also dann breite ich mal etwas aus:
die programme tiny, norton und co erstellen einen md5-hash-wert von programmen, die auf das internet zugreifen wollen. das ist schön und gut.
kommt also ein trojaner her und nistet sich im programm ein, so meldet tiny, das der md5-hash nciht mehr stimmt.
aber: ist der trojaner schon von anfang an im code/programm, so merkt tiny/norton/zone gar nichts, lässt also das programm ins netz :-(
soweit ich weiß bietet zone-alarm nicht mal eine port-überwachung an, also würde hier auch nichts abgeblockt werden.
ansich ist das ja noch vertretbar, da man sich ja die programme aus vertrauensvollen quellen besorgen kann und sich so sicher ist, dass die md5-hashe stimmen.
aber diese hashes werden nur von den programmen gemacht, nicht vom kernel ( systemkern des betriebssystemes) oder von system API/DLLs.
kommt also ein richtig böser trojaner an und modifiziert dieses quellen, so merkt die personal-firewall davon nichts.
nun kann das progamm andere programme beeinflussen und manipulieren und ALLE seine aktivitätetn verdecken, da alle daten "durch" den kernel/sys-apis gehen.
fragt zum beispiel tiny das system nach der md5-funktion, um den md5 wert von programm xy zu berechnen, so kann der trojaner eine modifizierte md5 funktion weitergeben, die einen vorherbestimmten wert ausspcukt und somit falsch ist.
oder noch besser: der trojaner korrumpiert die system-funktionen/programme des netzwerkes, z.b netstat und zwar so, dass bestimmt verbindungen nicht angezeigt werden. somit bekommt tiny/norton/zone nichts von diesen verbindungen mit und kann sie auch nicht blocken.
es gibt sogar rootkits/trojaner, die das system so modifizieren, dass man selbst wenn man davor sitzt ncihts mitbekommt von den vorgängen die ablaufen, da alle relevanten system-calls und programme modifiziert worden sind und somit auch kein task zb oder keine verbindung angezeigt wird.
insgesammt gesagt sind die personal-firewall einfach zu leicht zu manipulieren, weshalb sie sich nicht für produktiv-systeme eignen.
ein linux-packet filter wäre durch eine rootkit, dass den kernel modifiziert auch betroffen, aber durch den einsatz auf einer seperaten maschine und von cd wird das risiko minimiert abgesehen davon, dass ein linux packetfilter auch mehr kann als norton/zone/tiny.
er kann zum beispiel auch die header-bits der tcp-packete auswerten und untersucht teilweise also auch packete, die eigentlich verworfen werden müssten. portscanner ( gute) arbeiten oft mit solcehn packeten, da diese von der firewall nciht beachtet werden ( da sie annimmt, dass dieses packet ehe verworfen wird) kommt dieses packet durch und teilweise kommt ein response. gegen solche stealth-scans ist die personal-firewall machtlos.
hoffe, ich kommte hier einwenig deutlich machen, wie die personal-firewalls arbeiten und warum sie nicht wirklich effektiv sind.
für den privat mann reichts allemal, aber nicht fürs buisness
