Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Wie erkennen und kontrolle darüber haben wenn ein Programm..
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
SarahS93
Guru
Guru


Joined: 21 Nov 2013
Posts: 469

PostPosted: Sun Oct 04, 2015 6:42 am    Post subject: Wie erkennen und kontrolle darüber haben wenn ein Programm.. Reply with quote

Wie erkennen und kontrolle darüber haben wenn ein Programm sich in das Internet verbinden möchte?

Unter Windows war das viel schlimmer gewesen, da gab es dann so Programm wie z.B. Kerio/sunbelt Firewall.
Das Programm poppte mit einem Fenster auf "Programm XYZ" will sich zu IP und Port ... verbinden, erlauben / verweigern (wenn keine Regel definiert war)

Wie hat Unter Linux über soetwas kontrolle?
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2329
Location: Konradsreuth (Germany)

PostPosted: Sun Oct 04, 2015 9:29 am    Post subject: Reply with quote

Auch, wenn das die Frage jetzt nicht direkt beantwortet:

Unter Linux weiß man ja zumeist, was ein Programm tut und warum, und wenn eines eine Internetverbindung herstellen will, dann möchte ich i. d. R. auch, dass es das tut … welchem oder welchen Programm(en) traust du denn nicht? Im Zweifelsfall gilt das Open-Source-Prinzip: schau doch einfach in den Quellcode ;-)

Ansonsten kann man z. B. mit Wireshark allen Traffic eines Netzwerkgerätes monitoren, da sieht man dann exakt, was passiert, wenn man das will. Eine windowsähnliche "Personal Firewall" (mit fragwürdigem Nutzen) ist mir persönlich jetzt nicht bekannt.
Back to top
View user's profile Send private message
Schattenschlag
Tux's lil' helper
Tux's lil' helper


Joined: 18 Oct 2011
Posts: 112

PostPosted: Sun Oct 04, 2015 10:04 am    Post subject: Reply with quote

Viele Leute glauben ja das eine Firewall sie beim Internet surfen oder Email lesen schützen, ist aber ein Irrtum, denn kein Client-Programm kann aus dem Netz von Kriminellen direkt angegriffen werden.
Die bauen einfach eine Verbindung auf (TCP/IP) ... diese kann man zwar abhören als Bösewicht aber da bringt die Firewall dann auch nix.

Man kann sich mit netfilter-/iptables und dazu passenden Gui herumspielen wie I3u schon geschrieben hat "Wireshark" usw.. oder eben Quellcode angucken.

Hier noch was gefunden
https://wiki.ubuntuusers.de/personal_firewalls
http://www.linux-magazin.de/Ausgaben/2012/11/Firewall-GUIs

aber naja wie sinnvoll so was unter Linux ist muss jeder selber wissen.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6281

PostPosted: Sun Oct 04, 2015 5:42 pm    Post subject: Reply with quote

Eine sog. "personal firewall" ist eine ausgesprochen schlechte Idee. Für die Gründe empfehle ich die Lektüre der exzellenten FAQ zu de.comp.security.firewall ("Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?"). Siehe auch in Wikipedia den Abschnitt "Personal Firewalls als Schutzmaßnahme" - im günstigsten Fall ist sie wenigstens nur nutzlos.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6281

PostPosted: Sun Oct 04, 2015 5:50 pm    Post subject: Reply with quote

Trotz des vorherigen Postings möchte ich erwähnen, dass die Benutzer-IDs, mit denen ich normalerweise arbeite, bei mir bewusst mit iptables für die Kommunikation nach außen gesperrt sind. Dies hat allerdings nur den Grund, dass ich unter diesen IDs nicht versehentlich Kontakt mit dem Internet aufnehme: Für Letzteres habe ich eigene Benutzer mit weniger Privilegien eingerichtet. Einen "Schutz" gegen bösartige Software gibt es (prinzipiell) ohnehin nicht: Man muss selbst dafür Sorge tragen, sich keine solche zu installieren.
Und den bei Wikipedia genannten einzigen Vorteil von "Personal Firewalls" - nämlich das Loggen - kann man sich bei Bedarf ohnehin trivial mit iptables konfigurieren. Das ist allerdings nur sinnvoll, wenn man die logs auch liest und verwaltet!
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2225
Location: Germany

PostPosted: Wed Oct 07, 2015 2:47 am    Post subject: Reply with quote

Netstat kennst du? Nettop ist eventuell auch was du suchst. Wenn du ein rootkit hast ist das eh ein anderes Problem und man braucht schon intrusion detection Systeme zum Vergleich der Änderungen am System. Der wireshark Tipp ist auch nur so gut wie die Verbindung nicht verschlüsselt erfolgt oder sich an normales http hängt. Problematisch wird es wenn jemand padding von Paketen oder einen eigenen DNS-Server nutzt, oder sonstigen Proxy, der sich nicht an Systemvorgaben hält. Wie wenn mein Chromium zuerst prüft ob Google DNS geht und das nutzt und wenn nicht dann halt die resolve.conf usw. Sicher das Google das macht bin ich nicht. Mich würde es aber nicht wundern.

Ich kann deinen Wunsch verstehen, aber gerade weil Allways-https gefordert wird ist das... na ja eine Schattenseite. Im Quellcode sollte man das sehen oder indem man selber eine Men in the Middle-Attake auf eine https Verbindung zur Kontrolle und zum testen einbaut. Aber das ist Aufwand. URL-Pinning wird ja genutzt um MitM auszuschließen, letztlich ist das aber der Quellcode-Vorteil man kann dran schrauben testen und lesen.

Tunnel bauen und Informationen heraus tragen wird ja immer einfacher, besonders weil Mobiltelefone und deren Datenübertragung immer schneller und Kostengünstiger wird.. aber das ist eine ganz andere Problematik.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum