Outpost wirkungslos!?!, bei ausgehenden Applikationen blind? Einstellungen

[Gast_Kurt W_*]

Hallo maxos,

ich bin gestern als ich den Test gefahren habe auch erst ziemlich erschrocken, wie ich bemerkt habe, das Outpost plötzlich auch ohne Eintrag den Zugriff von Outlook Express erlaubt hat. Wenn das dann nämlich so wäre, könnte man die Komponentenkontrolle dann wirklich in die Tonne treten.

Wie sich dann ja rausgestellt hat, ist dem ja nicht so.

Jeder Programmier einer Software sieht es halt anders, wie Einträge, erste und zweite Instanz behandelt werden. Mir persönlich wäre es auch lieber, wenn auch solche Einträge unter Anwendungen aufgeführt werden, die "heimlich" den Zugriff von Outpost erhalten haben und natürlich demnach auch überwacht werden.

Gruß Kurt

[Sasser]

Nachdem ich 3 Tage NIS 2007 am laufen hatte, habe ich nun mal Avira PE u. wieder die Outpost installiert.

Die Outpost 4.0 in dem Sinn absolut jungfräulich, weil ich vor der NIS 2007 Installation sie vollständigst gelöscht hatte u. damit auch die alte Konfigurationsdatei.

Nach der Outpost Installation habe ich auf Pop ups hinsichtlich Anwendungen die Kontakt mit dem Internet aufnehmen gewartet bzw. zumindest auf einen kurzen Hinweis von der Agnitum Improvement Automatik hinsichtlich der Konfiguration bekannter Anwendungen.

IE
Maxthon
FF
Opera
Mail Notifier
Mail client
Softwareapplikation um Daten aus dem Netz zu holen

gestartet, aber nichts passierte, die Outpost schwieg.
Also in der Outpost unter Anwendungen reingeschaut u. alle oben gestarteten Programme ebenso nicht enthalten. Nur ein paar grunsätzliche Windows Sachen u.

ADMuncher, ein effizienter u. schneller systemweiter Werbeblocker, der gleich zu Beginn von der Outpost richtig gemeldet worden war.
Nun hatte ich schon eine Vermutung. Da sich ADMuncher automatisch zwischen das Internet u. der jeweiligen Software am PC setzt die Kontakt zum Netz aufnimmt, praktisch als interner Proxy am installierten Pc, dürfte die Outpost immer nur AdMuncher als Applikation die mit dem Internet kommunizieren will angesehen haben.

AdMuncher abgeschaltet u. alle obigen Anwendungen wieder gestartet.
Und siehe da Outpost meldet bei jeder einzelnen schön brav, dass sie ins Netz will bzw. bei bekannter Software erstellt die Improvenet Automatik einen Regelsatz. Nun sind auch alle wie vorgesehen unter Anwendungen mit einem Regelsatz eingetragen.

Aber, es kann doch nicht sein, dass die Outpost, der sogenannte König der Leaktests, wie ein Hilfsschüler versagt, wenn eben als erste Instanz zum Internet AdMuncher läuft u. die Daten intern an die Softwareanwendungen weitergibt die sie angefordert haben. Und eben diese Anwendungen nicht dem Benutzer meldet.
Es ist ja schon interessant, das AdMuncher scheinbar vor der Outpost die Daten aus dem Internet erhält , ein Praxistest mit zugeschalteten Werbeblocker der Outpost bestätigt dies.
Zuerst kommt AdMuncher an die Daten u. filtert sie, dann erst die Outpost die aber nun nichts mehr zum tun hat. Ist AdMuncher abgeschaltet, dann findet der Outpost Werbefilter was.
Schon ein starkes Stück, dass eine Firewall beim eingehenden Datenstrom so wie es sich darstellt nur zweiter ist u. zuerst eine andere Software am Notebook den erhält bzw. filtert.

Damit, stellt sich für mich die Sinnhaftigkeit dieser Softwarefirewall. Jetzt mal abgesehen davon, dass ich mit mobilen Notebook keine Hardwarefirewall nutzen kann, so erwarte ich mir von einer Softwarefirewall doch, dass sie mir die Anwendungen die raus wollen anzeigt.

Aber wie obiges Beispiel mit AdMuncher zeigt, könnte sich ja jeder Trojaner einfach auf den Weg machen u. Outpost würde nichts melden genauso wie sie es bei obigen guten u. teilweise gängigen Programmen gemacht hat.

