Vista Firewall - Ausgehende Verbindungen

Internet Internet Sicherheit
#1

Hallo zusammen,

ich hab es damals schon versucht, es aber nicht hinbekommen:

Die Vista-Firewall so einrichten, dass standardmäßig alle ausgehenden Verbindungen geblockt werden und dass bei Programmen, die versuchen, eine Verbindung mit dem Internet herzustellen, eine Meldung wie bei sygate oder ZoneAlarm z.B. auftaucht, dass ein Programm versucht, sich mit dem Internet zu verbinden. In dieser Meldung soll man dann auswählen können, ob die Verbindung erlaubt oder verweigert wird.

Ist das mit der Vista-Firewall möglich oder muss ich auf ZoneAlarm und co. zugreifen?
Da ich keine Software-Firewall-Diskussion entfachen will, sag ich gleich dazu, dass ich natürlich hinter einer Hardware-Firewall hänge :smile:

Gruß,
Dux

#2

Hallo Dux

Die Vista-Firewall so einrichten, dass standardmäßig alle
ausgehenden Verbindungen geblockt werden und dass bei
Programmen, die versuchen, eine Verbindung mit dem Internet
herzustellen, eine Meldung wie bei sygate oder ZoneAlarm z.B.
auftaucht, dass ein Programm versucht, sich mit dem Internet
zu verbinden. In dieser Meldung soll man dann auswählen
können, ob die Verbindung erlaubt oder verweigert wird.

Das ist nicht möglich. Guckst Du z.B. hier: http://www.drwindows.de/windows-vista-allgemein/176-…

Aber wozu auch. Das war und ist ohnehin zweifelhaft und nur unzuverlässig. Das funktioniert auch bei Sygate, ZA und Co. nur dann, wenn sich das gemeldete Programm auch daran hält, falls Du es blockst.

Da es aber Wege gibt, wie ein Programm so eine Blockade bzw. eine Personal Firewall umgehen kann, hast Du Pech gehabt, wenn das Programm eben nicht so freundlich ist, sich daran zu halten.

Es bleibt auch weiterhin so, dass die einzige zuverlässige Methode, unerwünschten ‚von innen nach aussen Traffic‘ zu verhindern darin besteht, nur die Programme zu verwenden, die das entweder nicht machen oder bei denen man das abstellen kann.

CU
Peter

#3

Zusätzlich zu dem, was Dir schon gesagt wurde ist Dein Konzept das falsche. Eine Firewall soll den Zugiff auf Dienste, die Du bei dir lokal bereit stellst von außen unterbinden. Die Idee ist also, nur bestimmte Zugriffe von außen zuzulassen und die restlichen zu ignorieren und selber ‚hinaustelefonieren‘ zu können. Wenn Du schon soweit bist, daß Du nicht weißt, was auf Deinem Rechner rauswählen will, bzw. den Dingen auf Deinem eigenen Rechner nicht trauen kannst, hast Du andere Probleme, als Dir um Deinen Paketfilter sorgen zu machen.

#4

Hallo Dux

Das ist nicht möglich. Guckst Du z.B. hier:
http://www.drwindows.de/windows-vista-allgemein/176-…

Aber wozu auch. Das war und ist ohnehin zweifelhaft und nur
unzuverlässig. Das funktioniert auch bei Sygate, ZA und Co.
nur dann, wenn sich das gemeldete Programm auch daran hält,
falls Du es blockst.

Da es aber Wege gibt, wie ein Programm so eine Blockade bzw.
eine Personal Firewall umgehen kann, hast Du Pech gehabt, wenn
das Programm eben nicht so freundlich ist, sich daran zu
halten.

Es bleibt auch weiterhin so, dass die einzige zuverlässige
Methode, unerwünschten ‚von innen nach aussen Traffic‘ zu
verhindern darin besteht, nur die Programme zu verwenden, die
das entweder nicht machen oder bei denen man das abstellen
kann.

CU
Peter

Hallo Peter,

danke für den Link und den Hinweis, dass trotz Firewall Programm nach außen zugreifen können. Das wusste ich noch nicht.

