Jump to content

CHX-I Packetfilter für Security-Experten


EVIL
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hier mal ein Tipp für alle, die sich Admin schimpfen, oder die, die sich mit dem Thema Internet-Security/Firewall stark beschäftigen.

 

CHX-I ist ein Packetfilter (jedes Linux hat soetwas - sehr sinnig ) und somit der beste schutz, gegenüber zugriffen von aussesn auf das LAN oder den eigenen PC...

 

Ein Packetfilter macht nichts anderes als den Packetheader auszulesen, und die darin enthalteten Daten auszuwerten (IP-Quelle, IP-Ziel etc..) und anhand von den definierten Regeln entsprechend zu agieren.....

 

Frei nach dem Linux motto, zuerst darf man nichts, und dann wird stück für stück freigeschaltet, ist es ein extrem sicheres system).

 

Hier mal eine kurze Beschreibung von CHX-I:

 

CHX-I ist ein Paketfilter und damit ein "Hardcore" Firewallsystem für Minimalisten, dass Puristen begeistern wird, sich aber erheblich von den Firewallsystemen unterscheidet, wie sie die Mehrheit der Normalanwender kennen.

Grundlage fast jeden Firewallsystems ist so ein Paketfilter, der nach mehr oder minder komplexen aber feststehenden Regeln den Netzverkehr zwischen zwei Rechnern überwacht. Hierzu werden die Paketheader ausgelesen, in denen Informationen über die Quelle und das Ziel zu lesen sind. Anhand dieser Informationen entscheidet ein Paketfilter, ob z.B. eine IP-Adresse als freundlich erkannt wird oder nicht.

 

Wer sich mit CHX ernsthaft beschäftigen möchte, benötigt zwingend notwendig intime Kenntnisse über Netz-Protokolle und Ports sowie mindestens die Grundlagen normaler Netz-Kommunikation. Wer diese besitzt oder bereits ist, sie zu erlernen, dem bietet CHX nahezu unbegrenzte Möglichkeiten der individuellen Konfiguration von Rechner und/oder Netzwerken.

 

CHI-X bietet hierbei folgende Funktionen an:

 

- Zentraler Firewallservice

- Konfiguration über die Microsoft Management Console

- Definition von IP- und Port-Listen

- Anzeige aktiver Netzwerk-Prozesse

- Anzeige des Service Status

- Übersichtliche Trennung zwischen aktiven und inaktiven Filtern

- Zentrales Log-System mit detailreichen Informationen

Globale Paketfilter

- Individuelle Erstellung von IP-Listen und Port-Listen

- Stateful Inspection für TCP und UDP

- Verwaltung beliebig vieler Netz-Interfaces

- Individuelle Konfiguration der Netzwerk-Karten

- Umfangreicher Konfigurationsdialog zur Feineinstellung jedes beliebigen Filters, der bis hin zur Einzelauswahl zu berücksichtigender FLAGs geht

 

Den gesamten Text könnt ihr in dem unten angegeben 1. Link durchlesen....Der 2. Link beinhaltet den Download....

 

CHX ist für Privatanwender kostenlos und steht für die Betriebssysteme Windows 2000, XP und 2003 zur Verfügung.

 

CHX-Artikel: http://www.firewallinfo.de/index.php?option=news&task=viewarticle&sid=422

 

CHX-Download: http://www.idrci.net/idrci_tryit.htm (registrierung notwendig)

 

 

Greetz, Evil

 

 

P.S.: Gruß und Thnx an Lian ;)

Link zu diesem Kommentar
Original geschrieben von mailfriend67

Wenn man schon Purist ist, dann setzt man doch die Firewall nicht unter WIN*** auf? :p

 

[Doofefrage]

Ähm wieso nicht ? :suspect:

[/Doofefrage]

 

Sorry, aber das zielt mir schon wieder ein bisschen zu sehr in die "Microsoft-Produkte sind Schrott" Richtung.

 

Da bin ich ein bisschen allergisch gegen :suspect:

 

Greetz, Evil

Link zu diesem Kommentar

Nichts für ungut ;) war nicht so bös gemeint, wie es da stand ;)

 

In der Standard-Konfiguration sind Windows Systeme sehr grosszügig eingestellt, da gebe ich dir Recht.

