Jump to content
JanRei

Ideologie der Firewall in Version 8.0

Recommended Posts

Folgende Mitteilung von grnic wurde von Whizard im englischen Beta-Forum zur Diskussion gestellt. Vielleicht ist es auch für einige deutsche Beta-Tester interessant.

 

Während der Diskussion mit euch Beta-Testern über Funktionen der Firewall-Komponente in Version 8.0, sehen wir ein falsches Verständnis von der Vereinfachung der Produktlogik. Und bei einigen wird diese Logik sogar noch komplexer als in Version 7.0. Daher möchten wir unsere Grundannahmen bei der Entwicklung der Komponente veröffentlichen.

 

Die grundlegende Idee: Heutzutage funktioniert die Einschränkung der Netzwerkaktivität einer Anwendung mit detaillierten Regeln vom Sicherheitsstandpunkt aus gesehen nicht mehr, sondern macht die Arbeit mit dem Produkt nur komplizierter.

 

Zur Veranschaulichung bedenkt folgende Fälle:

(1) Ist eine Andwendung "gut", dann ist die Einschränkung ihrer Netzwerkaktivität nicht sinnvoll.

- Wir haben leistungsstarke Schlüsseltechnologien entwickelt, die dabei helfen, den Missbrauch vertrauenswürdiger Prozesse zu verhindern (Proaktiver Schutz und HIPS).

- Sogar in dem Fall, dass es einem schädlichen Prozess gelungen ist, Zugriff im Rahmen einer vertrauenswürdigen Anwendung zu erlangen, werden nur die Standard-Serviceregeln angewendet. Diese sind auch in den meisten kommerziellen Firewalls erlaubt (TCP über Port 80 für den Internet Explorer an alle IP-Adressen) usw.

(2) Ist eine Anwendung "böse", dann ist die Einschränkung von Teilen ihrer Netzwerkaktivität nicht sinnvoll - sie sollte sofort komplett blockiert werden.

 

Einer unserer aktiven Mitglieder hat den folgenden Vorschlag unterbreitet - wie es in einem anderem kommerziellen Produkt gesehen wurde. Um es kurz zu beschreiben, es erlaubt die Aktivierung eines "Auto-Trainings". Ist es aktiviert, werden während dieser Sitzung alle Regeln automatisch erstellt, sobald die Anwendung ausgehenden Netzwerkverkehr verlangt. Danach kann dieser Modus deaktiviert werden und die Anwendung wird über alle für den normalen Betrieb benötigten Regeln verfügen.

 

Diese Funktionalität ist recht interessant für uns, aber müssen wir auch die Sicherheitsauswirkungen dabei bedenken:

1) Ist die Anwendung vertrauenswürdig, besteht kein Grund, die Netzwerkaktivität einzuschränken, da die Anwendung nichts schädliches unternehmen wird.

2) Ist die Anwendung aber ein "schädlicher Trojaner", dann geht der Anwender bereits beim Starten ein hohes Risiko ein. Außerdem wird sich irgendwann während der Ausführung dann selbstverständlich auch schädlicher Netzwerkverkehr zeigen, für den die Firewall dann auch bereitwillig eine "Erlauben"-Regel erstellt.

 

Nachfolgend werden wir aktuelle Techniken zum Umgehen der Firewall untersuchen. In der letzten Zeit haben diese Techniken nichts mit Netzwerkaktivität zu tun, sondern eher mit dem Eindringen in vertrauenswürdige Prozesse oder der Umgehung der Selbstschutzmechanismen:

1) "Eingeschleustes Böse: Überblick über einige Techniken zur Umgehung von Firewalls" / 16.01.08 / http://www.wasm.ru/article.php?article=injected_evil

2) "Einschleusung als Technik zum Umgehen von Firewalls, tot oder lebendig?" / 28.04.06 / http://www.wasm.ru/article.php?article=fwb

3) "Umgehung der Outpost Firewall 3.x und 4.0 im Kernel-Mode" / 02.08.06 / http://www.wasm.ru/article.php?article=outpostk

[Alle Artikel sind in russischer Sprache]

 

Und abschließend lasst uns über unsere alltäglichen Erfahrungen mit "lebenden" Schädlingen nachdenken und was daraus folgt. Solltet ihr ihn noch nicht gelesen haben, empfehle ich folgenden Artikel:

http://www.viruslist.com/de/analysis?pubid=200883589

Ich habe versucht, alle möglichen Wege zum Ausnutzen von Lücken zu darzustellen (Netzwerkzugriff durch Ausnutzen vertrauenswürdiger Anwendungen). Momentan glauben wir, dass die diese Typen von schädlichen Programmen in der deutlichen Mehrheit sind.

