---

Hvorfor er desktop firewalls ikke rigtige firewalls ?

Hvordan kan en hacker konkret bryde ind på en dektop firewall a la
ZoneAlarm,

som ikke ville kunne lykkedes, hvis man havde en "rigtigt" firewall med 2
eller 3 ben!


--
Best regards / Mange hilsner fra
Carsten

Carsten J. Thomsen
Denmark / 2630 Taastrup

e-mail:
cajuth(remove_***_this)@worldonline.dk
cajuth(fjern_dette_i_parantes)@worldonline.dk

---

- ct wrote:

> Hvorfor er desktop firewalls ikke rigtige firewalls ?


De firmaer der laver desktop firewalls, hvad er deres grund til at lave
en firewall hvor langtid har de gjort det, til hvilke platformer?

(jeg mener fx det er plat at skrive en firewall til windows95, det er
windows95 ikke bygget til)


> Hvordan kan en hacker konkret bryde ind på en dektop firewall a la
> ZoneAlarm,


En typisk hardnet NT firewall fylder 80MB indeholdene operativ system +
lidt firewall software.

En typisk hjemmebrugere kan snildt have 2GB installeret programmer,
operativ system, officepakken, browser, mailklient, spil, antivirus,
ectetera.

Jo mere der er installeret jo mere sårbar bliver en maskine. IE bliver
der fundet sårbarheder hver 2. uge, officepakken er fyldt med huller der
ikke er fundet.


> som ikke ville kunne lykkedes, hvis man havde en "rigtigt" firewall med 2
> eller 3 ben!


Jeg vil heller vende den om, hvorfor hardner man en firewall istedet for
at betragte den som en almindelig arbejdsplads, og blot installere
office pakken. Man kan jo spare penge på den måde, og så kan man også
gøre det samme med sin Exchange-, fil-, citrix- og webserver. :)

---

Hej Christian og andre!

Besvarelse nede i teksten!

Med venlig hilsen / Regards

Heinrich Christiansen

===========> Scannet med / Scanned with: Norton Antivirus <============


> > Hvorfor er desktop firewalls ikke rigtige firewalls ?
>
> De firmaer der laver desktop firewalls, hvad er deres grund til at lave
> en firewall hvor langtid har de gjort det, til hvilke platformer?
> (jeg mener fx det er plat at skrive en firewall til windows95, det er
> windows95 ikke bygget til)

Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til grund
for at en firewall bliver bygget fysisk eller programmeret, er det godt de
bliver lavet og det er uanset hvilket system de bygges til! Vel at bemærke
forudsat de fungerer!

> > Hvordan kan en hacker konkret bryde ind på en dektop firewall a la
> > ZoneAlarm,

Det er ikke et spørgsmål om hvordan! Det kan lade sig gøre at bryde ind bag
en firewall, hardware såvel som software! Hvordan ved jeg imidlertid ikke,
er heller ikke interesseret (jeg er ikke selv hacker så hvad skal jeg med
den information). Jeg kunne forestille mig at problemet sidder ca. en halv
meter foran skærmen, eks. i form af uvidenhed, sexlyst eller
gamblertendenser!

> En typisk hardnet NT firewall fylder 80MB indeholdene operativ system +
> lidt firewall software.

Er det ikke typisk firmaer med en rimelig økonomisk stabilitet der bruger
den slags? Jeg ved jeg har ikke den slags penge i mit lommeuld! Det var lidt
offtopic! Her er Ontopic: NT firewall virker lidt lala ud fra de erfaringer
nogle af vennerne har oplevet.

> En typisk hjemmebrugere kan snildt have 2GB installeret programmer,
Snip
> Jo mere der er installeret jo mere sårbar bliver en maskine. IE bliver
> der fundet sårbarheder hver 2. uge, officepakken er fyldt med huller der
> ikke er fundet.

Det er ikke jo mere der er installeret, men jo mere man har kørende på samme
tid, der øger risikoen! Hvis Officepakken er så fyld med huller - hvad er
det så lige der får folk til alligevel at bruge den? Mon ikke det er fordi
Office pakken er et af de nemmere kontorpakker at håndtere?!?

> > som ikke ville kunne lykkedes, hvis man havde en "rigtigt" firewall med
2
> > eller 3 ben!

Med 2 eller 3 ben - hvad menes lige med det?

> Jeg vil heller vende den om, hvorfor hardner man en firewall istedet for
> at betragte den som en almindelig arbejdsplads, og blot installere
> office pakken. Man kan jo spare penge på den måde, og så kan man også
> gøre det samme med sin Exchange-, fil-, citrix- og webserver. :)

Enhver maskine, der kan sidde et menneske foran mens den gør sit arbejde, er
en sikkerhedsrisiko!

