Windows XP Firewall niet waterdicht

[Kochanie]

De ingebouwde firewall van Windows XP is niet geheel waterdicht. Dat meldt Microsoft op haar website. De fout kan niet worden gebruikt om toegang tot een systeem te verkrijgen, maar stelt een hacker wel in staat om een aanval te verbergen.

Door een bug in de software kan het voorkomen dat de firewall verschillende poorten als 'gesloten' beschouwt, terwijl ze eigenlijk 'open' zijn. Een hacker kan dit via het register van de getroffen computer voor elkaar krijgen.

De geïntegreerde firewall van Windows XP, die onlangs aangescherpt werd door de Windows-update Service Pack 2, zorgt ervoor dat ongenode gasten het systeem niet in kunnen, omdat deze alle poorten sluit die niet gebruikt worden. Als een poort open staat is het mogelijk dat een hacker met kwade bedoelingen deze gebruikt om toegang te krijgen tot de computer. Mocht deze vervolgens ook de poort waardoor hij toegang heeft verkregen virtueel afsluiten, dan is het moeilijker voor de gebruiker om na te gaan of er iemand in zijn systeem zit.

Er is op het moment nog geen patch beschikbaar om het mankement op te lossen. Microsoft stelt wel dat het probleem in het volgende Service Pack opgelost wordt.

Bron: Telegraaf

[deej]

Tiens dat ze er eindelijk publiek mee gaan. Nu de registry is maar één zwakheid hoor.

Het is binnen de security community al lang een publiek geheim dat je door code injection bijna alle software firewalls kan bypassen. De één maakt het alleen wat moeilijker dan de andere .

De bypass kan dan gebruikt worden om een backdoor programma toch "naar buiten te laten bellen" en contact te maken met het moeder netwerk om dan te gaan spammen zonder dat de firewall daarvoor toestemming moet geven of een alert produceert.

Voor wie het zich afvraagt: code injection is in feite het manipuleren van "jumps" zodat je eigen code wordt uitgevoerd in de geheugenspace van het "host" programma. Het is iets anders dan buffer overflows die buiten het gealloceerde geheugen trachten te gaan want een goede injectie gaat ongedetecteerd verder (zoals in de wielerkoers hé).

Zolang één software een andere beschermt (bv de firewall of AV beschermen het OS) zullen injecties in theorie altijd mogelijk zijn. Alleen maken softwareschrijvers het nu moeilijker en moeilijker voor coders.

[selder]

*pets his hardware firewall*

Software firewalls geven een zéér vals gevoel van veiligheid, en maken het eigelijk alleen nog maar erger ...

[Ofloo]

*pets his hardware firewall*

Software firewalls geven een zéér vals gevoel van veiligheid, en maken het eigelijk alleen nog maar erger ...

hardware firewalls hebben ook exploits ze ! routers alles heeft een operating systeem en daardoor zwakheden natuurlijk is het beter om en hardware matige te hebben maar vergis u niet de kans is klein maar ze is er..

ge moest eens weten hoeveel cisco drones er zijn .. => gehackte routers..

eigenlijk is een firewall gewoon zever.. dat vind ik toch.. hou je software up to date installeer geen zaken van onvertrouwde providers of bronnen en het zou in orde moeten zijn.. zo simpel is dat .. doe regelmatig een systeem check en klaar bv onbekende exe namen.. vreemde open poorten

fport.exe is een goed begin alhoewel dit hackdefender niet ziet .. !!

[selder]

Ik betwijfel of er een virus is dat een hardware firewall 'kraakt' én ook of dat er ergens een script-kiddie-progsel is om eentje te "kraken" ...

Trouwens, welke hacker komt op het idee om aan de andere kant van mijn ipadres thuis te geraken? Die halen hun kicks toch uit 'grotere' prooien? Afin, ik ken ze niet, k vind alleen dat het maar rare mannen zijn

[Ofloo]

Ik betwijfel of er een virus is dat een hardware firewall 'kraakt' én ook of dat er ergens een script-kiddie-progsel is om eentje te "kraken" ...

Trouwens, welke hacker komt op het idee om aan de andere kant van mijn ipadres thuis te geraken? Die halen hun kicks toch uit 'grotere' prooien? Afin, ik ken ze niet, k vind alleen dat het maar rare mannen zijn

waarom denkt iedereen dat het om kicks gaat dit zijn gewoon bekende exploits die massaal geexploit worden die bots worden dan verkocht of verhuurt aan bv commercieële bedrijven die de concurentie wat willen uitdunnen.. door beginnende providers van de kaart te vegen.. deze strategie word voornamelijk bij shell providers toegepast..

ook verzamelen van credit card gevens cdkeys voor games enz of gewoon ddos..

als het maar geld opbrengt denk nu niet dat die gasten er doelloos zitten dronekes te verzamelen..

[netdata]

eigenlijk is een firewall gewoon zever.. dat vind ik toch.. hou je software up to date installeer geen zaken van onvertrouwde providers of bronnen en het zou in orde moeten zijn.. zo simpel is dat .. doe regelmatig een systeem check en klaar bv onbekende exe namen.. vreemde open poorten

Ik denk dat je de werking van een 'goede' firewall niet begrijpt.
Een firewall doet veeeel meer dan 'gewoon poorten dichten'.