 

=================

Wir würden gerne eure Kommentare über diese grundlegende Entscheidung hören (falls möglich, mit konkreten Argumenten und Szenarien und nicht einfach nur Zustimmung oder Ablehnung). Angesichts diesen Themas würden wir auch gerne eure persönlichen Erfahrungen mit Firewallanwendungen als Privatanwender hören.

- Nehmt ihr detaillierte Optimierungen an den Anwendungsregeln vor? Wenn ja, in welchem Modus macht ihr das und was genau optimiert ihr?

Share this post


Link to post

Das Thema Firewall wurde ja im englischen Beta-Forum auch schon kontrovers diskutiert (soweit mich meine Englischkenntnisse das haben verstehen lassen). Ich habe mich nun erstmals der V8 mal angenähert, nachdem eine deutsche Version verfügbar war und ich muss gestehen, das mich die Neukonstruktion der Firewall zuerst einmal gehörig verwirrt hat, denn sie hat mit der aus V7 absolut nichts mehr gemeinsam.

 

Mein erster Eindruck war, dass die gewohnten Konfigurationsmöglichkeiten für Anwendungsregeln scheinbar stark eingeschränkt wurden und sogenannte vertrauenswürdige Anwendungen automatisch alle Freiheiten haben, wobei ich nicht mal gefragt werde, ob ich das auch möchte. Auch "gute" Anwendungen können Homecalls machen, die ich aber vielleicht nicht haben will (insoweit kann ich mich grnics Meinung nicht anschließen). Wo ist der Trainingsmodus??? Ich fühle mich irgendwie bevormundet.

 

Irgendwie lassen sich wohl auch noch individuelle Regeln konfigurieren, aber die dafür erforderlichen Schritte empfand ich als kompliziert und umständlich. Ich stochere da noch ziemlich im Nebel. Vielleicht muss man sich aber auch erst mal besser einarbeiten. Wie gesagt, ich spreche hier von meinem ersten, relativ kurzen Eindruck, der jedoch einen reichlich gefrusteten Redbull hinterließ, der sich wie ein überforderter Anfänger fühlte. Es jagt mir jetzt schon die Schauer über den Rücken, wenn ich daran denke, dieses "(Un)Ding" einem tatsächlichen Anfänger erklären zu müssen.

 

Die Erklärung von grnic erschließt sich mir auch nur teilweise, denn wenn ich das richtig verstehe, hätte man ja die Firewall in letzter Konsequenz eigentlich auch gleich ganz weglassen können. "Gutes" darf sowieso alles und "Schlechtes" soll erkannt und gestoppt werden, bevor es überhaupt zu einem Verbindungsversuch kommt. Wozu dann bitte noch eine Firewall? Doch höchstens noch für Inbound-Traffic und das kann auch die Windows-FW.

 

Als jemand, der bislang sämtliche vorgefertigten Regeln zuerst mal deaktiviert und dann nur soweit nötig und evtl. auch modifiziert wieder aktiviert hat, um das Regelwerk möglichst eng zu halten, bin ich alles andere als begeistert. Kaspersky fordert da seinen Usern ein ordentliches Quantum an Flexibilität und Umlernbereitschaft ab. Revolution statt Evolution. Für jüngere vielleicht ein Spaß, für ältere wie mich eher weniger. Aber ich bleibe trotzdem mal dran, vielleicht kommt ja der Appetit noch beim Essen. ;)

Share this post


Link to post

Gott sei Dank, es geht mir nicht alleine so ... !

 

Ich versuche jetzt schon seit einiger Zeit mich in die für mich irgendwie "völlig neue Materie" einzuarbeiten aber ich muß ehrlich sagen - mein persönlicher Appetit ist noch lange nicht zurückgekehrt. Mir ist bei der ganzen Sache als müsse ich "von jetzt auf gleich" von DOS 6.00 auf Windows Vista Ultimate umsteigen! Anfangs dachte ich genauso, dachte ich müßte mir und der V8 mehr Zeit geben um halbwegs durchzublicken. Doch um so mehr ich in den schier unergründlichen und verwirrenden "Untiefen" der V.8 dümpelte, desto weniger konnte ich einer (sicherlich vorhandenen) Logik folgen! Ich dachte das sich mit Erscheinen der deutschen Version der Vorhang meiner KIS - Verwirrung bezüglich V.8 um einige Meter lüften würde, doch Pustekuchen!

