Outpost wirkungslos!?!, bei ausgehenden Applikationen blind? Einstellungen

[maxos]

Nachdem ich 3 Tage NIS 2007 am laufen hatte, habe ich nun mal Avira PE u. wieder die Outpost installiert.

Die Outpost 4.0 in dem Sinn absolut jungfräulich, weil ich vor der NIS 2007 Installation sie vollständigst gelöscht hatte u. damit auch die alte Konfigurationsdatei.

Nach der Outpost Installation habe ich auf Pop ups hinsichtlich Anwendungen die Kontakt mit dem Internet aufnehmen gewartet bzw. zumindest auf einen kurzen Hinweis von der Agnitum Improvement Automatik hinsichtlich der Konfiguration bekannter Anwendungen.

IE
Maxthon
FF
Opera
Mail Notifier
Mail client
Softwareapplikation um Daten aus dem Netz zu holen

gestartet, aber nichts passierte, die Outpost schwieg.
Also in der Outpost unter Anwendungen reingeschaut u. alle oben gestarteten Programme ebenso nicht enthalten. Nur ein paar grunsätzliche Windows Sachen u.

ADMuncher, ein effizienter u. schneller systemweiter Werbeblocker, der gleich zu Beginn von der Outpost richtig gemeldet worden war.
Nun hatte ich schon eine Vermutung. Da sich ADMuncher automatisch zwischen das Internet u. der jeweiligen Software am PC setzt die Kontakt zum Netz aufnimmt, praktisch als interner Proxy am installierten Pc, dürfte die Outpost immer nur AdMuncher als Applikation die mit dem Internet kommunizieren will angesehen haben.

AdMuncher abgeschaltet u. alle obigen Anwendungen wieder gestartet.
Und siehe da Outpost meldet bei jeder einzelnen schön brav, dass sie ins Netz will bzw. bei bekannter Software erstellt die Improvenet Automatik einen Regelsatz. Nun sind auch alle wie vorgesehen unter Anwendungen mit einem Regelsatz eingetragen.

Aber, es kann doch nicht sein, dass die Outpost, der sogenannte König der Leaktests, wie ein Hilfsschüler versagt, wenn eben als erste Instanz zum Internet AdMuncher läuft u. die Daten intern an die Softwareanwendungen weitergibt die sie angefordert haben. Und eben diese Anwendungen nicht dem Benutzer meldet.
Es ist ja schon interessant, das AdMuncher scheinbar vor der Outpost die Daten aus dem Internet erhält , ein Praxistest mit zugeschalteten Werbeblocker der Outpost bestätigt dies.
Zuerst kommt AdMuncher an die Daten u. filtert sie, dann erst die Outpost die aber nun nichts mehr zum tun hat. Ist AdMuncher abgeschaltet, dann findet der Outpost Werbefilter was.
Schon ein starkes Stück, dass eine Firewall beim eingehenden Datenstrom so wie es sich darstellt nur zweiter ist u. zuerst eine andere Software am Notebook den erhält bzw. filtert.

Damit, stellt sich für mich die Sinnhaftigkeit dieser Softwarefirewall. Jetzt mal abgesehen davon, dass ich mit mobilen Notebook keine Hardwarefirewall nutzen kann, so erwarte ich mir von einer Softwarefirewall doch, dass sie mir die Anwendungen die raus wollen anzeigt.

Aber wie obiges Beispiel mit AdMuncher zeigt, könnte sich ja jeder Trojaner einfach auf den Weg machen u. Outpost würde nichts melden genauso wie sie es bei obigen guten u. teilweise gängigen Programmen gemacht hat.

Anmerkung, es geht aber auch anders. Hatte ja NIS 2007 ein paar Tage installiert gehabt. Die NIS wall hat auch zuerst mal AdMuncher erkannt u. konfiguriert.
Und danach trotzdem jede der obigen Kontakte der gestarteten Softwareanwendungen einzeln gemeldet bzw. konfiguriert u. dass noch im quasi lightmodus, d.h. ohne zugeschalteter Komponentenkontrolle.

So gesehen was ist los mit der hochgelobten Outpost, lässt die sich mit einem 1er Schmäh hinters Licht führen
Während die Konkurrenz, in dem Fall NIS firewall egal wie es jetzt abläuft jeden versuchten Aussenkontakt richtig erkennt u. meldet.

