|
Antiviren Programm Bevor der große Aufschrei kommt: Ich habe google benutzt. Eigentlich hatte ich mich schon entschieden. Ich benutze seit einigen Tagen die Testversion gdata Antivirus in Kombination mit der Windows Firewall. Okay die Firewall brauch ich eigentlich nicht, ich könnte sie genausogut deaktivieren es macht keinen Unterschied :D Zu meiner eigentlichen Frage. Ich bin soweit mit gdata Antivirus zufrieden. Besonders toll finde ich das er dann scannt wenn der pc im leerlauf ist. Ich hatte einmal bei einem Thunderbirdupdate ein extra popup Fenster gehabt wo er das Update gescannt hat bevor es im thunderbird geladen wurde. Ich habe auch nachgefragt bei gdata aber habe keine vernünftige antwort bekommen. Vielleicht kann mir da einer helfen. Ich möchte einfach nur wissen warum das nur ein einziges mal passiert ist. Desweiteren kann ich mir nicht vorstellen das 24/7 stündlich ein Update kommt. Sind das wirklich immer Updates gegen Viren oder wird mir da möglicherweise etwas vorgegaukelt? U. U. würde ich mir auch noch eine Testversion von Kaspersky laden und diese ausprobieren. Das würde mich evtl ja auch zusagen. Vllt hat ja jemand einen Tipp, Erfahrungsbericht o.ä. |
Zitat:
Zitat:
Zitat:
Sitzt du mehr als 24 Stunden ununterbrochen vor/hinter dem laufenden Rechner und wartest du nur darauf und kontrollierst? "Stündliche Updates" bedeutet konkret eigentlich nur stündliche Nachsehen ob es Updates gibt, da G Data AV zwei Engines (Avast und Bitdefender) nutzt, also "die doppelte Anzahl an Updates" braucht mag dies aber eher (aber nicht unbedingt wirklich besser) erfüllt sein als bei der Konkurrenz. Zitat:
Käme alle Stunde eine Meldung wie "ist auf dem neuesten Stand", dann ist dies auch Show und mag stimmen (im Sinne es gibt für G Data AV nur keinen neueren Stand). |
Ich benutze selbst G Data IS 2013 und bin rundum zufrieden. G Data hat laut Tests von AV und AV Org die höchsten Erkennungsraten on demand, es verwendet die Engines von Bitdefender und Avast. Updates können 1-stündlich eingespielt werden und dies geschieht auch meist (bei Engine A, ist Bitdefender). Was nicht zu vernachlässigen ist: Support rund um die Uhr. Die Herren am Telefon wissen was zu tun ist und sie leiten Dich zB bei Anfragen wie Einschicken von verdächtigen Dateien sofort weiter zum Virus Lab. Das alles bekommst Du für 25 € Strassenpreis bei Mediamarkt. Wenn, dann würde ich pers. gleich die IS kaufen, Firewall incl., kostet nicht mehr als das reine AV Programm. Für die Firewall von G Data spricht: a eine gelungene manuelle Konfiguration möglich (einfacher als bei Win) b automatische Einstellungen in versch. Stufen ohne Nachfrage an den Nutzer Dies ist wie bei jeder Software aber auch pers. Geschmackssache und damit subjektiv! |
Bitte unterlasse Beiträge mit so stark werbendem Charakter und diese Empfehlung Zitat:
Zitat:
|
Zitat:
|
Shadow: Ein Forum ist grundsätzlich zum Austausch von Meinungen gedacht. Mein Beitrag war nicht werbend gedacht. Deswegen habe ich ja auch explizit auf die subjektive Berwetung hingewiesen! Der TE fragte explizit nach Erfahrungsberichten. Dies habe ich getan. Finde Deine Ermahnung dahingehend etwas als "overkilled". Cosinus: Ich sehe das etwas anders als Du. Bitte bedenke, die wenigsten sind Spezialisten (wie Du), die wenigsten können eine Firewall richtig einstellen, viele denken an die alte Ein-Weg-Firewall von XP zurück und übertragen das fälschlicherweise auf heutige moderne OS. Das Gute an der heutigen Software Lage ist doch: Win 7 FW mit AV Programm xyz oder Commodo FW mit AV Programm xyz oder Internet Suite xyz. Muss jeder pers. ausprobieren, testen, verwerfen und sich dann entscheiden. Trial and Error eben. ;-) |