 

Aus meiner bisherigen Erkenntnis sind die Konfigurationsmöglichkeiten (nicht nur die der Anwendungsregeln) schlicht und ergreifend überhaupt nicht mehr mit denen vorgängiger Versionen zu vergleichen. Obgleich ich die V.8 nun schon einige Zeit teste, hangele ich mich von einer Baustelle zur anderen - zumindest scheint es mir (noch) so. Wenn ich an v.6/v.7 zurückdenke, da fiel es mir (im Vergleich) überhaupt nicht schwer in küzester Zeit ein Minimum an Grungdverständnis zu erlangen. Ich wundere mich ohnehin weshalb man offensichtlich von den beiden frei wählbaren Modi "Anfänger/Expert" Abstand genommen hat. Ich kann nur hoffen das wir die V.8 derzeitig nur im "Novice" Modus testen.

 

Der von Redbull erwähnte "Gute Software/Böse Software-" Gedanke grnic's macht auch mir das Leben nicht unbedingt leichter! Wie wird das mit der erwähnten "Auto-Trainig Funktion" funktionieren? Wieviel Individualität der Softwarekonfiguration bleibt zugunsten "neuer Technologien" letztendlich auf der Strecke? Warum gibt es keinen regulären "Trainings-Modus" für die Firewall mehr? Inwieweit ist die Komplexität der Arbeitsweise von V.8 bei (im vergl. zur v.7) eingeschränkter Konfigurierbarkeit für den Einzelnen noch überschaubar? Im direkten Vergleich zwischen v.7 und derzeitiger v.8 bekomme ich echtes Bauchgrummeln!

 

Eines sei noch angemerkt ... obgleich ich nun schon einige Versionen getestet habe, ich erhebe noch lange nicht den Anspruch mich dammit auch ausreichend auzukennen - ganz im Gegenteil! Es fiel mir noch nie leicht von eingefahrenen Wegen abzuweichen. Die oben gemachten Anmerkungen könnten samt und sonders blödsinnig sein, da ich evtl. zu sehr V.7 forciert denke! Ich hoffe inständig das die Endgültige V.8 mindestens soviel Spass macht wie die V.7.

Share this post


Link to post

Moin zusammen !

 

Vielen Dank für die Übersetzung JanRei !

 

Ich bin der gleichen Meinung. Die neue "2009er" (daran habe ich mich auch noch nicht gewöhnt) ist so radikal

anders das es sicher für viele schwierig ist sich umzustellen.

Wenn ich mir das englische Forum ansehe, geht es auch wesentlich erfahreneren und intelligenteren Anwendern

als ich es bin genauso. (Die Nachfrage von Whizard/Grnic habe ich 4 mal gelesen um sie ein wenig zu verstehen.)

Die deutsche Beta-Version hat es auch nicht viel besser gemacht..

 

Allerdings denke ich das die extrem veränderte und komplexe "Sicherheitslage" im Internet solche

Veränderungen an der Software zwingend notwendig macht und nur noch für Experten einigermaßen

durchschaubar ist.

 

Die meisten User haben sicher keine Lust und Zeit sich so intensiv mit dem Programm auseinander zu setzen

und müssen in Zukunft darauf Vertrauen das es gut funktioniert.

Hier und da vielleicht noch ein Klick und das war´s...

Desshalb ist ein Standard/Novice/Normal Modus meiner Meinung nach zwingend notwendig.

Ansonsten sehe ich die Gefahr das sich Kunden abwenden, auch wenn das Programm selbst unschlagbar ist !!!

 

Ich persönlich finde es (wie wahrscheinlich die meisten hier) sehr spannend und interessant neues zu lernen

und zu verstehen, allerdings reicht dafür auch die Zeit kaum aus...

(Ich werde mir ein sicheres Eckchen für die 7.0.1.325 zum abspeichern suchen)

 

In diesem Sinne, weiter viel Spaß und schönes Wochenende an alle !

