Outpost wirkungslos!?!, bei ausgehenden Applikationen blind? Einstellungen

[maxos]

Nachdem ich 3 Tage NIS 2007 am laufen hatte, habe ich nun mal Avira PE u. wieder die Outpost installiert.

Die Outpost 4.0 in dem Sinn absolut jungfräulich, weil ich vor der NIS 2007 Installation sie vollständigst gelöscht hatte u. damit auch die alte Konfigurationsdatei.

Nach der Outpost Installation habe ich auf Pop ups hinsichtlich Anwendungen die Kontakt mit dem Internet aufnehmen gewartet bzw. zumindest auf einen kurzen Hinweis von der Agnitum Improvement Automatik hinsichtlich der Konfiguration bekannter Anwendungen.

IE
Maxthon
FF
Opera
Mail Notifier
Mail client
Softwareapplikation um Daten aus dem Netz zu holen

gestartet, aber nichts passierte, die Outpost schwieg.
Also in der Outpost unter Anwendungen reingeschaut u. alle oben gestarteten Programme ebenso nicht enthalten. Nur ein paar grunsätzliche Windows Sachen u.

ADMuncher, ein effizienter u. schneller systemweiter Werbeblocker, der gleich zu Beginn von der Outpost richtig gemeldet worden war.
Nun hatte ich schon eine Vermutung. Da sich ADMuncher automatisch zwischen das Internet u. der jeweiligen Software am PC setzt die Kontakt zum Netz aufnimmt, praktisch als interner Proxy am installierten Pc, dürfte die Outpost immer nur AdMuncher als Applikation die mit dem Internet kommunizieren will angesehen haben.

AdMuncher abgeschaltet u. alle obigen Anwendungen wieder gestartet.
Und siehe da Outpost meldet bei jeder einzelnen schön brav, dass sie ins Netz will bzw. bei bekannter Software erstellt die Improvenet Automatik einen Regelsatz. Nun sind auch alle wie vorgesehen unter Anwendungen mit einem Regelsatz eingetragen.

Aber, es kann doch nicht sein, dass die Outpost, der sogenannte König der Leaktests, wie ein Hilfsschüler versagt, wenn eben als erste Instanz zum Internet AdMuncher läuft u. die Daten intern an die Softwareanwendungen weitergibt die sie angefordert haben. Und eben diese Anwendungen nicht dem Benutzer meldet.
Es ist ja schon interessant, das AdMuncher scheinbar vor der Outpost die Daten aus dem Internet erhält , ein Praxistest mit zugeschalteten Werbeblocker der Outpost bestätigt dies.
Zuerst kommt AdMuncher an die Daten u. filtert sie, dann erst die Outpost die aber nun nichts mehr zum tun hat. Ist AdMuncher abgeschaltet, dann findet der Outpost Werbefilter was.
Schon ein starkes Stück, dass eine Firewall beim eingehenden Datenstrom so wie es sich darstellt nur zweiter ist u. zuerst eine andere Software am Notebook den erhält bzw. filtert.

Damit, stellt sich für mich die Sinnhaftigkeit dieser Softwarefirewall. Jetzt mal abgesehen davon, dass ich mit mobilen Notebook keine Hardwarefirewall nutzen kann, so erwarte ich mir von einer Softwarefirewall doch, dass sie mir die Anwendungen die raus wollen anzeigt.

Aber wie obiges Beispiel mit AdMuncher zeigt, könnte sich ja jeder Trojaner einfach auf den Weg machen u. Outpost würde nichts melden genauso wie sie es bei obigen guten u. teilweise gängigen Programmen gemacht hat.

Anmerkung, es geht aber auch anders. Hatte ja NIS 2007 ein paar Tage installiert gehabt. Die NIS wall hat auch zuerst mal AdMuncher erkannt u. konfiguriert.
Und danach trotzdem jede der obigen Kontakte der gestarteten Softwareanwendungen einzeln gemeldet bzw. konfiguriert u. dass noch im quasi lightmodus, d.h. ohne zugeschalteter Komponentenkontrolle.

So gesehen was ist los mit der hochgelobten Outpost, lässt die sich mit einem 1er Schmäh hinters Licht führen
Während die Konkurrenz, in dem Fall NIS firewall egal wie es jetzt abläuft jeden versuchten Aussenkontakt richtig erkennt u. meldet.