Die GDATA IS 2013 ist sicher eine gute Wahl! Einfach zu handhaben, hohe Erkennungsrate, benötigt nicht zuviel Rechenleistung und sie haben einen sehr guten Support. |
Zitat:
Das Resultat sieht man an vielen Stellen. Zitat:
|
Cosinus: Die minütlich eingehenden Hilferufe hier gehen mit Sicherheit nicht darauf zurück, ob die User jetzt die PFW von Comodo oder AVG etc. einsetzen. Die Fehler liegen ganz woanders, das weisst Du. Mit Try and Error ist vielmehr gemeint die Bedienführung der PFW, die "Klicklastigkeit", voreingestellte Regeln und all das. Zu Deiner Meinung, man könne getrost ganz darauf verzichten: Ist okay. Kannst Du so machen. Ich weise nur darauf hin, dass heutzutage die meisten Banken AV und PFW zwingend vorschreiben. Im worst case eines leeren Kontos nach Malwarebefall bleibt man - nur mit dem NAT Router -dann nämlich auf seinem Schaden sitzen ! Und einen Richter interessieren dann keine pers. Meinungen eines Admins oder eines Usern im Net, sondern einzig allein die AGB´s und nicht die "Theorie", ob PFW sinnvoll oder nicht sind! |
Zitat:
Zitat:
Ich kein aus meinem Umfeld keinen professionellen IT'ler, der privaten Leuten so einen Lötzinn aufschwatzt Zitat:
Selbst wenn es so wäre: meine Pflicht hätte ich mit WindowsXP oder höher schon allein erfüllt. Zitat:
Zitat:
Abgesehen davon glaube ich kaum, dass die Bank "gewinnt" weil (salopp) Otto-Hans kein ZoneAlarm drauf hatte. Grobfahrlässigkeit ist eher von Bedeutung und die lässt sich nicht allein dadurch ableiten weil mein keine PFW installiert hat. Lötzinn. |
Zitat:
Aber du magst mir gerne bitte mal ein paar Banken benennen, die eine zusätzliche oder überhaupt eine PF vorschreiben (versuchen) - bitte mit Link zu dieser "Vorschrift". Zitat:
Zitat:
Zitat:
|
Ich drück es mal einfach aus: Ich habe Cosinus so verstanden, dass er meine, man bräuchte gar keine PFW und sei mit Nutzung des "PC Leitfaden" incl. eines modernen Routers (also NAT, Paketfilter etc.) incl. einer darin verbauten Firewall, also der Basics bereits an sich recht sicher. Ich habe ihn so verstanden, dass er meine, man könne zB die Win 7 FW unter diesen Umständen bei einem gut konfigurierten System auch abstellen. Kurzum: Zu PFW zähle auch die integrierte Win Firewall (so habe ich es verstanden). Den Link kannte ich schon, Reduktion von Softwarekomplexität ist klar. |
Natürlich ist das nicht empfohlen, die Windows-Firewall abzuschalten. Es wäre aber kein Problem hinter einem Router auch komplett ohne Windows-Firewall dazustehen. Was ist denn jetzt mit deinen vorherigen Dramatisierungen? Ist ein NAT-Router allein soooo unsicher? Was hat man nur zu Windows-2000-Zeiten gemacht? Die Kiste mit Schlangenöl wie ZoneAlarm eingerieben? :rofl: |
Hier der CCC .. deutlich klarer warum die Leute nichts von "Personal Firewalls" bzw. "internet security suites" halten... das BSI drückt sich doch arg höflich aus... PersonalFirewalls - Chaos Computer Club Ulm .. guck dir vor allem mal "Personal Firewalls im Test" und "warum Personal Firewalls versagen" an... Ein gutes Argument (das ich auf einer deutschen Seite bisher leider nie sah): die meisten Firewalls verlangen um wirklich funktional und "sicher" konfiguriert zu werden wieder so viel Fachwissen dass die Leute die wirklich damit umgehen könnten fast schon hier im Kompetenzteam mitarbeiten könnten... mit anderen Worten: das Versprechen mit einer Internet Security Suite einem Laien zu ermöglichen seinen Rechner richtig sicher zu machen.. ist schlicht weg gelogen. |