Een firewall kijkt ook naar de data flows die voorbijkomen.
En gaat na op basis van deze flows of dit geldige trafiek is.
Zo kan een firewall 'zien' dat je op port 25 enkel SMTP-trafiek voorbij mag.
Want je zou evengoed port 25 kunnen gebruiken voor andere protocollen den SMTP
Op deze manier sluit je het al uit dat een hacker iets anders gaat doen dan wat jij wil over port 25

wat jou voorstel tot updates e.d. betreft
Dit zou willen zeggen dat je dit in de client software moet implementeren.
Dit wordt niet (of nauwlijks) gedaan omdat er OSI lagen zijn.
Je zou een layer 7 device/applicatie de data van layer 3 tot 7 laten afhandelen.
dat is NOG onveiliger lijkt me. (firewall zit op layer 3 tot layer 6)
dit is dan ook de reden waarom een hardware firewall net iets beter zijn dan software firewalls.


een firewall in corporate omgeving gaat NOG meer doen.
Zo zit in Checkpoint Firewall -1 een add-on bij die VPN mogelijk maakt.
zo is je VPN mee aan je firewall gekoppeld.

Andere dingen zijn ACL (access control lists) hierbij kan je 'rechten' toekennen voor gebruikers op allerhande criteria.

Dit zijn denk ik de meest gebruikte redenen voor een firewall.
Een corporate netwerk zonder firewall is de natte droom van iedere hacker/cracker

Niet aan te raden dus!!!

[X-2datop]

eigenlijk is een firewall gewoon zever.. dat vind ik toch.. hou je software up to date installeer geen zaken van onvertrouwde providers of bronnen en het zou in orde moeten zijn.. zo simpel is dat .. doe regelmatig een systeem check en klaar bv onbekende exe namen.. vreemde open poorten

Ik denk dat je de werking van een 'goede' firewall niet begrijpt.
Een firewall doet veeeel meer dan 'gewoon poorten dichten'.

Een firewall kijkt ook naar de data flows die voorbijkomen.
En gaat na op basis van deze flows of dit geldige trafiek is.
Zo kan een firewall 'zien' dat je op port 25 enkel SMTP-trafiek voorbij mag.
Want je zou evengoed port 25 kunnen gebruiken voor andere protocollen den SMTP
Op deze manier sluit je het al uit dat een hacker iets anders gaat doen dan wat jij wil over port 25

wat jou voorstel tot updates e.d. betreft
Dit zou willen zeggen dat je dit in de client software moet implementeren.
Dit wordt niet (of nauwlijks) gedaan omdat er OSI lagen zijn.
Je zou een layer 7 device/applicatie de data van layer 3 tot 7 laten afhandelen.
dat is NOG onveiliger lijkt me. (firewall zit op layer 3 tot layer 6)
dit is dan ook de reden waarom een hardware firewall net iets beter zijn dan software firewalls.


een firewall in corporate omgeving gaat NOG meer doen.
Zo zit in Checkpoint Firewall -1 een add-on bij die VPN mogelijk maakt.
zo is je VPN mee aan je firewall gekoppeld.

Andere dingen zijn ACL (access control lists) hierbij kan je 'rechten' toekennen voor gebruikers op allerhande criteria.

Dit zijn denk ik de meest gebruikte redenen voor een firewall.
Een corporate netwerk zonder firewall is de natte droom van iedere hacker/cracker

Niet aan te raden dus!!!

Hier moet ik toch wel even op reageren:

1. Wat jij zegt is een variant van een standaard firewall, namelijk een SPI / ASA Firewall (Stateful Packet Inspection Firewall). Dit is iets wat enkel zwaardere enterprise en software firewalls doen (vooral ASA) dan. (Bv Checkpoint, Pix, ISA Server ...)
2. ACL's zijn een uitbreiding (software) op SPI/ASA
3. Een netwerk beschikt bijna altijd over een NAT router, probeer dat al maar eens te kraken ....
4. Checkpoint is vééééél te duur :p En veel te moeilijk te beheren vind ik, geef mij maar Cisco PIX of Nokia
5.Een software firewall is (wanneer goed beheert, en zonder bugs) bijna (even) veilig(er) dan een hardware firewall. Een hardware firewall kan namelijk niet op applicatie niveau beveiligen, wat een software firewall dus wel kan (bv ISA). Ook is reverse proxy een functie wat weinig(geen?) hardware firewalls bevatten.

Grtz,
X

PS: Dit gezegd zijnde (punt5) ben ik zelf wel voorstander van hardware firewalls. Vooral omdat deze altijd makkellijker te beheren zijn en niet (minder) afhankelijk zijn van OS problemen. Ook is failover en routing veel interessanter en kan er door een dedicated firewall/router meer traffiek door, dan door een std PC/Server met PCI sloten.



PS:

[netdata]

1. Wat jij zegt is een variant van een standaard firewall, namelijk een SPI / ASA Firewall (Stateful Packet Inspection Firewall). Dit is iets wat enkel zwaardere enterprise en software firewalls doen (vooral ASA) dan. (Bv Checkpoint, Pix, ISA Server ...)

Ja idd dat is correct.
In die wereld kom je ook alleen maar zulke firewalls tegen.
heb je er ook al eens bij stilgestaand dat linux met IPtabels
ook die SPI/ASA functie heeft.

3. Een netwerk beschikt bijna altijd over een NAT router, probeer dat al maar eens te kraken ....

Volledig mee eens...

4. Checkpoint is vééééél te duur En veel te moeilijk te beheren vind ik, geef mij maar Cisco PIX of Nokia

persoonlijk vind ik dat checkpoint een zeeer goede management tool heeft.
Vooral ook leuk (weet geen andere firewall die dit kan) clients kan je uitrusten met securemote/secure client. Een persoonlijke (software) firewall + VPN de rule set van deze firewall komen van de Checkpoint management Server.

5.Een software firewall is (wanneer goed beheert, en zonder bugs) bijna (even) veilig(er) dan een hardware firewall. Een hardware firewall kan namelijk niet op applicatie niveau beveiligen, wat een software firewall dus wel kan (bv ISA). Ook is reverse proxy een functie wat weinig(geen?) hardware firewalls bevatten.

jep vandaar dikwijls in combinatie gebruik.