Hvordan kommer man forbi Zonealarm 2.6 ??

Langbein>> Det er en meget interessant diskution, som vil være meget spændende at gå i dybden med. Jeg må dog beklage at den, i mine øjne, ikke hører hjemme her på eksperten, da den kan bruges til skadelige formål. Der har tidligere været spørgsmål oppe om f.eks. hvordan man laver virus. Disse blev lukket, da de kunne bruges i ondt øjemed, selvom det ikke var spørgers intention (han var blot nysgerrig og ville gerne lære noget om programmering). Vi ved desværre af erfaring at der er svage sjæle herinde på eksperten, som ikke vil bruge den slags viden konstruktivt. Jeg bliver derfor desværre nødt til at bede dig om at lukke spørgsmålet. Jeg håber at du forstår min argumentation.

Med ønsket om en glædelig jul og et godt nytår

FCS/Coadmin

Idet jeg er helt enig med fcs kan jeg fortælle dig at du vil få meget mere ud af at søge oplysningerne selv, det vil vise dig en masse ressourcesider og andre teknikker du har brug for, og opskriften er ikke svær at finde.

God fornøjelse, glædelig jul og godt nytår

Zone Alarm 2.6 er jo en utgått verjon av et gratis firewall program. Den nye versjon som ligger for nedlasting nå er jo versjon 3.x.
http://www.zonelabs.com/store/content/home.jsp

Denne boken inneholder en ganske glimrende oversikt over forskjellige hacker teknikker: http://www.hackingexposed.com

Det man først og fremst kan få ut av en slik bok det er slik som jeg ser det de kunnskaper som er nødvendig for å gjennomføre de sikkerhetstiltak som er nødvendig for et internettilkoplet nettverk, server eller arbeidsstasjon.

Jeg noterer meg at det er en forskjell i oppfattelsen av den grad av sikkerhet som beskrives i denne boken vedrørende bruken av Zone Alarm kontra det som  gjennomgående beskrives her på eksperten.

Det ville eventuelt være uheldig derom det eneste tillatte synspunkt skulle være at Zone Alarm ikke gir sikkerhet mens det objektive riktige forhold er at den gir det. Jeg vet i skrivende stund ikke om de opplysninger som kommer fram her om Zone alarm er riktige eller ikke.

Jeg aksepterer prinsippet om at det ikke er tillatt å legge ut opplysninger om hvordan man eventuelt kommer forbi Zone alarm og jeg vil heller ikke legge ut slike opplysninger. Der i mot så ønsker jeg å undersøke påsatanden om at det er lett å komme forbi Zone Alarm.

Vil lukke spørsmålet når påstanden om at det er lett å komme forbi Zone Alarm er bekreftet eller avkreftet, som sagt dog uten eventuelt opplysninger om hvordan.

Rettelse av spørsmålets hovedoverskrift:

ER DET NOEN HER PÅ EKSPERTEN SOM KAN BEKREFTE ELLER AVKREFTE DE OPPLYSNINGER SOM FRAMSETTES HER PÅ EKSPERTEN OM ZONE ALARM OG LIKNENDE PERSONAL FIREWALLS ER LETTE Å DEAKTIVISERE ELLER Å GÅ FORBI FOR EN INNTRENGER ??

Formålet med å skaffe klarhet i dette er for bedre å kunne vurdere å forstå hvilken eventuelle forbedringer i sikkerhet man kan oppnå ved å bruke personal firewalls i tillegg til en tradisjonell "bastion firewall" forran inngangen til LAN.

Under forudsætning af at intet materiale der kan anvendes i ond tro, offentliggøres i dette spørgsmål, vil jeg lade dette interessante spørgsmål fortsætte ;-)

Steve Gibson har lavet følgende test og den tyder jo på at ZA ikke er hullet: http://grc.com/lt/scoreboard.htm

Ydermere ser det ud til at ZA klarer sig godt her: http://grc.com/lt/howtouse.htm

Takker for info og "sportslig innstilling" !!

Min foreløpige konklusjon vedrørende Zone Alarm 2.6, etter litt scanning og testing på mitt interne nettverk det er at dette meget enkle og lille firewall programmet gir en forbausende høy grad av inntregningssikkerhet.

