ZoneAlarm vs. BitGuard

Hmmmm der er nok lige nemme, men jeg ville mene at bitguarden giver bedst sikkerhed. Den er ikke så udbredt, og dermed er den ikke så kendt af hackerne. Den implementeres som en service, og kan dermed ikke slåes fra. en afinstallation kræver genstart, og det opdager men normalt. Bitguarder ei det hele taget en spændende firewall

ja hvis man har 400,-

Hvad er egentlig forskellene på ZoneAlarm Pro og Gratis Versionen? - og hvad ville I vælge?

ingen af dem, zonealarm er simpelt hend for kendt og dermed for let at finde oplysninger om hvordan man omgår den. Hvis ikke det skal være bitguard, så er der tre personlige firewalls der har certificering, nemlig Nortons, mcafees og sygates, sidste er gratis og kan hentes fra www.sygate.com

Ja, men hvis i nu skulle vælge!? Pro eller Gratis versionen?

Altid pro versionen, du får mere for betalingsversionerne. Det kan f.eks. være øger funktionalitet, f.eks. bedre logging. Øget sikkerhed f.eks. stateful inspection eller oftere opdateringer og disse ting er meget værdifulde. Jeg er sikker på at du kan læse dig frem til hvad det er du får med pro versionen på zonealarms hjemmeside

Har valgt gratis versjonen av Zone Alarm 2.6 og bruker denne i tillegg til og bak en Hardware firewall. Anbefaler denne så absolutt. Den er enkel å bruke og den koster ikke en krone.

Det finnes ingen kjente måter å komme inn i en maskin som kjører Zone Alarm 2.6 fra utsiden, og scanning for sikkerhetshuller viser at den er tett.

Når det gjelder fra innsiden så finne det en teoretisk måte å åpne for trafikk ut, men denne måten er såpas teoretisk at i hvet fall ikke jeg bryr meg om denne "risikoen". Muligheten ligger i at trafikken ut begrenses ut i fra prosessnavnet. Hvis en trojan klarer å lage en kopi av seg selv so heter for eksempel IEXPLORE.EXE så vil den kunne ha en mulighet for å slippe gjennom med trafikk ut, altså hvis den benytter et godkjent navn. (men dette vil man vel normalt straks merke (??).)

Hos bitguard så skal man ha klart å løse dette problemet ved at hver enkelt godkjent prosess tildeles et prosessid til erstatning for prosessnavnet slik at en trojan ikke skal ha mulighet for å jukse med hensyn til å benytte samme prosessnavn som en godkjent prosess. Har aldri testet Bitgard men har lest om det.

Har aldri testet Pro versjonen av Zone Alarm men ut fra det som jeg har lest her på eksperten og andre steder så skal det finnes en del flere konfigureringsmuligheter bla for portåpning for serverfunksjoner.

Zone Alarm 2.6, faktisk den gamle gratisversjon skriver velidig bra logfil som det er lett å lese.

Hvilken firewall som bør velges det er ofte ikke et spørsmål for seg selv men man må heller se det som en del av den totale sikkerhetsproblematikk. Mange ADSL modemer med innebygget router har også en hardware firewall som kan aktiviseres/settes opp. Er det snakk om en personal firewall som skal kjøre som en nivå 2 firewall bak en hardware firewall så mener jeg at gratisversjonen av Zone Alarm 2.6 gjør en veldig bra jobb.

Teoretisk sett så skulle det vel også være mulig å lage en trojan som slår av Zonealarm, men har aldri sett noen dokumentasjon for at dette har skjedd i den praktiske virkelighet (??). Dette er jo også noe som man staks vil kunne observere, og hvis det eventuelt er snakk om en nivå 2 bariere bak en ruter/hardware firewall så er vel dette neppe noe praktisk problem.

Det har i hvert fall ikke skjedd hos meg eller noen annen jeg kjenner. Hadde skjedd et par ganger eller tre, så skulle jeg ha tenkt over saken.

Anbefaling: Gratisversjonen av Zone Alarm 2.6 (Med visse forbehold.)

Jeg har selv samme Zonealarm og har pt. ikke haft problemer så kan oz kun anbefale denne

Lrd.

ps. Dog kunne denne sygate da være spændende at prøve lidt :-) da jeg har hørt mange omtale denne godt

"Øget sikkerhed f.eks. stateful inspection"

Ville ikke tro at Zonealarm Pro eller andre (??) personal firewall benytter statefull inspection. Finnes det noen dokumentasjon eller link som viser dette ? Ville tro at "prosessbasert" firewalling og "statefull inspection" i realiteten er to konkurerende firewall design prinsipper og at de fleste personal firewalls er laget ut fra førstnevnte prinsipp, altså ingen "statefull inspection" (???), hverken for "ordinær" eller "pro". (???)

Fant en bra beskrivelse for bitguard her:
http://www.tryus.dk/BitGuardManual.pdf

ok, jeg vil prøve ZoneAlarm gratis versionen!....ihvertfald før jeg henter Pro

Dokumentasjonen for Bitguard sier at den er "proces orientert", se manualen side 7, dette vil si at firewallingen skjer ut fra en prosess id ikke for eksempel prinsippene for statefull inspection. De samme prinsipper som gjelder for Bitguarden gjelder vel stort sett også for Zonealarm gratis og pro.

Mon jeg heller ville ha betalt for Bitguard før Zonealarm pro ? I følge dokumentasjonen så skal de jo ha sikret seg mot falske prosessnavn via en prosessid og mulig teoretisk nedstegning ved at dette skal medføre at forbindelsen stenges ned automatisk (Ved nedsteging).