Wenn dem so ist, dann hat die Outpost ihre Berechtigung verloren, eine starke Instanz betreffend der Kontrolle von ausgehenden Daten u. Anwendungen zu sein.

mfg

Der Beitrag wurde von maxos bearbeitet: 22.11.2006, 07:36

[maxos]

1) Avira mail guard überwacht nunmal wenn er in der Outpost freigegeben ist den port 110.
Startet man sein email Programm, dann fängt der Avira mail guards weil er erkennt, dass Port 110 angesprochen wird dies ab, weil bevor das email programm die Mail erhält muss sie durch den mail guard.

Outpost als erste Instanz für eingehenden Internetverkehr u. letzte Instanz hinsichtlich der Beurteilung was raus darf od. nicht registriert aufgrund seiner Funktionalität hier nur die letzte Softwareapplikation die über port 110 zugreifen will. Da der mail guard ja in Outpost eine gültige Anwenderregel dafür besitzt so ist für Outpost alles klar.

Diese Art der Anwenderkontrolle nach draussen unterscheidet Outpost z.B. von der NIS firewall, die auch erkennt von welcher Software der ursrüngliche Anstoss ausging u. dementsprechend verlangt sie auch von dieser Applikation eine Anwendungsregel.

Zahlreiche unterschiedlichste Tests von meiner Seite aus, haben aber auch mir bestätigt, dass trotzdem als sicher eingestuft werden kann.
Starte ich z.b. noch mich Avira drauf erstmalig meinen email notifier, dann registriert dies Outpost u. der Schutz vor undichten Stellen verlangt Ausnahmegenehmigungen.
Clicke ich im email notifier den Button nach Programmupdates suchen, was ja über Port 80 vonstatten geht, dann will Outpost zuerst eine Anwenderregel. Eben weil jetzt Aviras mail guard keine port 110 Abfrage erkennt u. damit nicht das Geschehen an sich reisst.

2) Nach dem ziemlich gleichen Prinzip läuft es mit AdMuncher im Zusammenspiel mit Outpost.
Da braucht halt der Maxthon od. FF keine Anwendungsregel in der Outpost weil die Anforderung zur Darstellung einer Internetseite an AdMuncher weitergegeben wird u. Outpost eben immer nur die letzte Instanz die an sie herrantritt hinsichtlich gültiger Anwendungsregel prüft.

Dies bestätigt auch wieder die Praxis. Habe ich in AdMuncher nur meine 3 Browser Maxthon, FF u. Opera fürs filtern definiert, dann benötigen alle anderen Programme die raus wollen eine Anwendungsregel.
Habe ich zudem in der Outpost fpr AdMuncher nur Port 80 als Anwendungsregel definiert u. will z.B. mit dem Maxthon auf eine sichere Seite, sprich Port 443, dann verlangt auch wieder Outpost eine gültige Anwendungsregel für den Maxthon.
Ansonsten entgeht ihr nichts, weil geänderte Komponenten in den Browsern od. allfällige zu genehmigende Ausnahmeregeln müssen immer bestätigt werden.

Dementsprechend müsste, sollte (100% gibts ja nie) z.B. eine Trojanerinjektion des IE od. email programms sofort von der Komponentenkontrolle erkannt werden unabhängig davon ob es jetzt dafür in der Outpost eine Anwendungsregel dafür gibt, weil die ja z.b. einmal aufgrund der gültigen Regel für AdMuncher bzw. des Avira mail guards nicht notwendig ist.

So schauts aus.

Dennoch zeigt sich, dass eben gewisse Programme wie schon erwähnt Aviras mail guard od. AdMuncher aufgrund ihrer Funktionsweise erst mal vom User verstanden werden müssen um das ganze im richtigen Konnex beurteilen zu können. Dafür brauchte ich auch 1,5 Tage.

Aber die Entwickler der Outpost könnten sich schon noch Gedanken machen, dass sie in dem Bereich das zuwege bringen was die NIS wall so wie es ausschaut kann, nämlich für die Anwendungskontrolle nicht nur das letzte Programm das an die Outpost mit dem Wunsch nach draussen herrantritt zu erkennen sondern eben auch das Programm das am Anfang der Kette steht u. der Verursacher war.

Denn, der normale User der sich Avira od. AdMuncher installiert wird es nicht begreifen warum er für manche Programme ohne Anwendungsregel in der Outpost einfach hinauskommt u. Daten beziehen kann.

Ging mir ja wie die thread Eröffnung zeigt nicht anders. Nur kam bei mir eben wenn man so will der Supergau dazu, dass ich neben AdMuncher noch erstmalig Avira Premium testete u. dann nach einer absoluten Neuinstallation von Outpost eben mit allen Browsern u. email Applikationen raus u. rein konnte ohne dafür eine Anwendungsregel in Outpost zu haben.

Da war ich wirklich platt u. fragte mich, wie schafft die Outpost das Nichterkennen nur

mfg