Tiny Personal Firewall - Windows Utilities - Sicherheit im Kabelnetzwerk

4. Windows: Lauscher, Wächter, Firewalls

Tiny Personal Firewall wurde inzwischen zu Keiro Personal Firewall. Es wird Ende Februar 2002 eine Verwundbarkeit gefunden, von der offenbar Tiny/Kerio ab v. 2.0.15 betroffen ist. »Kerio PFW appears vulnerable to app spoofing under certain limited conditions. An application renamed "persfw.exe" can contact any IP on remote port 80 without being processed by the firewall.« (Screenshot.) Im Brodband-Security-Forum (DSLR) wird ein Patch zur Selbsthilfe angeboten (mit einem Hex-Editor), von dem jedoch abgeraten wird. Womöglich ist der Fehler in einem der nächsten Updates bereinigt, also besser abwarten.

Die folgenden Informationen beziehen sich auf die Beta-Version von Tiny Personal Firewall V.2, wie sie auf der Web-Seite der Firma beschrieben ist. Inzwischen gibt es Final-Build 2.0.15 für Win 9x, ME, 2000, NT & XP, free for home use. Weiters finden sich hier ein paar interessante Anmerkungen von Usern und ganz unten weiterführende Links.

Download-Adressen zur Version 2.0.15:
http://groups.yahoo.com/group/tinyfirewall
Vor einem Update die Datei persfw.conf sichern, wo das bisher erstellte Regelwerk gespeichert ist.

»Tiny Personal Firewall stellt eine elegante, leicht zu bedienende Personal-Security-Technologie dar, die Personal Computer vollständig vor Hackern schützt. Sie basiert auf der bewährten und von der ICSA zertifizierten Sicherheitstechnik von WinRoute Pro. Tiny Personal Firewall ist auch integraler Bestandteil von Tiny Softwares neuem Centrally Managed Desktop Security (CMDS) System, das durch einen ungefähr fünfhunderttausend Desktop-Computer umfassenden Vertrag mit der US Air Force ausgezeichnet ist.

Aufspüren von Eindringlingen: Die Personal Firewall verfügt über einen leicht zu bedienenden Wizard, der unbekannte Aktivitäten erkennt und den Anwender auffordert, die Setup-Informationen einzutragen. Nach Vervollständigung dieses Setups wird der Liste eine neue Filterregel hinzugefügt. Diese Option kann abgeschaltet werden.

Anwendungsbezogener Filter: Um Schutz vor Trojanischen Pferden und anderen nicht autorisierten Anwendungen zu bieten, verfügt die Personal Firewall über einen anwendungsbezogenen Filter. Der Wizard wird aufmerksam, wenn eine Anwendung versucht, sich zu Kommunikationszwecken an einen Port zu binden, und stellt eine Filterregel aufgrund der Angaben des Users her. Der User kann Anwendungen manuell aus den Filterregeln heraus den Zugang zu den Ports gestatten. Tiny Personal Firewall verfügt auch über eine Datenbank mit bekannten Ports, die von gebräuchlichen Anwendungen verwendet werden:

Screenshot/Bildschirmfoto von Tiny Personal Firewall

Syslog: Die aufgezeichneten Informationen (Log) können an einen zentralen Syslog-Server zu Zwecken der Berichterstattung übermittelt werden, was ebenfalls ein integraler Bestandteil von Tiny Softwares neuem, zentral verwaltetem Desktop-Security-System sein wird, das von der US Air Force verwendet wird.

Vertrauenswürdige Adressen: Die User können Filterregeln anlegen, die vertrauenswürdige und vom Anwender definierte Adreßbereiche bezeichnen. In der Option "Trustful Addresses" können mehrfache, auf einer einzelnen IP, einem Subnet oder Bereich basierende Adreßgruppen angelegt werden:

Ferngesteuerte und geschützte Administration: Tiny Personal Firewall gestattet zusätzlich zur Überprüfung der Zugangsberechtigung beim Login, die Konfiguration der Sicherheitseinstellungen vollständig fernzusteuern. Auch das wird ein wichtiges Element des zentral verwalteten Desktop-Security-Systems sein, da es die ferngesteuerte Konfiguration der Sicherheitseinstellungen eines jeden einzelnen Users über einen zentral verwalteten Konsolen-Server ermöglicht:

Ticker

Temporäre Filterregeln: Den Filterregeln können bestimmte Zeiten zugewiesen werden, an denen sie gültig sind:

Tiny Personal Firewall verfügt noch über viele weitere Ausstattungsmerkmale und ist eine ideale Lösung für Home-, Business-, Stand-Alone- und Netzwerk-Computer.«

User beschreiben das moderne Produkt als durchaus effizient, äußerst ressourcenschonend aber manchmal nicht ganz stabil. Es ist nicht unbedingt für Computer-Neulinge geeignet, das Anlegen der Regeln erfordert ein gewisses Know-How.