Zitat:
Zitat:
und das Zitat:
Zumindest teilweise ist der Inhalt aber deutlich abgehangen (ziemlich veraltet). |
Na super, da lese ich auf der Seite hxxp://ulm.ccc.de/PersonalFirewalls/Alternativen vom CCC, klicke mich durch und beim dem Erlauben von Scripts unter der verlinkten Seite bei "dieses Video" kommt sofort die Virenmeldung: JS.Blackworm.A (Engine A), JS:Koobface-B (Engine B) Das ist doch wieder mal typisch... |
Dieses Video wurde doch sowieso vom Nutzer entfernt laut YouTube :blabla: |
Achja? Ich habe das nach dem Fund gar nicht mehr getestet. |
Welches AV-Programm? Virustotal, urlvoid und weitere sagen bei mir "sauber". |
Haha, das ist ja lustig. Ich habe nicht umsonst GDATA empfohlen :D. |
Achja, das Programm mit den meisten false positives :zunge: |
Naja, lieber ein false positive als ein nicht gefundener Trojaner/Virus/... |
Wenn man damit umzugehen weiß und es keine "lustigen" Folgen wie bei Avira vor ein paar Wochen hat, dann uneingeschränkt >>ja<<. Nur wissen sehr viele damit nicht umzugehen, sind weder in der einen noch in der anderen Richtung kritisch, kein Fund bedeutet halt nur kein Fund und nicht "ist absolut sicher malwarefrei" und ein Fund kann immer noch ein falscher Fund sein (oder relativ sehr harmlos (bzgl. Computersicherheit), auch wenn es als "gefährlich" plakativ und werbewirksam bezeichnet wird). |
Also dass G Data das Programm mit den meisten False Positives ist, halte ich für ein starkes Gerücht, Du meintest wohl eher ClamAV... Wollte eigtl. nix mehr zu dieser (in meinen Augen) unsäglichen Grundsatzdebatte pro vs. contra PFW sagen, aber: - Wieso sollte bitte eine zusätzliches Sicherheitsfeature - das pro bono umsonst ist (Win integrierte FW) - für die Katz sein in einem Sicherheitskonzept, das NICHT darauf angelegt ist, zig eindimensionale "nebenher installierte" AV Programme laufen zu lassen, sondern eher auf unterschiedliche Features wie zB AV+FW+Verhaltensscanner+ HIPS o.a. ? - MMn ist eine FW NUR dann schädlich, wenn + sie per se Rogueware ist + oder wenn der User meint: "Habe mir jetzt Avira Free und Zonealarm draufgekloppt, jetzt kann ich endlich auf die Warez Seiten gehen." Leider findet man/ich schwer gute FW-Test im web. Die meisten zielen auf Internet Suites ab, mit starker Betonung auf der AV-Komponente (Bsp. sind av und av org). Andere wie der vom CCC sind stark veraltet. Sogenannte Selbsttests sind auch schwer zu finden. Sollten aktuell, verlässlich und "sicher" sein. Vlt. am ehesten noch dieser: grc.com ?! Wobei ich der Meinung bin, dass hier noch am ehesten der Router getestet wird. Um also aussagekräftig zu sein, müsste man sein altes Modem rauskramen/anschließen und dann so den Test "zurechtbiegen". Ich wäre wirklich mal an einem Test interessiert, wo die üblichen Verdächtigen Outpost, Zonealarm etc und die bezahlten AVG, Avira etc. gegeneinander antreten und das Ergebnis der Win 7 integrierten FW gegenübergestellt wird. Shadow und Cosinus: Das mit diesem "Schlangenöl": Ist das ein running gag hier im Forum oder wie soll man das verstehen :zunge: |
Running Gag wahrscheinlich auch ;) aber im ursprüglichen Sinne ist Schlangenöl einfach die Bezeichnung für ein Produkt/Artikel etc., hier im Forum dann eben für eine Software, die wenig oder auch keine echte Funktion hat, aber als Wundermittel zur Lösung vieler Probleme angepriesen wird. Kannst ja mal die Suchmaschine mit den bunten Buchstaben benutzen und nach Schlangenöl-Software suchen. |
Zitat:
Zitat:
Zitat:
Schlangenöl |
