Outpost wirkungslos!?!, bei ausgehenden Applikationen blind? Einstellungen

[maxos]

Nachdem ich 3 Tage NIS 2007 am laufen hatte, habe ich nun mal Avira PE u. wieder die Outpost installiert.

Die Outpost 4.0 in dem Sinn absolut jungfräulich, weil ich vor der NIS 2007 Installation sie vollständigst gelöscht hatte u. damit auch die alte Konfigurationsdatei.

Nach der Outpost Installation habe ich auf Pop ups hinsichtlich Anwendungen die Kontakt mit dem Internet aufnehmen gewartet bzw. zumindest auf einen kurzen Hinweis von der Agnitum Improvement Automatik hinsichtlich der Konfiguration bekannter Anwendungen.

IE
Maxthon
FF
Opera
Mail Notifier
Mail client
Softwareapplikation um Daten aus dem Netz zu holen

gestartet, aber nichts passierte, die Outpost schwieg.
Also in der Outpost unter Anwendungen reingeschaut u. alle oben gestarteten Programme ebenso nicht enthalten. Nur ein paar grunsätzliche Windows Sachen u.

ADMuncher, ein effizienter u. schneller systemweiter Werbeblocker, der gleich zu Beginn von der Outpost richtig gemeldet worden war.
Nun hatte ich schon eine Vermutung. Da sich ADMuncher automatisch zwischen das Internet u. der jeweiligen Software am PC setzt die Kontakt zum Netz aufnimmt, praktisch als interner Proxy am installierten Pc, dürfte die Outpost immer nur AdMuncher als Applikation die mit dem Internet kommunizieren will angesehen haben.

AdMuncher abgeschaltet u. alle obigen Anwendungen wieder gestartet.
Und siehe da Outpost meldet bei jeder einzelnen schön brav, dass sie ins Netz will bzw. bei bekannter Software erstellt die Improvenet Automatik einen Regelsatz. Nun sind auch alle wie vorgesehen unter Anwendungen mit einem Regelsatz eingetragen.

Aber, es kann doch nicht sein, dass die Outpost, der sogenannte König der Leaktests, wie ein Hilfsschüler versagt, wenn eben als erste Instanz zum Internet AdMuncher läuft u. die Daten intern an die Softwareanwendungen weitergibt die sie angefordert haben. Und eben diese Anwendungen nicht dem Benutzer meldet.
Es ist ja schon interessant, das AdMuncher scheinbar vor der Outpost die Daten aus dem Internet erhält , ein Praxistest mit zugeschalteten Werbeblocker der Outpost bestätigt dies.
Zuerst kommt AdMuncher an die Daten u. filtert sie, dann erst die Outpost die aber nun nichts mehr zum tun hat. Ist AdMuncher abgeschaltet, dann findet der Outpost Werbefilter was.
Schon ein starkes Stück, dass eine Firewall beim eingehenden Datenstrom so wie es sich darstellt nur zweiter ist u. zuerst eine andere Software am Notebook den erhält bzw. filtert.

Damit, stellt sich für mich die Sinnhaftigkeit dieser Softwarefirewall. Jetzt mal abgesehen davon, dass ich mit mobilen Notebook keine Hardwarefirewall nutzen kann, so erwarte ich mir von einer Softwarefirewall doch, dass sie mir die Anwendungen die raus wollen anzeigt.

Aber wie obiges Beispiel mit AdMuncher zeigt, könnte sich ja jeder Trojaner einfach auf den Weg machen u. Outpost würde nichts melden genauso wie sie es bei obigen guten u. teilweise gängigen Programmen gemacht hat.

Anmerkung, es geht aber auch anders. Hatte ja NIS 2007 ein paar Tage installiert gehabt. Die NIS wall hat auch zuerst mal AdMuncher erkannt u. konfiguriert.
Und danach trotzdem jede der obigen Kontakte der gestarteten Softwareanwendungen einzeln gemeldet bzw. konfiguriert u. dass noch im quasi lightmodus, d.h. ohne zugeschalteter Komponentenkontrolle.