 

Grüzzi, Bernhard

 

PS.: Und nicht vergessen FORMULA 1 in Melbourne :cb_punk:

Edited by Bernhard

Share this post


Link to post

 

Hallo,

 

da werde ich als einfacher User mit Sicherheit gucken wie.................

 

Mein Vorschlag:

 

Es wäre schön, wenn es eine Präsentation der V 8 geben würde. Diese sollte aber vor der Veröffentlichung

 

bereit gestellt werden (in Anlehnung der online Akademie für V 7 ).

 

Da möchte ich schon im Vorfeld mir die einzelnen Bereiche anschauen.

 

Tina

Share this post


Link to post

Da ich die v8 gerade nicht aufm Rechner habe, kann ich mir gerade kein bewusstes Bild der Firewall mehr machen.

 

Allerdings mal zu meinen Erfahrungen mit Firewalls. Als erster Punkt wäre da zu erwähnen, dass die teilweise echt lästig sind ;-). Warum? Es fragen eigentlich alle Firewalls nach, ob ein Prozess mit einem anderem Prozess über 127.0.0.1 kommunizieren darf. Wovor sollte mich eine Unterbindung da schützen? Der einzige "Vorteil" einer Unterbindung: es hagelt teilweise Fehlermeldungen (z.B. aktuelles O&O Defrag) und das im Autostart, wenn man eine Fehlkonfiguration gemacht hat (aus versehen für immer gesperrt). Von daher würde ich an dieser Stelle die Zugriffe für jede Anwendung zulassen.

 

da ich v8 gerade nicht oben hab, kann ich jetzt leider nichts direkt zur Philosophie sagen, außer das der Eingangspost so klingt, als bräuchte man keine Firewall mehr (was natürlich nicht stimmt ;) ).

Share this post


Link to post

Ich finde das neue Firewall-Konzept gut. Die Einsortierung der Programme in verschiedene Gruppen durch Kaspersky ist für die Masse der Anwender jedenfalls praxisgerechter als die eigene Entscheidung der meisten Anwender, die im Zweifelsfall dann doch bloß auf "Erlauben" geklickt haben. Und Zweifelsfälle gibt es auf den meisten Computern für Nicht-Experten reichlich.

Edited by Optimist

Share this post


Link to post

Hi,

also mir ging es ähnlich ich habe auch erstmal "geschluckt" als ich die Menge an Einstellungsmöglichkeiten der V8 entdeckt habe.

Es sind nämlich eine Menge mehr als in den alten Versionen.

 

Auch das neue Firewall Konzept mit den Gruppen finde ich gar nicht mal so schlecht.

Wenn man sich mal daran gewöhnt hat.

 

@redbull jede Anwendung die zuerst automatisch in die Trusted apps Gruppe gesetzt wurde kann man durch drag and drop einfach in niedriger bzw. höhere Schutz Gruppen ziehen.

 

Es ja sogar so das jetzt generell in der Art des alten "Trainingsmodus" wie wir ihn von früher kennen dieser an ist, deshalb wird eine Datenbank genutzt von vertrauenswürdigen Anwendungen, diese dann einzustufen. Dies kommt vor allem dem normalen Nutzer zu gute da dieser allein schon mit den Datei Namen einer Anwendung überfordert wäre.(Nicht negative gemeint sondern nur Fakt)

 

Diese Datenbank beinhaltet normalerweise nicht die "Gefahr" von nachhause telefonieren, sondern basiert auf Sicherheitslücken.

"Nachhause" Anwendungen sind keine Sicherheitsbedrohung sonder höchstens eine Bedrohung der Privatsphäre...und diese gibt es im Internet nun mal nicht.

 

D.H. z.B. ein Firefox Version 1.5(veraltet) würde nicht automatisch in der trusted apps landen, da ja veraltet und Sicherheitslücken hat.

Das ist vor allem in Kombination mit dem Secunia Check sehr praktisch. >>> Alle Anwendungen die veraltet sich und somit Sicherheitslücken haben werden gemeldet bzw. "sicherer" eingestuft.

Für den normalen Nutzer eine wunderbare Lösung.

 

Aber auch an die versierten und Fortgeschrittenen User wird ja dabei gedacht, man kan ja weiterhin selber die Regeln ändern und sogar sich selber Gruppen machen, wenn ich das im Moment richtig sehe, z.B. dann einfach eine Gruppe "Nachausetelefonierer" anlegen, dazu können wir ja gerne eine FAQ auch machen wenn es dann mal soweit ist. Dort dann die jeweilige Nachhause Telefonierer einstufen.

