|
in diesem thread könnt ihr nun ab sofort eure "religiös-gefärbte" (hint: kritik an beide seiten) grundsatzdiskussion führen. die üblichen regeln der sachlichkeit (wenn schon nicht höflichkeit) gelten auch hier! .cr"rooooooooouuuuuuuunnnnnnnnnddddd 1 - fight"uz [ 28. September 2002, 18:18: Beitrag editiert von: cruz ] |
@Gorgo Aus dem Ursprungsthread bin ich Dir noch eine Antwort schuldig: Warum sollte ich als Einziger die ursprünglich gestellte Frage beantworten? Hat doch sonst auch niemand gemacht! Und warum sollte ich mir von Dir vorschreiben lassen, was ich antworten darf? Übrigens: Öl ins Feuer gießen! Da solltest Du Deinen Beitrag vielleicht mal kritisch betrachten! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Optimist: @Gorgo Aus dem Ursprungsthread bin ich Dir noch eine Antwort schuldig:!</font>[/QUOTE]DU bist mir mal gar nichts schuldig! [img]tongue.gif[/img] </font><blockquote>Zitat:</font><hr /> Warum sollte ich als Einziger die ursprünglich gestellte Frage beantworten?</font>[/QUOTE]Warum solltest Du als einziger nicht von der Brücke springen, wenn alle springen? :eek: Ich hatte gerade versucht einen Flamewar zu verhindern und um Sachlichkeit gebeten. ;) Auch hier gilt: Wer lesen kann ist klar im Vorteil! </font><blockquote>Zitat:</font><hr /> Hat doch sonst auch niemand gemacht! </font>[/QUOTE]Yep! Und wenns die anderen nicht machen, bist Du auch nicht schlau genug, es trotzdem zu tun! [img]graemlins/headbang.gif[/img] </font><blockquote>Zitat:</font><hr /> Und warum sollte ich mir von Dir vorschreiben lassen, was ich antworten darf?</font>[/QUOTE]Du musst Dir von mir gar nichts vorschreiben lassen - aber dann schreib Du auch anderen nicht vor, was sie auf Deine und andere Postings zu antworten haben... [img]graemlins/daumenhoch.gif[/img] </font><blockquote>Zitat:</font><hr /> Übrigens: Öl ins Feuer gießen! Da solltest Du Deinen Beitrag vielleicht mal kritisch betrachten!</font>[/QUOTE]Mach ich - wenn ich mal Zeit habe! Warum kann ich mich des Gefühl´s nicht erwehren, dass Du hier nur trollen willst??? [img]redface.gif[/img] Ansonsten -> für mich EOD ! Gorgo |
Obwohl mir ja von manchem unterstellt wird, ich würde den Sinn von Firewalls hier grundsätzlich verneinen: Dies hab ich nie geschrieben oder gesagt. Ich verneine allerdings ganz entschieden den Sinn und Nutzen von ZA. Sonstige Anschuldigungen unseres Optimisten: Erst lesen, dann heulen. |
</font><blockquote>Zitat:</font><hr /> Wenn mich jemand fragt, welches Gewürz zu einem Fliegenpilzgericht am besten passt, sag ich nicht Oregano, sondern ich sage ihm, dass er besser auf dieses Gericht verzichten sollte. </font>[/QUOTE]*megarofl* Was bezogen auf ZA sicher die beste Empfehlung ist! [img]graemlins/daumenhoch.gif[/img] Gorgo |
Hallo Iron. Du wirst es wahrscheinlich kaum glauben, aber ich weiß schon aus der Schule, dass die Erde keine Scheibe ist und auch nicht im Mittelpunkt steht. Außerdem ist es mir ziemlich egal, wer welche Firewall draufhat. Ich selbst habe keine drauf. Um was es mir nur geht: Wenn jemand welche Firewall auch immer drauf und Probleme damit hat, sollte ihm geholfen werden. Egal welche Meinung man selbst zu dem betreffenden Programm hat. Also sollte man möglichst sachlich auf das Problem eingehen und Lösungsmöglichkeiten anbieten und nicht gleich in selbstherrlicher, arroganter Weise den Fragesteller abblitzen lassen, wie dies hier im ZA-Forum sehr oft geschieht. Man kann nach der Lösung des Problems immer noch sachlich auf seine eigene Meinung hinweisen und dem Fragesteller entsprechende Argumente liefern. Was der dann draus macht ist sein Problem. Was mich hier stört ist der Umgangston. Wie heißt es so schön: Der Ton macht die Musik. Ich denke, dass es unter erwachsenen Menschen möglich sein muss, dass man sachlich und höflich miteinander umgeht. So, das war mein letztes Posting zu diesem Thema. Jetzt ist wieder Familie angesagt. Wir sind erst vor einer halben Stunde heimgekommen und warten auf den Pizza-Service. Gruß |
</font><blockquote>Zitat:</font><hr />Original erstellt von Husky1963: Wenn jemand welche Firewall auch immer drauf und Probleme damit hat, sollte ihm geholfen werden.</font>[/QUOTE]Richtig. Und das machen wir hier im ZA Forum Deiner Meinung nach nicht? wizard |
Hallo Husky, gib's auf, die werden es NIE einsehen! Schönes Wochenende allerseits! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Optimist: Schönes Wochenende allerseits!</font>[/QUOTE]Optimistisch wie ich nun mal bin, deinstalliere ich morgen OUTPOST. Um ehrlich zu sein, bin ich mit der Routerkonfiguration nicht früher fertig. Outpost verbraucht im Moment ohne aktiviert zu sein 9136 KB Speicher. Viele Grüße Bilbo ;) |
@Optimist,ich frage mich warum man dir keine PM schicken kann....?? Das erinnert mich an jemanden...!! |
@ Husky & Optimist: Hilfe besteht bei jeglicher ZA-Frage darin, dem Fragenden möglichst schnell und drastisch klarzumachen, dass ZA Mist ist und nicht darin, an irgendwelchen Einstellungsproblemen von ZA herumzudoktern. DAS habt ihr beide nicht kapiert. Bei jeder anderen Firewall gibt es Möglichkeiten, diese zumindest so zu konfigurieren, dass sie keinen allzugroßen Schaden anrichten kann. Daher bin auch ich dagegen, grundsätzlich jede Firewall madig zu machen. Das Problem mit ZA ist vor allem die Erwartungshaltung der User. Wäre ZA etwas komplizierter in der Bedienung und entsprechend wirkungsvoller in der Anwendung, gäbe es weniger Leute, die in ZA das Allheilmittel mit Erfolgsgarantie sähen. Sie wären nämlich so dermaßen überfordert mit all den Fachbegriffen, dass sie gar nicht auf den Gedanken kämen, es genüge ein Klick hier und ein Klick da und man sei sicher. Ich kann mich übrigens auch nicht daran erinnern, dass JEMALS einer hier im Board pauschal allen Firewalls jeglichen Sinn abgesprochen hätte. Immer wieder wurde betont, dass A) man viele Dinge mit Bordmitteln erreichen könne B) FWs zumindest durch das Melden von Kommunikationsversuchen von Programmen einen gewissen Lerneffekt böten C) FWs, richtig konfiguriert, zumindest für eine Übergangszeit einige Vorteile böten D) FWs Anlass dazu geben, sich mit der Materie näher zu beschäftigen. Am Ende dieses Prozesses hat man dann im Idealfall sein System so gut im Griff und ist so umsichtig im Umgang mit Dateien aller Art aus diversen Quellen, dass man eine Desktopfirewall nicht mehr braucht. Leider hören viele Leute mit dem Lernen schon kurz nach dem Auftreten der ersten komplexeren Zusammenhänge und Fachbegriffe auf, weil sie meinen, ihre Zeit zu verschwenden. Sie wenden sich lieber einer Software zu und vertrauen darauf, dass deren Hersteller schon wissen wird, was er tut. Und das sind dann genau die Leute, die dann mit ihren Firewalls Probleme haben, fragen und mit den Antworten nicht zufrieden sind. |
<aol/> |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Am Ende dieses Prozesses hat man dann im Idealfall sein System so gut im Griff und ist so umsichtig im Umgang mit Dateien aller Art aus diversen Quellen, dass man eine Desktopfirewall nicht mehr braucht. Leider hören viele Leute mit dem Lernen schon kurz nach dem Auftreten der ersten komplexeren Zusammenhänge und Fachbegriffe auf, weil sie meinen, ihre Zeit zu verschwenden. Sie wenden sich lieber einer Software zu und vertrauen darauf, dass deren Hersteller schon wissen wird, was er tut. Und das sind dann genau die Leute, die dann mit ihren Firewalls Probleme haben, fragen und mit den Antworten nicht zufrieden sind.</font>[/QUOTE]Hmmm ... - das hört sich für mich so an, als wenn alle, die einen Computer benutzen deiner Meinung nach auch lernen sollten, wie so'n Teil funktioniert - oder zumindest: wie das mit dem Netzwerk und dem Internet und so funktioniert. Das ist ein schöner Wunsch .... - aber Utopie. Hast du einen Führerschein? Fährst du Auto? Weißt du, wie der Motor deines Autos funktioniert? Kannst du kontrollieren, ob das, was letztens auf der Rechnung der Kfz-Werkstatt stand, auch wirklich nötig war und gemacht wurde? Es wird nicht gelingen, alle Computer-User(innen) so umfassend aufzuklären, dass sie ihren Rechner im Griff haben (viele haben schon ein Problem damit, ihren Rechner ordnungsgemäß herunterzufahren oder ein Programm zu deinstallieren ...). Sollen dann diese Menschen etwa keinen Rechner benutzen? Oder nicht ins Netz gehen? - Das kannst du nicht im Ernst wollen, oder? Daher finde ich zwei Dinge sehr wichtig: 1. Menschen, denen man vertrauen kann und die Ahnung haben und die man mal um Rat fragen kann - wenn das sogar kostenfrei geschieht: prima! Aber solcher Rat darf durchaus auch mal teuer sein - sofern er denn gut ist. ;) 2. Software, die einfach zu bedienen ist und die ein gewisses Mindestmass an Schutz bietet - auch für absolut unerfahrene User(innen). Ob ZA diesem Anspruch in allen Punkten gerecht wird - darüber kann man sicher streiten - aber es ist sicherlich eine der aktuell erhältlichen Lösungen, die einen brauchbaren Kompromiss liefert. |