Wenn dem so ist, dann hat die Outpost ihre Berechtigung verloren, eine starke Instanz betreffend der Kontrolle von ausgehenden Daten u. Anwendungen zu sein.

mfg

Der Beitrag wurde von maxos bearbeitet: 22.11.2006, 07:36

[Gast_Scrapie_*]

Hi

Vielleicht

aktiviert?
Ansonsten = ?

Gruß,
Scrapie

[Kenshiro]

Moin Maxos,

wie sieht die Komponenteneinstellungen
Optionen -> Anwendungen -> Komponenten
Welches Level ist gesetzt??

[Caimbeul]

Das beunruihgt mich nun auch etwas, da der von Dir oben druchgeführte "Test" mit der Jetico 1.01.61 repdrouzierbar ist und ebenfalls zum Nichterkennen des Browsers bzw. der Software führt wenn AdMuncher läuft.

[Gast_Kurt W_*]

Hallo maxos,

ich sehe das etwas anders.

Vorausschicken möchte ich aber das ich AdMuncher nicht kenne.

Wenn du ein Programm, wie AdMuncher in Outpost die Freigabe erteilst, dann kann natürlich Outpost das Verhalten dieses Programms nicht beeinflussen. Das wäre genau so, als wenn du einen Trojaner eine Freigabe gibst und dieser dann munter schalten und walten kann.

Wenn das wirklich so sein sollte, das AdMuncher "unbemerkt" als erstes die Daten erhält und auch den IE oder den FF starten kann, dann muss das "normalerweise" unter Anwendungen von AdMuncher aufgeführt sein.

Schau da mal nach, da müsste unter Eigenschaften von AdMuncher eine größere Liste von Zugriffs Regeln sein die du erlaubt hast, unter anderem, das AdMuncher den IE oder FF Starten darf. Wen dem so ist, ist natürlich klar, das sich Outpost bei einem Zugriff auf den IE oder FF nicht mehr meldet, braucht es ja auch nicht du hast ja AdMuncher erlaubt diese Programme zu Starten bzw. zu Verwenden, der IE oder FF wurde ja nicht durch den Benutzer gestartet sondern durch ein durch dich freigegebenes Programm.

Wen das Verhalten wirklich so sein sollte wie du es beschreibst, käme AdMuncher auf jeden Fall nicht auf meine Platte, ich will meine Programme selber starten.

Gruß Kurt

Der Beitrag wurde von Kurt W bearbeitet: 22.11.2006, 12:35

[maxos]

Muss am Abend mal noch in Ruhe mit meinem Notebook verschiedenste Dinge in der Hinsicht durchchecken.

@Scrapie
Dieser Vorschlag würde nicht meinen Vorstellungen einer funktionell handelbaren Firewall entsprechen.
Glaube aber gar nicht, dass es was helfen würde, weil wenn die Outpost immer nur eine Anforderung von AdMuncher nur erkennt u. nicht das dahintergestellte Programm, dass über AdMuncher mit dem Internet komuniziert, dann wird es egal sein ob eine Regel dafür automatisiert u. eben händisch vom User erstellt wird. Weil ja der Kontaktversuch nach draussen nicht erkannt wird.

@Kenshiro
Werde ich auch noch schauen, aber grundsätzlich ist die Outpost von Haus aus hier sicherheitstechnisch, zumindest bislang gut eingestellt.

Sicher bin ich mir jetzt nicht, aber AdMuncher läuft bei mir seit Anfang 8/2006 u. es könnte in der 3.51 Outpostversion anders gewesen sein. Aber dies ist jetzt Spekulation. Ich bilde mir aber ein, dass mein email notifier zwar pop3 Konten über port 110 abfragen durfte aber z.b. immer wenn ich seine programmeigene Hilfe aufrief, dann wollte er über port 80 raus u. die nach Hause melden. Da popte Outpost jedoch z.b. zuverlässig auf, wenn diese Regel nicht existierte. Aber wie gesagt zuverlässig kann ich dies nicht bestätigen.
Nur wenn es sowas wie jetzt mit AdMuncher gespielt hätte, dann wäre mir das früher ja aufgefallen, nehme ich soweit mal an.