 

Deshalb denke ich kommt es allen zu gute.

 

Wenn man mal das neue System einmal verstanden hat, denke ich ist unsere neue KIS einfacher zu steuern als die alte.

 

Beispiel:

Logitech Tastatur Web CAM usw usf. >>> ab in die Trusted Apps und nie wieder Treiber Probleme(*träum* *grins*), oder eben ab in die Nachausetelefonieren wenn man deren Automatisches Update dieser stoppen will aber nicht blockieren der Treiber verursachen möchte.

 

Ich glaub der größte Brocken wird die Umgewöhnung sein, der "Stammuser" bzw. Stammkunden.

Denke aber da können wir vom SUpport gut unter die Arme greifen, z.B. mit unseren Online Tutorials, FAQ Seiten und Hotline.

 

Trotzdem, klar sehe ich jetzt auch schon das lamentieren das die alte Ver. viel besser war. Aber das kennen wir ja schon immer, hatten wir ja bei Ver. 6 und Ver.7 auch immer.

 

Rein technisch wird die neue Version soweit ich das beurteilen kann um einiges besser als unsere alten Versionen.

Allein die Menge an neuen Optionen für Profi User. z.B. Ressourcen, Geräte hinzufügen, Sniffer mit enthalten usw.

 

Und bei Netzwerkpakete kann man ja wie gewohnt auch immer noch selber Regeln erstellen.

 

Ich als Supporter finde es also besser das immer mehr automatisch gemacht wird, für Pro User gibt es so oder so genug Möglichkeiten die Software wieder individuell anzupassen.

Aber für die Masse der Nutzer ist es besser alles automatisch regeln zu lassen.

Schließlich kaufen diese ein Sicherheitsprodukt auf das Sie sich verlassen sollen können, wie im Auto auf einen Sicherheitsgurt.

Denke das ist ja das wichtigste.

 

Für beide Nutzergruppen also sehr viel wieder mit dabei!

 

Gruß

Carsten

 

 

Share this post


Link to post
@redbull

jede Anwendung die zuerst automatisch in die Trusted apps Gruppe gesetzt wurde kann man durch drag and drop einfach in niedriger bzw. höhere Schutz Gruppen ziehen.

Ja, das habe ich auf meiner Forschungsreise inzwischen auch gesehen.

Liebhaber des Trainingsmodus können aber z. B. auch in der Trusted-Gruppe die Netzwerkregel-Aktion für öffentliche Netze von Erlauben auf Fragen umstellen. Damit bleiben die sonstigen Aktivitätsregeln auf der lockeren Trusted-Stufe, aber bei Netzwerkverbindungen ins Internet (nicht lokal) wird generell gefragt. Diese Änderung lässt sich wegen des Vererbungsprinzips mit nur einem Klick für sämtliche Anwendungen der Trusted-Gruppe erledigen. Man muss also nicht mal jede Anwendung einzeln anfassen. Über das Anfrage-Popup kann man dann wie gewohnt eine individuelle Regel erstellen.

 

Mittlerweile hat sich meine anfängliche Skepsis verflüchtigt. Es lohnt sich wirklich, sich nicht gleich entmutigen zu lassen, denn je mehr man die neue Systematik versteht, umso sympathischer wird sie einem. Jedenfalls geht es mir so. In der Standardeinstellung ist die V8 um einiges komfortabler und unauffälliger, aber trotzdem sicherer, als es bisher die V7 im Minimalschutz-Modus war. Der Experte kann sich dagegen das Teil praktisch maßschneidern und für jede Anwendung bis ins letzte Detail feinregulieren. Wirklich eine sehr flexibel geratene Konstruktion.

 

Leichte Bedenken macht mir aber die standardmäßige Blockierung aller Netzwerkzugriffe in der nicht vertrauenswürdigen Gruppe, denn vermutlich erhält der User hier keinen Hinweis und rätselt, warum es nicht geht. Ich weiß nicht, ob es nicht auch in dieser Gruppe besser wäre, zu fragen. Allerdings werden wohl nur sehr selten Anwendungen in diese Gruppe eingestuft werden.