Dessuten så skiver den en logg under angrep eller scanning som er ganske informativ.

Dersom det i realiteten skulle vise seg at et slik ekstra sikkerhetsbariere er av reel praktisk verdi så er det da dumt å ikke vite det !!

En (personel) firewall er aldrig mere sikkert end det Operativ System der ligger under.

Påstanden skal ses i forhold til en generel model af arkitekturen, hvor en firewall er et bruger program.

    Hardware <--> Operativ System <--> Bruger programmer

Man kan så implementere en firewall således den bliver en del af Operativ Systemet, ved f.eks. at fungere før Operativ Systemets TCP/IP stack, altså:

    Netværk <--> Adapter <--> Firewall <--> Operativ System TCP/IP <--> Bruger programmer


En (personel) firewall er et stykke software, der ligesom alt andet software, som kan have huller (bugs). Hvis man finder eller kender disse bugs så kan man muligvis bypasse software.

Jeg kender ikke til implementeringen af de omtalte firewalls men vil påstå at 100% fejlfri software er utopi. Hvis man følger med i "changes.txt" filerne til diverse programmer vil man observere at når nye features implementeres vil der også opstå nye bugs. Rettelse af disse bugs vil muligvis føre til nye bugs.

Jeg vil betegne en firewall som et værktøj til at holde størstedelen af hackerene ude, hvor størstedelen er dem med forholdsvis mindst viden - altså scriptkids (eller hvad de nu hedder). Det er lidt det samme som at luge ukrudt i haven - lige meget hvor meget man gør sig umage med at fjerne ukrudt, så kommer det igen - det er kun et spørgsmål om tid ("en firewall luger ukrudt" - var pointen :-)

soreno -> takker for interesante opplysninger/betrakninger !

Akkurat slik vedrørende implementeringen av firewall i forhold til kernel tenkte jeg også før jeg gikk i gang med uttestingen av Zone Alarm.

Tanken var om lag som følger: I Linux så er firewall implementert som en del av kernel. Dette legger i utgangspunktet forholdene til rette for en høy grad av sikkerhet. Videre så teknkte jeg noe slikt som: Zone Alarm, det er jo ikke noe annet enn et applikasjonsprogram under windows, det er jo ikke en gang en del av kernel, det fungerer som en slags tillegsmodul utenfor kernel, og i en slik driftssituasjon så kan en firewall aldri bli sikrere enn det operativsystem som ligger under.

Dette var før testing.

Ved scanning/testing så viser det seg imidlertid at en Windows ME (i idle) med Zone Alarn 2.6 installert og sikkerheten satt til "høy" er så langt jeg har kunnet teste til nå 100 % tett. Da er det heller ikke noe man kan "gripe fatt i" for å kunne komme inn.

Uten Zone Alarm kjørende så viser Windows Milenium seg å ha flere "leaks" som det skulle være mulig å jobbe med for intregning. Med Zone Alarm 2.6 kjørende så er disse, ellers ved scanning godt synlige leaks, tettet igjen.

Vil jobbe videre med saken for å fosøke å finne svakheter.

Foreløpig arbeidshypotese: I kombinasjon med et ADSL modem med NAT så gir Zone Alarm 2.6 en rimelig god sikkeerhet, forutsatt rett konfigurering.

En annen problemstilling:

Mange av de adsl modems/routers/firewall som leveres er jo satt opp default med begrensninger i trafikken inn, men ingen begrensning i trafikken ut. Dette vil da, hvis tingene er konfigurert slik, medføre at man i utgangspunktet til en viss grad kan være ubeskyttet mot trojanske hester og liknende programmer.
(Bruker man en NAT basert tilkopling så kan man vel allikevell ha en viss grad av slik beskyttelse ??)