So gesehen was ist los mit der hochgelobten Outpost, lässt die sich mit einem 1er Schmäh hinters Licht führen
Während die Konkurrenz, in dem Fall NIS firewall egal wie es jetzt abläuft jeden versuchten Aussenkontakt richtig erkennt u. meldet.

Wenn dem so ist, dann hat die Outpost ihre Berechtigung verloren, eine starke Instanz betreffend der Kontrolle von ausgehenden Daten u. Anwendungen zu sein.

mfg

Der Beitrag wurde von maxos bearbeitet: 22.11.2006, 07:36

[maxos]

So bin nach umfangreicheren Tests u. Internetstudium zu Outpost u. AdMuncher wieder da.

Kurz vorweg, habe Outpost nochmal vollständigst deinstalliert u. wieder installiert. Alles vorschriftsmässigst.

Das Grundsatzproblem bleibt. Ist AdMuncher am laufen, dann werden die Softwareanwendungen ohne Erstellung einer Regel einfach ins Netz gelassen.
Habe AdMuncher diesmal nicht wie vorgeschlagen als Browser konfiguriert sondern nur Ausgang über port 80 wie von Outpost unter benutzerdefiniert angeboten.

Ja, wenn ich jetzt mit FF od. IE usw. auf eine https 443 Site will, dann popt Outpost wie es sich gehört auf. Aber eben nur weil dieser Port für AdMuncher in Outpost nicht freigegeben ist.

Blöd halt nur, weil z.b. ein Trojaner wird sich einfach über port 80 rausschleichen.

@Kurt W
Habe deine Anfrage im Outpost Forum schon gesehen.
Englisch formulieren liegt mir nicht, lesen geht einigermassen, obwohl ich die Antworten nicht verstand.

Ich fand aber im Outpost forum über die Suchfunktion z.b. eine Aussage vom Moderator Moore vom 08.11.2006 also praktisch brandaktuell:

"For the process whitelisting, I think the way Admuncher handles filtering the connections of programs is very well done. You are provided a list of all proccesses/programs that are accessing the net and you can select which to add into the list of filtered applications."

Oder Supermoderator Paranoid 2000 vom 11.04.2006:

"..other measures to filter ads in the meantime (Proxomitron is the most powerful filter available, but you may find AdMuncher easier to use - or the AdBlock extension if you use Firefox)."

Also die kennen AdMuncher u. empfehlen es.

Andererseits das Internet ist gross u. ich meine etwas gefunden zu haben, wo es sich so wie bei mir verhält:

http://www.donationcoder.com/Forums/bb/ind...g19873#msg19873

Interessant sind diese Aussagen:

"The other thing with Admuncher is that it comes with a default list of 20 to 40 processes that it intercepts. It intercepts their winsock calls and reissues them on their behalf, so your firewall would report admuncher.exe is trying to access the internet instead of the originating process. If you create a firewall rule to always grant internet access to admuncher.exe, you are essentially granting internet access to all processes that Admuncher intercepts as well without knowing it.

I don't think Admuncher comes with a default list. It just adds any application acessing Internet as "filter target".

About AdMuncher to allow Internet access... Could you test this behavior on your system?

I've Sunbelt Kerio Personal Firewall and Admuncher installed. AdMuncher is allowed to do "code injection" and Internet access.
Kerio still intercepts any process trying to access Internet (even those who try to get access via IE, like LeakTest or Google Video Player).


Quote
all local proxies work this way

AdMuncher is not acting as a proxy, like AdSubtract or Proxomitron. "


und eine Erwiderung dazu:

"I don't think Admuncher comes with a default list. It just adds any application acessing Internet as "filter target".


Yep, the "filter target" was what I was talking about. It's the default list of "known safe" programs, supplied by AdMuncher and is automatically updated. Of course, you could choose not to trust that default list and make up your own list etc (Options -> Filter Targets -> My filter targets).

Quote

About AdMuncher to allow Internet access... Could you test this behavior on your system?