 

Share this post


Link to post

In der Zwischenzeit finde ich das neue Konzept auch recht gelungen, aus den von dir schon genannten Gründen. Aber zunächst ist man doch von der ungewohnten Fülle an Einstellungsmöglichkeiten ziemlich überwältigt und verunsichert.

So ganz genau habe ich mich mit den neuen Möglichkeiten aber noch nicht befasst, auch da Version 8.0 bei mir noch nicht auf einem echten System läuft (werde ich aber nach meinen Urlaub nachholen).

 

Wenn ich grnic richtig verstanden habe, werden unbekannte Anwendungen als schwach/stark beschränkt eingestuft. Demnach müsste man in dem meisten Fällen zumindest eine Nachfrage erhalten. Ich vermute, die Gruppe der nicht vertrauenswürdigen Anwendung wird in erster Linie für Anwendungen verwendet, die KIS als "böse" einstuft. In dem Zusammenhang habe ich einen Test mit von KIS erkannten Trojanern gemacht und sie werden mit genau dieser Begründung als nicht vertrauenswürdig eingestuft:

 

post-7141-1205633279_thumb.jpg

 

Diese Vorgehensweise sehe ich als weiteren Pluspunkt des Konzepts, denn startet der Anwender mal von KIS erkannte Schadsoftware, werden ihr von KIS fast keine Rechte eingeräumt, womit der mögliche Schaden im System begrenzt wird.

Share this post


Link to post
Aber auch an die versierten und Fortgeschrittenen User wird ja dabei gedacht, man kan ja weiterhin selber die Regeln ändern und sogar sich selber Gruppen machen, wenn ich das im Moment richtig sehe, z.B. dann einfach eine Gruppe "Nachausetelefonierer" anlegen, dazu können wir ja gerne eine FAQ auch machen wenn es dann mal soweit ist. Dort dann die jeweilige Nachhause Telefonierer einstufen.

Ich habe versucht, eine weitere Gruppe anzulegen, aber das ist mir nicht gelungen. Über den Add-Button lassen sich nur weitere Anwendungen (nur *.exe-Dateien) hinzufügen. Neue Gruppenordner lassen sich nicht anlegen. Oder schaue ich an der falschen Stelle?

Share this post


Link to post
Ich habe versucht, eine weitere Gruppe anzulegen, aber das ist mir nicht gelungen. Über den Add-Button lassen sich nur weitere Anwendungen (nur *.exe-Dateien) hinzufügen. Neue Gruppenordner lassen sich nicht anlegen. Oder schaue ich an der falschen Stelle?

 

Nö du siehst alles richtig, ich hatte mich geirrt.

Tut mir leid.

Hm das wirft mir wieder Fragen auf....was machen nun mit den "nachausetelefonierern" ;)

 

Gruß

Carsten

Share this post


Link to post

Auch wenn manuell anlegbare Gruppen vielleicht hilfreich beim Ordnen der Anwendungen sein könnten, kann man den Nachhausetelefonierern ja weiterhin mit individuellen Anwendungsregeln begegnen. :)

Share this post


Link to post
Auch wenn manuell anlegbare Gruppen vielleicht hilfreich beim Ordnen der Anwendungen sein könnten, ...

Wäre das nicht noch ein Vorschlag, oder gibt es ihn schon?

Share this post


Link to post

Hm, weiß ich nicht so genau - habe aber den Vorschlag einfach mal im englischen Forum unterbreitet...

Share this post


Link to post

Hi,

 

Die Gestaltung der Firewall ist wie immer bei KIS extrem inhomogen, alles ist verstreut und unübersichtlich.

Diesmal passt nur leider das Konzept auch zur Gestaltung. :ay:

Warum keine klare separate Aufteilung in AV-, HIPS- und Firewall-Komponenten?

 

Es ist aber schon klar, wo die Reise mit der Gruppierung von Trusted bis Untrusted hingehen soll,

mit den entsprechenden Rechten für jede Gruppe von Anwendungen.

Ich bin mir nur nicht sicher, ob der Großteil der aktuellen KIS Nutzer wirklich auf so etwas wartet...

 

Was ich bei dem Konzept sicherheitstechnisch nicht verstehe:

Warum verbindet man die lokalen Anwendungsrechte mit Netzwerkrechten.

Als Beispiel der Firefox Browser, der wird automatisch von KIS als Trusted eingestuft.

Das heißt er hat nicht nur Zugriff auf das Netzwerk, sondern auch alle Rechte im lokalen System.