Når man kjører med Zone Alarm 2.6 installert på en s windows arbeidsstasjon så vil man jo i praksis hurtig kunne få en varsel om at man har en trojaner på plass, ettersom Zone Alarm lett kan konfigureres til å filtrere og gi alarm i forhold til både inngående og utgående trafikk.

http://www.epinions.com/cmd-review-363D-C2231B1-39A54FE8-prod6

http://www.epinions.com/cmsw-Utilities-All-Zone_Alarm/display_~reviews

Når det gjelder prinsippet om at en firewall ikke kan være sikkrere enn det underliggende operativsystem, så er jeg ikke sikker på at dette er rett, dersom firewall er satt opp på en slik måte at en inntrenger aldri kan komme i kontakt med det underliggende operativsystem, slik som tilfellet ser ut å være for Zone Alarm 2.6 (Når det gjelder inntrengere utenfra.)

Når det der i mot gjelder problemstillingen hva man kan gjøre ved hjelp av en trojansk hest om allerede er plassert inne på PC og inne på operativsystemet bak firewall så blir vel problemstillingen en annen.

Her kan det nok tenkes at Zone Alarm har svakheter, men dette gjelder vel bare trafikken ut og ikke trafikken inn. Ellers så er det jo mulig å konfigurere/stille inn Zone Alarm slik at man får varsel uansett, dersom man har mistanke om trojansk hest.

http://tooleaky.zensoft.com/

NOTE: forsiktig med å kjøre *.exe filene. Man vet ikke ..

http://www.nwfusion.com/net.worker/reviews/2002/0408zonereview.html

http://www.pcflank.com/art21.htm

Det ser ut til å kunne finnes noen mere eller hypotetsike eller praktiske problemstillinger vedrørende trojanske hester og utgående trafikk. Dette skulle imidlertid ha lite å gjøre med den praktiske sikkerhet i forhold til inngående trafikk:
http://www.broadbandreports.com/forum/remark,288028~root=security,1~mode=flat

http://www.dslreports.com/forum/remark,4909031~root=cable,opt~mode=flat

http://www.e-secure-db.us/dscgi/ds.py/View/Collection-307

En type angrep som zone alarm vil kunne tenkes å være utsatt for er såkalte dos angrep (overbelastning ved støm av inngående pakker) eller "syn flood" (selv om dette ikke er sikkert.) Her kan man vel teke seg at det finnes en sammenheng mellom sikkerhet/stabilitet til bakenforliggende operativsystem og firewall.

Dette vil vel normalt uansett ikke gi en inntrenger noen form for kontroll over den "angrepne maskin".

En internettforbindelse basert på NAT vil ellers "normalt" medføre at et dos angrep ikke når fram til sin "målmaskin". Det vil stanse allerede ved "nat barieren".

http://www.apcsnh.com/vacm/vacm081602.html

http://www.blocus-zone.com/modules/newbb/viewtopic.php?topic_id=110&forum=5

http://www.rotary1040.org/security.htm

http://www.melbpc.org.au/pcupdate/2205/2205article5.htm

http://www.unh.edu/computer-security/pfw.html

http://www.idg.net/english/crd_gibson_393683.html

Foreløpig konklusjon:

Etter å ha søkt litt på internett, bla Google under søkeordene "zone alarm security hole" så har jeg så langt ikke funnet noe som kan understøtte en påstand om at det er lett å komme forbi en Zone Alarm 2.6 firewall, når det gjelder inntregning ute fra internett og inn på PC eller PC på lan.

Neste steg i denne lille undersøkelsen: Vil forsøke/teste ut ulike scanne og inntregningsteknikker.

http://www.tbag.net/pr/eweek/default.asp

For ordens skyld: Linken over er i grunnen ikke noe annet enn nok en bekreftelse på at Zone Alarm 2,6 ikke har noen avdekkede svakheter med hensyn til inntregning utenfra. Det som står beskrevet gjelder jo det som gjelder for prinsippene rundt sikkerheten innenfra og ut mht trojanske hester. Synes ellers ikke disse opplysningene inneholder noe annet enn det som er en naturlig følge av Zone Alarms funksjon og virkemåte, når den fungerer slik som den skal. Synes sånnsett ikke at dette har karakter av noen "avslørt svakhet".

