|
>...ich meine, die von Seltsam genannten Gefahren >sind teilweise eher theoretischer Natur: Nicht unbedingt - du musst nur wissen wie die Wall arbeitet. >Firewalls haben in der Tat den Nachteil, dass >sie unter Last (= gezielte Flood-Attacke von >mehreren Minuten) oft sehr viel oder die gesamte >CPU-Leistung aufbrauchen. Nehmen wir Outpost. Mach da mal n ACK Stream Angriff und bombardiere die Wall mit ACK Packeten. Outpost versucht herauszufinden ob die ACKs zur Verbindung gehören oder nicht und verwirft sie gegebenenfalls. Wenn du genug ACKs erzeugst hast du nach ca. 30 Sekunden nen hübschen Buffer Overrun. Danach rennt die Wall nimma. Wird nix mehr geblockt oder ähnliches. >Als Normaluser trennt man da einfach die >Internetverbindung und wählt sich unter einer >neuen IP ein. Anschliessend ist man das Problem >los. Japp, weil die Wall dann schon gar nimma arbeitet *fg*. >Noch unwahrscheinlicher erscheint es mir, dass >in einem solchen Fall die Integrität des >Dateisystems beschädigt wird und man die >Festplatte deshalb neuformatieren muss. NTFS ist empfindlicher als Du denkst. Schon oft erlebt das Win2k nach nem Stromausfall mit NTFS nimma neu starten wollte. >Tatsächlich sind solche ausbeutbaren >Bufferoverflows aber in Sachen ZA nicht bekannt. >Theoretisch besteht diese Möglichkeit. >Theoretisch sind aber auch alle anderen >Programme mit Zugang zum Internet betroffen. *lach* - ich habe mein Posting allgemein formuliert. Solche Buffer Overruns existieren aber z.B. in der NIS und auch in Outpost. |
Hallo Martin, </font><blockquote>Zitat:</font><hr />Habe ich deine Antwort richtig interpretiert?</font>[/QUOTE]Ja, das hast du. Im Übrigen gibt es noch mehr und bessere Möglichkeiten, den Netzwerkverkehr zu protokollieren: durch den Einsatz eines Sniffers (Ethereal, Analyzer und Microsoft Netzwerkmonitor fallen mir spontan ein) oder auch durch den Einsatz der Kerio PFw, die außerdem einen guten netstat-Ersatz mitbringt (sie ist m.W. noch nicht durch Floodinganfälligkeiten bekannt geworden). Der Vorteil beim Sniffen sind die sehr viel ausführlicheren Ergebnisse. </font><blockquote>Zitat:</font><hr />Thus spake Nautilus: [starke CPU-Last bei Flooding] Als Normaluser trennt man da einfach die Internetverbindung und wählt sich unter einer neuen IP ein. </font>[/QUOTE]Du meinst, daß Otto Normaluser bemerkt, daß er geflooded wird? Abgesehen davon, daß ein Anstieg der CPU-Nutzung unter modernen Betriebssystemen (NT4+) kaum auffällt, wird Otto Normaluser kaum die richtigen Schlüsse ziehen. Nur mal aus Neugier: gibt es eine Personal Firewall, die beim Anstieg der CPU-Last oder bei Flooding die Verbindung trennt? </font><blockquote>Zitat:</font><hr />wann wird man als Normaluser schon mal zum Opfer einer solchen Attacke?</font>[/QUOTE]Die Wahrscheinlichkeit ist m.E. eher gering, aber Wahrscheinlichkeiten und Sicherheiten sind disjunkte Mengen. Freilich gibt es auch Deppen, die ihren Webserver oder privaten Gameserver mit Zonealarm schützen wollen. Denen kann keiner helfen. ;) Möglicherweise sind dann nach dem Crash der Personal Firewall die restlichen offenen Ports des Servers frei zugänglich. :rolleyes: ciao, docprantl |
@Prantl Zur Kerio: http://www.securitytracker.com/alert...g/1005149.html Zum automatischen Trennen der Verbindung bei Angriffen: Ist mir nicht bekannt, was aber nichts heissen muss. Zum von dir angesprochenen "unbemerkten" Absturz unter Last (oder im Falle eines FW-Killers): In diesem Fall droht kein Schaden a la Bluescreen. Der User ist also so sicher oder unsicher, wie vorher (ohne FW). Für erfahrenere User gibt es Tools, die überwachen, ob der FW-Prozess noch ausgeführt wird. Falls nein, erscheint eine Warnung. Zum Gameserver: Optimal wäre es natürlich, diesen auf einem separaten Rechner und geschützt durch einen Router zu betreiben. Nur kostet das halt so viel Geld (genauso wie Chefarztbehandlung oder ein stabiler S-Klasse Mercedes mit 6+ Airbags). Gruss Nautilus |
