Zum Thema beenden: Jede Software, die auf dem Hostsystem installiert ist, lässt sich beenden, bei PFs reichts dabei meistens ein billiges Script wie z.B. dieses hier.
Auch NIS lässt sich beenden, denn Malware hat nicht gerade die Eigenschaft, nur das zu machen, was Anwendungsprogramme dürfen
Kapierts du das denn nicht? NIS läuft auf Admin-Level, und wenn der User als "eingeschränkt" definiert ist, dann kann er keine Tasks auf Adminlevel killen. Diese Einschränkung vererbt sich auch auf alle Programme, die er starten und ausführt. Die Einschränkung werden selbst von der Kernel durchgesetzt, weshalb dein nettes Script mit TerminateProcess selbst bei ZoneAlarm einfach nicht durchkommen kann.
WinNT ist prinzipiell als absolut sicher konzipiert, einzug und allein lasche Benutzereinstellungen sind die Gefahr. Guckst du mal im Netz nach C2-Security. Und auch mal, was bei der C2-Zertifzierung von NT 4 rausgekommen ist: mit eingeschränktem Benutzer und IPSEC perfekt C2-konform.
Der Hauptfehler, dass das Argument mit dem Umgehen der Software nämlich funzt, ist ja genau, dass dass kaum jemand mit eingeschränkten Rechten Surft wird das ganze noch einfacher.
Und auch dass das Beenden zum Zusammenbruch der Verbindung führt, ist kein besonders gutes Argument, wenn man auf die Art RATs bekämpfen will, kann man auch gleich den Stecker ziehen
Es geht ja gerade darum, dass eine DTF so konzipiert ist, dass sie direkt zwischen Anwendungs- und Netzwerkschicht sitzt und somit nicht umgegangen werden kann. Sorry, aber solche Billig-DTFs wie ZoneAlarm arbeiten nur parallel zu den Anwendungen, und kann daher umgangen werden. Einen Transport-Layer hingegen kann man schlecht umgehen.
. Die Möglichkeiten dafür reichen von einfachen exploits (jede Software hat nun einmal Bugs)
Und auch dass die Software angeblich fehlerbehafteter sei, ist eher ein Argument gegen HWFs. DTFs lassen sich problemlos aktualisieren. Wenn ich dagegen daran denke, wie in meinem Router 'n kleines Linux-System läuft, das aus mindestens 50 Teilkomponenten besteht, von denen alle Woche 3 aktualisiert werden sollten, und ich aber dazu verdammt bin, Monate zu warten, bis der Hersteller mittlerweile schon wieder veraltete Version zu 'ner neuen Firmware zusammengebastelt hat, könnte ich kotzen.
über Tunneln
Wenn ich den Netzwerkzugang nicht zulasse, kann man auch durch nichts tunneln. Und auch die Weitergabe von Informationen z.B. über HTTP-Requests im Browser lässt sich über eine Tasklaunch-Verfolgung problemlos erkennen.
oder den Mißbrauch harmloser Programme
Schon mal was von Modul-Whitlists, Task-Analyzer und MD5-Checksummen gehört? Ersteres wurde leider erst sehr spät in DTFs ordentlich implementiert...
hin zu Spezialitäten wie der Benutzung eines eigenen protocol stacks
Für eigene Protokollstacks musst du zwar keine Treiber installieren, wie das von diversen DTF-Herstellern gehauptet wird, aber mindestens einen VXD-Treiber laden - und genau das ist dir schon als eingschränkter Benutzer auch verwehrt. Da kannst du alle Sourcen von Protocol Stacks mal abklappern...
Außerdem habe ich so das Gefühl, dass du gar nicht verstehst, wozu DTFs und auch HWFs da sind:
1. Um dich vor möglichen und noch nicht entdeckten Lücken in deinem System zu schützen (z.B. blockierte ich instinktiv RPC, und in letzterer Zeit hat es sich ja als fehlerbehaftet herausgestellt).
2. DTFs, um applikationsspezifische Regel durchzusetzen. Z.B. habe ich es zwar gern, wenn mein Browser auf Remote Port 80 zugreifen kann, aber z.B. Kazaa soll das nicht dürfen. Mit HWFs kann ich Port nur entweder sperren (dann kann ich nicht mehr surfen) oder freigeben (dann macht Kazaa wiederum Mist). Mit DTFs kann ich für den Browser zulassen und für Kazaa blockieren.
3. Um IDS- und IPS-Systeme direkt an die Firewall anzukoppeln.
Wer den Herstellern glauben schenkt, was DTFs ihm alles nützen, muss doch auch besch***** in der Birne sein.
Rika