 

Und genau dort setzt ja dieser Packetfilter an.

 

Da es für viele Firmen fast schier unmöglich ist, mal eben schnell die Infrastruktur auf Linux/Unix umzustellen, denke ich, ist dieser Packetfilter (o.ä. Produkte) eine gute möglichkeit dem System in Punkto Sicherheit einen kleinen Tux davorzusetzten.

 

Zusätzlich hat Windows ja noch (ab 2000 glaub ich) die möglichkeit, mit der TCP/IP Filterung nur bestimmte TCP/UDP Ports oder nur bestimmte Protokolle zuzulasssen. ;)

 

tcp-ip-filterung.jpg

 

Greetz, Evil

Link zu diesem Kommentar

Hi Olaf,

 

hmmm sollte eigentlich klappen...viel verkehrt machen kann man da ja eigentlich nicht.....vielleicht hiflt das hier weiter,:

 

http://www.id.unibe.ch/~asiegen/ena/Skripte/ena-secnet/Netzwerk-Hardening%20von%20Windows.pdf

 

und zur erklärung hier von MS direkt:

 

http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_ovr_secfeatures.htm

 

Greetz, Evil ;)

Link zu diesem Kommentar

@Evil:

Hab es auch nicht böswillig angenommen, sonst würde ich wohl im Heise-Forum posten! ;)

 

Trotz allem bleibt für mich bei dieser FW-Lösung die Frage, wer eigentlich was macht, denn zahlreiche TCP/IP-Einstellung wie auch zum Connectivität kann man neben der MS-eigenen FW auch noch per Registry patchen. Ist aus meiner Sicht irgendwo ein bißchen zuviel des Guten. :shock:

Hinzu kommt die Vielzahl an Diensten, die teilweise nur spartanisch dokumentiert sind (und von denen man wiederum nur eine kleine Auswahl braucht). Nicht zuletzt die fast täglichen neuen Exploit zu Sicherheitslücken, die immer wieder nur leienhaft gepatched werden, trüben da mein Bild einer möglichen FW aus MS-Basis.

 

Ich verstehe die MS Welt als eine gute Basis hinter einer FW.

Auch der MS ISA Server oder Deine vorgestellte FW-Lösung kann mich da noch nicht von abbringen. Lasse mich allerdings auch von positiven Ergebnissen beeinflussen. Allerdings machen einem die Patches auch hier mittlerweile hinreichend Arbeit.

 

So denn, schönen Abend in die weite Welt

 

Ralf ;)

Link zu diesem Kommentar

hi all,

 

@ evil

klar ist der link grundsätzlich nicht schlecht, aber

zitat "Da es für viele Firmen fast schier unmöglich ist, mal eben schnell die Infrastruktur auf Linux/Unix umzustellen " .....

 

naja, man braucht nicht seine komplette struktur umszustellen,

um die sicherheit "einigermassen zu erhöhen".

 

nehme man "überschaubar" anspruchsvolle hardware, packe sich eine saubere/harte redhat/debian...wasauchimmer.... distribution drauf.

 

zusätzlich dann eine fw und z.b. "lids" (http://www.lids.org) .... und schon hab ich für wenig geld eine "sicherheitseinrichtung", für die ich zum einen bei m$ viel kohle zahle, zum anderen permanent den ärger habe, dass ich mich nie sicher fühlen kann :-)

 

... was natürlich keine appliance ersetzen kann, aber dennoch sicherlich ohne "strukturellen umbau" bei wenig investition den schutz enorm erhöht.

 

gruss

tri

Link zu diesem Kommentar
  • 3 Jahre später...

hallo zusammen,

 

ich hab letzens mit der firma telefoniert die die chx firewall vertrieben hat.

die firma wurde aufgekauft - das produkt eingestampft.

 

gibt es denn eine aehnliche firewall wie chx fuer windows ?

 

ich meine nicht solche - wo alle 2 minuten ein fenster aufgeht und fragt.

wollen sie? ja/nein/vielleicht

 

ich moechte z.B. feste regeln in einer datei festlegen ... und dann nicht mehr belaestigt werden.

 

danke.

 

gruss

justav

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...