Anmerkung, es geht aber auch anders. Hatte ja NIS 2007 ein paar Tage installiert gehabt. Die NIS wall hat auch zuerst mal AdMuncher erkannt u. konfiguriert.
Und danach trotzdem jede der obigen Kontakte der gestarteten Softwareanwendungen einzeln gemeldet bzw. konfiguriert u. dass noch im quasi lightmodus, d.h. ohne zugeschalteter Komponentenkontrolle.

So gesehen was ist los mit der hochgelobten Outpost, lässt die sich mit einem 1er Schmäh hinters Licht führen
Während die Konkurrenz, in dem Fall NIS firewall egal wie es jetzt abläuft jeden versuchten Aussenkontakt richtig erkennt u. meldet.

Wenn dem so ist, dann hat die Outpost ihre Berechtigung verloren, eine starke Instanz betreffend der Kontrolle von ausgehenden Daten u. Anwendungen zu sein.

mfg

Nimm das und schau mal nach den Google-Aussagen über den wirklichen König der Leak-tests
http://www.wintotal.de/Software/index.php?id=3242

[maxos]

Hatte die Comodo im August mal draufgemacht u. ein paar Tage laufen lassen.

Habe das hier aber im Comodo firewall thread schon erwähnt.

Ist interessant, aber vom Handling her, schon noch ein Stück hinter der Outpost.


mfg

[Voyager]

König der Leaktests hin oder her , ich kenne genügend User Posts wo sich die Nutzer über komplizierte Firewallmeldungen sehr empöhren , auch wenn sie garnicht auf das jeweilige beschriebene Programm zutreffen.
" permanent nervige Meldungen (Firewall wird konfiguriert oder weiss-nicht-was)"
Ob man dann überhaupt solche Firewalls wie auf Wintotal empfehlen kann, wo bei jedem Netzwerkfähigen Programm etwas aufpoppt, wage ich zu bezweifeln.

[maxos]

Hallo maxos,

nun bin ich mit dem Test durch und habe dabei was erstaunliches festgestellt.

Outpost lässt sich nicht überlisten, nur wird das E-Mail Programm aus irgend einen Grund nicht mehr unter Anwendungen aufgeführt.

Ich habe Outlook Express aus der Liste der Anwendungen entfernt und dann eine E-Mail abgeholt. Und was soll ich sagen Outpost hat sich nicht gemeldet.
Der Zugriff erfolgte ohne das Outlook unter Anwendungen aufgeführt wurde.

So dachte ich mir, setze ich halt die Outlook Express.exe mal auf blockiert, wenn Outpost das Programm nicht erkennt dürfte dann hier auch nichts passieren. Fehlanzeige, als ich Outpost unter blockiert eingetragen habe war Schluss mit abholen von E-Mails. Also wurde Outlook Express weiterhin überwacht obwohl dieses nicht mehr unter Anwendungen eingetragen war.

Gruß Kurt

Hallo, hole den thread u. deine Aussage nochmal hervor.
Es könnte schon sein, dass sich die Outpost durch den Avira mail guard tunneln lässt.
Sie, meldet zwar wenn du Outlook auf blockieren setzt, aber was ist wenn Outlook nicht blockiert wird.
Nimm mal Outlook aus den Anwendungen raus, u. zwar so, dass nicht Outpost typisch automatisch wieder eingetragen wird, weil sie das schon mal war.
Um dies zu erreichen, sezte ich immer zuerst für die Anwendung jede Regel auf melden, übernehme die geänderten Regeln u. dann ok. Schliesse das Outpost Fenster, öffne es wieder u. lösche diese Softwareapplikationsanwendung.

Denn wenn man nun mails abholt, schätze ich mal, dass dies ohne gülter Anwendungsregel für Outlook bei dir von statten gehen wird.
Wenn nun ein dir unbekanntes Schadproramm, dass du dementsprechend ja nicht vorsorglich bereits im Vorfeld als blockiert eintragen kannst, z.b. über den port 110 den der avira mailguard ja an sich reisst ins Internet will oder was abholt, so wird er das unbehelligt ohne gültige Anwendungsregel schaffen, da dies ja über die mailguard Regel für Outpost gedeckt erscheint.

Sowas könnte man voraussichtlich nur durch den Processmonitor bzw. dll Kontroll erkennen, das da eine fremde Anwendung tätig wird.

mfg

Der Beitrag wurde von maxos bearbeitet: 26.12.2006, 12:57

[Gast_Kurt W_*]

Nimm mal Outlook aus den Anwendungen raus, u. zwar so, dass nicht Outpost typisch automatisch wieder eingetragen wird, weil sie das schon mal war.
Um dies zu erreichen, sezte ich immer zuerst für die Anwendung jede Regel auf melden, übernehme die geänderten Regeln u. dann ok. Schliesse das Outpost Fenster, öffne es wieder u. lösche diese Softwareapplikationsanwendung.