@Richie_10: wenn du auf der CCC Seite ein wenig herumgestöbert hättest würdest du die Argumente kennen aus denen hier so viele den "Personal Firewalls" ablehnend gegenüberstehen.. zumal diese Programme oft noch zusätzliche Softwareschwachstellen an empfindlichen Stellen ins System bringen. Warum lehnst du eigentlich "Internet Security Suites" ab wenn du "Personal Firewalls" befürwortest ? Soweit ich gesehen habe sind diese "Security Suites" ja nichts als eine Kombination aus "Personal Firewall" und Antivirenprogramm.. wenn man an "PF" glaubt ist es doch gar nicht schlecht wenn beide Sicherheitskomponenten gut aufeinander abgestimmt sind.. Hier noch etwas zum Thema "Antiviren Programme": heise online | IT-Sicherheitsfirmen suchen nach neuen Strategien |
Dann lagere auch Dein Hirn aus und google selbst... Bist ja eh so von Deiner Meinung anscheinend so überzeugt... Und auf Deine Frage: Ja klar, ich kann auch mit einem Pony ausreiten, wenn ich aber einen schwarzen Rappen habe, komme ich wesentlich schneller (in der IT sicherer) ans Ziel... Diskussion für mich hier beendet, da "wie es in den Wald hineinschallt, so schallt es auch heraus"! |
Ich frag mich, warum hier immer so schnell am Ton des Kompetenzteams gemeckert wird?! Kann, abermals, nichst negatives erkennen. Es ist nunmal Fakt, dass nicht alles auf dem Silbertablett serviert werden kann und auch nicht serviert werden sollte. Ein wenig Eigeninitiative kann, beim simplen Nachschlagen irgendwelcher (Fach-)termini, nicht schaden... |
Zitat:
Lehne diese Suites keinesfalls ab, hast mich vlt. missverstanden?! Was ich sagen will, ist, dass man da die Wahl hat: Kostenlose FW mit gekauftem AV Programm vs. Internet Suites vs. Win-FW und Einsatz von kostenlosem AV Programm.... Und jetzt mal bitte Butter bei de Fisch: WER von Euch schaltet ABSICHTLICH seine Win 7 FW aus? Zitat:
So einfach ist das. Zumal Du es ja schon genau erklärt hattest vorher (merci übrigens ;-) ), hätte ein "Nachtreten" auch ausbleiben können. |
Zitat:
Wenn da nicht diese Rechner von der Stange wären, die zB mit Testversionen von Irgendeiner Suite zugekleistert wären und dramatisch-hysterische Meldungen von sich geben, wenn dieser "Schutz" nach Ablauf des Testzeitraums bald verfällt. Hinzu kommen Provider, die automatisch ihren Kunden ein "Sicherheitspaket" bei der Flat reinpacken, die man nach x Monaten schriftlich kündigen muss, sonst darf man auch bei Nichtnutzung um die 5 EUR im Monat bezahlen :pfeiff: Bei Abbestellung kommen dann Aussagen wie "kostenlose Produkte können ja niemals so gut schützen wie die Produkte unserer Premiumpartner" oder ähnliches Marketinggeblubber :blabla: Zitat:
|
Zitat:
Wozu: das ist die einfachste Methode wenn ich meinen Eltern per VNC "reverse connect" von ihrem Win 7 PC aus Computerhilfe gebe. Die Architektur dabei: eine Fritz Box (mit der sich das VNC Programm auf dem PC meiner Eltern Bash-gesteuert verbindet) , die VNC Verbindung wird von der Fritz Box auf meinen Linux PC weitergeroutet. Somit ist meine Kiste weiterhin durch den Paketfilter in der Fritz Box geschützt.. zumal ich den Linux PC auch immer aktuell halte. Warum ? War die einfachste Methode da diese VNC Fernwartung nicht so oft vorkommt. Bei normaler Nutzung wird der PC dann zusätzlich noch durch den Paketfilter geschützt falls doch mal (verstümmelte) Pakete über diesen "geforwardeten" Port reinkommen sollten. (Da der VNC Client bei mir normalerweise nicht läuft würden korrekte Pakete eh keinen Schaden anrichten..) Im Gegensatz zu "Sicherheits Suites" und "Personal Firewalls" ist Iptables ein einfacher Paketfilter und versucht nicht gleichzeitig noch eine Verhaltenserkennung a la Threatfire und ein