Und nochmals, es geht auch anders, nämlich korrekt so wie es sein sollte, sogar ohne viel Schutzbrimborium wie aktivierter Komponentenkontrolle. Beispiel ist die NIS 2007 Firewall, da kommt nichts einfach durchgetunnelt od. Huckepack über die AdMuncher Applikation einfach ungemeldet raus.

Wenn sich der Umstand nicht ändern lässt, dann ist das mehr als nur eine Schwachstelle sondern stellt ein Totalversagen der Outpost dar.

mfg

[Gast_Kurt W_*]

Und nochmals, es geht auch anders, nämlich korrekt so wie es sein sollte, sogar ohne viel Schutzbrimborium wie aktivierter Komponentenkontrolle. Beispiel ist die NIS 2007 Firewall, da kommt nichts einfach durchgetunnelt od. Huckepack über die AdMuncher Applikation einfach ungemeldet raus.

Bei Outpost auch nicht Du musst halt nur AdMuncher nicht den generellen Zugriff erlauben sondern auf Nachfragen stellen.

Ich denke zwar das dass auf Dauer nervig wird aber dann siehst du auch was AdMuncher alles so anstellt.

Gruß Kurt

[maxos]

@Kurt W

Betreffend Regeln in der Outpost zu AdMuncher, welches ein seit Jahren renommiertes u. bekanntes shareware Programm gegen Werbung darstellt, effizient u. einfach wie kein anderes:

Zu AdMuncher gibt es genau 4 Regeln, die automatisiert nach Vorschlag von improvenet "Browser" erstellt worden sind. Die üblichen 4 wie port 80, 443 für gesicherte Verbindungen usw. - wie sie von Werk aus für einen Browser erstellt werden.

AdMuncher selber startet überhaupt kein Programm von selber, es kontrolliert nur den Datenstrom von Applikationen die eben Daten anfordern, natürlich nur erst wenn ich z.B. den Firefox händisch starte u. eine Seite ansurfe u. filtert die Werbung raus. Aus basta das wars auch schon.

mfg

Ps. Spiele mich abends nochmal etwas rum, es besteht die die nicht ganz unwahrscheinliche Möglichkeit, dass ich früher AdMuncher nicht als Browser lt. Outpost Vorschlag konfiguriert hatte.
Nur mit permanenten Meldungen zu AdMuncher war da nichts.

Schau ma mal wies weitergeht, obwohl ich es noch nicht glauben od. verstehen will, dass Outpost das nicht schnallt.

Abgesehen davon, was heisst was AdMuncher so alles anstellt.
Habe ich nun eine od. lt. Eigenangabe die beste Desktopfirewall hinsichtlich dem Erkennen von Kontaktaufnahme nach draussen od. nicht.
Wenn sie dann von einer gutmütigen bekannten u. seit Jahren im Einsatz befindlichen Softwareanwendung einfach kaltgestellt wird, dann gute Nacht.

Der Beitrag wurde von maxos bearbeitet: 22.11.2006, 13:04

[maxos]

Aber man soll den Humor nicht verlieren.

Man stelle sich vor, ich hätte den bisherigen Verlauf u. damit meinen momentanen Erfahrungsstand auf Chip geschildert.

Das wäre dort nicht Wasser auf den Mühlen der "Experten" sondern....

mfg

[Gast_Poulsen_*]

Man stelle sich vor, ich hätte den bisherigen Verlauf u. damit meinen momentanen Erfahrungsstand auf Chip geschildert.

Das wäre dort nicht Wasser auf den Mühlen der "Experten" sondern....

mfg

Feigling traust Dich ja man gar nicht

[maxos]

So bin nach umfangreicheren Tests u. Internetstudium zu Outpost u. AdMuncher wieder da.

Kurz vorweg, habe Outpost nochmal vollständigst deinstalliert u. wieder installiert. Alles vorschriftsmässigst.

Das Grundsatzproblem bleibt. Ist AdMuncher am laufen, dann werden die Softwareanwendungen ohne Erstellung einer Regel einfach ins Netz gelassen.
Habe AdMuncher diesmal nicht wie vorgeschlagen als Browser konfiguriert sondern nur Ausgang über port 80 wie von Outpost unter benutzerdefiniert angeboten.