 

Natürlich kann man ihn verschieben oder die lokalen Rechte ändern,

bleibt das aber so mit der Einstufung als Trusted,

dann werden es auch die meisten Benutzer dabei belassen.

 

Ich habe Firefox aus meiner Erfahrung mit seriösen HIPS/Sandbox Anwendungen

wie z. B. Online Armor, EQSecure oder GesWall reflexartig sofort ganz nach unten verschoben.

 

post-55696-1205867334_thumb.png

 

Alles andere als Browser, Mail-Clients usw., über die ein großer Teil der Schädlinge auf den PC kommen,

so stark wie möglich in ihren lokalen Rechten zu beschneiden, ist für mich nicht nachvollziehbar.

 

MfG

 

Share this post


Link to post

Hi,

auch ich war beim ersten Anblick von der Firewallgestaltung der nächsten Version erst einmal baff. Für mich zur Zeit völlig überfrachtet, unübersichtlich und im Moment will mir der Grund warum man das Konzept ändert nicht wirklich einleuchten. Mag eventuell daran liegen, dass ich die 7er Version absolut lieb gewonnen habe und keine Probleme damit habe die Firewall zu konfigurieren denn mit der Zeit weiss man einfach, oder glaubt es zumindest, was man zulassen darf und was nicht. Mir scheint es im Moment so, ich mag mich aber täuschen, das Kaspersky ein Produkt gestalten will, dass man installiert und danach nicht mehr sieht. Viele Endanwender werden sich sicher freuen ob ich das tue weiss ich noch nicht denn noch kenn ich die 8er zuwenig.

Gibt es denn schon irgendwo genauere Erklärungen zum Aufbau der Firewallsektion in unserem neuen "Schätzchen" ?

 

Denn eins ist sicher. Ich war, bin und bleibe Kasperskianer^^ Zur Not noch etwas länger mit KIS 7

Share this post


Link to post
Gibt es denn schon irgendwo genauere Erklärungen zum Aufbau der Firewallsektion in unserem neuen "Schätzchen" ?

Hi,

 

vielleicht hilft diese kleine Übersicht beim Erstkontakt.

Ich habe allerdings die englische Version (8.0.0.284 Beta) verwendet.

 

Das erste Fenster zeigt quasi den Schnellzugriff auf die Firewall.

Hier kann man global für alle Netzwerktypen die Regeln einstellen:

(Haken = erlauben, Rufzeichen = fragen, Kreuz = verbieten, Stern = laut Subregeln)

 

post-55696-1206021458_thumb.png

 

Das gleiche Fenster noch mal mit den geöffneten Netzwerktypen (Vertraut, Lokal, Öffentlich).

So könnte man leicht eine Anwendung im Lan erlauben und im Internet verbieten.

 

post-55696-1206021464_thumb.png

 

Hier sieht man nun die voreingestellten Aktionen für die Netzwerktypen vom vorigen Bild.

- für das vertraute Netzwerk (Trusted, grün) ist alles erlaubt,

- für das lokale Netzwerk (gelb) jede TCP/UDP Aktivität und ICMP eingehend erlaubt

- und für Public (Internet, rot) gilt eine strenges Regelwerk.

 

post-55696-1206021472_thumb.png

 

Dieses Bild ist bekannt, es zeigt die aktiven Netzwerkverbindungen mit ihrer Zuordnung.

 

post-55696-1206021478_thumb.png

 

Bei den nächsten beiden Fenstern bin ich noch etwas ratlos.

Das erste zeigt Regeln in Bezug auf Netzwerkdienste und Zonen, entweder Blick ich da nicht durch oder es ist noch nicht ganz fertig implementiert.

 

post-55696-1206021485_thumb.png

 

Und als letztes Bild die Regelerstellung für Packet Regeln, zu Richtung, Port und Protokoll kommt man erst in dem

Subfenster, oder man regelt auf IP Adressen bezogen.

Warum so umständlich, oder habe ich bei den Packetregeln etwas nicht verstanden?

 

post-55696-1206021492_thumb.png

 

Mein Eindruck von der der Bedienbarkeit:

Für mich als Anhänger von policy based HIPS/Behavior Blockern in den Grundzügen eigentlich kein Problem.

In den Details (Paket Regeln) sperrt es sich noch ein wenig, aber es ist ja bekanntlich eine Beta.