Med andre ord - mennesker har fri fantasi og lyster og det er en
sikkerhedsrisiko, det er nok derfor at man lader en firewall hardne!

En computer der kun skal lave en ting har den fulse "koncentration" om den
ting og kan derfor ikke forstyrres af menneskelig indblanding med mindre den
skal omkonfigureres!

Mvh. Heinrich Christiansen (Fjern understregen i email addy ved direkte
email)

---

> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til grund
> for at en firewall bliver bygget fysisk eller programmeret, er det godt de
> bliver lavet og det er uanset hvilket system de bygges til! Vel at bemærke


Falsk tryghed er ikke god sikkerhed, hvilket mange desktop firewalls levere.

> forudsat de fungerer!


"Vel at bemærke forudsat de fungerer", hvordan kan du skrive det, du
sætte selv tvivl ved dem!

>>En typisk hardnet NT firewall fylder 80MB indeholdene operativ system +
>>lidt firewall software.
> Er det ikke typisk firmaer med en rimelig økonomisk stabilitet der bruger
> den slags? Jeg ved jeg har ikke den slags penge i mit lommeuld! Det var lidt


Hvis du kun har lommeuld at gører godt med, kan du hardne din
arbejdsplads, så den kører det du har brug for, og derefter evt. tage
nogle at dine programmer op til revurdering (fx er eDonkey nu så smart
at kører?)

> offtopic! Her er Ontopic: NT firewall virker lidt lala ud fra de erfaringer
> nogle af vennerne har oplevet.


Hvad er der galt med en NT firewall? Giv mig et eller flere tekniske
gode argumenter for ikke at bruge NT.

>>Jo mere der er installeret jo mere sårbar bliver en maskine. IE bliver
>>der fundet sårbarheder hver 2. uge, officepakken er fyldt med huller der
>>ikke er fundet.
> Det er ikke jo mere der er installeret, men jo mere man har kørende på samme

> tid, der øger risikoen! Hvis Officepakken er så fyld med huller - hvad er


Det er faktisk begge dele der har indflydelse for sikkerheden.

Dele af office pakken starter automatisk.

> det så lige der får folk til alligevel at bruge den? Mon ikke det er fordi
> Office pakken er et af de nemmere kontorpakker at håndtere?!?


Er det nemt at bruge, hvem snakker vi om nu, brugerne eller angriberen?

>>Jeg vil heller vende den om, hvorfor hardner man en firewall istedet for
>>at betragte den som en almindelig arbejdsplads, og blot installere
>>office pakken. Man kan jo spare penge på den måde, og så kan man også
>>gøre det samme med sin Exchange-, fil-, citrix- og webserver. :)
> Enhver maskine, der kan sidde et menneske foran mens den gør sit arbejde, er
> en sikkerhedsrisiko!


Tak, jeg var blot ironisk.

---

Heinrich Christiansen told the rest of dk.edb.sikkerhed:

[...]

> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til
> grund for at en firewall bliver bygget fysisk eller programmeret, er
> det godt de bliver lavet og det er uanset hvilket system de bygges
> til! Vel at bemærke forudsat de fungerer!

Jo de vil altid øge sikkerheden. Men man skal passe på ikke at ladde
sig narre på forkerte forudsætninger. En firewall der kører under
Windows95 (W95) vil alt andet lige ikke kunne tilbyde det samme som en
der kører på WindowsNT/2000 (WNT) - primært fordi WNT er bygget med det
formål at virke på et netværk og med flere brugere. Det er W95 ikke.

[...]

> Er det ikke typisk firmaer med en rimelig økonomisk stabilitet der
> bruger den slags? Jeg ved jeg har ikke den slags penge i mit lommeuld!
> Det var lidt offtopic! Her er Ontopic: NT firewall virker lidt lala ud
> fra de erfaringer nogle af vennerne har oplevet.

Jeg kender en som har arbejdet med Raptor Firewall på en NT. Han var
vist ret tilfreds, og kom ikke med antydninger i retningen af 'lala'.

[...]

> Det er ikke jo mere der er installeret, men jo mere man har kørende på
> samme tid, der øger risikoen! Hvis Officepakken er så fyld med huller
> - hvad er det så lige der får folk til alligevel at bruge den? Mon
> ikke det er fordi Office pakken er et af de nemmere kontorpakker at
> håndtere?!?

Jo da. Men det er ikke mit indtryk at selve Officepakken udgør nogen
reel sikkerhedstrussel som det ikke er ret let at håndtere.

[...]