I've Sunbelt Kerio Personal Firewall and Admuncher installed. AdMuncher is allowed to do "code injection" and Internet access.
Kerio still intercepts any process trying to access Internet (even those who try to get access via IE, like LeakTest or Google Video Player).


Yes, I have experienced this with Agnitum Outpost. If Admuncher is ON, it doesn't not notify me on port 80 access from the apps that are in the filter targets. If you don't believe that admunch.exe is issuing network requests on other processes' behalf, you can do a simple test by blocking port 80 access on "admunch.exe" and see if you could still access google.com through IE or Firefox. The interceptions that you saw from Kerio PFW, were they port 80 requests or on some other ports like 443, 8080 etc?

Quote

AdMuncher is not acting as a proxy, like AdSubtract or Proxomitron.


It's not a proxy in the sense that you don't have to manually edit your browser's proxy settings and pointing it to localhost. But it's still "acting" as a proxy of some sort since it's issuing network requests on other programs' behalf. There's a FAQ for it:

Quote

Q: Why does my firewall say Ad Muncher is making "server" and outbound connections?
A: This is just how Ad Muncher filters your browser's transfers; when your browser tries to connect to a web server, it is instead connected to the local Ad Muncher program (hence why it is creating a listening ("server") connection). Ad Muncher then connects out to the original target of the browser, which accounts for the outbound connections. These connections are perfectly normal and no cause for concern; the listening sockets are of no use to anyone except the programs on your computer trying to connect out."




Diese Diskussion stammt vom März 2006, also noch nicht die 4.0 Version die ja noch perfekter auf jegliche ausgehende Applikation reagieren soll.

So wie es ausschaut hat sich das bei der 4.0 Version auch nicht geändert.
Das Kerio hier ebenfalls aussteigt ist eine Tatsache aber durch die unzureichende Entwicklung durch die überforderte Sunbelt Crew nicht verwunderlich und letztendlich für jemanden der Outpost als Spitzenprodukt ansah kein Trost.

Habe die oben geposteten Erklärungen hinsichtlich der Funktionalität zu AdMuncher u. der Wechselwirkung mit firewalls usw. nicht unbedingt verstanden.

Aber Kurt W vielleicht kannst du darauf im Outpost Forum hinweisen.

Nach wie vor bleibt es für mich erstaunlich, dass eben die NIS 2007 firewall beim Einsatz von AdMuncher präzise u. akkurat mir jede Softwareapplikation die über AdMuncher die raus wollte meldete u. eine Regel erst mal dafür verlangte.
Hat jetzt die aktuelle NIS firewall einen technologischen Vorsprung od. erkennt sie rigeroser jegliche Kontaktaufnahme nach draussen, und overruled den anerkannten desktopfirewall Spezialisten Outpost?

Es scheint bislang so.

mfg

[maxos]

Ich fand aber im Outpost forum über die Suchfunktion z.b. eine Aussage vom Moderator Moore vom 08.11.2006 also praktisch brandaktuell:

"For the process whitelisting, I think the way Admuncher handles filtering the connections of programs is very well done. You are provided a list of all proccesses/programs that are accessing the net and you can select which to add into the list of filtered applications."

Mir mal dies praktisch näher gebracht.

Nur die Aussage ist lieb aber sicherheitstechnisch teilweise brandgefährlich.
Denn es ist richtig grundsätzlich filtert AdMuncher jegliche Anwendung.
Nun kann ich ja die meisten vom filtern ausnehmen, indem ich meine eigene Filterliste verwende u. in die nur die notwendigsten Internetanwendungsprogramme aufnehme über die Werbung hereinkommen könnte.

Dies sind aber mal der IE, FF usw.
Und ein Schädling versucht mit hoher Wahrscheinlichkeit versteckt über den IE od. meinen als Standard eingestellten Browser FF etwas ins Internet zu schmuggeln. Wenn diese Programme aber in AdMuncher als gefiltert definiert sind, dann macht aber die Outpost keinen Mucks mehr dazu falls dies passiert.

mfg