</font><blockquote>Zitat:</font><hr />Original erstellt von urban: Sollen dann diese Menschen etwa keinen Rechner benutzen? Oder nicht ins Netz gehen? - Das kannst du nicht im Ernst wollen, oder?</font>[/QUOTE] Einen Windows-Rechner "sicher" konfigurieren ist keine besondere Schwierigkeit. Dafür gibt es einen haufen guter (und auch für Anfänger) geeigneter Seiten. Außerdem eine Reihe guter Foren, die auch Anfängern weiterhelfen. Leute zu raten sich einfach "Plazebo"-Software zu installieren, ist meiner Meinung nach der absolut falsche Weg. Das die Mehrheit alle User mit ihren tollen "Firewalls" überfordert ist (es sich aber nicht eingestehen will) findest Du hier zu dutzenden. Und BTW die Mehrheit aller (Personal-)Firewall User braucht gar keine Firewall. Aber ist halt "cooler" mit... </font><blockquote>Zitat:</font><hr />Ob ZA diesem Anspruch in allen Punkten gerecht wird - darüber kann man sicher streiten - aber es ist sicherlich eine der aktuell erhältlichen Lösungen, die einen brauchbaren Kompromiss liefert.</font>[/QUOTE]Erkläre mir hier bitte mal wovor ZoneAlarm eigentlich schützt? wizard |
Hallo, bei ZA stoßen zwei Sichtweisen aufeinander: 1. ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt. 2. ZA ist Mist, weil es einen Teil der möglichen Angriffe durchläßt. Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist. Die meisten Anti-ZA Postings verweisen ja darauf, daß schon alles gesagt wurde, und wenn man nachliest, findet man Seiten, auf denen steht, daß ZA Mist ist und daß man das auf weiteren Seiten nachlesen könne. Martin |
Hallo Wizard, das passiert mir ständig, daß jemand gleichzeitig postet. </font><blockquote>Zitat:</font><hr />Erkläre mir hier bitte mal wovor ZoneAlarm eigentlich schützt?</font>[/QUOTE]Den Opasoft-Wurm hätten sich viele mit ZA nicht eingefangen. (Ohne Dateifreigabe auch nicht) Und einige haben ihn mit ZA aber ohne Stealth bei sich bemerkt. Martin |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: 1. ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt.</font>[/QUOTE]Welche Angriffe "wehrt" das Ding denn ab? 2. ZA ist Mist, weil es einen Teil der möglichen Angriffe durchläßt. </font><blockquote>Zitat:</font><hr />Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist.</font>[/QUOTE] Viren, Würmer, Trojaner,... wizard |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Den Opasoft-Wurm hätten sich viele mit ZA nicht eingefangen.</font>[/QUOTE]Mit der richtigen Konfiguration des Systems hätte sich keiner den Wurm eingefangen. wizard |
</font><blockquote>Zitat:</font><hr />Kannst du kontrollieren, ob das, was letztens auf der Rechnung der Kfz-Werkstatt stand, auch wirklich nötig war und gemacht wurde?</font>[/QUOTE]Nein, nicht ohne weiteres. Dafür gibt es Menschen, die aber genau das können. Und bevor ich mir den "Ultra-Super-Hyper-Mega-Booster" in den Tank kippe, frage ich erstmal die Werkstatt, weil dort kompetentere Leute sind; vielleicht gab es schon mal Motorschäden deswegen. </font><blockquote>Zitat:</font><hr />viele haben schon ein Problem damit, ihren Rechner ordnungsgemäß herunterzufahren</font>[/QUOTE]"Gehen Sie mal ins Startmenü unter >>Ausführen<< und geben Sie cmd ein!" - "Ja wo is'n des?" ;) |
Hallo Martin! </font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: bei ZA stoßen zwei Sichtweisen aufeinander: 1. ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt. 2. ZA ist Mist, weil es einen Teil der möglichen Angriffe durchläßt.</font>[/QUOTE]Ich denke, das ist viel zu pauschal, ich erkläre auch gleich warum. </font><blockquote>Zitat:</font><hr /> Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist. </font>[/QUOTE]Und zwar deswegen, weil das Hauptproblem die viel zu große Erwartungshaltung an diese "Firewall" ist. Das heißt, es wird erwartet, insbesondere von Anfängern, die sich mit der Materie nicht großartig auskennen, dass hier quasi automatisch eine Kotrolle von dieser Anwendung vorgenommen wird, die zwischen Malware und nützlichen Anwendungen unterscheidet. Und auf Basis dieser trügerischen Annahme werden alle weiteren Sicherungsmaßnahmen außen vor gelassen, bzw. weitere Eigen-Information findet nicht statt. So kommt es dann, dass der User sich selbst hereinkommene Malware installiert, weil er selbst dubiose Dateien anklickt, oder er verwendet einen alten, ungepatchten Internet Explorer, oft sogar noch in Verbindung mit einem löcherigen Outlook (Express), hat Active X freigegeben, etc. Über diese Wege kommt massenweise Malware auf den Rechner, Dialer, die von der Firewall ebensowenig gestoppt werden wie ein Trojaner, der per Mail kommt oder vom User selbst aus einer Tausbörse heraus installiert wird... Man könnte diese Aufzählung sicher noch weiter fortsetzen... ;) Viele Grüße, Markus [ 06. Oktober 2002, 18:33: Beitrag editiert von: mmk ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: [Opasoft] Und einige haben ihn mit ZA aber ohne Stealth bei sich bemerkt.</font>[/QUOTE]Und, was bringt das? :confused: |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: ZA ist nützlich, weil es einen Teil der möglichen Angriffe abwehrt.</font>[/QUOTE]Diese Diskussion hatten wir schon mal. Deshalb nochmal ganz langsam: Da Zonealarm keine Angriffe erkennt, ist es ihr auch nicht möglich, diese abzuwehren. </font><blockquote>Zitat:</font><hr />Vielleicht könnte man mal eine ganz konkrete Bedrohung nennen, gegen die ZA nicht hilft, am besten etwas, was hier schon einigen passiert ist.</font>[/QUOTE]Nimda, Opasoft, Verbinden per NetBIOS... </font><blockquote>Zitat:</font><hr /> Die meisten Anti-ZA Postings verweisen ja darauf, daß schon alles gesagt wurde,</font>[/QUOTE]<aol/> |
Nunja, ich hatte das bereits in einem englischsprachigen Forum gepostet ... . Ich beziehe mich auf einen konkreten Testfall mit der kostenlosen ZoneAlarm 3.x Version, heruntergeladen am 06.10.2002 um 13:43. Ich habe nur das getestet was meiner Ansicht nach extrem einfach zu realisieren ist und teilweise auch realisiert ist. Außerdem dazu natürlich ne Idee wie man diese "Unsicherheit" umgehen könnte ;o). ZoneAlarm (und imho alle anderen Programme) haben von sich aus unsichere Standard Rulesets. So sind z.B. alle Ausgehenden Verbindungen zu Port 53 erlaubt für DNS. Wenn ein Programm also eine Verbindung zu einem Port 53 aufbauen würde, wird diese Verbindung zugelassen. Im Zusammenhang mit Backdoors wie z.B. Assasin, die das Client-Server-Prinzip mal umdrehen und bei denen der "Server" den "Client" kontaktiert und nicht umgekehrt ist das ganze hochgradig gefährlich. Zone Alarm (und viele andere) würden nichts merken. Um das ganze zu umgehen gibt es 2 Möglichkeiten. Einmal kann man alle standard Regeln löschen und für sich passende anlegen (so das man z.B. wirklich nur auf SEINE DNS Server zugreifen kann auf Port 53) oder die Hersteller ändern diese Funktion und lassen DNS Anfragen nur zu den aktuell angegebenen DNS Servern zu. Außerdem genutzt ZoneAlarm und auch einige andere Programme für die Applikationsüberwachung einen sogenannten Socket Layer. Diesen Socket Layer kann man auf einfachste Weise raus kicken (sind nur einige Registry Einträge) und die Applikationsüberwachung funktioniert nicht mehr. Wird aber von keinem bekannten Backdoor gemacht. Ist aber recht einfach wie gesagt. Helfen könnte dabei von der