> Med 2 eller 3 ben - hvad menes lige med det?

2 ben: Der er et ben til det ydre net og det indre net
3 ben: Der er et ben til det ydre net og et til hver af de to indre
net, hvor det ene oftest vil bruges som serverpark (DMZ) og det andet
til arbejdsstationer.
Med andre ord: n ben = n network interfaces.

[...]

> En computer der kun skal lave en ting har den fulse "koncentration" om
> den ting og kan derfor ikke forstyrres af menneskelig indblanding med
> mindre den skal omkonfigureres!

Det lyder som en firewall definition. Her er den jeg har lært:

A firewall is a security setup, one or more devices, which enforce a
security policy. It can be: An air gap, packet filtering, stateful
packet filtering, authenticated proxies. This can be composed of:
Routers, dedicated packet filters, etc...

> Mvh. Heinrich Christiansen (Fjern understregen i email addy ved

--
H e n r i k B o e g h ^ http://henrik.boegh.net/?index=usenet
Support wildlife -- vote for an orgy.

---

In article <1048856.bElMvE1QaP@willemoes.nyboder.boegh.net>, Henrik Boegh wrote:
>
>> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til
>> grund for at en firewall bliver bygget fysisk eller programmeret, er
>> det godt de bliver lavet og det er uanset hvilket system de bygges
>> til! Vel at bemærke forudsat de fungerer!
>
> Jo de vil altid øge sikkerheden.

Lige indtil den dag der er et sikkerhedshul i selve firewallsoftwaren.

--
Andreas Plesner Jacobsen | Alea iacta est.
| [The die is cast]
|    -- Gaius Julius Caesar

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> writes:

> In article <1048856.bElMvE1QaP@willemoes.nyboder.boegh.net>, Henrik Boegh wrote:
> >
> >> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til
> >> grund for at en firewall bliver bygget fysisk eller programmeret, er
> >> det godt de bliver lavet og det er uanset hvilket system de bygges
> >> til! Vel at bemærke forudsat de fungerer!
> >
> > Jo de vil altid øge sikkerheden.
>
> Lige indtil den dag der er et sikkerhedshul i selve firewallsoftwaren.

Man konfigurerer vel stadigvæk sine maskiner på indersiden af firewallen,
som om den ikke var der.

--
Med venlig hilsen
Christian Laursen

---

Christian Laursen wrote:
>
> Andreas Plesner Jacobsen <apj@daarligstil.dk> writes:
>
> > In article <1048856.bElMvE1QaP@willemoes.nyboder.boegh.net>, Henrik Boegh wrote:
> > >
> > >> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til
> > >> grund for at en firewall bliver bygget fysisk eller programmeret, er
> > >> det godt de bliver lavet og det er uanset hvilket system de bygges
> > >> til! Vel at bemærke forudsat de fungerer!
> > >
> > > Jo de vil altid øge sikkerheden.
> >
> > Lige indtil den dag der er et sikkerhedshul i selve firewallsoftwaren.
>
> Man konfigurerer vel stadigvæk sine maskiner på indersiden af firewallen,
> som om den ikke var der.

Pointen er netop at den mulighed eksisterer kun hvis firewallen
er i seperat hardware. Hvis der findes et alvorligt sikerhedshul
i en firewall, der kører på den maskine, der skal beskyttes,
hjælper det intet at den i øvrigt er konfigureret sikkert. I
dette ene tilfælde vil firewallen forringe sikkerheden. Det kan
aldrig ske med en hardware firewall.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Christian Laursen wrote:

>> Lige indtil den dag der er et sikkerhedshul i selve
>> firewallsoftwaren.
>
> Man konfigurerer vel stadigvæk sine maskiner på indersiden af
> firewallen, som om den ikke var der.

Hvad nu hvis fejlen i firewallsoftwaren alene er nok til at afvikle
arbitrær kode, eller standse hele systemet? (Som det var tilfældet for
nylig med Black Ice Defender)

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

---

Henrik Boegh wrote:

> Jeg kender en som har arbejdet med Raptor Firewall på en NT. Han var
> vist ret tilfreds, og kom ikke med antydninger i retningen af 'lala'.

Jeg har sat _mange_ raptor firewalls op i de sidste 6 år, og har haft
problemer med 5 maskiner, som efter reinstallation har opført sig fint.