Intrusion Detection System a la Snort zu emulieren. (Leider fängt die Windows Firewall auch mit solchem Blödsinn an.. das schützt höchstens gegen Script Kids.. ) Nochmal die Hauptgründe warum auf PCs deren Besitzer mich um Rat fragen keine PFWs installiert sind: 1. für Laien sind die Meldungen schwer zu verstehen, zumal viele missverständliche Meldungen dabei sind ("Ping" wird als Angriff dargestellt etc...) damit die Leute glauben die Software sei ihr Geld wert. (Ups.. stimmt, ich glaube das nicht... ) (Reine Paketfilter oder echte IDS Systeme nerven nicht mit Pop Up Meldungen sondern loggen in eine Datei.. und können so konfiguriert werden dass sie in dringenden Fällen eine Mail oder SMS an den Admin schicken...) 2. durch Installation zusätzlicher Software an kritischen Stellen / mit Admin Rechten wird das Risiko von Sicherheitslücken eher erhöht als erniedrigt. (Manche PFMs verwenden "hooks" und Rootkit Techniken.. sollte ein Schadprogramm also eine Firewall "kapern" hätte man ein richtiges Problem im System) 3. Echte Schadsoftware kommt von innen an der Firewall vorbei ins Internet. 4. "Phone Home" Software erkenne ich indem ich nach Neuinstallation von Software "mittelmäßigen Vertrauens" (sollte man eh vermeiden, hier ging es mal nicht anders) a) einen Portscan auf dem Rechner durchführe (ich ließ mir tatsächlich mal das Geld für Software zurückerstatten nachdem die auf dem installierten Rechner einfach einen Port ins Internet aufgemacht hat.. habe nie erfahren wozu der gut sein sollte...) b) einen zweiten Rechner im Netz mit "ntop" mitlauschen lasse ob verdächtige Verbindungen aufgebaut werden. Meine Methode zu 4. hat den Vorteil dass diese Programme nur dann laufen wenn sie Sinn machen.. die ntop Methode sogar dass eventuelle Spionagesoftware keine Chance hat diese Methode zu erkennen und sich zu tarnen... 5. Der Ressourcenhunger solcher Möchtegern IDS Systeme sollte nicht unterschätzt werden. Die bremsen einen Rechner ganz schön aus, wenn man an ihrem Nutzen zweifelt wird man sie also nicht einsetzen. Das wären mal meine fünf Hauptgründe warum ich solche Software nicht installiere. Wenn ich eine Heimnetz mit erhöhtem Gefährdungspotential (z.B. ein Teenager-Sohn wäre eins...) hätte würde ich wahrscheinlich ein IDS wie Snort auf einem kleinen separaten Rechner im Netz mitlaufen lassen und ab und an in die Logdateien reinsehen. |
Zitat:
Oder gibt es einen anderen Grund, dass ständig iptables laufen muss? Könnte man nicht statt VNC auch einfach den Teamviewer nehmen? ;) |
Cosinus: Ja da hast Du recht. Bei meinem neuen Travel Mate auch erst mal Uninstall McAfee machen müssen... Wobei unnötige Software ja auch schon bei den Richmond-Leuten anfängt: Windows Live liess sich nur über google.exe entfernen und das gute AES-Verschlüss. Prog. lassen die in der Home Edition gleich ganz weg, grrr. @ W.Dackel: Guter Post. Sehe Deinen Hintergrund, argumentativ fundiert. Beschäftigung mit Linux steht schon viel zu lange auf meiner "To Do List". Eine Frage an Dich: Was rätst Du denn deinen Bekannten, wie sie im Falle einer Software-Installation überprüfen, ob die nach Hause funkt oder nicht (im Falle von Windows)? FW empfiehlst Du ja nicht und IDS/HIPS auch nicht, wenn ich das richtig verstanden habe. Zu Punkt 5 muss ich sagen, habe früher Cyberhawk und das frühe Threatfire genutzt, davor das kleine "Programmchen" Scotty alias Winpatrol. Beide verlangsamten wirklich den PC und führten oft (Winpatrol) zu freezed PC. Das Einsatzgebiet von Tools wie Wireshark oder Snort würde ich eher bei kleinen bis mittleren Netzwerken sehen und nicht so bei der Konstellation DSL Router und dahinter 1-2 Home PC´s. Ein richtig gutes HIPS ist schwer zu finden, soll heissen, muss qualitativ gut sein und den Benutzer hinsichtlich der Meldungen nicht "überfordern". Verhaltenorientiert habe ich da gute Erfahrungen mit Mamutu gemacht. Man muss natürlich mit den false positives leben können, "schmeckt auch nicht jedem". |
