immer her kommen wird gestartet und die Sache hat sich erledigt. Nicht alles, was eine komfortable GUI bietet ist deswegen gleich ein Kinderspielzeug. Eben so wenig ist per default alles scheiße was aus der Windows-Welt kommt.

Greetz

Shad

----------

## Jtb

Hi Shadowgeschweige denn, dass sie mal damit gearbeitet hätten. Ich rede auch nicht von Dingen die ich nicht kenne oder über die ich nichts weiß - das führts, 

bitte die Sachen nicht persönlich nehmen - ich wollte mit dem "Sicherheitssoftware installiert und alles ist gut" nur als Warnung an die anderen Leser setzen..

Das Problem bei einer (Windows) PF war in den Anfängen dass die Software im selben Context lief - dadurch konnte die PF, wie du geschrieben hast, sehr leicht ausgeschaltet werden  :Smile: 

Wenn man dasselbe auf Linux bezieht, sieht man leicht, dass Malware die KDE-Abfrage relativ leicht schließen kann... 

Aus internen Microsoft-Quellen weiß ich weiterhin noch, dass es über 7 Möglichkeiten gibt eine PF ins System einzubinden - wobei nur ein paar dokumentiert sind und dafür geeignet  :Wink:  Auch deswegen war die erste Generation von PFs unter Windows als nicht sehr stabil bekannt.

Zum Thema PF und Fragen an den User:

"Hilfe, mein Outlook kann sich nicht mehr mit dem Server verbinden" - habe ich schon oft genug gesehen - woher soll ein normaler User wissen, ob POP3 potentiell gefährlich ist oder nicht? Klar, für Leute die POP3 oder SMTP per Telnet sprechen können ist das offensichtlich, aber der normale User ist zufrieden wenn der Rechner geht :-/

PFs können übrigens erst seit kurzem auch AddIns überprüfen und der Krieg zwischen Hersteller und den Malware-Bastlern hat gerade erst begonnen..

Das Problem ist, dass die PFs auch bei jedem eingehenden Verkehr nachfragen - klink dich doch mal in ein Uni-Netz ein und du wirst deinen Spaß haben  :Wink: 

btw: ich habe seit ein paar Monaten die interne Firewall von XP SP2 aktiv und ehrlich gesagt reicht sie mir auch - alles darf raus, nichts darf rein..

----------

## return13

ich hab eine relative gute Lösung für das Problem gefunden,

 ist zwar nicht Perfekt, 

aber ein meiner Meinung nach sehr guter Ansatz

Meine Lösung heisst:

http://fireflier.sourceforge.net/

Leider noch nicht im Portage, aber ändert sich vielleicht bald....

Das ebuild gibts zwar schon aber mitn paar fehlern... Verbessrungswürdig

Und das init script ist auch schon geschrieben

Findet alles unter:https://bugs.gentoo.org/show_bug.cgi?id=70667

Zur Zeit empfehle ich aber noch von Hand zu installieren, es sei denn einer von euch rep. das ebuild

----------