NT er lidt magisk, hvis man er uheldig og den er ustabil, hjælper en
reinstallation typisk, dog ikke ved hardware fejl :)

---

On Sun, 10 Mar 2002 16:27:12 +0100,
Henrik Boegh <henrik@boegh.X_net> wrote:
> Heinrich Christiansen told the rest of dk.edb.sikkerhed:
>
> [...]
>
>> Umiddelbart vil jeg sige, at uanset hvor længe og hvad der ligger til
>> grund for at en firewall bliver bygget fysisk eller programmeret, er
>> det godt de bliver lavet og det er uanset hvilket system de bygges
>> til! Vel at bemærke forudsat de fungerer!
>
> Jo de vil altid øge sikkerheden. Men man skal passe på ikke at ladde
> sig narre på forkerte forudsætninger. En firewall der kører under
> Windows95 (W95) vil alt andet lige ikke kunne tilbyde det samme som en
> der kører på WindowsNT/2000 (WNT) - primært fordi WNT er bygget med det
> formål at virke på et netværk og med flere brugere. Det er W95 ikke.

BlackICE er en personlig firewall. En maskine med BlackICE kan crashes fra
nettet, og teoretisk måske overtages. Altså er en personlig firewall
ikke bedre end ingenting. En router der kører NAT vil som regel være
bedre, da denne software som regel er mere testet, og er lavet af
programmører der ikke har lært om sikkerhed før Bill Gates sendte
dem på et 30 dages lynkursus. Og en crashet router giver ikke
nødvendigvis cracker adgang til data

Derudover er der også problemet med om TCP/IP stakken er solid og
stabil nok. Og netværksdrivere. Og principielt også firmware på
netkortet.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

Povl H. Pedersen <nospam@home.terminal.dk> wrote:
> En router der kører NAT vil som regel være bedre, da denne software
> som regel er mere testet, og er lavet af programmører der ikke har
> lært om sikkerhed før Bill Gates sendte dem på et 30 dages lynkursus.

Hvad faar dig til at tro, at koden til diverse routere er bedre skrevet
og testet end saa meget andet software?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Den Tue, 12 Mar 2002 22:45:53 +0100 skrev Alex Holst:
>Povl H. Pedersen <nospam@home.terminal.dk> wrote:
>> En router der kører NAT vil som regel være bedre, da denne software
>> som regel er mere testet, og er lavet af programmører der ikke har
>> lært om sikkerhed før Bill Gates sendte dem på et 30 dages lynkursus.
>
>Hvad faar dig til at tro, at koden til diverse routere er bedre skrevet
>og testet end saa meget andet software?

Microsoft laver ikke routere

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - Ny tegning uploadet.

---

On Wed, 13 Mar 2002 16:25:23 +0000 (UTC),
Kent Friis <kfr@fleggaard.dk> wrote:
>>Hvad faar dig til at tro, at koden til diverse routere er bedre skrevet
>>og testet end saa meget andet software?
>
> Microsoft laver ikke routere

Og til Windows 2000 droppede de deres latterlige forsøg på en IP
stack, og startede forfra med at porte FreeBSD stakken til Windows.

Hvis Microsoft havde troet på deres programmører, så havde de nok
ikke smidt 10 års udvikling væk.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

Povl H. Pedersen told the rest of dk.edb.sikkerhed:

[...]

> Og til Windows 2000 droppede de deres latterlige forsøg på en IP
> stack, og startede forfra med at porte FreeBSD stakken til Windows.

Jeg troede egentlig at Microsoft hele tiden havde brugt dele af FreeBSD
stakken i WindowsNT og 2000. Hvor har du det med at de forsøgte at
implementere en ren Micrsoft skrevet stak i Windows 2000 fra?

[...]

> Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk

--
H e n r i k B o e g h ^ http://henrik.boegh.net/?index=usenet
"I have completely forgotten what a wierd little man you are"
-- Kelsey Grammar as Frasier Crane in 'Frasier'

---

On Wed, 13 Mar 2002 17:51:47 +0100,
Henrik Boegh <henrik@boegh.X_net> wrote:
> Jeg troede egentlig at Microsoft hele tiden havde brugt dele af FreeBSD
> stakken i WindowsNT og 2000. Hvor har du det med at de forsøgte at
> implementere en ren Micrsoft skrevet stak i Windows 2000 fra?

Det jeg skrev var, at de til Windows 2000 droppede deres egen gamle
defekte IP stack. De havde med Windows NT fundet ud af, at de vist ikke
fattede ret meget af der hersens moderne TCP/IP pjat.
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

>>> En router der kører NAT vil som regel være bedre, da denne software
>>> som regel er mere testet, og er lavet af programmører der ikke har
>>> lært om sikkerhed før Bill Gates sendte dem på et 30 dages lynkursus.
>>
>>Hvad faar dig til at tro, at koden til diverse routere er bedre skrevet
>>og testet end saa meget andet software?
>
> Microsoft laver ikke routere

Hehe, Kent, det var en af dine bedre. =)

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through anything.
-- (Terry Pratchett, Feet of Clay)

---

og hvad mener man med at "hardne" en firewall ?