 

Es sollte aber auch jedem klar sein, das eine solche Konstruktion extrem anfällig ist für Fehlbedienung durch den Benutzer.

Vor allem, da derzeit die Programme nach Lust und Laune zwischen Untrusted und Trusted verschoben werden können und Haken ebenso global in diesen Zonen gesetzt werden können.

Damit kann man leicht ein an sich sehr gutes Regelwerk komplett aushebeln bzw. umgehen.

 

MfG

 

 

Share this post


Link to post

Hi,

und danke an subset für deine Erläuterungen. Wie du schon passend bemerkt hast etwas problematisch da viel geklickt werden kann^^

Ich habe sie auch nur einmal kurz installiert gehabt und habe leider zur Zeit kein Testsystem, wo ich es laufen lassen kann. Sobald das wieder vorhanden ist wird mit getestet.

Mir erschliesst sich die Logik auch nicht ganz warum man aktive Anbindungen nicht löschen konnte/kann aus den Regeln der Firewall.

Wenn ich die Diskussion richtig verfolgt habe ist es zur Zeit nicht möglich Programme die Kaspersky als vertrauenswürdig ansieht das funken nach hause zu verbieten? Mehr als schwierig wenn es denn wirklich so ist.

 

Share this post


Link to post
Wenn ich die Diskussion richtig verfolgt habe ist es zur Zeit nicht möglich Programme die Kaspersky als vertrauenswürdig ansieht das funken nach hause zu verbieten? Mehr als schwierig wenn es denn wirklich so ist.

Doch, das ist durchaus möglich. Für jede Anwendung können individuelle Regeln erstellt werden, egal in welche Gruppe KIS sie eingestuft hat.

Es genügt, in der vertrauenswürdigen Gruppe einfach den obersten Gruppen-Haken der Spalte "Netzwerk" auf "Fragen" zu stellen und schon wird per Vererbung für alle Anwendungen dieser Gruppe bei jedem Verbindungsversuch brav gefragt (= alter Trainingsmodus) und ich kann aus dem Popup meine Regeln erstellen.

Bei allen anderen Gruppen wird ja ohnehin gefragt, bzw. bei den nicht vertrauenswürdigen Anwendungen blockiert.

Share this post


Link to post
...

Es sollte aber auch jedem klar sein, das eine solche Konstruktion extrem anfällig ist für Fehlbedienung durch den Benutzer.

Vor allem, da derzeit die Programme nach Lust und Laune zwischen Untrusted und Trusted verschoben werden können und Haken ebenso global in diesen Zonen gesetzt werden können.

Damit kann man leicht ein an sich sehr gutes Regelwerk komplett aushebeln bzw. umgehen.

 

MfG

 

Na dafür gibts ja auch noch uns Mädels und Jungs vom Support die euch Benutzer unter die Arme greifen wenn mal was verstellt ist!

;)

Für die breite Masse der Benutzer die einfach "NICHTS" machen will und nur "benutzen", also auch nichts einstellen will, denke ich persönlich wird die neue Version ideal sein.

 

Meine Frau sagte jedenfalls "Ui sieht die süß aus......" mit "die" meinte Sie die Übersicht vom Schutzmenü... :dash2:

 

Gruß

Carsten

 

P.S. um zum klicken verstellen muss man erstmal die Menüs finden :laugh3:

Share this post


Link to post
Meine Frau sagte jedenfalls "Ui sieht die süß aus......" mit "die" meinte Sie die Übersicht vom Schutzmenü... :dash2:

 

Das ist schonmal ein schlechtes Zeichen. Wenn meine Frau etwas schön oder süß aussehend findet, stellt sich meist raus, dass dieses etwas extrem unpraktisch ist. Schön, aber unpraktisch ;)

 

Gruß

thorstenn

 

Share this post


Link to post
Das ist schonmal ein schlechtes Zeichen. Wenn meine Frau etwas schön oder süß aussehend findet, stellt sich meist raus, dass dieses etwas extrem unpraktisch ist. Schön, aber unpraktisch ;)

 

Gruß

thorstenn

 

:laugh3:

Aber ist ja auch die Osterbuild !

Share this post


Link to post
:laugh3:

Aber ist ja auch die Osterbuild !

Deshalb enthält sie auch gewisse Suchaufgaben. Z. B. leere Popups, wenn ein neues Programm entdeckt wird. :b_lol1:

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.