Zitat:
Man sollte sich da mal nicht verrückt machen lassen. Ich belass es dabei konsequent auf vertrauenswürdige Software zu setzen. Phonehome lässt sich eh nicht zuverlässig aufhalten v.a. nicht mit solchen Dingen wie Personal Firewalls wie sie unter Windows wie Sand am Meer zu haben sind. Die Nachteile sind so überwiegend, dass derartige Software eigentlich schon absurd ist, v.a. seitdem man schon seid WindowsXP einen Paketfilter hat, der eigentlich mehr garnicht braucht. Wenn du dir derart über Sicherheitsgeschichten Gedanken machst, ist ein hostbasierter Paketfilter eh der völlig falsche Ansatz. Aber mit steigender Anforderung steigert auch unweigerlich der Aufwand bzw. steigen die Kosten. Wer diesen Bedarf hat, tja der kann ja gerne in eine Watchguard, Astaro (nun heißt sie SophosUTM) oder zB auch was völlig freies wie m0n0wall Zeit und/oder Geld reinstecken, aber bei der nächsten LiesMüller reicht ein Router mit Windows-Firewall und $virenscanner mehr als dicke aus. |
Habe dir eine PN geschickt die praktisch das Gleiche sagt wie das was Cosinus hier postet. @Cosinus: hatte diverse Gründe. Kollegen mit ähnlichen Themen verwenden Teamviewer, allerdings gab es den noch nicht in der kostenlosen Variante als ich mich mit dem Thema zum ersten mal auseinander setzte. Außerdem will ich keine privaten Daten über irgendwelche Firmenserver in den USA leiten.. aus Prinzip.. warum sollte man es "denen" derartig einfach machen ? Meine Methode ist die dass ein Batch Script auf dem Rechner meiner Eltern angeklickt wird, per "get" eine kleine Batch Datei von meiner Homepage holt in der ich den Reverse Connect Befehl und meine IP eingetragen habe (das Ganze geht also sogar ohne dyndns..) und startet dann den VNC reverse connect auf meinen PC 100 Km von meinem Elternhaus weg... Für "Otto Normalverbraucher" zu umständlich, aber bei mir hat es sich ganz gut bewährt da meine Eltern nur ein Icon klicken müssen, und der ganze Confi Aufwand bei mir liegt. Außerdem bleibt kein Port zu einem VNC Server ins Internet offen, d.h. aus Sicherheitsgesichtspunkten ist die Lösung ziemlich gut.. |
Zitat:
Warum machst du keinen VPN-Tunnel zu deinen Eltern-Router auf und dann gleich alles über RDP... Oder VNC auf den Eltfern-PC ist nur lokal errreichbar, von außen noch ein SSH-Server und dann tunnelst du VNC durch SSH ;) ja wo ein Wille ist da ist auch ein Busch :rofl: Zitat:
Naja lieber bei mir ne Schraube offen als bei meinen Eltern :blabla: |
Exakt. Lieber bei mir eine Schraube locker als bei meinen Eltern, zumal ich die nach Beendigung der Remote Hilfe sofort wieder festdrehe... SSH wird irgendwann mal implementiert.. zur Zeit tuts noch unverschlüsselt.. SSH mit Zertifikat ist natürlich die Königslösung, aber da wollte ich mich noch nicht einarbeiten.. muss ich erst mal hier in meinem Heimnetzwerk ausprobieren.. und zur Zeit will ich eigentlich die Zeit die ich vor dem PC sitze reduzieren .. nicht ausbauen.. |
Zitat:
Kümmere dich um ein "sauberes" VPN dann kann dir das Protokoll zur Wartung völlig egal und klarer als Klartext sein :pfeiff: |
