View previous topic :: View next topic |
Author |
Message |
SarahS93 l33t
Joined: 21 Nov 2013 Posts: 693
|
Posted: Sun Oct 04, 2015 6:42 am Post subject: Wie erkennen und kontrolle darüber haben wenn ein Programm.. |
|
|
Wie erkennen und kontrolle darüber haben wenn ein Programm sich in das Internet verbinden möchte?
Unter Windows war das viel schlimmer gewesen, da gab es dann so Programm wie z.B. Kerio/sunbelt Firewall.
Das Programm poppte mit einem Fenster auf "Programm XYZ" will sich zu IP und Port ... verbinden, erlauben / verweigern (wenn keine Regel definiert war)
Wie hat Unter Linux über soetwas kontrolle? |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Sun Oct 04, 2015 9:29 am Post subject: |
|
|
Auch, wenn das die Frage jetzt nicht direkt beantwortet:
Unter Linux weiß man ja zumeist, was ein Programm tut und warum, und wenn eines eine Internetverbindung herstellen will, dann möchte ich i. d. R. auch, dass es das tut … welchem oder welchen Programm(en) traust du denn nicht? Im Zweifelsfall gilt das Open-Source-Prinzip: schau doch einfach in den Quellcode ;-)
Ansonsten kann man z. B. mit Wireshark allen Traffic eines Netzwerkgerätes monitoren, da sieht man dann exakt, was passiert, wenn man das will. Eine windowsähnliche "Personal Firewall" (mit fragwürdigem Nutzen) ist mir persönlich jetzt nicht bekannt. |
|
Back to top |
|
|
Schattenschlag Apprentice
Joined: 18 Oct 2011 Posts: 184
|
Posted: Sun Oct 04, 2015 10:04 am Post subject: |
|
|
Viele Leute glauben ja das eine Firewall sie beim Internet surfen oder Email lesen schützen, ist aber ein Irrtum, denn kein Client-Programm kann aus dem Netz von Kriminellen direkt angegriffen werden.
Die bauen einfach eine Verbindung auf (TCP/IP) ... diese kann man zwar abhören als Bösewicht aber da bringt die Firewall dann auch nix.
Man kann sich mit netfilter-/iptables und dazu passenden Gui herumspielen wie I3u schon geschrieben hat "Wireshark" usw.. oder eben Quellcode angucken.
Hier noch was gefunden
https://wiki.ubuntuusers.de/personal_firewalls
http://www.linux-magazin.de/Ausgaben/2012/11/Firewall-GUIs
aber naja wie sinnvoll so was unter Linux ist muss jeder selber wissen. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Sun Oct 04, 2015 5:42 pm Post subject: |
|
|
Eine sog. "personal firewall" ist eine ausgesprochen schlechte Idee. Für die Gründe empfehle ich die Lektüre der exzellenten FAQ zu de.comp.security.firewall ("Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?"). Siehe auch in Wikipedia den Abschnitt "Personal Firewalls als Schutzmaßnahme" - im günstigsten Fall ist sie wenigstens nur nutzlos. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Sun Oct 04, 2015 5:50 pm Post subject: |
|
|
Trotz des vorherigen Postings möchte ich erwähnen, dass die Benutzer-IDs, mit denen ich normalerweise arbeite, bei mir bewusst mit iptables für die Kommunikation nach außen gesperrt sind. Dies hat allerdings nur den Grund, dass ich unter diesen IDs nicht versehentlich Kontakt mit dem Internet aufnehme: Für Letzteres habe ich eigene Benutzer mit weniger Privilegien eingerichtet. Einen "Schutz" gegen bösartige Software gibt es (prinzipiell) ohnehin nicht: Man muss selbst dafür Sorge tragen, sich keine solche zu installieren.
Und den bei Wikipedia genannten einzigen Vorteil von "Personal Firewalls" - nämlich das Loggen - kann man sich bei Bedarf ohnehin trivial mit iptables konfigurieren. Das ist allerdings nur sinnvoll, wenn man die logs auch liest und verwaltet! |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Wed Oct 07, 2015 2:47 am Post subject: |
|
|
Netstat kennst du? Nettop ist eventuell auch was du suchst. Wenn du ein rootkit hast ist das eh ein anderes Problem und man braucht schon intrusion detection Systeme zum Vergleich der Änderungen am System. Der wireshark Tipp ist auch nur so gut wie die Verbindung nicht verschlüsselt erfolgt oder sich an normales http hängt. Problematisch wird es wenn jemand padding von Paketen oder einen eigenen DNS-Server nutzt, oder sonstigen Proxy, der sich nicht an Systemvorgaben hält. Wie wenn mein Chromium zuerst prüft ob Google DNS geht und das nutzt und wenn nicht dann halt die resolve.conf usw. Sicher das Google das macht bin ich nicht. Mich würde es aber nicht wundern.
Ich kann deinen Wunsch verstehen, aber gerade weil Allways-https gefordert wird ist das... na ja eine Schattenseite. Im Quellcode sollte man das sehen oder indem man selber eine Men in the Middle-Attake auf eine https Verbindung zur Kontrolle und zum testen einbaut. Aber das ist Aufwand. URL-Pinning wird ja genutzt um MitM auszuschließen, letztlich ist das aber der Quellcode-Vorteil man kann dran schrauben testen und lesen.
Tunnel bauen und Informationen heraus tragen wird ja immer einfacher, besonders weil Mobiltelefone und deren Datenübertragung immer schneller und Kostengünstiger wird.. aber das ist eine ganz andere Problematik. |
|
Back to top |
|
|
|