Ja, wenn ich jetzt mit FF od. IE usw. auf eine https 443 Site will, dann popt Outpost wie es sich gehört auf. Aber eben nur weil dieser Port für AdMuncher in Outpost nicht freigegeben ist.

Blöd halt nur, weil z.b. ein Trojaner wird sich einfach über port 80 rausschleichen.

@Kurt W
Habe deine Anfrage im Outpost Forum schon gesehen.
Englisch formulieren liegt mir nicht, lesen geht einigermassen, obwohl ich die Antworten nicht verstand.

Ich fand aber im Outpost forum über die Suchfunktion z.b. eine Aussage vom Moderator Moore vom 08.11.2006 also praktisch brandaktuell:

"For the process whitelisting, I think the way Admuncher handles filtering the connections of programs is very well done. You are provided a list of all proccesses/programs that are accessing the net and you can select which to add into the list of filtered applications."

Oder Supermoderator Paranoid 2000 vom 11.04.2006:

"..other measures to filter ads in the meantime (Proxomitron is the most powerful filter available, but you may find AdMuncher easier to use - or the AdBlock extension if you use Firefox)."

Also die kennen AdMuncher u. empfehlen es.

Andererseits das Internet ist gross u. ich meine etwas gefunden zu haben, wo es sich so wie bei mir verhält:

http://www.donationcoder.com/Forums/bb/ind...g19873#msg19873

Interessant sind diese Aussagen:

"The other thing with Admuncher is that it comes with a default list of 20 to 40 processes that it intercepts. It intercepts their winsock calls and reissues them on their behalf, so your firewall would report admuncher.exe is trying to access the internet instead of the originating process. If you create a firewall rule to always grant internet access to admuncher.exe, you are essentially granting internet access to all processes that Admuncher intercepts as well without knowing it.

I don't think Admuncher comes with a default list. It just adds any application acessing Internet as "filter target".

About AdMuncher to allow Internet access... Could you test this behavior on your system?

I've Sunbelt Kerio Personal Firewall and Admuncher installed. AdMuncher is allowed to do "code injection" and Internet access.
Kerio still intercepts any process trying to access Internet (even those who try to get access via IE, like LeakTest or Google Video Player).


Quote
all local proxies work this way

AdMuncher is not acting as a proxy, like AdSubtract or Proxomitron. "


und eine Erwiderung dazu:

"I don't think Admuncher comes with a default list. It just adds any application acessing Internet as "filter target".


Yep, the "filter target" was what I was talking about. It's the default list of "known safe" programs, supplied by AdMuncher and is automatically updated. Of course, you could choose not to trust that default list and make up your own list etc (Options -> Filter Targets -> My filter targets).

Quote

About AdMuncher to allow Internet access... Could you test this behavior on your system?

I've Sunbelt Kerio Personal Firewall and Admuncher installed. AdMuncher is allowed to do "code injection" and Internet access.
Kerio still intercepts any process trying to access Internet (even those who try to get access via IE, like LeakTest or Google Video Player).


Yes, I have experienced this with Agnitum Outpost. If Admuncher is ON, it doesn't not notify me on port 80 access from the apps that are in the filter targets. If you don't believe that admunch.exe is issuing network requests on other processes' behalf, you can do a simple test by blocking port 80 access on "admunch.exe" and see if you could still access google.com through IE or Firefox. The interceptions that you saw from Kerio PFW, were they port 80 requests or on some other ports like 443, 8080 etc?

Quote

AdMuncher is not acting as a proxy, like AdSubtract or Proxomitron.


It's not a proxy in the sense that you don't have to manually edit your browser's proxy settings and pointing it to localhost. But it's still "acting" as a proxy of some sort since it's issuing network requests on other programs' behalf. There's a FAQ for it:

Quote

Q: Why does my firewall say Ad Muncher is making "server" and outbound connections?
A: This is just how Ad Muncher filters your browser's transfers; when your browser tries to connect to a web server, it is instead connected to the local Ad Muncher program (hence why it is creating a listening ("server") connection). Ad Muncher then connects out to the original target of the browser, which accounts for the outbound connections. These connections are perfectly normal and no cause for concern; the listening sockets are of no use to anyone except the programs on your computer trying to connect out."