Nutzung eines Protokoll Layers abzusehen. Eine weitere Möglichkeit ZA und viele andere Walls zu umgehen ist der Einsatz eines eigenen Protokoll Stacks. Quasi eine eigene TCP/IP Implementierung auf Kernel Ebene. Das klingt kompliziert, ist aber EXTREM einfach. Entsprechende Bibiliotheken und Treiber sind Open Source zu finden samt Beispiele für so gut wie alle Programmiersprachen. Einige Trojaner (z.B. SubSeven) benutzen diese Bibliotheken schon (wenn auch dort als Sniffer). Verhindern könnte man dieses dadurch, daß man die Installation von Kernel Modulen unterbindet (macht Tiny z.B.). Übrigens sind einige Firewalls (ZA ausnahmsweise nicht mehr) ebenso blind für Verbindungen, die mit RAW Sockets aufgebaut wurden. ZoneAlarm und ALLE anderen Firewalls ohne Sandbox Komponente sind zudem anfällig für Code Injections. Damit meine ich nicht die DLL Injektion, sondern eine richtige Code Injektion. Einen Prozess suspended starten, Code an EIP austauschen und das wars. Keine zusätzliche DLL :o). Zu verhindern wäre dies durch eine einfache Speicherprüfsumme :o). Genutzt wird das bislang von einer Reihe von Viren/Hybriden. Und das einfachste zu guter letzt. Zone Alarm (und so gut wie alle anderen Programme) können nicht überprüfen, ob der User oder eine Anwendung auf einen "Erlauben" Button geklickt haben. Ob der Klick simuliert oder echt ist wird nicht geprüft. Für MoSucker 2.3 existier dafür z.B. ein Plug In. Es gibt da noch mehr Sachen die mir da spontan einfallen würden, aber mehr habe ich noch nicht getestet :o). Z.B. eine Modifikation der entschlüsselten Rulesets im Speicher (ja, das geht, trotz Dienst *fg*) usw. usw. usw. . Aber das ist ein Anfang. |
Na, das nenn ich mal eine überzeugende Argumentation o:) Domino |
Stimmt. Schon beeindruckend. Danke! |
@urban: >Hast du einen Führerschein? Fährst du Auto? >Weißt du, wie der Motor deines Autos >funktioniert? Kannst du kontrollieren, ob das, >was letztens auf der Rechnung der Kfz-Werkstatt >stand, auch wirklich nötig war und gemacht wurde? Der Vergleich hinkt aber gewaltig. Sicher weiß ein Autofahrer meißt nicht wie ein Motor funktioniert. Allerdings wird auch niemand ohne ein Grundwissen über Sicherheit an das Rad eines Autos gelassen. Es ist meiner Ansicht nach nicht notwendig das OSI Modell samt TCP und UDP Spezifikationen auswendig zu kennen nur um sein System zu sichern. Allerdings sollten bestimmte Sicherheitsbestimmungen gelernt und eingehalten werden. Wenn Du Dir eine Kettensäge kaufst, dann liest Du Dir sicherlich auch die Sicherheitsbestimmungen durch, weil Du sicherlich nicht Gefahr laufen willst, daß Du Dir den Arm damit absäbelst. Wieso sollte dieses Verhalten beim PC dann nicht sinnvoll sein oder evtl. sogar gefordert werden? |
Ich persönlich halte Personal Firewalls für die meisten eher für hinderlich ... . Sein wir mal ehrlich, sie nerven ;o). Der Schutzfaktor ist sehr umstritten. Teilweise reicht es einen simplen Registry Wert oder ein einziges Byte zu ändern und die Firewall gibt keinen Ton mehr von sich. Es gibt da unendlich viele Möglichkeiten :o). Eine Firewall ist theoretisch MAXIMAL als eine Ergänzung hilfreich. Faktisch stoppt sie nicht mal Spyware (ja, Spyware benutzt solche Techniken wie oben - besonders beliebt sind da Browser PlugIns getarnt als "Toolbars" - COM Controls werden Großteils von Firewalls nicht korrekt erfaßt). Sicherlich werden eine Reihe von uralt Backdoors erkannt. Sicher meldet die Firewall auch ganz normale Anwendungen (die haben schließlich auch nichts zu verbergen und versuchen nicht mal an der Wall vorbei zu kommen). Allerdings wird sich niemand sagen: "Ja mei, meine Anti-Viren Software erkennt nur Viren von vor 2 Jahren, aber das reicht ja." Jeder weiß wie groß die Verbreitung eines neuen Infektors sein kann (siehe z.B. aktuell Bugbear) und spätestens jetzt sollte klar werden, wieso ein Schutzprogramm nichts taugen kann, daß 2 Jahre alte Malware entdecken kann, bei neuerer allerdings versagt. Ein NetBus ist keine Bedrohung mehr. Ein Optix Firewall Bypass oder ein Assasin aber. Und das sind dieses mal keine theoretischen Tests oder irgendwelche Leaktestspielereien, sondern wirkliche Malware, die da draußen wirklich anzutreffen ist. Firewalls sind derzeit entweder kaum zu gebrauchen, da zu schnell zu umgehen (Outpost, ZA, Tiny 2.x usw.) oder sie sind derart komplex und umständlich, daß sie ein normaler User kaum in den Griff bekommt (Tiny 3.x). Statt einem User den Rat zu geben eine Firewall zu installieren und ihm dabei stundenlang zu helfen (wie es oft geschieht) sollte man ihm lieber beibringen wie er sein System aktuell hält und was er grundlegend zu beachten hat, um "Unfälle" zu vermeiden. Einen perfekten Schutz gibt es nicht. Allerdings gibt es einen guten Schutz und einen unzureichenden Schutz. Eine Firewalls schützt weder vor Würmern, noch vor Backdoors noch vor Viren. Wer etwas anderes behaupten möchte, der kann das gerne tun. Danach soll er mir dann auch gleich sagen wo eine Firewall Loveletter, CIH oder Assasin bzw. Optix Lite FWB blockiert. Firewalls sind meiner Ansicht nach eine Art Placebo. Allerdings richten echte Placebos keine Schäden an, Firewalls dagegen schon, da man sich schnell in falscher Sicherheit wiegt. Fatal wird es dann, wenn die User Meldungen wie "Backdoor SubSeven blockiert" und ähnliches zu sehen bekommen, die komplett falsch sind und das Gefühl der Sicherheit des Users nur noch mehr verstärken. Wer sich zu sicher fühlt ist auch bereit schneller Risikos einzugehen. Das ist auch beim Auto nicht anders (mal zu Urban wink *fg*). Genau deshalb halte ich die Benutzung von Firewalls für normale Anwender für "sinnfrei". Firewalls haben sicher ihre Berechtigung wenn es darum geht eintreffenden Verkehr zu überwachen (was bei "Home Usern" aber kaum der Fall ist). Wenn mich jemand fragen würde, wie er sein System absichern sollte, dann würde ich ihm derzeit (derzeit, weil ich kann meine Meinung ja auch mal ändern *fg*) wahrscheinlich folgendes antworten: 1. Benutze möglichst ein ECHTES Multiuser System wie z.B. Windows 2000 oder Windows XP professional. Dabei aber aufpassen, daß man es nicht nur benutzen sondern auch ausnutzen sollte. Sprich: Nicht ständig als Admin arbeiten usw. . 2. Mach windowsupdate.microsoft.com zu deiner Startseite, selbst wenn Du nicht den Internet Explorer oder Outlook benutzt. Man glaubt gar nicht wieviele vermeintlich sichere Mailer zum Anzeigen von HTML Mails die IE Engine nutzen und somit die selben Lücken haben wie Outlook oder wieviele Programme intern die IE Engine nutzen für HTML Seiten (WinAMP, Real One, KAZAA, eDonkey usw.). 3. Mache Dir Gedanken über das was Du im Netz tust. Es gibt kein Patentrezept das auf alle Bedürfnisse passt. Wenn jemand z.B. kommt und sagt: "Hallo. Ich surfe viel im Netz und schreibe häufig Mails mit meinen Kollegen. Was würdet ihr mir zum Schutz vorschlagen?" ist ihm und uns mehr geholfen als wenn er sagt: "Ja, welcher Scanner ist der Beste?". 4. Erwähnte ich schon das mit dem windowsupdate? *fg* 5. Ein Virenscanner bietet nur solange Schutz wie er aktuell ist. Die meisten Scanner sind mittlerweile darauf gekommen, daß man inkrementelle Updates anbieten kann. Daher halte ich persönlich es für sinnvoll den Planer des AV Programmes auf stündliches Update zu stellen. Das selbe würde ich auch jedem anderen empfehlen :o). 6. Hmmm - das mit dem windowsupdate sagte ich schon, oder? 7. Sei misstrauisch und informier Dich. Wenn der Kollege aus Deutschland plötzlich eine englischsprachige Mail schickt, ist das extrem auffällig und da sollte man dann nicht denken: "Na, das wird schon ok sein. Ich kenn den ja.". Am besten die Mail direkt löschen, nochmal beim Kollegen nachfragen oder aber sie an jemanden weiterleiten der sich damit auskennt. Niemand wird jemanden hier den Kopf abreißen wenn jemand höflich eine Frage stellt. Allerdings darf man dann auch nicht rummotzen, wenn man nach 1 - 2 Stunden noch keine Antwort hat. Ja, das wäre es erstmal :o). Ich hab jetzt sooooooo viel offtopic geschrieben *fg*. Aber vielleicht bringts ja was *fg*. |
@Andreas: Na, das ist doch mal ein schöner Beitrag!!! Allerdings behagt mir das mit dem Windowsupdate nicht. Leider lassen sich imho manche Updates nur mit ActiveX-Erlaubnis herunterladen, also mit dem IE ... und den will ich nicht benutzen. Korrigiere mich bitte, falls ich irren sollte. Kann man die Updates auch so herunterladen, dass sie später offline ausführbar sind? (Das ist auch bei Neuinstallationen recht praktisch!). Gruß! MyThinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Kann man die Updates auch so herunterladen, dass sie später offline ausführbar sind?</font>[/QUOTE]Ja, das kann man. Dazu gehst du in das "Download Center" von Microsoft, zu finden auf deren Homepage. </font><blockquote>Zitat:</font><hr />Das ist auch bei Neuinstallationen recht praktisch!</font>[/QUOTE]Nein, ist es nicht, da es sich um mehrere hundert Updates handelt. |
>Kann man die Updates auch so herunterladen, dass >sie später offline ausführbar sind? (Das >ist auch bei Neuinstallationen recht praktisch!). Ja, dann musst Du sie aber per Hand zusammensuchen. Oder Du benutz ein Programm wie BigFix, daß alle Updates für dein System anzeigt. Benutzt kein Active X, allerdings die IE Engine. Allerdings frage ich mich, wieso Leute kein Active X nutzen wollen, aber keine Skrupell vor XPI und Netscape PlugIns haben. Du kannst ja nur die Nutzung von Active X gestatten, aber die Installation neuer Controls deaktivieren. Dann gehst Du einmal auf WindowsUpdate, lässt das Update Control installieren und danach kannst Du die Installation neuer Controls einfach abschalten. |
Und dann gibt es auch noch so ganz schlimme wie mich, die tragen www.windowsupdate.... als vetrauenswürdige site ein, gucken da regelmäßig vorbei und brauchen deshalb nicht ständig an den Sicherheitseinstellungen herumfummeln... Domino |
@Andreas Schon wieder: Danke! Das sind Fakten, in einer Art und Weise vorgetragen, die mein Bild über FWs heftigst ins Wanken gebracht haben. - Mein fable FÜR FWs hat seinen Usprung wohl darin, dass ich lange Zeit eine Linux-Kiste als Gateway und Router für mein LAN (mit Webserver, ftpserver, ssh etc.) benutzt habe - noch dazu per DSL-Flat und fester IP (Mobilcom - als es die noch gab *snief*). Unter diesen Voraussetzungen hab ich eine Firewall schätzen gelernt - weil es für mich zu dem Zeitpunkt die einfachste Möglichkeit war, mein System so weit abzuschotten, dass ich mich sicher fühlen konnte. Vielleicht wäre auch das ohne FW möglich gewesen - aber dazu hätte ich mich dann wohl viel tiefer in Linux einarbeiten müssen, wozu ich nicht die Zeit hatte. Okay - aber die Zeiten sind vorbei. Und was aktuelle Bedrohungen - vor allem unter Windows - angeht seh ich nun auch immer deutlicher, dass eine FW da nicht sehr viel Schutz bringt. Andererseits seh ich nach wie vor die Notwendigkeit von leicht bedienbaren Allround-Sicherheits-Softwarepaketen (soweit dies eben möglich ist). Zu meinem Vergleich mit dem Autofahren schreibst du: </font><blockquote>Zitat:</font><hr />Der Vergleich hinkt aber gewaltig. Sicher weiß ein Autofahrer meißt nicht wie ein Motor funktioniert. Allerdings wird auch niemand ohne ein Grundwissen über Sicherheit an das Rad eines Autos gelassen.</font>[/QUOTE]Du hast Recht: der Vergleich hinkt, m. E. aber zur anderen Seite hin. Denn: wie du schon sagst: bevor jemand Auto fahren darf, muß er eine Fahrschule besuchen, die Fahrprüfung bestehen, er muß einen Erste Hilfe Kurs machen etc. Der allergrößte Teil der Computer-User(innen) hat aber allenfalls eine kurze Einführung durch einen Freund oder Nachbarn bekommen - wenn überhaupt. Nun kann man sagen: okay - das ist schlecht - sollte man ändern. Stimme ich prinzipiell sofort zu. Aber: die Materie ist eben doch für die allermeisten Menschen erheblich schwerer verdaulich als z. B. das Pauken von Vorfahrtsregeln (die dann später ja auch nicht immer eingehalten werden *rewink*). Um es nochmal auf den Punkt zu bringen: Ich denke immer mehr, dass der Vergleich mit dem Autofahren absolut passend ist. Man muss nur die Ebenen richtig im Blick behalten: Wieviele Unfälle werden jedes Jahr dadurch verursacht, dass Leute mit abgefahrenen Reifen rumgurken oder mit nicht voll funktionierendem Beleuchtungssystem oder mit kaputten Scheibenwischern etc. etc. - Diese Leute gefährden sich und andere. Die Gründe dafür sind genau so vielfältig wie die Gründe für mangelhaft geschützte Rechner: 1. Gleichgültigkeit 2. technisches Unverständnis 3. technische Fehleinschätzung ("Aaach - die Reifen sind noch gut.") 4. Falsche Beratung ("Nehmen Sie DIESEN Scheibenwischer - der hält ewig!") 5. Betrug ("Ja, ja ... - das sind Qualitätsreifen ..." - in Wirklichkeit schlecht runderneuert) Also: im Prinzip sind die Voraussetzungen beim Autofahren sogar besser (weils ja ne Art Ausbildung gibt) - und trotzdem sind die Probleme im Prinzip die gleichen. Das ist der Grund, warum ich so äußerst skeptisch bin, dass wirklich viele User(innen) a. Lust haben und b. den Sachverstand bzw. die Lernfähigkeit aufbringen, z. B. selbständig ihre Netbios-ports zu schließen. Um es nochmal klarzustellen: das ist jetzt KEIN Plädoyer für FWs. Es ist eher einerseits ein Erklärungsansatz, warum z. B. ZA so "erfolgreich" ist und es ist andererseits ein Konstatieren der Situation, dass die Aufklärungsschiene m. E. nur sehr begrenzte Erfolgsaussichten hat. Ich persönlich versuche z. B. nicht mehr, meinen Kunden den sicheren Umgang mit Outlook zu erklären - ich rate ihnen stattdessen zu einem anderen Mail-Client. Fazit: Ich glaube nicht an eine erfolgreiche umfassende Aufklärung bei der Mehrzahl der Computer-User(innen). Dass aber PFWs hier keine Abhilfe sondern u. U. noch größere Gefahren mit sich bringen - das hab ich nun endgültig gecheckt. Ich sehe aber nach wie vor die Notwendigkeit einer möglichst einfach zu installierenden und zu bedienenden Allround-Sicherheitslösung, die neben obligatorischem Virenscan z. B. so Dinge wie Netbios-ports schließen, Outlook-Einstellungen überprüfen etc. automatisch macht (ggf. mit Eingabeaufforderung ;) ). Zumindest ein Check aller erdenklichen gefährdeten Komponenten inkl. detaillierter Anweisung zu evtl. nötigen Änderungen wäre sehr hilfreich (ohne dafür zig Webseiten absurfen zu müssen). So ein Paket müsste sich natürlich genau wie AV-Software ständig selbst aktualisieren. Falls es sowas in der Art bereits gibt, bin ich für jeden Hinweis dankbar. Und was ZA angeht: Schade, dass ich hier nicht schon eine Woche früher reingeschaut habe - da hätte ich doch glatt $49.95 sparen können :( [edit: Rechtschreibfehler korrigiert] [ 07. Oktober 2002, 13:32: Beitrag editiert von: urban ] |
Zum Thema Win-Updates und Neuinstallation: Ich persönlich habe alle meine Rechner so partitioniert und eingerichtet, dass auf C: grundsätzlich nur das Windows-System liegt. Wenn ich neu installiert habe (mit allen Treibern) und alle Updates und Patches eingespielt habe, dann mache ich eine Image-Kopie von C: (z. B. mit HDCOPY). Dieses Image brenn ich mir auf eine CD. Auf diese Weise habe ich für eine mögliche Neuinstallation den Grundzustand des Systems mit allen Treibern und dem Update-Stand des letzten Backups innerhalb von 10 min. wieder zur Verfügung. Wenn man sich angewöhnt, so ein Partitions-Backup regelmässig zu machen (z. B. 1x pro Monat - je nach Nutzung des Rechners), dann hat man die Möglichkeit sehr schnell verschiedene Entwicklungsstadien des Systems wiederherzustellen - was u. U. auch nach einem Virenbefall sehr nützlich sein kann. |
>Mein fable FÜR FWs hat seinen Usprung wohl >darin, dass ich lange Zeit eine Linux-Kiste als >Gateway und Router für mein LAN (mit Webserver, >ftpserver, ssh etc.) benutzt habe - noch dazu >per DSL-Flat und fester IP (Mobilcom - als es >die noch gab *snief*). Genau in den Gebieten sind Firewalls auch durchaus berechtigt. Ich benutze auf mehreren Servern von mir z.B. "unsichere Dienste". Diese Dienste will ich nur lokal vom Server aus nutzen. Dort ist eine einfache und effektive Möglichkeit Zugriffe die nicht von localhost kommen per Firewall zu verbieten. Aber ein normaler User nutzt unter Windows nicht diese eigentliche Grundfunktion einer Firewall (dem Packetfilter), sondern missbraucht sie quasi als Applikationsfilter. Und genau dieser Applikationsfilter ist extrem anfällig und löchrich. Was nutzt Dir eine Wall wie z.B. Tiny oder Outpost deren Packetfilter weltklasse ist, wenn Du ihn gar nicht benutzt? >Andererseits seh ich nach wie vor die >Notwendigkeit von leicht bedienbaren Allround- >Sicherheits-Softwarepaketen (soweit dies eben >möglich ist). Das sehen wir gleich :o). Das Problem ist doch folgendes. Ein Schutzprogramm ist so lange unsicher wie es nicht alle Möglichkeiten sich zu manipulieren und zu penetrieren ausschließen kann. Das dies nicht 100%ig möglich ist, darüber brauchen wir uns sicher nicht streiten :o). Ein Schutzprogramm kann meist auf 3 Möglichkeiten manipuliert werden. Einmal durch Modifikation der Daten auf der Festplatte. Dann durch Modifikation der gespeicherten Einstellungen in der Registry. Und zu guter letzt durch Prozessmanipulationen im Speicher (Prozesskills, Injektionen usw. usw. usw.). Ein Programm ist solange unsicher, solange es nicht diese 3 Bereiche mit überwacht, wo wir dann letztlich schon bei Sandboxes sind. Diese sind aber leider derzeit viel zu kompliziert und umständlich - leider :o(. >Falls es sowas in der Art bereits gibt, bin ich >für jeden Hinweis dankbar. Ich schicke Dir eine PM :o). [ 07. Oktober 2002, 14:00: Beitrag editiert von: Andreas Haak ] |
@Andreas Verdammt gute Zusammenfassung. [img]smile.gif[/img] Vielleicht kannst Du das ja noch mal in einem Artikel für Trojaner-Info zusammenfassen. [img]smile.gif[/img] wizard |
Na meine Argumentation muss ja wirklich gut gewesen sein, daß selbst Wizard mir recht gibt *fg*. Oder bist Du krank heute? ;o) |
Tach allerseits, Mit meiner Aufforderung, ein Beispiel für die Schwächen von Zonealarm zu geben, hatte ich wirklich auf einen konkreten Fall gehofft, wo ZA getunnelt, abgeschaltet oder sonstwie umgangen wurde. Die Ausführungen von Andreas Haak wirken hingegen etwas theoretisch, und lassen offen, wie wie verbreitet Programme sind, die ZA aushebeln. Ich bin ihm dennoch außerordentlich dankbar und froh, daß dieser Thread doch noch seinem Titel entsprechend gefüllt wird. Der aktuelle Opasoft-Wurm ist mein Beispiel für den Nutzen von ZA: Ist der Stealth-Modus aktiv, bekommt man den Wurm nicht. Ist Stealth abgeschaltet, wird man von ZA gegebenenfalls informiert, daß SCRSVR.EXE eine Verbindung aufbauen möchte, und kann gegen den Wurm vorgehen. Es kann aber auch sein, daß der Lerneffekt bei der Infektion mit Opasoft den damit verbundenen Ärger mehr als aufwiegt. </font><blockquote>Zitat:</font><hr />Da Zonealarm keine Angriffe erkennt, ist es ihr auch nicht möglich, diese abzuwehren. (Dr Prantl)</font>[/QUOTE]Da ein Helm keine herabfallenden Steine erkennt, ist es ihm auch nicht möglich, diese abzuwehren. Wir haben da ein Kommunikationsproblem, das auch durch noch so langsames Drehen der Gebetsmühle nicht zu überwinden ist. Tut mir leid, daß ich immer nur von Zonealarm rede, aber ich kenne eben keine andere Personal Firewall. Mein Fazit für heute: Unsichere Systeme sind mit ZA besser dran als ohne. Man kann ZA nicht zur Verbesserung der Sicherheit empfehlen, da die Behebung von Sicherheitslücken Vorrang hat und es dadurch überflüssig wird. Martin |
>Mit meiner Aufforderung, ein Beispiel für die >Schwächen von Zonealarm zu geben, hatte ich >wirklich auf einen konkreten Fall gehofft, wo ZA >getunnelt, abgeschaltet oder sonstwie umgangen >wurde. Scan mal ne Portrange nach nem offenen Optix - du wirst sehr schnell fündig, glaub mir *g*. >Die Ausführungen von Andreas Haak wirken >hingegen etwas theoretisch, und lassen offen, >wie wie verbreitet Programme sind, die ZA >aushebeln. Es gibt leider keine Trojaner oder Backdoor Top Ten. Aber wenn ich so sehe was man bei Kazaa so findet, ist Optix und Assasin ziemlich verbreitet. Das ganze ist auch keine bloße Theorie. Das Backdoors ZA aushebeln gabs schon immer (MoSucker, BioNet usw. usw.). Auch das Trojaner WinCap nutzen um einen eigenen Stack zu nutzen ist bekannt und z.B. bei SubSeven der Fall, der Monate lang die Statistiken angeführt hat. Zum Glück nutzt SubSeven WinCap nur für die Sniffer Funktion. >Der aktuelle Opasoft-Wurm ist mein Beispiel für >den Nutzen von ZA: >Ist der Stealth-Modus aktiv, bekommt man den >Wurm nicht. Ist Stealth abgeschaltet, wird man >von ZA gegebenenfalls informiert, daß SCRSVR.EXE >eine Verbindung aufbauen möchte, und kann gegen >den Wurm vorgehen. Das ist ein schlechtes Beispiel. Mein Microsoft AntiVirus aus MS DOS 6.22 hat einen Form A Virus gefunden. Daher ist sie jetzt gut. Ist ja egal, daß sie insgesamt grade mal 5.000 von mehr als 50.000 erkennt. Den einen stoppt sie *fg*. >Unsichere Systeme sind mit ZA besser dran als >ohne. Man kann ZA nicht zur Verbesserung der >Sicherheit empfehlen, da die Behebung von >Sicherheitslücken Vorrang hat und es dadurch >überflüssig wird. Wenn ZA nicht zur Verbesserung der Sicherheit empfohlen werden kann, wieso sind dann unsichere Systeme mit ZA besser dran? |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Ist der Stealth-Modus aktiv, bekommt man den Wurm nicht.</font>[/QUOTE] Blödsinn. Das hat mit Stealth nichts zu tun. </font><blockquote>Zitat:</font><hr />Unsichere Systeme sind mit ZA besser dran als ohne.</font>[/QUOTE]Nein. Das ist stimmt nicht, da ZoneAlarm nichts von alleine "sicherer" macht. </font><blockquote>Zitat:</font><hr />Man kann ZA nicht zur Verbesserung der Sicherheit empfehlen, da die Behebung von Sicherheitslücken Vorrang hat und es dadurch überflüssig wird.</font>[/QUOTE] Korrekt. wizard |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Mit meiner Aufforderung, ein Beispiel für die Schwächen von Zonealarm zu geben, hatte ich wirklich auf einen konkreten Fall gehofft, wo ZA getunnelt, abgeschaltet oder sonstwie umgangen wurde.</font>[/QUOTE]Was ist an Optix Firewall Bypass oder Assassin nicht real? </font><blockquote>Zitat:</font><hr /> Die Ausführungen von Andreas Haak wirken hingegen etwas theoretisch,</font>[/QUOTE]Nein, er hat dir die Grundlagen dieser Tunnelmethoden erklärt. Wie dir mittlerweile sicherlich aufgefallen ist, ist "Sicherheit" ein binärer Zustand: sicher oder unsicher; bezogen auf ein bestimmtes Bedrohungsszenario. Wenn schon theoretisch sehr leicht Umgehungsmethoden existieren, kannst du unmöglich sicherstellen, daß diese nicht auch *real* existieren (und sie existieren real, s.o.). </font><blockquote>Zitat:</font><hr /> und lassen offen, wie verbreitet Programme sind, die ZA aushebeln.</font>[/QUOTE]Warum willst du das wissen, möchtest du irgendwelche Statistiken erstellen oder wissenschaftliche Analysen durchführen? </font><blockquote>Zitat:</font><hr />Der aktuelle Opasoft-Wurm ist mein Beispiel für den Nutzen von ZA: Ist der Stealth-Modus aktiv, bekommt man den Wurm nicht.</font>[/QUOTE][img]graemlins/lach.gif[/img] Du kommst mir vor wie diese Frau aus der Tena-Werbung. "Ich habe Blasenschwäche und benutze Tena." - Da gibt es noch einige Möglichkeiten mehr, statts nur die Probleme zu kaschieren! Außerdem: wer sagt dir denn, daß nicht noch weitere Versionen existieren, die bei einem "stealth" Rechner nicht gleich auf Port 139/445 connecten? Nochmal: es gibt kein Stealth. Das ist nur Marketinggeblubber. Die Installation und Konfiguration von ZA ist komplizierter als das Entfernen des Hakens bei "Datei- und Druckerfreigabe". </font><blockquote>Zitat:</font><hr /> Ist Stealth abgeschaltet, wird man von ZA gegebenenfalls informiert, daß SCRSVR.EXE eine Verbindung aufbauen möchte, und kann gegen den Wurm vorgehen.</font>[/QUOTE]"Gegebenenfalls"? [img]graemlins/lach.gif[/img] Außerdem ist der Zustand eines kompromittierten Systems infinit. Was soll dann das Herumgedoktore mit Zonenalarm? Der Rechner sollte neu aufgesetzt werden. </font><blockquote>Zitat:</font><hr />Da ein Helm keine herabfallenden Steine erkennt, ist es ihm auch nicht möglich, diese abzuwehren.</font>[/QUOTE]Der Helm wehrt ja auch keine "herabfallenden Steine" ab, sondern verringert die Kraft; bis zu einem bestimmten Punkt kannst du davon ausgehen, mit dem Helm zu 100% vor Vertikalkräften geschützt zu sein. Dabei ist es völlig unerheblich, ob es sich um einen Stein, einen Blumentopf oder um ein Möbelstück handelt. Merkst du was? </font><blockquote>Zitat:</font><hr />Wir haben da ein Kommunikationsproblem, </font>[/QUOTE]Nein, *du* hast ein Verständnisproblem und bist lernresistent. </font><blockquote>Zitat:</font><hr />Tut mir leid, daß ich immer nur von Zonealarm rede, aber ich kenne eben keine andere Personal Firewall.</font>[/QUOTE]Es liegt an dir, das zu ändern. [ 07. Oktober 2002, 22:45: Beitrag editiert von: Dr Prantl ] |