Tiny PF ist eines der wenigen Security-Produkte, das GRC.com's Leaktest (Malware Masquerade) besteht, soferne das Fingerprinting (MD5 Signature) aktiviert ist (standardmäßig ist es das erst seit Build 5). Steve Gibson moniert auch das Vorhandensein einer Datei namens knownapp.txt, welche »verwundbare Funktionen der Norton-Produkte kopiert«; diese Datei sei nur zu Testzwecken vorhanden, antwortet Brian Carmichael von Tiny Software, Inc., in der Finalversion werde sie nicht mehr eingebaut (und ist bei Build 5 bereits erheblich geschrumpft); vorerst wird empfohlen, ihren Inhalt zu löschen (vorher für alle Fälle eine Sicherungskopie anfertigen).

Hier geht es zu den Tests einer älteren Version von Tiny Personal Firewall von SpeedGuide.net (viele Bildschirmfotos) und der aktuellen Beta von SecurityPortal.

Meinung eines Users:

Good things about Tiny Personal Firewall (version 2.0.5 beta):

It operates on highly-configurable rules, and can even set those rules to be active on a timed basis.

The ruleset is application-based, and includes a rule-builder wizard for packets which don't fall under existing rules.

It supports MD5 hash checking to deter masquerading of trusted executable (a significant feature).

It has a small memory footprint. Win 2000 indicates that its memory usage is only 2.800 kB of RAM and 1.700 kB of Virtual Memory. The HD footprint is likewise very slim—about 500 kB. Tiny is by no stretch of the imagination, "bloatware".

The interface is clean and easy to navigate.

It's free for personal, non-commercial use.

Bad things about Tiny Personal Firewall:

It's still in beta (2.0.5) and as such it may have unforseen problems.

The Knownapp.txt default ruleset is in plaintext and open to potentially malicious tampering. So is the Config.txt ruleset. Many people have mentioned this potential problem, so Tiny is aware of it.

Currently, Tiny only filters TCP and UDP packets. It has limited support for ICMP—at this time, it only filters ICMP Echo.

Although it has options to log when an incoming or outgoing packet matches a particular rule, it will not log an incoming connection attempt unless the incoming connection attempts to use a local port on which your system is already listening. Tiny will still block (or permit) the connection attempt, but you'll see no record that someone tried to connect. For example, if I try to FTP to my computer from a remote location, TFP will black-hole the incoming packets without logging the event. However if I start up an FTP daemon (on port 21) and also block port 21, TPF will still black-hole the packets, but only now does it log that someone tried to connect to port 21.

It is a significant deficiency that Tiny will not do any logging of incoming packets unless there's a process already listening on the local port.

For some reason, Tiny will not block an incoming traceroute attempt. I can set a rule denying all incoming UDP packets and yet a UDP traceroute will still succeed. This brings up the question: if it fails to block a UDP traceroute despite a global UDP block rule, what else might it miss?

Bottom line: I really want to like Tiny Personal Firewall because it is currently the only personal firewall other than ZoneAlarm to feature MD5 checking of trusted applications. Its configurable ruleset allows much better fine-tuning than ZoneAlarm for individual applications, and it's also free. Furthermore, it's not bloatware like the patchwork mess that Symantec made when they licensed the AtGuard engine for their NIS kitchen sink.

Unfortunately, it also has some glaring deficiencies which I hope they will address. However if they can fix those problems, this is going to be a real winner.

Message-ID: ‹3a533011.10096765@news.remarq.com›
Newsgroup: comp.security.firewalls

Am 10. Jänner 2001 wurde Build 6 herausgebracht. Details der Verbesserungen hier. Kann über eine ältere Version installiert werden. Die Datei knownapp.txt wird nicht mehr gebraucht.