Diese Diskussion stammt vom März 2006, also noch nicht die 4.0 Version die ja noch perfekter auf jegliche ausgehende Applikation reagieren soll.

So wie es ausschaut hat sich das bei der 4.0 Version auch nicht geändert.
Das Kerio hier ebenfalls aussteigt ist eine Tatsache aber durch die unzureichende Entwicklung durch die überforderte Sunbelt Crew nicht verwunderlich und letztendlich für jemanden der Outpost als Spitzenprodukt ansah kein Trost.

Habe die oben geposteten Erklärungen hinsichtlich der Funktionalität zu AdMuncher u. der Wechselwirkung mit firewalls usw. nicht unbedingt verstanden.

Aber Kurt W vielleicht kannst du darauf im Outpost Forum hinweisen.

Nach wie vor bleibt es für mich erstaunlich, dass eben die NIS 2007 firewall beim Einsatz von AdMuncher präzise u. akkurat mir jede Softwareapplikation die über AdMuncher die raus wollte meldete u. eine Regel erst mal dafür verlangte.
Hat jetzt die aktuelle NIS firewall einen technologischen Vorsprung od. erkennt sie rigeroser jegliche Kontaktaufnahme nach draussen, und overruled den anerkannten desktopfirewall Spezialisten Outpost?

Es scheint bislang so.

mfg

[maxos]

Ich fand aber im Outpost forum über die Suchfunktion z.b. eine Aussage vom Moderator Moore vom 08.11.2006 also praktisch brandaktuell:

"For the process whitelisting, I think the way Admuncher handles filtering the connections of programs is very well done. You are provided a list of all proccesses/programs that are accessing the net and you can select which to add into the list of filtered applications."

Mir mal dies praktisch näher gebracht.

Nur die Aussage ist lieb aber sicherheitstechnisch teilweise brandgefährlich.
Denn es ist richtig grundsätzlich filtert AdMuncher jegliche Anwendung.
Nun kann ich ja die meisten vom filtern ausnehmen, indem ich meine eigene Filterliste verwende u. in die nur die notwendigsten Internetanwendungsprogramme aufnehme über die Werbung hereinkommen könnte.

Dies sind aber mal der IE, FF usw.
Und ein Schädling versucht mit hoher Wahrscheinlichkeit versteckt über den IE od. meinen als Standard eingestellten Browser FF etwas ins Internet zu schmuggeln. Wenn diese Programme aber in AdMuncher als gefiltert definiert sind, dann macht aber die Outpost keinen Mucks mehr dazu falls dies passiert.

mfg

[maxos]

So mir brummt die Birn u. im grossen u. ganzen hats verstanden mein Hirn.

Habe es so verstanden, dass man in AdMuncher selber den Anwendungen denen man vertraut u. die man gefliter haben will einen Freitfartschein durch die Firewall gewähren kann.
Nun also nur noch 2 Applikationen in AdMuncher als zum filtern eingetragen u. AdMuncher angewiesen nur noch diese meine Filterliste anstatt die eigene mit selber vorgegebenen u. von Werk aus für zuverlässig erklärten zu verwenden.

FF
Opera

theoretisch müsste Outpost nun bei allen anderen Anwendungen die raus wollen ein Regel Pop up bringen.

Naja fast funktionierts auch so.
Gerade Meldung erhalten CCleaner will nach update über port 80 suchen. Ok so gehört es sich.
Ich sage ja u. will den download der neuen Version starten u. Outpost meldet brav mittels pop up zuerst Regel für den downloadmanager erstellen. Ok

Aber wie gesagt, IE od. Maxthon habe ich oben in AdMuncher keinen Freischein gewährt.
Trotzdem kann ich die aufrufen u. Internetverbindung herstellen u. kein pop up.

Ähnlich verhält es sich mit meinem email notifier. Bei dem springt jedoch zumindest der "Schutz vor undichten Stellen" an u. verlangt eine Ausnahmegenehmigung.
Bloss raus u. pop3 über port 110 kommt der ohne einer Anwendungsregel.

Weiter gehts mit thunderbird, der ruft die mails wie nichts ab ohne dass er in der Outpost eine Anwendungsregel hätte.

Also die letzten geschilderten Ereignisse da kann ich nur noch

Finalisierend, kurz gesagt ich gebs auf.

War eine interessante Erfahrung mit der Vorgangsweise von Deskopfirewalls.
Aber das wichtigste ist ja so und so, dass man sich keine Schädlinge installiert bzw. dass ein guter Scanner dies verhindert. Dann funkt in dem Sinn ja im Grossen und Ganzen nur das raus was gewollt wird.

Trotzdem erstaunlich wie hier doch über weite Bereiche die Outpost sich geschlagen geben muss, weil sie einen Kontakt von einigen Anwendungen nach draussen nicht erkennt.

Die NIS 2007 firewall scheint hier von Haus aus, allem und jedem zu misstrauen u. sich auch in keinster Weise an irgendwelche in AdMuncher vorgegebenen oder dort vom User selbst definierte Freifahrtscheine für von AdMuncher zu filternde Anwendungen, was z.b. mit Outpost dann in der Praxis nicht korrekt funktioniert, zu halten.

Sie meldet einfach akkurat u. präzise jegliche Softwareapplikation die raus will so ob AdMuncher am Pc gar nicht existieren würde.

Warum die bislang von mir hoch eingeschätzte Outpost das nicht mal im vorschriftsmässig konfigurierten Zusammenspiel mit AdMuncher für nicht von AdMuncher gefilterte Anwendungen desöfteren nicht schafft, ist leider nicht unbedingt vertrauenserweckend, bzw. dann kann man gleich geneigt sein auf solch eine Desktopfirewall zu verzichten, weil dann beginnt die alte Leier, was raus will kommt ja doch unerkannt raus.
Die selbsternannte Meisterin aller Leak Tests dürfte doch über Schwächen verfügen.

So bleibe ich bei dem oben geschilderten Motto:
Aber das wichtigste ist ja so und so, dass man sich keine Schädlinge installiert bzw. dass ein guter Scanner dies verhindert. Dann funkt in dem Sinn ja im Grossen und Ganzen nur das raus was gewollt wird.
Der Einsatz der meisten Desktopfirewalls ist betreffend dem blocken von aussen schon sinnvoll.
Nur kann das die Windows XP firewall genauso gut und am resourcenschondendsten.
Die Applikationskontrolle nach draussen stellt dann mehr ein Hobby dar, das der User mitlaufen lässt.
Wenngleich mich die NIS da nach wie vor im nachhinein gesehen positiv überraschte.

Ansonsten jetzt aber Schluss

so long

Der Beitrag wurde von maxos bearbeitet: 22.11.2006, 23:02

[maxos]

So, es ist wie es oftmals ist, verschiedene Sicherheitssoftwareandwendung speziell wenn sie aus der Tiefe des Systems operieren u. sich um Netzwerkontrolle bzw. Internetdatenverkehr reissen sind sich oft nicht grün.

Auch wenn sie scheinbar problemlos zusammenspielen u. es keine Errors vom System od. Warnhinweise von den einzelnen Programmen gibt, so zeigte bei mir die Praxis, dass die Outpost erschreckend blind bei vielen ausgehenden Verbindungen war.

z.B. auch bei ausgeschalteten AdMuncher konnte der

email notifier
thunderbird

zum Abruf von pop3 Konten über port 110 schalten u. walten ohne das je in Outpost eine Anwendungsregel dafür verlangt wurde od. vorlag.

Ich habe ein gepflegtes u. absolut funktionierendes System mit nur lizenzierten Softwareanwendungen laufen.

Und dazu die Konstellation

Avira Premium
Outpost pro 4.0
AdMuncher

Habe Avira Premium deinstalliert.

NOD draufgemacht.

Und was soll ich viel sagen,

Sofort fragte beim ersten Verbindungsversuch des email notifiers obwohl AdMuncher lief Outpost nach einer Regel für die Abfrage von port 110.
Genauso ging es mit thunderbird weiter.

Finalisierend, Outpost reagiert so wie sie sollte.
Nur eben obige Kombination mit Avira PE machte sie in meiner Konstelation nahezu blind, während mit NOD alles läuft wie es sein soll und wie ich es von früher ja kannte.

mfg

[Gast_Kurt W_*]

Moin maxos,

wie ich immer sage, eine Firewall kann nur ein Hilfsmittel sein.
Und jede hat halt irgendwo ihre Tücken und Lücken.