Ach herje - jetzt geht das Werbung Thema wieder los ;o). Du bist doch Dienstleister, oder? Dann wirst Du verstehen können, daß sowas wie ein Portal Geld kostet und irgendwo her muss das Geld ja kommen. |
Sagen wir es mal so: Egal was wir bei uns schreiben, die Leute kaufen sich eine Firewall und einen Virenscanner. Und sie kaufen nicht unbedingt die Firewall die wir empfehlen, sondern die Wall du der Nachbar/Freund/Bekannte empfiehlt. Derzeit gehen a) ZoneAlarm (weil Deutsch + oft empfohlen) und Norton (dito). Ganz egal was wir machen, diese beiden Produkte werden gekauft. Sprich: Entweder wir werben (eigentlich werben wir ja nicht, sondern stellen das Produkt nur vor - wobei der Unterschied marginal ist) für ZA und verkaufen 50 Stück über Amazon (davon gehen 5% Werbungskostenerstattung an uns) oder wir werben für XYZ und verkaufen 2 Stück über Amazon. Auf der einen Seite haben wir Quartals-Einnahmen in Höhe von 100 Euro, auf der anderen Seite Einnahmen in Höhe von 4 Euro. Bei monatlichen festen Ausgaben in Höhe von 300-400 Euro macht das schon einen schönen Unterschied aus. Ändert sich dabei etwas? Nein, denn die Leute kaufen ihre Firewall so oder so (die 48 Leute werden ja nicht plötzlich ohne Wall surfen wollen). Nur eben nicht über uns, sondern über XYZ. Andreas |
Da ich mich ja hier eh schon in so manche Nessel gesetzt habe ... - trau ich mich jetzt einfach doch mal, die Frage zu stellen, die mir so auf den Nägeln brennt ;) : Wenn ich das richtig sehe, dann ist die überwiegende Mehrheit hier sehr ZA-kritisch eingestellt (was ich mittlerweile gut nachvollziehen kann). Warum wird aber auf der Titelseite von trojaner-info.de für ZA dick und fett geworben? *in Deckung geh und Helm aufsetz* [img]graemlins/teufel3.gif[/img] |
Hallo, zunächst mal Entschuldigung, daß ich mit der Verwendung des Unwortes „Stealth“ so viele schmerzvolle Aufschreie verursacht habe. Zumindest in meiner Version von ZA kann man das Blocken vom Verweigern der Antwort nicht trennen und ich meinte in erster Linie das Blocken. </font><blockquote>Zitat:</font><hr /> Da Zonealarm keine Angriffe erkennt, ist es ihr auch nicht möglich, diese abzuwehren. (Dr Prantl) </font>[/QUOTE]Daraus folgt: ZA wehrt keinen einzigen Angriff ab. Der Angriff des Opasoft-Wurmes wird aber von ZA abgewehrt. Ein Beispiel reicht nicht aus, um ZA als sinnvolle Sicherheitssoftware zu bezeichnen, aber ein Beispiel reicht aus, um deine These zu widerlegen. Wenn die von dir angedachten Varianten von Opasoft, die anstatt erst bei Port 137 nachzufragen sich gleich über 139 oder 445 reinkopieren, damit Erfolg hätten, wäre das mal eine ganz neue Schwäche von ZA, die in den bisherigen Verrissen nicht vorkam. Also doch noch nicht „alles gesagt“? Und besser, als den Wurm mittels ZA zu entdecken, findest du, den Rechner neu aufzusetzen. Warum denn, wenn man noch keine Ahnung von der Infektion hat? Hast du vielleicht meinen Text nicht verstanden? Ich hingegen habe dein „sicher oder unsicher“ nicht verstanden. Meinst du wirklich, daß es nur ganz unsicher oder 100% sicher gibt? Soll das nur für Computer gelten oder in allen Lebensbereichen? - Da anscheinend überhaupt niemand verstanden hat, warum ein unsicherer PC mit Zonealarm besser dran ist als ein ansonsten genauso unsicherer PC ohne ZA, erfinde ich jetzt mal eine Variante von Opasoft: Würde der Wurm sich nicht nur vermehren, sondern nebenbei auch Diplomarbeiten und Buchhaltungen löschen, hätten jetzt einige Benutzer von ZA Glück gehabt. Und die Unglücklichen, die verzweifelt nach brauchbaren Backups suchen, wären nur schwer von der absoluten Nutzlosigkeit Zonealarms zu überzeugen. </font><blockquote>Zitat:</font><hr /> Es gibt leider keine Trojaner oder Backdoor Top Ten. Aber wenn ich so sehe was man bei Kazaa so findet, ist Optix und Assasin ziemlich verbreitet.</font>[/QUOTE]Danke für diese Antwort, die zur Beurteilung des Restnutzens von ZA und Personal Firewalls überhaupt beiträgt. Denn wären Programme, die Firewalls überlisten, seltene Exoten, wäre der Wert von Personal Firewalls höher einzuschätzen. Martin |
>zunächst mal Entschuldigung, daß ich mit der >Verwendung des Unwortes „Stealth“ so viele >schmerzvolle Aufschreie verursacht habe. Stealth bedeutet eigentlich sogar nicht Standard-Konform. Stealth bist Du im Netz nie :o). >Daraus folgt: ZA wehrt keinen einzigen Angriff >ab. Der Angriff des Opasoft-Wurmes wird aber von >ZA abgewehrt. Ein Beispiel reicht nicht aus, um >ZA als sinnvolle Sicherheitssoftware zu >bezeichnen, aber ein Beispiel reicht aus, um >deine These zu widerlegen. 1. Opasoft "greift nicht an". Angriffe sind anders definiert. Opasoft versucht sich zu verbinden - das ist ein gewaltiger Unterschied. Dabei macht das nicht mal Opasoft sondern Windows - UNC sei Dank. 2. ZoneAlarm erkennt definitiv keine Angriffe. Von daher kann es auch keine blockieren. Mach nen Ping Of Death, mach ne DoS, mach nen Flood, mach nen DDoS - Zone Alarm wird nicht einen Angriff erkennen. >Wenn die von dir angedachten Varianten von >Opasoft, die anstatt erst bei Port 137 >nachzufragen sich gleich über 139 oder 445 >reinkopieren, damit Erfolg hätten, wäre das mal >eine ganz neue Schwäche von ZA, die in den >bisherigen Verrissen nicht vorkam. Hier wird nichts Verrissen. Es geht um eine Grundsatzdiskusion ob eine FW sinnvoll ist oder nicht - und sie ist es definitiv nicht. >Und besser, als den Wurm mittels ZA zu >entdecken, findest du, den Rechner neu >aufzusetzen. Warum denn, wenn man noch keine >Ahnung von der Infektion hat? Hast du vielleicht >meinen Text nicht verstanden? Nein - besser ist es einfach NetBIOS für Internet Devices abzuschalten - hast Du nicht verstanden was Leute hier sagen? >Ich hingegen habe dein „sicher oder unsicher“ >nicht verstanden. Meinst du wirklich, daß es nur >ganz unsicher oder 100% sicher gibt? Soll das >nur für Computer gelten oder in allen >Lebensbereichen? Lesen lernen. Es gibt keinen 100% igen Schutz. Es gibt einen guten und es gibt einen unzureichenden. Und ZoneAlarm ist DEFINITIV ein unzureichender. >Da anscheinend überhaupt niemand verstanden hat, >warum ein unsicherer PC mit Zonealarm besser >dran ist als ein ansonsten genauso unsicherer PC >ohne ZA, erfinde ich jetzt mal eine Variante von >Opasoft: Ein unsicherer PC wird durch Zone Alarm nicht sicher - das scheinst Du immer noch nicht zu verstehen bzw. verstehen zu wollen. >Würde der Wurm sich nicht nur vermehren, sondern >nebenbei auch Diplomarbeiten und Buchhaltungen >löschen, hätten jetzt einige Benutzer von ZA >Glück gehabt. Und die Unglücklichen, die >verzweifelt nach brauchbaren Backups suchen, >wären nur schwer von der absoluten Nutzlosigkeit >Zonealarms zu überzeugen. Ein Blindes Huhn findet auch mal ein Korn. Wie gesagt, MSAV findet Form.A - daher sollten wir jetzt alle unseren Virenscanner in die Tonne kloppen und MSAV aus DOS 6.x installieren. >Danke für diese Antwort, die zur Beurteilung des >Restnutzens von ZA und Personal Firewalls >überhaupt beiträgt. Denn wären Programme, die >Firewalls überlisten, seltene Exoten, wäre der >Wert von Personal Firewalls höher einzuschätzen. Sind sie definitiv nicht. Mach mal nen Portscan nach Optix im Netz. Du wirst umkippen. Ich hab mal bissi T-Online Ranges gescannt und in 10 Minuten ca. 300 Optix Lite 0.4 infizierte gefunden. |
