Firewall die 13532762.

[Livo]

Ok - ich benötige eine PF und bevor wieder die Sicherheitsdiskussion um Sinn und Unsinn einer PF losgeht: Ich benötige das Teil nicht zur Sicherheit meines PC, sondern hauptsächlich zu Dokumentationszwecken für meine Arbeit im Telekommunikationsrecht. Desweiteren erhoffe ich mir, mich in Sachen Netzwerkverbindungen weiterzubilden, wenn ich mit dem Ding herumspiele.

Ich benötige daher eine PF, die einerseits einen einfachen Lernmodus aufweist, die andererseits aber einen grossen Funktionsumfang aufweist, so dass ich auch alles per Hand einstellen könnte.

NIS ist mir zu überladen - ich hatte das Ding mal wegen des Virenscanners installiert und hatte nach der Installation den Eindruck, ich könnte mein System auch gleich wegschmeissen. Den Vorläufer der NIS PF - AT Guard - habe ich hier noch irgendwo herumfliegen, allerdings ist die Version uralt. :-(

Zonealarm ist mir zu nervig, auf die werde ich wohl aber zurückgreifen müssen, wenn von Euch nix kommt.

thx

 

[Wiseguy3]

Ernsthaft: du solltest einfach dieses Buch hier lesen und dir dann ne Linux Kiste mit iptables und Ethereal hinstellen. So lernst du am effektivsten.

PS: So macht das dann übrigens auch am meisten Spaß.

 

[Livo]

ok - und was nehm ich für dokuzwecke?

 

[Wiseguy3]

Ethereal bzw. die Logfiles deiner Linux Kiste.

 

[Myxomat]

http://www.8signs.com/ (ehemals Conseal)

Die würde ich wohl benutzen wenn ich eine benutzen würde.

 

[Livo]

wise:
ich muss nachweisen können, das bestimmte Aktionen zu bestimmte Wirkungen zur Folge haben. Daher mache ich hauptsächlich Videodokumentationen - logfiles können leicht gefälscht werden und haben daher nur einen eingeschränkten Beweiswert; alert-popups wären besser (in Kombination mit den logs). Zudem kann ich die Linuxkiste nicht immer mit mir rumschleppen (ich arbeite in verschiedenen Büros mit einem Laptop). Für zuhause habe ich den Linuxrechner schon eingeplant - die hardware steht auch schon bereit.

@myx
thx, ich schaus mir mal an

 

[Wiseguy3]

Original geschrieben von Livo[AoH]
wise:
ich muss nachweisen können, das bestimmte Aktionen zu bestimmte Wirkungen zur Folge haben. Daher mache ich hauptsächlich Videodokumentationen

Oh gott, dieses rechtliche Klimbim habe ich natürlich nicht miteingerechnet. Videos kann man zwar auch locker fälschen oder auch die Aktionen auf dem PC entsprechend manipulieren, damit dann eine Meldung kommt, aber wenn das vor Gericht tatsächlich mehr Beweiskraft hat, dann mach das so.

Eine andere Möglichkeit, die meiner Meinung nach professsioneller, aufwändiger, aber auch zukunfsträchtiger ist wäre zum Beispiel auf deinem Notebook Linux zu installieren. Darauf dann mit VMWare Windows laufen zu lassen und die virtuelle Ethernet Schnittstelle des virtuellen Windows zu protokollieren. Damit könntest du das nicht nur live machen, sondern hättest auch immer ein frisches Windows system, weil das Image der Windowsinstallation niemals zugemüllt wird, wie es eine richtige Installation von Windows würde.

Darüber hinaus hättest du alle Möglichkeiten einer "echten" Firewall + die Logging und Scripting Möglichkeiten von Linux. So kannst du zum Beispiel mehrere mit Dialern und sonstigem Gewürm infizierte Windows Installationen gleichzeitig und mit minimalem Installationsaufwand betreiben und vor Gericht oder bei deinen Mandanten live vorführen, was da eigentlich geschieht. Beispiel: ein RPC Bug breitet sich im lokalen Netzwerk aus, nachdem er über das Internet auf den Server eingeschleust wurde.