Her lidt info til denne intrassante debat

http://www.netguide.co.nz/useful_stuff/buy_guide/firewall/

Certifying firewalls
The ICSA (www.icsalabs.com), a division of TruSecure Corporation, is a worldwide leader in enterprise security certifications. In testing firewalls for certification, the ICSA looks for the:

ability to be installed by a non-expert user
ability to support Microsoft Networking capabilities while providing protection
ability to support concurrent dialup and LAN connectivity
ability to maintain consistent protection across multiple successive dialup connections
ability to block common external network attacks
ability to restrict outgoing network communication
ability to log events in a consistent and useful manner
It's worth noting that at the time of review only three personal firewalls had met these criteria:
McAfee Desktop Firewall - tested on Windows XP
Sygate Personal Firewall Pro - tested on Windows 2000 Professional
Norton Personal Firewall 2002 - tested on Windows XP

Takker for info. Det ble kanskje litt for mange innlegg fra meg, men forsøker å kartlegge og skaffe oversikt over disse problemstillingene. Vil forsøke med litt testing litt senere i kveld.

Har nå testet og scannet noen timer. (Scanner nmap i Linux, mål Win Mill med Zone Alarm.) Fragansmåter som beskrevet: http://www.hackingexposed.com )

Konklusjon:

Zone Alarm 2.6 gir en forbausende høy grad av sikkerhet ut fra det som jeg kan finne ut. Har brukt ordinære scanne metoder og stealth scan, men ingen ting er i stand til å trenge gjennom.

Når det hevdes at det finnes enkle metoder å komme forbi Zone Alarm for inntregning så er dette etter mitt syn feil. Det er ikke enkelt, eller så langt i det hele tat mulig, å komme gjennom gjennom et lab oppsett. (Syn/flood/dos angrep ikke testet.) Det finnes ingen enkle metoder beskrevet på internett som beskriver metoder for å trenge inn gjennom Zone Alarm 2.6 ut fra det som jeg kan finne ut, etter å ha bladd gjennom noen hundre sider om saken. De aller fleste opplysninger tyder tvert i mot på det motsatte.

Det finnes beskrevet visse svakheter eller "særegenheter" når det gjelder beskyttelsen mot såkalte trojanske hester, det vil si programmer som installeres av en tredje person som forberedelse for senere informasjonsinnsamling eller inntregning. Disse svakhetene er imidlertid av en slik art at de trojanske hester det er snakk om må være spesielt designet for å utnytte en særegenhet ved Zone Alarm for at denne svakheten skal komme til syne. (Den vanlige måten å filtrere utgående trafikk på er jo ved ipadresser/flag/portnummer og ikke ved programnavn.)

Når man vurderer i hvilken grad man skal legge vekt på denne svakheten så må også i denne sammenheng tas hensyn til hva man sammenlikner med.

Når jeg for eksempel sammenlikner med mitt Netopia adsl modem/router med innebygget firewall så forholder det seg for eksempel slik at den leveres default konfigurert slik at den aldrig filtrerer utgående trafikk. Dette er vel faktisk stadig vekk en "hardware firewall" ? For Zone Alarm 2.6 så er det altså slik at den under visse helt spesielle omstendigheter kan lures til å filtrere utgående trafikk feil.

Sammenlikner man med for eksempel Windows XP så er det vel også slik at den bare kan filtere inngående trafikk og slettes ikke utgående trafikk overhodet, om jeg da ikke husker feil.

Det som jo ellers er spesielt for Zone Alarm det er den utrolig enkle konfigureringen blandt annet med skyvekontroller der man kan sette sikkerhetsnivået.

Her kan man for eksempel sette arbeidsstasjonen til låst eller slik at den alltid vil spørre dersom operativsystemet får beskjed om å opprette en forbindelse til internet. På denne måten så vil Zone Alarm 2.6 kunne bidra til en nokså sikker avsløring av trojanske hester eller spyware programmer som forsøker å opprette forbindelser til Internett. Dette gjelder også i de situasjoner der man har å gjøre med trojanske hester eller spyware programmer som er spesielt designet for å utnytte svakhetene eller særegenhetene til Zone Alarm 2.6, forutsatt at man tar høyde for hva disse særegenhetene er. (At trojanske hester ol kan kamufleres ved å benytte filnavn som tilhører kjente og godkjente applikasjoner.) Stenger man av for eller requester godkjenning for også de "normalt godkjente programmene" så vil Zone Alarm 2.6 si fra i alle tilfeller. Dersom man for eksempel får beskjed en ettermiddag at Microsoft Explorer ønsker å gå ut på nettet og surfe på egne hånd uten at man har bedt den om det, så bør det være rimelig å tro at det dreier seg om en litt uvanlig situasjon.