Das mit der Kerio wußte ich noch nicht. [img]graemlins/schmoll.gif[/img] Ich habe sie seit Ewigkeiten nicht mehr im Einsatz. ;) |
</font><blockquote>Zitat:</font><hr /> Nur mal aus Neugier: gibt es eine Personal Firewall, die beim Anstieg der CPU-Last oder bei Flooding die Verbindung trennt? </font>[/QUOTE]Es trifft deine Frage zwar nicht exakt, ist aber vielleicht trotzdem ganz interessant: http://board.protecus.de/showtopic.p...ime=1038077650 Hab's aber nie ausprobiert... |
So, nachdem ich den Beitrag von Andreas Haak gelesen hab ist ZoneAlarm auch von meinem PC weg. Ich bin der Meinung, dass sie kaum Schutz bietet, höchstens gegen unerfahrerne "Scriptkiddies" und die "guten" Hacker wollen auf meinem PC eh nichts...man da gibt es ja einen Papierkorb lol [ 14. Dezember 2002, 21:25: Beitrag editiert von: I_wanna_know ] |
|
Also als ganz sinnlos halte ich ne FW nicht. Kann man halt mal sehen was so "nach Hause telefonieren" will. Hab übrigens Outpost free. Letzens schickte mir jemand, bei dem ich mich ins GB eintrug ne exe Datei .Wurde prompt von der FW unschädlich gemacht. Nun vor echten Angriffen schützen die Dinger nicht; aber wer will schon auf meinen PC? :D |
Eine EXE-Datei wurde von deiner Firewall vernichtet??? Bist du sicher, dass du da nicht was verwechselt??? Die Kontrolle dessen, was raus und rein will, kannst du auch billiger, einfacher, ausführlicher und zuverlässiger haben, z.B. auf www.sysinternals.com |
@ Iron: Kam jedenfalls die Meldung: "Die E-Mail enthielt einen Anhang namens ´soundso.exe´Datei umbenennen?" etc. Die Datei wurde nur umbenannt. Danke für den Link. |
Die Meldung kam von deiner Firewall? |
@ micha22: Sag mal Du hast nicht zufällig noch die TPF 2.xxx auf Deinem Rechner? Die hat in der Tat, wenn eine Datei verändert wurde, nachgefragt: "TPF has found that ... was replaced by..., do you accept that?" Aber es ist mir neu, daß dies aufgrund einer mail oder eines nicht ausgeführten mail-Anhangs jemals hätte erfolgen können. :confused: Liebe Grüße |
Hat nicht sogar ZoneAlarm eine Funktion, die Mail-Anhänge eines infizierbaren Datei-Typs direkt unter Quarantäne stellt? :rolleyes: [ 29. Januar 2003, 20:56: Beitrag editiert von: forge77 ] |
@ Iron: Jo genau @ manticore Habe Outpost als Freewareversion |
Man beachte bitte die Feinheiten!!!! Wenn eine Firewall sowas tut (ZA z.B. benennt Anhänge um im Stil von *.zla, *.zlb...) dann tut sie das nicht, weil sie einen Schädling entdeckt hat, sondern weil sie einen POTENZIELLEN Schädling anhand seiner Dateiendung erkannt hat. Ähnliches tut Outlook in den Standardeinstellungen. Gut gemeint, aber trotzdem versagt. |
Hallo, bei der Beurteilung von ZoneAlarm (bzw. personal Firewalls) wurde ja schon einiges an Vergleichen gebraucht (Haustür, Treppengeländer, ...), die alle ziemlich hinkten. Wie findet ihr den Vergleich mit einem Fahrradschloß? Nur einige Stichwörter: verbraucht Ressourcen (Gewicht) und kann selbst zum Problem werden (in die Speichen kommen) bietet keine wirkliche Sicherheit, besser ist es, Gefahrensituationen zu meiden (ein Wochenende am Bahnhof stehenlassen und das Rad ist trotzdem weg) denn es gibt viele Möglichkeiten den Schutz zu umgehen (Bolzenscheider, Säge, ganzes Rad wegtragen, ...) ZoneAlarm läuft bei mir nicht mehr. Wer überredet mich, auch aufs Fahrradschloß zu verzichten? Martin |
Keiner. Weils ein weiterer hinkender Vergleich ist. Solche Vergleiche sind nur dann sinnvoll, wenn es darum geht, jemandem einen allerersten, höchst oberflächlichen Eindruck davon zu geben, was das Problem der DTFW ist. Letztlich gibt es aber genug objektive Fakten, mit denen man es begründen kann. Nur muss das Gegenüber dann auch in der Lage sein, diese Fakten halbwegs zu kapieren. |