Wenn du dich auf sowas spezialisieren willst, ist der zusätzliche Aufwand meiner Meinung nach wirklich gerechtfertigt, da du bei Lektüre des Buches das notwendige Fachwissen bekommst, um auch mit zukünftigen Sicherheitslücken einfacher klarzukommen bzw. sie zu verstehen. Ausserdem kannst du so sehr elegant und vor allem absolut sicher ausprobieren, was die Schädlinge eigentlich mit dem Rechner anstellen.


Mann, wenn ich so darüber nachdenke, ist das n verdammt interessantes Arbeitsgebiet.

 

[Livo]

hmmm - das hört sich gut an. Das ständige zumüllen ist auch ein Faktor, der ziemlich nervt, weil ich immer wieder ein frisches Image aufspielen muss.

Allerdings müsste ich da mal mit dem Admin hier reden, ob der mir das einrichten kann, denn das überschreitet wohl meine beschränkten Fähigkeiten. Naja - ist ja auch sein job :-)

Könnten denn mit dieser Lösung auch alle Sicherheitslücken eines 01815-Systems ausgenutzt werden?

zur Beweiskraft der Videos:
sicherlich sind die auch nicht unumstößlich - schließlich kann man nahezu alles fälschen und simulieren. Aber bei Videos müsste schon ein erheblicher Aufwand betrieben werden, während so ziemlich jeder ein txt-log fälschen könnte.

 

[Wiseguy3]

Original geschrieben von Livo[AoH]

Könnten denn mit dieser Lösung auch alle Sicherheitslücken eines 01815-Systems ausgenutzt werden?

Kann ich dir natürlich nicht 100%ig versichern, aber da mit VMWare im Grunde genommen ein kompletter PC emuliert wird, dürfte es für einen Virus kaum einen Unterschied machen, ob er nun einen virtuellen oder echten PC schrottet.

Wie das mit den verschiedenen virtuellen Ethernet Interfaces aussieht, weiss ich jetzt nicht so genau - ich glaube, VMWare erstellt einfach einzusätzliches Device, welches du dann nach allen Regeln der Kunst überwachen kannst. Keine Ahnung, wieviele PCs man gleichzeitg emulieren kann - je nach Lizenz werden es schon ein paar sein.

Zur Beweiskraft der Text-Logs: wenn du vor Gericht oder wo auch immer statt eines Videos den kompletten Vorgang live vorführen kannst, dargestellt auf einem Open Source System, welches du den Leuten auch als komplettes Image gern zur Verfügung stellen kannst - das schlägt meiner Meinung nach die Beweiskraft von Videos um Längen.

 

[Livo]

tjo - das würde aber voraussetzen, dass der Verstoß zur Zeit der Beweisaufnahme in der mündlichen Verhandlung noch existent wäre. Das ist aber eigentlich nie der Fall.

 

[[For]Hood2]

wenn du bei Win bleiben willst, dann nimm sygate firewall pro, aber um das lesen/einarbeiten kommste nicht drumrum

landen wirst du später allerdings doch bei linux, aber für den anfang reichts

 

[Wiseguy3]

Original geschrieben von Livo[AoH]
tjo - das würde aber voraussetzen, dass der Verstoß zur Zeit der Beweisaufnahme in der mündlichen Verhandlung noch existent wäre. Das ist aber eigentlich nie der Fall.

Selbst da bist du mit ner Linux Installation besser bedient. Die allein die Möglichkeit, mehrere Images gleichzeitig zu booten und sie sicher im Hintergrund als Backup zu halten _und_ zusätzlich in den Videos noch n Etherreal im Linux im Hintergrund mitzufilmen, ist meiner Meinung nach wesentlich eleganter, als darauf zu hoffen, dass die jeweilige PF clever genug ist, 'bösartigen' Traffic tatsächlich zu erkennen.

Alles eine Frage des Aufwandes bzw. wieviel Geld du investieren willst.

PS: Halt mich jetzt nicht für überheblich, aber: Ihr benutzt doch hoffentlich keine echten Videokameras, um das aufzunehmen, oder?

 

[Livo]

lol ne - mit ner videocapture software

 

[Wiseguy3]

...klang halt so.