Zone Alarm 2.6 er sikkert ikke et feilfritt program, men det later da til at den kan gjøre de mest setrale oppgavene den skal kunne gjøre i henhold til de spesifikasjoner og krav som gjelder.

For eksempel et kalkulatorprogram behøver vel ikke å være feilfritt. Det vil vel kunne finnes kopliserte regneopperasjoner der den regner noen desimaler feil. Til tross for de feil som måtte finnes, så vil det vel være å forvente at 2 x 2 vanligvis og i de fleste praktisk forekommende tilfeller blir 4 og ikke 5 eller 8 ??

Den største risko for aller firevaller det er vel kanskje rissikoen for feilkonfigurering ?? Spesielt for Zone Alarm 2.6 så er det vel for eksempel meget hurtig gjort å slå den av for så for eksempel å glemme å slå den på, eller man kan gjøre andre feil. Mon det ikke er brukeren selv som er den største trussel både for Zone Alarm 2.6 og mange andre firewalls også ? Man tror man har en firewall oppe og går, men man har det i virkeligheten ikke, eller den fungerer på en annen måte enn det som man trodde.

Mon det ikke er en god ide å lage alle firewall funsjoner med en slags dobbel sikerhets løsning når man er tilkoplet internett 24 timer i døgnet.

Mon ikke da også Zone Alarm 2.6 eller andre programmer av denne typen kan fungere som en meget nyttig og bra siste sikkerhetsbariere ut mot internett i tillegg til en annen extern firewall og dessuten også som en nyttig "alarminreting" i de tilfeller at den ytre firewall skulle svikte ??

Zone Alarm 2.6 er i all enkelhet et meget nyttig og fordelaktig gratis produkt som man godt kan benytte og som også medfører en rimelig grad av sikkerhetsforbedring dersom man selv ikke lager en feilkonfigurering.

Noen som er uenig i konklusjonen eller det øvrige ??

soreno -> Kan du være snill å legge et svar ! :-)

Eksperten, admin -> Dersom man skal kunne nå fram til rimelig gode og korekte løsninger for sikkerhet, så må man vel kunne diskutere problemer og grunner rundt mangel på sikkerhet ? Kan man diskutere det ene uten det annet ?

Vil man for eksempel kunne nå fram til en rett konklusjon om det er rett eller fornuftig å bruke et firewall program som foreksempel Zonealarm 2.6 uten at begge sider ved saken kommer frem ?? Vil det ikke da faktisk være en forutsetning at argument kan møte argument og at erfaring kan veies mot erfaring ??

Dersom "noen" for eksempel vet at det som jeg skriver her at Zone Alarm ser ut til å gi en forbedret sikkerhet, skulle de da ikke få lov til å fortelle det dersom de kjenner til en ganske glimrende og grei måte å hacke Zone Alarm på ?
Ville det ikke være rett at dette kom fram ??

Hvem andre enn den forholdsvis lille grupppe av hackere som eventuelt måtte kjenne til dette er det som har interesse av at disse opplysningene ikke kommer fram ?

Jeg takker ellers for bruken av spalteplass og det at jeg faktisk ikke ble sensurert - så langt - He, he .. :-)

Eksperten.dk er ellers et ganske utrolig glimrende påfunn !!

Ganske spændende læsning - alle dine indlæg :-)

Jeg vil foredle points sånn rimelig likt om litt. Lar spørsmålet stå et like stykke tid i håp om eventuelle videre kommentarer.

HALLO !! ER DET NOEN DER UTE SOM SITTER PÅ INFORMASJON OM ZONE ALARM 2.6 UT OVER DET SOM STÅR OVER ??!! KAN DERE EVENTUELT VÆRE SNILL Å LEGGE UT ET PAR ORD !!??