Da habe ich dann doch etwas informative gefunden, Danke Andreas Haak. Ich gehörte auch zu denen die beim Backdoor SubSeven sich etwas dachten. Der beste Schutz ist es einfach darauf zu achten was man macht, installiert und öffnet. Ob es ein großer Nutzen ist, keine Ahnung, aber ein paar kleinere "Einbrüche" wehrt auch ZA ab. Sie gehen vielleicht Richtung Spyware oder Adware, aber es reicht das das schon zum Teil geblockt wird. DIe Frage ist also, wenn eine Firewall die wirklich großen Angriffe nicht abwehren kann, dann braucht man sie nicht mit nein zu beantworten. Um das Führerscheinbeispiel mit Deiner Antwort zu zitieren: Einen Führerschein bekommt man nur bei gleichzeitiger Sicherheitsbelehrung trifft hier zu, also informieren über den Unsinn einer Firewall wenn man sich falsch verhält und erklären was richtiges Verhalten ist (und das tust Du 200%ig verglichen mit anderen Beitraägen, also Danke). Jedenfalls erkennt Adaware und Spybot bei mir mittlerweile weniger als vor der Installation von ZA. Es ist nicht der ultimative Schutz, aber zusammen mit richtigem Verhalten bringt es etwas. Und gegen einen großen Angriff könnte ich eh nichts machen, mit anderen Worten, wenn ich mir die Arbeit bei dem Teil erleichtere den ich bearbeiten kann, dann habe ich Erfolg. Gegen Dinge die ich nich abwehren kann hilft nur Daten sichern und in sicheren System auslagern. Für Privatpersonen reicht es aus einen Zweitrechner zu verwenden den viele eh schon haben. Einen fürs Internet und einen für den Rest. Und dann ab und an, falls notwenidg, die Daten austauschen. |
Hallo! </font><blockquote>Zitat:</font><hr />Original erstellt von fraggle: Ob es ein großer Nutzen ist, keine Ahnung, aber ein paar kleinere "Einbrüche" wehrt auch ZA ab. Sie gehen vielleicht Richtung Spyware oder Adware, [...] Jedenfalls erkennt Adaware und Spybot bei mir mittlerweile weniger als vor der Installation von ZA.</font>[/QUOTE]Das liegt nicht an ZA, sondern ausschließlich an Deinem Verhalten: Du installierst sie Dir selbst oder ermöglichst es durch die Nutzung eines unsicheren Browsers wie den IE. 1.) Spyware "bricht" nicht ein - Du installierst sie. 2.) Wenn Du Dich vor der Installation von Anwendungen nicht informierst, ob diese bekanntermaßen Spyware enthalten, dann kommt Spyware auf Deinen Rechner, unabhängig von ZA. </font><blockquote>Zitat:</font><hr />DIe Frage ist also, wenn eine Firewall die wirklich großen Angriffe nicht abwehren kann, dann braucht man sie nicht mit nein zu beantworten.</font>[/QUOTE]Doch - weil erstens kein Schutz davor besteht, dass Spyware auf Deinen Rechner gelangt (siehe oben), und zweitens gar nicht gewährleistet ist, dass die von Dir selbst installierte Spyware ins Internet sendet. Somit ist das einzige, was vorhanden ist, eine Scheinsicherheit, die Dich allenfalls davon abhält, vor der Installation Informationen über die zu installierende Software einzuholen. [ 03. März 2003, 13:29: Beitrag editiert von: mmk ] |
Hallo Swiss, vielen Dank, dass Du Dich meinem Problem annimmst!! Ich habe 1) Ask.com deinstalliert 2) TFC.exe ausgeführt 3) Den Eset-Scan durchgeführt. Hier das Logfile: ESETSmartInstaller@High as CAB hook log: OnlineScanner64.ocx - registred OK OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255) # OnlineScanner.ocx=1.0.0.6415 # api_version=3.0.2 # EOSSerial=96d11de864b88347baef68cd69fc4198 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2010-12-15 08:42:12 # local_time=2010-12-15 09:42:12 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7600 NT # compatibility_mode=1797 16775165 100 94 522351 28980328 84890 0 # compatibility_mode=5893 16776573 100 94 23715 44849143 0 0 # compatibility_mode=8192 67108863 100 0 3749 3749 0 0 # scanned=111450 # found=0 # cleaned=0 # scan_time=2260 |
@Sabine74 Ich verstehe hier den Sinn nicht. SRY, warum wämrst Du einen Thread aus dem Jahre 2003 wieder auf:pfeiff: Felix |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board