Gruß,
Dux

#5

Zusätzlich zu dem, was Dir schon gesagt wurde ist Dein Konzept
das falsche. Eine Firewall soll den Zugiff auf Dienste, die Du
bei dir lokal bereit stellst von außen unterbinden.

Ich bin nicht der Meinung, dass mein Konzept falsch ist. Ich will einfach wissen, wann Programm nach Hause telefonieren wollen und das gegebenenfalls verhindern.

Die Idee ist also, nur bestimmte Zugriffe von außen zuzulassen und die
restlichen zu ignorieren und selber ‚hinaustelefonieren‘ zu
können. Wenn Du schon soweit bist, daß Du nicht weißt, was auf
Deinem Rechner rauswählen will, bzw. den Dingen auf Deinem
eigenen Rechner nicht trauen kannst, hast Du andere Probleme,
als Dir um Deinen Paketfilter sorgen zu machen.

Ich habe keine Probleme am PC, hatte ich auch noch nie *aufholzklopf*. Außerdem bin ich der Meinung, dass das Interesse, zu erfahren, welches Programm wann sich mit dem Internet verbinden will, kein abwegiges ist.

#6

Ich bin nicht der Meinung, dass mein Konzept falsch ist. Ich
will einfach wissen, wann Programm nach Hause telefonieren
wollen und das gegebenenfalls verhindern.

Das kannst du nicht. Der Grund dafür ist recht einfach: Jedes Programm, welches mit Systemrechten arbeitet, braucht sich nicht an die Regeln halten. Und schlimmer noch: Andere Prpgramme, die z.B. nicht die notwendigen Rechte haben von selbst nach draußen zu kommen, benutzen dazu halt erlaubte Prozesse (wie z.B. den IE), nennt man Application-Hijacking.
Ergo: lokale Firewalls mögen das Gemüt des Users beruhigen, wirksam können sie aber systembedingt gar nicht sein.

1 Like
#7

Ich habe keine Probleme am PC, hatte ich auch noch nie
*aufholzklopf*. Außerdem bin ich der Meinung, dass das
Interesse, zu erfahren, welches Programm wann sich mit dem
Internet verbinden will, kein abwegiges ist.

Dann nimm wireshark. Das snifft den gesammten Traffic auf der LAN Karte mit. Kannst Du Dir als Dump wegschreiben lassen, nach Ports, Adressen, etc. Filtern und sortieren lassen.

#8

danke für den Link und den Hinweis, dass trotz Firewall
Programm nach außen zugreifen können. Das wusste ich noch
nicht.

Sobald du einem Programm erlaubst nach außen zu kommunizieren wie z.B. deinem Browser, kann ein anderes Programm einfach den Browser benutzen um ebenfalls nach außen zu kommunizieren.
Die ganze Blockier-Funktion von Personal Firewalls funktioniert nur dann, wenn die Programme so nett sind, selbst unter ihrem eigenen Namen ihre Verbindung nach aussen aufzubauen.
Da aber genau die Programme die du vermutlich blockieren willst wie z.B Würmer, Trojaner oder Spyware sich oft nicht an diese Vorgabe halten, nutzen die eben z.B. deinen Browser um heim zu telefonieren. Und dem hast du es ja selbst erlaubt. Das Konzept funktioniert also nicht wirklich.

Die einzige Lösung ist, dass du einfach keine Programme installierst, denen du nicht vertraust und dass du dir von vorneherein keine Schadprogramme einfängst. Dann gibt es auch nichts was du „blocken“ müsstest.

#9

Sobald du einem Programm erlaubst nach außen zu kommunizieren
wie z.B. deinem Browser, kann ein anderes Programm einfach den
Browser benutzen um ebenfalls nach außen zu kommunizieren.
Die ganze Blockier-Funktion von Personal Firewalls
funktioniert nur dann, wenn die Programme so nett sind, selbst
unter ihrem eigenen Namen ihre Verbindung nach aussen
aufzubauen.
Da aber genau die Programme die du vermutlich blockieren
willst wie z.B Würmer, Trojaner oder Spyware sich oft nicht an
diese Vorgabe halten, nutzen die eben z.B. deinen Browser um
heim zu telefonieren. Und dem hast du es ja selbst erlaubt.
Das Konzept funktioniert also nicht wirklich.