Langbein>> Som jeg skrev til dig i starten, vill jeg lukke diskutionen, hvis jeg vurderede at den gik over i at give "opskrifter" på hvordan man hackede. Det har den bestemt ikke gjort, men er tværtimod blevet en af de mest informative og spændende tråde længe herinde. Derfor har den fået lov til at stå - der er jo ikke noget der kan "misbruges" heri. Du har fuldstændig ret i at man gennem gode diskutioner når frem til det bedste resultat. At diskutere mangler på sikkerhed er ikke det samme som at diskutere hvordan man udnytter den manglende sikkerhed og bryder igennem de sikkerhedsforanstaltninger der måtte være. Dette har du jo selv demonstreret på fornemste vis og derfor er spørgsmålet blevet stående.

Det er fint at begge sider af en sag bliver belyst og med den iver og faglighed du har gjort det her, kan det kun komme ekspertens brugere tilgode at læse dette spørgsmål, så brug bare videre af spaltepladsen, der er mere hvor den kommer fra ;-)

Glædelig jul og godt nytår

FCS/Coadmin

Jo, Godt Nytt år !

Dersom det hadde eksistert en eller flere enkle måter å komme forbi Zone Alarm 2.6 på, så ville jeg mene at det ville være en stor fordel om dette kom fram slik at folk kunne la være å bruke en gratis firewall med eventuelt en slik stor sikkerhetsmessig feil.

Etter å ha sjekket litt vedrørende saken så mener jeg at det må gå ann å trekke følgende konklusjon: DET FINNES INGEN KJENT METODE SOM MEDFØRER AT MAN PÅ EN ENKEL MÅTE KAN PASSERE GJENNOM ZONE ALARM FIREWALL NÅR DET GJELDER TRAFIKKRETNING INN FRA INTERNETT OG INN PÅ DEN MASKIN SOM ER BESKYTTET AV ZONE ALARM 2.6 I ET FIREWALL OPPSETT BASERT PÅ DOBBEL FIREWALL SÅ KAN ZONEALARM 2.6 FUNGERE SOM ET NYTTIG TILLEGG TIL EN ANNEN EXTERN FIREWALL, UT MOT INTERNETT.

ZONE ALARM 2.6 ER ELLERS ET MEGET NYTTIG REDSKAP FOR FEILSØKING, DA DEN BÅDE KAN GI VARSEL OM TRAFIKK INNENFRA OG TRAFIKK UTENFRA SAMTIDIG SOM DEN SKRIVER MEGET INFORMATIVE LOGGER.

Men, jeg har visst allikevell løyet litt:

Zone Alarm 2.6 ser ut til å ha "normale" firewall egenskaper hva anngår inngående trafikk, dvs den sjekker portnummer i ip pakkenes packet header.

Når det der i mot dreier seg om trafikken ut så laget jeg følgende eksperiment:

Startet opp telnet klienten i Win Mil med Zone alarm 2.6.

Forsøkte først å starte den fra port 22. Zone alarm spør så om programmet telnet.exe får lov til å gå på nett. Svarer ja. Er der etter i stand til å gå ut på portnummer 25, portnummer 110 og portnummer 23, dvs alle porter jeg prøver via telnet.exe.

Konklusjon: Zone Alarm 2.6 utfører en reel firewall funksjon i forhold til inngående trafikk. I forhold til utgående trafikk så kan det se ut som om det hele er mer eller mindre en "fake". Det kan se ut som om Zone Alarm sjekker navnet på programmet som forsøker på å sette opp forbindelse ut, men ikke reelt hvilke porter og hvilken trafikk det dreier seg om.

Dette er også i samsvar med det som står beskrevet ute på nettet. Dersom man bruker Zone Alarm 2.6 så bør man være klar over denne begrensning. Firewall inn - men ikke reelt sett firewall ut.

Og en annen problemstilling som man også kanskje bør ta høyde for:

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=37786&sind=0

Gratis versionen af ZoneAlarm giver ikke mulighed for at begrænse hvilke porte hvert enkelt program må benytte. Hvis man vil have mulighed for at kontrollere dette, skal man købe Pro versionen af ZoneAlarm som har denne mulighed.