Hallo, </font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Daraus folgt: ZA wehrt keinen einzigen Angriff ab. Der Angriff des Opasoft-Wurmes wird aber von ZA abgewehrt.</font>[/QUOTE]Ich halte den Vergleich für unzutreffend. Deiner Argumentation folgend gibt es noch weitere Möglichkeiten, Opasoft ohne ZA abzuwehren: Netzstecker ziehen, Festplatte formatieren, gar keinen PC besitzen oder ihn nie anschalten... Genau das ist jedoch nicht der Punkt. Wenn du den Rechner im Netz hast, erreichst du die 100% Sicherheit, in dem du die Schwachstelle beseitigst: du entfernst den Freigabedienst. Wie das geht, steht weiter oben. Alles andere (wie das Herumgepfusche mit ZA) ist Unsinn. </font><blockquote>Zitat:</font><hr />Und besser, als den Wurm mittels ZA zu entdecken, findest du, den Rechner neu aufzusetzen.</font>[/QUOTE]Das war anders gemeint: bei einem Virus/Wurm/whatever-Befall ist es besser, das kompromittierte System neu zu installieren und aus den Fehlern zu lernen (so man nicht lernresistent ist), da du nur dann sicher sein kannst, daß wirklich alle Reste gelöscht sind und dir ein Hacker nicht noch was anderes untergeschoben hat. </font><blockquote>Zitat:</font><hr />Meinst du wirklich, daß es nur ganz unsicher oder 100% sicher gibt?</font>[/QUOTE]Ja. Das bezieht sich auf bestimmte Bedrohungsszenarien. Tip: http://www.iks-jena.de/mitarb/lutz/u...tml#Sicherheit </font><blockquote>Zitat:</font><hr /> Soll das nur für Computer gelten oder in allen Lebensbereichen?</font>[/QUOTE]Ich denke nicht schwarz/weiß, falls du das meinst. Aber im Bereich der Computersicherheit halte ich Kompromisse für sinnfrei. </font><blockquote>Zitat:</font><hr />Da anscheinend überhaupt niemand verstanden hat, warum ein unsicherer PC mit Zonealarm besser dran ist</font>[/QUOTE]s/dran_ist/dran_sein_sollte/ Nein, ich verstehe es auch nicht. ;) [ 08. Oktober 2002, 23:16: Beitrag editiert von: Dr Prantl ] |
Hallo zusammen, </font><blockquote>Zitat:</font><hr /> Andreas Haak: Angriffe sind anders definiert </font>[/QUOTE]Ich hatte ja keine Ahnung, daß Angriff im Fachchinesisch ein reserviertes Wort ist. Außerdem bestätigte mir Dr Prantl in einem anderen Thread am 4.10. auf meine Nachfrage: "den Kopierversuch des Wurmes würde ich als Angriff werten". Da mir klar ist, daß ich hier als Advocatus Diaboli mit besonderer Strenge zu rechnen habe, las ich die "sicher oder unsicher"-Passage mehrfach durch und dachte auch darüber nach, bevor ich nachfragte: </font><blockquote>Zitat:</font><hr /> Meinst du wirklich, daß es nur ganz unsicher oder 100% sicher gibt? </font>[/QUOTE] </font><blockquote>Zitat:</font><hr /> Dr Prantl: Ja. Das bezieht sich auf bestimmte Bedrohungsszenarien. </font>[/QUOTE] </font><blockquote>Zitat:</font><hr /> Andreas Haak: Es gibt keinen 100% igen Schutz. Es gibt einen guten und es gibt einen unzureichenden. </font>[/QUOTE]Bei so viel Verwirrung darf man doch wohl eine Erklärung bitten? Die hat Dr Prantl dann ja auch mit seinem Link gegeben. </font><blockquote>Zitat:</font><hr /> Andreas Haak: Ein unsicherer PC wird durch Zone Alarm nicht sicher. </font>[/QUOTE]Das habe ich auch nie behauptet. Lesen lernen. </font><blockquote>Zitat:</font><hr /> Andreas Haak: Ein Blindes Huhn findet auch mal ein Korn. </font>[/QUOTE]Und um diese Körner ist ein unsicherer PC mit ZA besser dran als ohne. Martin edit: 4.9. in 4.10. berichtigt [ 10. Oktober 2002, 07:17: Beitrag editiert von: MartinH ] |
Nein - denn ZA macht andere Lücken dafür auf. |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Und um diese Körner ist ein unsicherer PC mit ZA besser dran als ohne.</font>[/QUOTE]Nein. Ist das eigentlich so schwer zu verstehen? Wer seinen Rechner nicht richtig konfiguriert, auf jeden Scheiß klickt wird früher oder später garantiert ein Opfer. ZA nützt da gar nichts. Außer das Leute wie Du glauben, dass es irgentwas "sicherer" macht und deswegen erst recht nichts mehr in Sachen Rechnersicherheit dazulernen wollen. ZA (und die meisten anderen Personal Firewalls auch) sind nichts weiter als reine Plazebos. Sorry auch wenn Dir die Antwort (und auch einigen anderen) nicht gefällt, aber so ist es halt. wizard |
Hallo Wizard und ihr anderen, was glaubt ihr denn, warum ich mich tagelang so intensiv mit diesem Thema beschäftigt habe? Weil ich ein unbelehrbarer Anhänger von Zonealarm bin und meine, damit im Internet ein sicheres Versteck zu haben? Das wurde mir nur immer wieder unterstellt, auch nachdem ich schrieb: </font><blockquote>Zitat:</font><hr />Man kann ZA nicht zur Verbesserung der Sicherheit empfehlen.</font>[/QUOTE]Ich wollte lediglich dagegen angehen, daß hier sogar die geringen Fähigkeiten, die ZA tatsächlich hat, geleugnet werden. Ich habe dazugelernt (vor allem, daß Programme, die ZA aushebeln, gar nicht mal so selten sind) und bin ich bereit, weiter dazuzulernen. Zu diesem Zweck werde ich zum x-ten Male die einschlägigen FAQs und Links durchflöhen, um die zusätzlichen Lücken zu finden, die ZA aufmacht. Und dabei werde ich ab und zu nachsehen, ob sie hier (nochmal?) erklärt werden. Ich erinnere mich nur an den Hinweis, zusätzliche Software, die so tief ins System eingreift, sei grundsätzlich ein Risiko. Martin |
Hmm...die Mehrzahl scheint hier Firewalls für sinnlos zu halten. Da mir das noch nicht so ganz einleuchtet, hätte ich noch einige Fragen... 1. Warum setzen viele der Personalfirewallgegner selbst eine ein? 2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall? 3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden? 4. Welche neuen Lücken macht ZA oder ZAP auf? 5. Warum wird Assasin in einem PFW-Thread als firewalltunnelnder Trojaner bezeichnet und angedeutet, dass eine ganz normale PFW Assasin nicht blockieren würde? 6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt? 7. Warum wird nicht darauf hingewiesen, dass die neue Firewallgeneration mit Optix Lite FWB fertig wird und in der Regel auch durch die Mehrzahl der sonst genannten Sicherheitslücken (Raw Sockets, Trojaner mit eigenem Stack, "Button klicken", etc.) nicht betroffen ist? 8. Warum wird nicht darauf hingewiesen, dass man mit einer Firewall einen Trojaner schon dadurch entlarven kann, dass man einmal für eine Weile ganz bewusst keine Daten überträgt (also nicht surft) und dann schaut, ob doch Daten übertragen werden? 9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen? 10. Wer von den ZA(P) Gegnern hat die ZA(P) schon einmal selbst in der aktuellsten Version auf seinem Rechner installiert und getestet? 11. Warum wird nicht darauf hingewiesen, dass sich Optix Lite FWB in der Praxis nur sehr schwer vor einem AV Scanner verbergen lässt und ausserdem einen so begrenzten Funktionsumfang hat, dass Scriptkiddies in der Regel doch lieber einen normalen Trojaner einsetzen? 12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist, dass viele Scriptkiddies damit überfordert sind? 13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht eingegangen? 14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw. durch Patchen überwinden kann? Mir fallen bestimmt gleich noch mehr Fragen ein... ;) Gruss Nautilus [ 10. Oktober 2002, 21:34: Beitrag editiert von: Nautilus ] |
Hallo Nautilus, </font><blockquote>Zitat:</font><hr />* quoting Nautilus: 1. Warum setzen viele der Personalfirewallgegner selbst eine ein?</font>[/QUOTE]Wer? Welche? Wie kommst du darauf? </font><blockquote>Zitat:</font><hr />2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall?</font>[/QUOTE]Weil Scriptkids Spielkinder sind, denen bei gewissen Anstrengungen schnell der Spaß vergeht. </font><blockquote>Zitat:</font><hr />3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden?</font>[/QUOTE]Weil letztere an den gleichen konzeptionellen Schwächen krankt. </font><blockquote>Zitat:</font><hr />4. Welche neuen Lücken macht ZA oder ZAP auf?</font>[/QUOTE]Anfälligkeit für Flooding. </font><blockquote>Zitat:</font><hr />6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt?</font>[/QUOTE]Weil es darum geht, gegen gewisse Cyberthreats Sicherheit zu erlangen. Merke: Sicherheit ist binär. </font><blockquote>Zitat:</font><hr />9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen?</font>[/QUOTE]Das verstehe ich ehrlich gesagt auch nicht. </font><blockquote>Zitat:</font><hr />12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist, dass viele Scriptkiddies damit überfordert sind? </font>[/QUOTE]Ich will dir nicht unterstellen, daß du von dir auf andere schließt. ;) Vielleicht könntest du diese deine Aussage mal mit entsprechenden Fakten untermauern. </font><blockquote>Zitat:</font><hr />13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht eingegangen?</font>[/QUOTE]Es wird. </font><blockquote>Zitat:</font><hr />14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw. durch Patchen überwinden kann?</font>[/QUOTE]Das kommt auch noch irgendwann. ;) HTH, docp. |