Hallo maxos,

Also bei mir funktioniert das so nicht bzw. habe ich vielleicht was falsch verstanden?

Unter Anwendungen sind bei mir im Outlook Express 7 Regeln festgelegt, wenn ich hier nun versuche eine davon auf „melden“ zu setzen funktioniert das nicht. Ich bekomme nur ein Fester angezeigt, das mir sagt ich kann nur zulassen oder blockieren auswählen.

Gruß Kurt

[maxos]

Puh, habe jetzt die Outpost gegenwärtig nicht installiert u. verwende ja ansonsten thunderbird bzw. habe noch Outlook 2003 auf der Platte.

Schau mal bei anderen Anwendungen, da wird es die Melden Option sicher geben.
Vielleicht bei Outlook Express bei dir durch die vordefinierte Regelerstellung Melden nicht möglich.

Wie gesagt, ist nicht so wichtig.
Für mich hätte ich über diesen kleinen Umweg herausgefunden, dass eben einmal definierte Regeln für eine Anwendung, nicht ungefragt wieder aufleben wenn die Anwendung wieder mal rauswill u. ich sie vorher aus den Anwendungsregeln gelöscht hatte.

So richtig, sinnvoll hatte ich diese sogenannte Hilfserinnerungsfunktion nie gehalten.
Denn wenn ich eine Anwendungsregel lösche, dann heisst das nunmal sie soll endgültig weg sein.

mfg

[maxos]

So, letzte Unklarheiten beseitigt u. Outpost ist damit rehabilitiert.
Irgendwie kam es mir ja immer komisch vor, dass die hochspezialisierte Outpost ausgerechnet bei der Anwendungskontrolle was nicht erkennt, worauf aber die eine oder andere firewall sehr wohl hinweist.

Da ich mich in den letzten Tagen etwas mit firewalls u. Regeln beschäftigt habe u. dementsprechend auch die Funktionsweisen u. Reaktionen genau verglichen habe ist es klar.
Mit der NIS wall auf jedes mal händisch konfigurieren eingestellt klärte sich dies auf.

Outpost ist out of the box so designed, dass sie den Benutzer nur auf Anwendungen hinweist, die wirklich raus ins Internet wollen. Mit internem Netzwerkverkehr belastet sie einen nicht, was es einem einfach macht beim treffen der richtigen Entscheidungen. Noch dazu bequem on the fly ermöglicht, gleich port u. IP Adresse, falls man will festzulegen.
Auch muss man nicht überlegen, warum eine Anwendung ausgerechnet Serverrechte haben will.
Weil sie eben bei Programmen die nur PC interne Serverrechte benötigen gar nicht diese erst zur Abfrage bringt.

Ich wunderte mich z.b. bei Zone Alarm warum die anbmServ.exe, ein Acer Notebookprogramm, das z.b. Energiestatusmanagement der Batterie usw. regelt, nach Bestätigung der Ordnungsmässigkeit der Anwendung, diese Anwendung gleich automatisch volle Internetrechte u. Internetserverrechte erhielt.
Habe dann in der Programmaske nacharbeiten müssen u. obige Rechte gesperrt u. alles lief. Weil sie ja nur intern am Notebook diese Rechte braucht.

Gleiches Spiel mit der NIS wall, die gleich detaillierter zeigt was das Progi will u. auf welchen ports es aktiv wird haben mir da die Gewissheit gebracht. Es wird eben nur der lokale port 2804 u. der Remote domain port 53 angesprochen.

Wenn nun ein Browser bei mir über AdMuncher rausgeht, dann wunderte ich mir immer, warum dies Outpost ohne Anwendungsregel zulässt, aber eben z.B. die ZA od. NIS wall hier sehr wohl nach einer Anwenderregel schreien.
Anhand einer händischen Regelerstellung mit der NIS konnte ich feststellen, dass ich dabei nur interne Netzwerkverkehrsregeln erstellen musste.

Da die Outpost aufgrund ihrer allgemeinen Regeln einem damit nicht belästigt, weil sie eben dafür vorkonfiguriert ist, und die Auseinandersetzung mit PC internem Netzwerkverkehr ja wirklich nur eine Fleissaufgabe für Spezialisten darstellt, so kommt dementsprechend auch kein Pop up um eine Anwenderregel zu erstellen.

Finde ich sehr smart, da man eben nur selber eine Anwenderregel erstellen muss, wenn ein Programm wirklich ins Internet raus will.