Kommentare von Anwendern:

I have just un-installed Tiny 2.06 and reinstalled 2.05. Reasons:

1. It looses rules (commented upon earlier. They will certainly fix this soon.)

2. It has been, sadly, "simplified". 2.05 allowed specific and concise rules at creation time (as do, for example, Atguard and NIS); 2.06 now creates generalized rules that must be manually, laboriously retweaked.

This is an unfortunate philosophical change in direction, as Tiny in many ways is becoming "the" software firewall (rules based, encrypted application signature, stateful packet inspection, etc.)

I'm guessing that it was "simplified" to be more Zone-Alarm like (i.e. easy); a mistake. Tiny's advantage is that it is the next step BEYOND ZA, for those who do want to put rules into the firewall (for example, I allow Outlook access to 110 to get my mail, but I use Tiny to block Outlook access to anything else, so as to block e-mail web bugs.) (By the way, I LIKE ZA; I use both ZA and Tiny on W2k; used ZA and Atguard 'til Tiny became available)

I suggest/request that those of you who agree with these thoughts send an appreciative note to Tiny and ask them to KEEP their original, more sophisticated approach.

Message-ID: ‹u6X6liAfAHA.1736@colossus.SMG›
Newsgroup: shieldsup
Date: Thu, 11 Jan 2001

Here's how I managed to import my old rules without much fuss: Exit TPFW, go to its home directory and rename the file "config.txt" to "persfw.conf". Restart TPFW and check all the checkboxes in the rule list. That's it.

Message-ID: ‹W2OfgxIfAHA.804@colossus.SMG›
Newsgroup: shieldsup
Date: Fri, 12 Jan 2001

The connection status window now has various options to hide or unhide various displayed connections. The ruleset management screen now allows you to selectively enable or disable rules via a checkbox the same way AtGuard does. They SEEM to have fixed the bug that broke their inbound UDP packet filtering. It appears that UDP packets are now correctly blocked. Unfortunately, they still have not added the ability to log incoming connection attempts to ports which have no listening services. ICMP blocking is still limited to ICMP echo. Overall it's still a huge improvement with the needed UDP bugfix and addition of the ruleset checkboxes.

Message-ID: ‹3a5fae5b.1611531@news.remarq.com›
Newsgroup: comp.security.firewalls
Date: Fri, 12 Jan 2001

I used to have an ICS based network operating on Windows 2000 (the ICS Software is the same for Windows 98 and Windows ME) and was not able to configure Tiny Personal Firewall to work with my network. After e- mailing technical support, I learned that the firewall does not support ICS based networks. They might of added support in their newest releases but I am not so sure.

Message-ID: ‹93ot65$u4n$1@nnrp1.deja.com›
Newsgroup: comp.security.firewalls
Date: Sat, 13 Jan 2001

7. März 2001: Build 11. Läuft offenbar nun auch unter Windows ME.

Kommentar eines Anwenders:

On Millennium absolutely, positively. It's outbound control is absolutely incredible and far superior (IMHO) to any other firewall.

Message-ID: ‹$TecSpBqAHA.1216@colossus.SMG›
Newsgroup: grc.security.software
Date: Thu, 8 Mar 2001

Test und Beschreibung mit Bildschirmfotos von Tiny Software Personal Firewall 2.0.10 des deutschsprachigen Online-Info-Dienstes TecChannel.

Deutsche Anleitung Tiny Personal Firewall, von Blue Merlin online zur Verfügung gestellt.

Auf der deutschsprachigen Firewall Ruleset Page findet TPF besondere Beachtung. Anmerkung eines Users dazu in unserem Forum.

Tiny Personal Firewall Ruleset How-to & Examples

Tiny Firewall FAQ (engl.)

Tiny FW Mailing-Liste (engl.), hier gibt es einen Log-Analyzer zum Herunterladen und manchmal Beta-Versionen.

Tiny Firewall Setup, übersetzt von Roland Sippel.
Regeln für Win95/98/Me im lokalen Netz oder einen zweiten Peer to Peer PC.

Weiter mit den Pfeil-Symbolen >> in den Navigationsleisten
oben und unten auf jeder Seite.

Auf der vorigen Seite:
Port Detective

Auf der nächsten Seite:
Tiny Trojan Trap

Link zur Web-Seite 'Sicherheit im Kabelnetzwerk'

Zehn Gebote für den Schutz der
elektronischen Privatsphäre im Breitband-Internet