Ich kann dir daher nur empfehlen, so schwer mir das als Outpost Freak auch fällt, dann Norton zu benutzen, wenn du AdMuncher weiterhin verwenden willst. Ich würde mich da nicht mehr auf Outpost verlassen.

Gruß Kurt

[maxos]

Also das Outpost keine Anwendungsregel für email notifier u. email programm für meine Abrufe über port 110 verlangte lag an Aviras mail guard, der riss da alles an sich.

Stellte jetzt beim ausmisten fest, dass der in Outpost eingetragen war für port 110 bzw. pop3 genau mit der betreffenden remote horst Nr.

Scheinbar liegt aber hier der Fall vor, dass Outpost bei jeglicher Anfrage dann ans mail postfach nur noch das anfragende Programm am Ende nämlich den mail guard von Avira erkennt weil scheinbar über den alles in der Richtung umgeleitet wird.
Das die Anfrage auslösende Programm wie bei mir z.b. thunderbird blieb damit für Outpost unerkannt.

Müsste ja bei dir Kurt W bzw. anderen Avira u. Outpost Usern ebenso laufen soferne pop3 Konten abgerufen werden.

mfg

[Gast_Kurt W_*]

Müsste ja bei dir Kurt W bzw. anderen Avira u. Outpost Usern ebenso laufen soferne pop3 Konten abgerufen werden.

Das kann ich dir so nicht sagen.

Werde heute Abend einmal mein E-Mail Programm Outlook Express aus den Anwendungen herausnehmen und dann eine E-Mail abholen. Dann werde ich ja sehen ob eine Abfrage kommt bzw. Outlook Express wieder automatisch unter Anwendungen eingetragen wird.

Gruß Kurt

[Gast_Poulsen_*]

Also ich nutze The Bat. Da wurde ich beim ersten Abrufen der Mails schon von Outpost gefragt, was Sache ist So in der Art: Welches Schweinchen hätten'se denn gerne

[Gast_Kurt W_*]

Hallo maxos,

nun bin ich mit dem Test durch und habe dabei was erstaunliches festgestellt.

Outpost lässt sich nicht überlisten, nur wird das E-Mail Programm aus irgend einen Grund nicht mehr unter Anwendungen aufgeführt.

Ich habe Outlook Express aus der Liste der Anwendungen entfernt und dann eine E-Mail abgeholt. Und was soll ich sagen Outpost hat sich nicht gemeldet.
Der Zugriff erfolgte ohne das Outlook unter Anwendungen aufgeführt wurde.

So dachte ich mir, setze ich halt die Outlook Express.exe mal auf blockiert, wenn Outpost das Programm nicht erkennt dürfte dann hier auch nichts passieren. Fehlanzeige, als ich Outpost unter blockiert eingetragen habe war Schluss mit abholen von E-Mails. Also wurde Outlook Express weiterhin überwacht obwohl dieses nicht mehr unter Anwendungen eingetragen war.

Nun gut, jetzt habe ich im Taskmanager folgende Programme gekillt, avesvc.exe, avguard.exe und avgnt.exe alles Teile von AntiVir. Die lassen sich ja leider ohne Probleme deaktivieren.

Und siehe da plötzlich erschein beim Abholen einer E-Mail auch wieder das bekannte Pop Up Fenster mit dem ich den Zugriff von Outlook Express festlegen musste.

Warum Outlook Express nicht mehr unter Anwendungen aufgeführt wurde bzw. warum kein Pop Up Fenster mehr erschien kann ich dir beim besten Willen nicht sagen. Ist mir eigentlich auch egal, da mir mein Test bewiesen hat, das auch ohne Eintrag eine Überwachung stattfindet.

Gruß Kurt

Der Beitrag wurde von Kurt W bearbeitet: 23.11.2006, 20:09

[maxos]

1) Avira mail guard überwacht nunmal wenn er in der Outpost freigegeben ist den port 110.
Startet man sein email Programm, dann fängt der Avira mail guards weil er erkennt, dass Port 110 angesprochen wird dies ab, weil bevor das email programm die Mail erhält muss sie durch den mail guard.