Alles in allem wieder was hinsichtlich der etwas unterschiedlichen Vorgangsweisen von firewalls, wenn sie scharf gestellt sind, gelernt und Outpost ist damit auch in dem Bereich nicht nur absolut zuverlässig sondern auch benutzerfreundlich.

Der Beitrag wurde von maxos bearbeitet: 29.12.2006, 17:05

[Gast_Jens1962_*]

Outpost ist damit auch in dem Bereich nicht nur absolut zuverlässig sondern auch benutzerfreundlich.

Gut, dann nenne ich mich mich mich mal TrojanX, hänge mich an Deinen nicht überwachten Browser an und verlasse völlig unbemerkt mit Hilfe des Browsers über den erlaubten AdMuncher Deinen Rechner - wirklich sehr freundlich von der Firewall. Diese blöde Norton-Wall hat mich immer erwischt...

Gruß Jens

[Gast_Dylan_*]

Diese blöde Norton-Wall hat mich immer erwischt...

Ja,das war schon immer ein "Nachteil" der blöden Norton Wall...da kann man einfach nichts unbemerkt machen...

Der Beitrag wurde von Dylan bearbeitet: 29.12.2006, 17:31

[Gast_Kurt W_*]

Jens ich glaube da hast du etwas falsch verstanden.

Outpost wird selbstverständlich, egal ob Browser oder AdMuncher bei veränderten Dateien die ja nun mal von einem Trojaner vorgenommen werden den Traffic nach außen nicht zulassen.

Was maxos nunmehr festgestellt hat ist doch in Prinzip nur eines, das Outpost für Netzinterne Freigaben, so z.B. für den Firfox der eine lokale Adresse hier z.b. „Loopback“ anspricht keine externe Regel fordert oder bestätigt haben will. Ist ja auch nicht notwendig, da hiermit kein ausgehender Datenverkehr stattfindet.

Gruß Kurt

[Gast_Jens1962_*]

Jens ich glaube da hast du etwas falsch verstanden.

So, wie das beschrieben wurde, habe ich das schon richtig verstanden. Ich hänge mich intern an den (von mir aus) Firefox und der nimmt mich Huckepack mit. Sollte eigentlich funktionieren.

Gruß Jens

[Gast_Kurt W_*]

So, wie das beschrieben wurde, habe ich das schon richtig verstanden. Ich hänge mich intern an den (von mir aus) Firefox und der nimmt mich Huckepack mit. Sollte eigentlich funktionieren.

Gruß Jens

Das würde sicherlich auch funktionieren, aber eben nur Lokal! Nicht ausgehend.

Der Beitrag wurde von Kurt W bearbeitet: 29.12.2006, 19:01

[maxos]

Das würde sicherlich auch funktionieren, aber eben nur Lokal! Nicht ausgehend.

So sehe ich das mittlerweile auch, und es ist auch so

Der Beitrag wurde von maxos bearbeitet: 29.12.2006, 21:41

[maxos]

Noch ein interessanter Nachtrag nicht direkt jetzt auf allfällige Injektions usw. bezogen sondern einfach auf den Aspekt inwieweit ports von aussen her geschlossen sind.

AdMuncher verwendet PC netzintern die ports 1101-1107 um mit den Browsern zu kommunizieren.
Dazu habe ich noch die bereits im Vorposting beschriebene anbmServ.exe, ein Acer Notebookprogramm, das z.b. Energiestatusmanagement der Batterie usw. regelt. Diese kommuniziert PC netztintern über den port 2804.

Test bei
https://www.grc.com/x/ne.dll?bh0bkyd2
und
http://www.port-scan.de/index2.php

mit händisch restriktiven Firewall Einstellungen solange probiert bis die Minimumerlaubnis Konfiguration feststand, dass die Anwendungen am Noti gerade noch wie bestimmt u. vorgesehen laufen.

Jeweils saubere Installationen u. Deinstallationen der jeweiligen Sicherheitssoftware lagen natürlich vor.

Mit der NIS wall:
1)port 1038 u. 1054 closed u. nicht stealth. Gut, das mit dem stealth ist ja mehr eine Marketingfrage, so gesehen dicht ist dicht.

2) port 1101-1107 lt. Tests offen !
3) port 2804 offen !

Test mit der Outpost:
1) port 1038 u. 1054 stealth
2) port 1101-1107 stealth
3) port 2804 stealth

Wie auch immer das jetzt zu interpretieren ist, ich fühle mich damit mit der Outpost einfach wohler.

Der Beitrag wurde von maxos bearbeitet: 29.12.2006, 22:21