.. zumal die Fritz Box das anscheinend in den neueren Firmware Versionen direkt anbietet.. muss nur noch herausfinden wie ich das ohne DynDNS hinkriege.. aber wie ich dir schon geschrieben habe will ich eigentlich _weniger_ statt _mehr_ Zeit im I-Net "abhängen" ;-) daher widerstehe ich der Versuchung noch ein wenig... |
Zitat:
|
Zitat:
Ich esse übrigens keinen Honig.. wie Chuck Norris esse ich Bienen direkt .. :pfeiff: Gute Nacht Arne! |
Du brauchst auch keine Türen, du gehst durch Wände - und wenn dir langweilig ist zählst du abends 2x bis unendlich :lach: |
Frage an die Spezialisten wie Cosinus u.a.: Ist es ein sicherheitstechnisches Problem, dass svchost.exe in den dynamischen Ports ab ca. 49.000 permanent freigegeben ist? Bei meiner FW ist das so ab Werk eingestellt, dass alle TCP/UDP von svchost.exe auf allen Ports erlaubt ist. Gestartet wird der Prozess meist von services.exe (ist auch keine große Hilfe, denke ich). Spezifikationen: UDP lokaler Port 59071 entfernter Host Router Entfernter Port dns (53) oder dies UDP Lokaler Port 55319 entfernter Host Router Entfernter Port llmnr (5355) oder dies UDP Lokaler Port 56969 entfernter Host 239.255.255.250 Entfernter Port ssdp (1900) Wenn das bedenklich sein sollte: Welche sinnvollen Einschränkungen hinsichtlich der startenden erlaubten Prozesse (services.exe) oder auf welchen Ports das ganze laufen soll, kann man da eingeben? Nachtrag: Richtung alles ausgehend! |
Ist das dein ernst? :wtf: Wenn du mehr oder weniger ein Verfechter von PFWs bist, solltest du wissen was das ist: - svchost.exe - services.exe - Dienste DNS, LLNMR und SSDP - Host 239.255.255.250 (welches Subnetz ist das, recherchier und überleg dann mal) Überleg auch mal was passieren würde wenn du diese Kommunikation unterbinden würdest! Gerade was DNS angeht! Zitat:
|
Werter Cosinus, ich habe da schon ein bischen recherchiert. Zuverlässige Angaben sind da jedoch schwer zu finden! Ich könnte ja als nächstes mir die Admin-Fibel aus der nächsten Bibliothek schnappen. Jedoch dachte ich mir, dass Du wie aus der Pistole geschossen da ein wenig Auskunft geben könntest. Da ich kein Bittorrent, Filesharing oder Cloud mache, habe ich mich dazu entschlossen, die Prozesse SSDP und LLMNR kurzerhand zu verbieten. Auswirkungen: 0! Brauch ich net! Zusatz: Im Router hatte ich Universal Plug and Play ausgeschaltet, deswegen haben mich halt auch die SSDP-Konversationen gewundert. Port 53 bleibt offen. Was mich nur verwundert hat, waren die Dutzende von Anfragen, wenn schon längst die Strippe angeschlossen ist (LAN) oder sogar gar kein Internetbetrieb über Port 80 läuft (Browser geschlossen), mitunter auch, wenn die Strippe(Lan) draußen ist. An dem "SAMMELSURIUMPROZESS" svchost.exe als "ganzes" fummele ich ungern rum, sonst gehen auch z.B. Win Updates nicht mehr. Mit dem ausgehenden Traffic: Mhm, vlt. hast Du Recht. Was mich nur n bisserl verwundert sind die Hosts wie log-2048315323.us-east-1.elb.amazonaws.com oder a1284.g.akamai.net Bei Amazon habe ich keine Aktien ;-) und bei akamai sagte google.exe, das das sei eine riesige Serverfarm in den USA, über die verschiedene Updates laufen. Beide sollen aber auch gerne die Daten "sammeln". Blockieren in den Hosts hat bei amazonaws (mixed reviews) jedenfalls nix geholfen... Wenn, dann müsste ich solche Sachen wohl direkt im Router blocken ?! |
Vorsicht beim Blocken.. du weißt nie wann du den Update Prozess selbst blockst, und dann hättest du dir ins Knie geschossen... Habe diese Erfahrung vor ein paar Jahren gemacht als ich alle "unnötigen" Windows Dienste auf einem Rechner deaktivieren wollte um ihn sicherer zu machen... bei manchen Diensten merkte ich dann halt erst Tage später wozu sie gut waren... eigentlich solltest du nur Dienste blockieren von denen du ganz genau weißt wozu sie gut sind, und auch genau weißt welche anderen notwendigen Dienste sie evtl. benutzen (an der Stelle fiel ich damals auf die Nase.. Windows ist unheimlich "verquirlt" finde ich...) |