--
Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

On Wed, 13 Mar 2002 15:02:49 +0100,
_ Anders Tjerke Hansen <ath@sendingenspam.dk> wrote:
> og hvad mener man med at "hardne" en firewall ?

Når man hærder en firewall, eller en IIS for den sags skyld,
så betyder det at man gør den så hård at trænge igennem som
muligt.

Med en firewall vil man måske dræbe telnet, http og SNMP
processerne, og kun have adgang til den via det serielle kabel.


--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

> så betyder det at man gør den så hård at trænge igennem som
> muligt.
[klip]
> og kun have adgang til den via det serielle kabel.

Hvad mener du med at det kan være hårdere at trænge gennem en fw
når man kun har adgang til den via serielt kabel ?

--
Hilsen
Anders Tjerke Hansen
DK-2600 Glostrup

---

_ Anders Tjerke Hansen wrote:
>
> > så betyder det at man gør den så hård at trænge igennem som
> > muligt.
> [klip]
> > og kun have adgang til den via det serielle kabel.
>
> Hvad mener du med at det kan være hårdere at trænge gennem en fw
> når man kun har adgang til den via serielt kabel ?

En firewall der kan konfigureres via netværket kunne
potentielt blive et problem. Hvis firewallen kun kan
konfigureres via et serielt kabel kan man være
sikrere. I særdeleshed hvis man fjerner kablet, når
man ikke er i gang med at konfigurere sin firewall.

Så kan firewallen konstrueres så den ikke selv kører
en eneste netværksservice, og dermed er mindre sårbar.
Firewallen behøver faktisk ikke engang have en IP
addresse. (Jeg ved ikke, om der er lavet hardware
firewalls uden IP addresse, men det ville være muligt.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

"- ct" <cajuth(remove_***_this)@worldonline.dk> wrote in message news:BUFi8.1067$RB.41120@news010.worldonline.dk...
> Hvorfor er desktop firewalls ikke rigtige firewalls ?

Når man konfigurerer en maskine til at være firewall er den typisk
'hardened' - det software der findes på den er helst ikke sidste
skrig, og der findes ikke nogen overflødige net services, hvis der
er nogen overhovedet.
Det andet er at når man konfigurerer regler på en firewall så, ja,
man konfigurerer den da til kun at tillade det man vil tilbyde
omverdenen. MEN man laver den mindst lige så mistroisk på
den anden side; Den stoler IKKE på nogen på indersiden heller.
Dermed begrænser den din adgang udadtil til det du selv mener
du vil have.

Når man kører et personal-firewall produkt kører det på samme
fysiske maskine som det sw man måske ikke vil have til at sende
pakker til port 31337 på netninjas.net eller connecte til irc.
De gode trojanere nu om stunder er personal-firewall aware
og har teknikker til at gå udenom. Det kan ikke lade sig gøre når
firewallen er en separat æske.

Desuden er der et vedligeholdelsesspørgsmål når man får nogle
maskiner. Uden separat fw skal man være meget mere efter
sine klienter.

> Hvordan kan en hacker konkret bryde ind på en dektop firewall a la
> ZoneAlarm,
> som ikke ville kunne lykkedes, hvis man havde en "rigtigt" firewall med 2
> eller 3 ben!
Det er et spørgsmål om at komme ud igen. Der er ikke meget ved at
man sender dig en trojanermail som du lykkeligt starter hvis den ikke
kan ringe hjem. Dette er trods alt 98% af 'jeg er blevet hacket' piveriet.
Den sidste procent eller to hvor det er f.eks. webserveren der er blevet
udnyttet en fejl i, der hjælper kun en separat æske. Såfremt altså den
maskine der er/var server placeres i en DMZ, en speciel gren af
netværket man stoler endnu mindre på end internettet. Bliver den
overtaget, så skidt. Reinstaller og ret fejlen. Ingen er blevet udsat
eller kommet til skade.

ZoneAlarm. Hulk. Alle trojanere nuomstunder kender den, og den råber
ulv så ofte at man .. ja, du kender historien.
Jeg får vel et par hundrede alerts af den slags pr dag. De læses bedst
med en kop morgenkaffe, så kan man også blive i godt humør fra
morgenstunden. Når jeg har filtereret diverse kiddie tools, worms
o.lign. fra er måske en eller to sjove tilbage.
(Alerts fra ydersiden af den indre firewall er en anden sag. Så springer
jeg kaffen over.)

/Kasper