Outpost als erste Instanz für eingehenden Internetverkehr u. letzte Instanz hinsichtlich der Beurteilung was raus darf od. nicht registriert aufgrund seiner Funktionalität hier nur die letzte Softwareapplikation die über port 110 zugreifen will. Da der mail guard ja in Outpost eine gültige Anwenderregel dafür besitzt so ist für Outpost alles klar.

Diese Art der Anwenderkontrolle nach draussen unterscheidet Outpost z.B. von der NIS firewall, die auch erkennt von welcher Software der ursrüngliche Anstoss ausging u. dementsprechend verlangt sie auch von dieser Applikation eine Anwendungsregel.

Zahlreiche unterschiedlichste Tests von meiner Seite aus, haben aber auch mir bestätigt, dass trotzdem als sicher eingestuft werden kann.
Starte ich z.b. noch mich Avira drauf erstmalig meinen email notifier, dann registriert dies Outpost u. der Schutz vor undichten Stellen verlangt Ausnahmegenehmigungen.
Clicke ich im email notifier den Button nach Programmupdates suchen, was ja über Port 80 vonstatten geht, dann will Outpost zuerst eine Anwenderregel. Eben weil jetzt Aviras mail guard keine port 110 Abfrage erkennt u. damit nicht das Geschehen an sich reisst.

2) Nach dem ziemlich gleichen Prinzip läuft es mit AdMuncher im Zusammenspiel mit Outpost.
Da braucht halt der Maxthon od. FF keine Anwendungsregel in der Outpost weil die Anforderung zur Darstellung einer Internetseite an AdMuncher weitergegeben wird u. Outpost eben immer nur die letzte Instanz die an sie herrantritt hinsichtlich gültiger Anwendungsregel prüft.

Dies bestätigt auch wieder die Praxis. Habe ich in AdMuncher nur meine 3 Browser Maxthon, FF u. Opera fürs filtern definiert, dann benötigen alle anderen Programme die raus wollen eine Anwendungsregel.
Habe ich zudem in der Outpost fpr AdMuncher nur Port 80 als Anwendungsregel definiert u. will z.B. mit dem Maxthon auf eine sichere Seite, sprich Port 443, dann verlangt auch wieder Outpost eine gültige Anwendungsregel für den Maxthon.
Ansonsten entgeht ihr nichts, weil geänderte Komponenten in den Browsern od. allfällige zu genehmigende Ausnahmeregeln müssen immer bestätigt werden.

Dementsprechend müsste, sollte (100% gibts ja nie) z.B. eine Trojanerinjektion des IE od. email programms sofort von der Komponentenkontrolle erkannt werden unabhängig davon ob es jetzt dafür in der Outpost eine Anwendungsregel dafür gibt, weil die ja z.b. einmal aufgrund der gültigen Regel für AdMuncher bzw. des Avira mail guards nicht notwendig ist.

So schauts aus.

Dennoch zeigt sich, dass eben gewisse Programme wie schon erwähnt Aviras mail guard od. AdMuncher aufgrund ihrer Funktionsweise erst mal vom User verstanden werden müssen um das ganze im richtigen Konnex beurteilen zu können. Dafür brauchte ich auch 1,5 Tage.

Aber die Entwickler der Outpost könnten sich schon noch Gedanken machen, dass sie in dem Bereich das zuwege bringen was die NIS wall so wie es ausschaut kann, nämlich für die Anwendungskontrolle nicht nur das letzte Programm das an die Outpost mit dem Wunsch nach draussen herrantritt zu erkennen sondern eben auch das Programm das am Anfang der Kette steht u. der Verursacher war.

Denn, der normale User der sich Avira od. AdMuncher installiert wird es nicht begreifen warum er für manche Programme ohne Anwendungsregel in der Outpost einfach hinauskommt u. Daten beziehen kann.

Ging mir ja wie die thread Eröffnung zeigt nicht anders. Nur kam bei mir eben wenn man so will der Supergau dazu, dass ich neben AdMuncher noch erstmalig Avira Premium testete u. dann nach einer absoluten Neuinstallation von Outpost eben mit allen Browsern u. email Applikationen raus u. rein konnte ohne dafür eine Anwendungsregel in Outpost zu haben.

Da war ich wirklich platt u. fragte mich, wie schafft die Outpost das Nichterkennen nur

mfg