Zitat:
Zu LLMNR sagte ein befreundeter Admin sinngemäß (habe beileibe nicht alles verstanden) vor 2 Jahren oder so, dass der manchmal auch für Remote Control Angriff benutzt wurde und man den meist (Ausnahmen jetzt leider nicht auf dem Schirm) ausschalten könne. Und zu SSDP meine ich, dass der nur benötigt wird, wenn man Universal Plug and Play Geräte im Netzwerk hat. Es wäre echt mal geil, wenn hier einer eine Seite empfehlen könnte, wo zB für verschieden Nutzerprofile wie - Standarduser (Mailen über web.de etc, Surfen, Filmchen gucken,etc.) - Zocker (Battlenet Diablo etc.) - Admin User (der gerne mal anderen über Remote Access hilft) so der Kern, ich sag mal 80%, an Nutzerregeln festlegt wird. Bsp. Port 135-139 sperren lassen, Port 80, 443 immer offen lassen. Jetzt natürlich grob verkürzt. Im I-Net findet man alles und nix. Oder man muss wirklich mal in die Bibliothek?! Cosinus kann ja vlt. mal kurz den Schirm seines weiten Admin-Wissens über uns öffnen :party: |
.. wenn du das so "dicht" machen willst musst du halt sperren und googlen.. wenn das dann mal klappt wären bestimmt andere an einer Anleitung interessiert... Da "richtige" Schadsoftware trotzdem raus kommt.. macht sich (schätze ich) kaum jemand der diese Kenntnisse hätte (ich habe sie nicht) diese Mühe. Firmen verwenden bekanntlich eine "richtige" Firewall, d.h. einen zwischengeschalteten Server der nur die Anfragen raus lässt die der jeweilige Admin erlaubt.. vielleicht findest du in der entsprechenden Profi Literatur (evtl. auch Papers) die Hinweise die du suchst ? Irgendwo muss ja aufgeschrieben sein was außer den SMTP, http und https Ports sie öffnen müssen. Eine Schadsoftware die mithilfe des IE ihren Kontrollserver über https erreicht filterst du übrigens nicht einmal mit so einer "Profi Firewall". (Das wäre die Lösung die ich anstreben würde wenn ich professionell Schadsoftware vertreiben würde die trotz solcher Firewalls funktionieren soll..) Die Liste der "Well known ports" hast du dir schon ergoogelt ? Die dürfte als Starthinweis schonmal helfen. |
Zitat:
Port 80 und 443 müssen nicht geschlossen werden, oder wird unter Windows standardmäßig ein Webserver installiert und gestartet? :pfeiff: Kann es sein, dass du eingehend/ausgehend bzw Client/Server jetzt irgendwie in einen Topf wirfst? |
Cosinus: Meinst Du, ich dramatisiere etwas in den Traffic PC-Router, sozusagen viel heisse Luft um nix? Verstehe Deine Hilfe im letzten Post nicht so ganz... Ich mache es mal vlt. mit einem Beispiel deutlich (wie ich es verstehe, korrigiere mich bitte im Falle von Quatsch): Hätte man einen modernen TV über der den Router laufen, könnte man den über ssdp per PC ansprechen. Hätte man einen anderen PC im Netzwerk, auf den man gerne zugreifen möchte, braucht man LLMNR. Beides bei mir net der Fall, ergo ausgeschaltet. Meine einfache Anfangsfrage war doch: Ob es "normal" ist, dass über dns 53 ausgehend Dutzende (also mehr als 30 Anfragen, vom selben Prozess svchost.exe) binnen kurzer Zeit per UDP raus gehen. J/N ? Habe da auch schon mal mit tcpview von Sysinternals reingeschaut, jedoch brachte dies für mich Patzer keine Erleuchtung! |
Zitat:
|
Verstanden! Danke! log-2048315323.us-east-1.elb.amazonaws.com --> Datenkrake von "Onkel Amazon" Würde dich sowas stören? |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board