Har lest en del negativ omtale vedrørende de nyere verjoner av Zonealarm, så mon man bør holde seg til den den gamle 2.6 gratisversjon ?

hvad skulle der være i "vejen" med de nye versioner?

Jeg har læst et sted (husker ikke hvor præcist, mener det var microsoft technet) at den indbyggede firewall i XP har noget der minder om stateful inspection

Ja det minner jo, men om det er det det er jo også en definisjonssak.

Statefull inspection vil jo si evnen til å holde styr på "state controll" dvs at når en ip pakke paserer gjennom firewall så lukker firewall dynamisk opp for returtrafikken den motsatte vei vanligvis ved å lukke opp for avsenderporten som vanligvis vil være det samme som svarporten (men ikke for ftp.) Denne evnen til å lukke opp for porter dynamisk medfører at man kan "lage mindre hull" i firewallen ved konfigureringen på grunn av denne dynamiske evnen til å åpne for returtrafikk. Alternativet ved statless inspection det er å sette åpen en hel range av porter pga manglende evne til dynamisk åpning.

Firewall for XP har for så vidt til dels denne egenskapen, dvs den har det for utgående men ikke inngående trafikk. For XP firewall så virker dette for både TCP og UDP trafikken. For Windows 2000 så virker det bare for utgående trafikk og bare for TCP trafikken. Skal man for eksempel surfe på nettet via denne firewallen så må man åpne helt for UDP mens TCP kan kjøre "delvis statefull" dvs med åpning for returtrafikken.

Ser man på Linux sin terminologi så tilsvarer en Linux firewall der man har konfigurert vekk statefull inspection funksjonen og samtidig åpnet for utgående trafikk 100 % de funsjonene som finnes hos en XP firewall. Hos Linux så kaller man dette stateless inspection eller statisk konfigurering selv om man faktisk i noen grad holder styr på statecontroll likt det som skjer hos XP firewall.

Hos Linux, aktiviserer man statefull inspection så kan man også ivareta dynamisk åpning av returtrafikken fra serverfunksjonene. Eksempel: Man kan for eksempel ha en firewall som i utgangspunktet er helt lukket med unntak ap port 80, der slippes det inn trafikk. Webserver mottar på port 80 og svarer så tilbake for eksempel på port 2220. All utgående trafikk er i utgangspunktet stengt men firewall åpner port 2220 dynsmisk som følge av statefull inspection.

Det pussige med Linux det er jo at den egentlig fungerer ut fra prinsippet statefull inspection (??)(Hvis man kaller XP statefull inspection) den ene vei men ikke den annen når den kjører i static mode, mens den klarer full statefull begge veier når statefull inspection er aktivisert.

For statefull inspection så er det jo slik at man i utgangspunkter her en firewall som er helt stengt men som samtidig er åpen til å åpne en hvilken som helst port dersom den senser ritig type trafikk, dvs "state", trafikk den ene eller den annen vei pluss andre detaljer. Spørsmålet blir så: Kan man på noen måte lure statefull inspection ved å modifisere pakkene slik at firewall åpner dynamisk når den ikke skulle åpne ? Med riktig statefull inspection så skal firewall holde et komplett "arkiv" over all trafikk slik at den kotrollerer all trafikk mot tidlgere gjennomført komunikasjon. Ikke godt å si om Xp firewall eller Linux med "static inspection" virkelig gjør dette. Denne egenskapen ved "riktig statefull inspection" det medfører at den forbruker en del mere minne og prosessorkapasitet hvis statefull inspection er aktivisert (og ennå mye mere ved anvendelse av proxy funksjonene.)

"Statefull inspection" det kan vel egentlig være så mangt alt etter hva man nå legger i begrepet. I følge net-faq.dk så skulle det medføre en redusert sikkerhet i forhold til static inspection, men det tror jeg nå heller ikke er helt riktig. http://www.net-faq.dk/faq.pl?get=firewall Mener at det heller ikke er riktig at det skjer inspesjon av serier av pakker under ett.

Når det gjelder Zone Alarm:

Jeg vet ikke om dette lengere er relevant eller riktig, men jeg leste tidligere om mange som hadde opplevd nokså store kompabilitetsproblemer mellom den versjon av Zone Alarm som kom etter 2.6 og Windows XP. Vet ikke om dette er et problem fremdeles.

Tviler egentlig på at Windows XP og Linux i static mode virkelig gjennomfører den connection tracking statecontroll, dvs forløpende lagring og kontroll mot tidligere gjennomført trafikk, som det som vel er det egentlige kriteriet for "statefull inspection". En dynamisk åpning for returtrafikk for en workstation slik som det som finnes på XP (Og linx static mode) oppfyller vel egentlig neppe kriteriet for Statefull inspection (??)

Her er det visst noen som er enig med net-faq dk om at statefull inspection prinsippet medfører en redusert sikkerhet:

CERT issued a vulnerability report identifying most statefull inspection firewalls as being subject to denial of service attacks. Multiple vendor's firewall products that use state tables for session management are vulnerable the denial of service attack where a remote attacker could flood the firewall with packets that establish new sessions which are added to the state table faster than the old session information can be removed.
http://www.isi-fl.com/html/body_110202news.html

Det morsomme med firewalls det er jo at det skjelden dreier seg om sort eller hvit eller absolutte løsningen men en totallvurdering. Mener ellers at en enkel static hardwarefirewall in front of alle andre firewalls er en god ide.

Dette gjelder også i forhold til Zone alarm 2.6 o.l