Die einzige Lösung ist, dass du einfach keine Programme
installierst, denen du nicht vertraust und dass du dir von
vorneherein keine Schadprogramme einfängst. Dann gibt es auch
nichts was du „blocken“ müsstest.

Danke für die Erklärung!

Gruß,
Dux

#10

Das kannst du nicht. Der Grund dafür ist recht einfach: Jedes
Programm, welches mit Systemrechten arbeitet, braucht sich
nicht an die Regeln halten. Und schlimmer noch: Andere
Prpgramme, die z.B. nicht die notwendigen Rechte haben von
selbst nach draußen zu kommen, benutzen dazu halt erlaubte
Prozesse (wie z.B. den IE), nennt man Application-Hijacking.
Ergo: lokale Firewalls mögen das Gemüt des Users beruhigen,
wirksam können sie aber systembedingt gar nicht sein.

Danke für deine Antwort! Wär mal interessant, wie das im Detail funktioniert.

Gruß,
Dux

#11

Danke für deine Antwort! Wär mal interessant, wie das im
Detail funktioniert.

Ganz einfach: Der Virus startet den Internet Explorer, ruft die Seite z.B. auf über die er z.B. die gesammelten Passwörter zu seinem Herrchen übermitteln kann und fertig.
Der Virus macht also im Prinzip nichts anderes wie du, nur dass er das Browserfenster halt versteckt, damit du das nicht auf dem Monitor siehst.

Alternativ gibt es auch dutzende andere Wege, denn der Virus kann sich auch als Plugin in den Internet Explorer einklinken usw usf…

#12

Hallo Dux

danke für den Link und den Hinweis, dass trotz Firewall
Programm nach außen zugreifen können. Das wusste ich noch
nicht.

Der Chaos Computer Club hat das mal an einem Chaos-Seminar demonstriert. Das Video von diesem Chaos-Seminar kannst Du hier herunterladen:
http://ulm.ccc.de/old/chaos-seminar/personal-firewal…

Da wird demonstriert, wie ein Programm die PFW umgeht und es wird auch erläutert, warum das (zumindest bis und mit Windows XP) prinzipbedingt nicht verhindert werden kann.

Bei Interesse kann ich Dir auch noch weitere informative Links nennen, wo Du Dich über die Unzulänglichkeiten von PFW und weitere Sachen informieren kannst.

CU
Peter

#13

Danke für deine Antwort! Wär mal interessant, wie das im
Detail funktioniert.

Es gibt zwei Szenarien:

  1. Der Virus/Trojaner hat es zu administrativen Rechten geschafft. Entweder weil der Anweder als Admin gearbeitet hat als er sich das Ding eingefangen hat, oder weil der Schädling eine lokale Lücke (root escalation unter Unixen, Local Privilege Escalation allgemein) ausgenutzt hat, sih selbst root/system/admin-Rechte zu verschaffen.
    Dann hat das Ding die gleichen Rechte wie die Firewall, muss sich also an gar nichts halten und kann jeden Schutz umgehen.

  2. Der Virus/Trojaner läuft „nur“ mit Benutzerrechten. Dann muss er sich bedingt auch „an die Regeln halten“. Das hindert ihn aber nicht daran, huckepack über andere erlaubte Prozesse nach außen zu dringen. Möglichkeiten gibt es da viele, eine mit dem IE wurde ja schon genannt. Schränkt zwar seinen Handlungsspielraum etwas ein, aber ein Keylogger könnte auch so bequem seine gesammelten Daten loswerden, ohne das die Firewall auch nur zuckt.

Dieses Verhalten zeigen die meisten Schädlinge schon sehr lange, mit einer lokalen „Firewall“ kann man ergo nur sowieso harmlose Prozesse wie Updateanfragen von Programmen usw. entdecken. NICHT betroffen davon sind Anfragen von außen - da machen lokale Firewall tatsächlich einen begrenzten Sinn - vor allem für z.B. Laptopuser, die zwar im Büro hinter Routern stehen, unterwegs aber z.B. per WLAN angreifbar wären. Nur reicht da auch die eingebaute Windowsfirewall von XP/Vista.