Hallo Prantl, da ich mich mit Trojanern etwas besser auskenne, als mit der Quote-Funktion schreibe ich mal ganz unelegant zwischen Deine Zeilen... ;) ******* 1. Warum setzen viele der Personalfirewallgegner selbst eine ein? Wer? Welche? Wie kommst du darauf? Antwort: Iron schreibt dies z.B. auf seiner Homepage. Benutzt Du keine? Seltsam benutzt bestimmt eine. Wizard? Ken? ******* 2. Warum mögen Scriptkiddies lieber ein Opfer ohne Firewall als ein Opfer mit Firewall? Weil Scriptkids Spielkinder sind, denen bei gewissen Anstrengungen schnell der Spaß vergeht. Antwort: Ist es nicht gut, wenn man sich dann wenigstens vor diesen nicht mehr fürchten muss? Die geringere Anzahl der dann noch verbleibenden Hacker kann dann gar nicht mehr alles und jeden infizieren. Ausserdem wird es für Newcomer so immer schwerer in der RAT-Szene Fuss zu fassen (was ja vielleicht auch nicht so schlecht ist). ********* 3. Warum wird hier nicht zwischen Zone Alarm (ZA) und Zone Alarm Plus bzw. Pro (ZAP) unterschieden? Weil letztere an den gleichen konzeptionellen Schwächen krankt. Antwort: Welche Schwächen meinst Du genau? Warum spielen die erheblichen Vorteile (Konfigurierbarkeit) von ZAP gegenüber ZA keine Rolle? ******* 4. Welche neuen Lücken macht ZA oder ZAP auf? Anfälligkeit für Flooding. Antwort: Ich stimme Dir zu, dass Flooding ein ganz ernstes Problem ist, dass bei PFW Tests viel zu wenig untersucht wird. Allerdings ist es sehr schwer, über eine Floodingattacke in den Rechner einzudringen. Normalerweise wird der Rechner nur gebremst bzw. die Firewall zum Absturz gebracht. Im Bereich der PFWs, wo es nicht so sehr darauf ankommt, dass ein Server ständig erreichbar ist, ist Flooding daher IMHO nicht sooo schlimm. Man kann ja auch mal kurz die Internetverbindung trennen. Ausserdem gilt es noch zu belegen, wie anfällig ZAP für Flooding ist. Sind Dir aussagekräftige Tests bekannt? ******* 6. Warum wird als Beweis für die Nutzlosigkeit ein teilweise relativ theoretisches Horrorszenario (allmächtiger Hacker, Code Injektion, Raw Sockets, etc. vs. total unerfahrenes Opfer)genannt? Weil es darum geht, gegen gewisse Cyberthreats Sicherheit zu erlangen. Merke: Sicherheit ist binär. Antwort: Meine Devise lautet: An dem Tag, an dem mein Rechner wirklich 100% sicher ist, werde ich bestimmt an der nächsten Ampel vom Auto überfahren. Ich (und viele andere User) können halt ganz gut damit leben, dass ihr Rechner ziemlich sicher ist und sich die Chance das Opfer eines erfolgreichen Hacks zu werden pro Jahr auf nicht mehr als - sagen wir mal - 0,1% beläuft. Lass uns doch wie im richtigen Leben auch im Bereich der Computer ein gewisses Risiko eingehen. By the way...die "sicherheitsbewussten" Linux User haben jetzt gerade ein Problemchen mit KDE... ;) **** 9. Warum wird in diesem Thread von PFWs abgeraten, obwohl der Leser dieses Threads sich höchstwahrscheinlich für Sicherheit interessiert und deshalb voraussichtlich bereit ist, sich die Mühe zu machen, die Funktionsweise einer Firewall zu verstehen? Das verstehe ich ehrlich gesagt auch nicht. Antwort: Dann sind wir schon zwei ;) Bin übrigens auf Deinen anstehenden Firewalltest gespannt. ********* 12. Warum wird nicht darauf hingewiesen, dass die Verwendung von firewalltunnelnden Trojanern so kompliziert ist, dass viele Scriptkiddies damit überfordert sind? Ich will dir nicht unterstellen, daß du von dir auf andere schließt. Vielleicht könntest du diese deine Aussage mal mit entsprechenden Fakten untermauern. Antwort: Hast Du Optix Lite FWB schon mal selbst ausprobiert? Und alle benötigten Webservices eingerichtet? Den Server dann so gepackt, dass ihn ein AV Scanner nicht mehr erkennt? Wenn Du die dabei auftretenden Praxisprobleme für sooo einfach lösbar hältst, bist Du ein Naturtalent :) Im Ernst...für ein Scriptkiddy ist das alles nicht so einfach. Ich mag die einzelnen Probleme hier nicht posten, nenne sie Dir aber gerne per PM oder Email, so dass Du meine Aussage besser verifizieren kannst. Vielleicht genügt es aber auch schon, wenn Du einen Blick in die Optix Lite FWB Helpfiles wirfst? ******* 13. Warum wird auf die Kombinationswirkung von AV Scanner, PFW und sonstigen Schutzvorrichtungen nicht eingegangen? Es wird. Antwort: Hmm? IMHO ist es nämlich so, dass ein AV Scanner oder eine Firewall isoliert viel leichter zu umgehen sind, als eine sinnvolle Kombination aus FW, KAV, TrojanHunter, WinXP Pro (aber nicht im Adminmodus), usw. ********** 14. Warum werden nicht auch alle AV Scanner für sinnlos gehalten, obwohl man sie durch Packer/Crypter bzw. durch Patchen überwinden kann? Das kommt auch noch irgendwann. Antwort: Ich glaube, dass der Kampf zwischen AV und VX noch für eine Weile andauern wird. Es wird immer derjenige Sieger bleiben, der schneller, schlauer und aktueller ist. Und das muss nicht immer das Scriptkiddy sein. AV Scanner werden vermutlich demnächst verstärkt als Behaviourscanner funktionieren. HTH, docp. Gruss Nautilus (auf die Hoffnung hin, dass HTH nicht wieder sowas wie FOAD bedeutet ;) |
@ Nautilus: Zu 1.: Wo du schon meine Seite erwähntst - hast du auch genau gelesen? Ich zitiere mal mich selbst: Leider glauben die meisten Anwender den Versprechungen der Hersteller von Desktop-Firewalls blind und sind mit der sinnvollen Nutzung des Produkts mangels Wissen und aufgrund ihrer Bequemlichkeit meist hoffnungslos überfordert. Oft wissen die Anwender gar nicht, wie wenig ihnen die Software hilft, lassen sich von Alarmmeldungen aller Art beeindrucken, ohne deren wahren Informationsgehalt zu hinterfragen. und weiter... Der einzige, teilweise Nutzen einer Firewall besteht darin, dass sie (leider nicht zuverlässig) meldet, wenn ein Programm auf dem Rechner des Anwenders eine Verbindung zum Internet herstellen will. Dieser muss nun entscheiden, ob das Programm vertrauenswürdig ist und kann eine entsprechende Regel erstellen. Nachteil: Die meisten Anwender wissen nicht, ob die Programme vertrauenswürdig sind und sie wissen auch oft nicht, zu welchem Zweck die Verbindung aufgebaut wird und welche Daten hin und her fließen. Einige Programme tun dies, um nach Updates zu suchen, andere verifizieren Seriennummern oder übertragen Benutzerdaten. Dies ist nur selten klar ersichtlich. Daher entscheiden sich die Anwender meist falsch. Und schließlich: Ich habe einige dieser Desktop-Firewalls benutzt, allerhand dazugelernt und weiß ganz genau, was sie nicht können und wo sie sinnlos werden. Mittlerweile ist mein PC selbst dann sicher, wenn ich die Firewall abschalte. |
@Iron Ja. Auch das hatte ich gelesen. Und diese Aussagen scheinen mir auch ganz vernünftig. (Die Seite zum Filesharing übrigens auch. Deine Kunst gefällt mir ebenfalls. Die DAU-Seiten weniger.) Vielleicht sollten wir in diesem Thread weniger darauf hinwirken, dass sich niemand mehr eine Firewall installiert, sondern stattdessen in leicht verständlichen Worten (am besten mit Screenshots und anhand einiger praktischer Beispiele a la Optix Lite und Optix Lite FWB) erklären, wie man eine gute PFW sinnvoll einsetzt? Gruss Nautilus |
In leicht verständlichen Worten? Sorry, aber: WO LEBST DU? Das wird immer wieder versucht und wird immer wieder scheitern. Je einfacher die Worte, desto unkonkreter sind die Informationen und damit auch desto unglaubwürdiger die Argumente. Wird man konkreter, kommt der Durchschnittsuser nicht mehr mit. Darüberhinaus ist jedes System anders konfiguriert und bedarf anderer Regeln. Mit Screenshots dürfte das daher nichts werden. |
</font><blockquote>Zitat:</font><hr />Thus spake Nautilus: [Grund für PFW-Einsatz] Benutzt Du keine?</font>[/QUOTE]Auf meiner Workstation habe ich tatsächlich keine, ich vermisse sie auch nicht. Mein Internetgateway ist anderweitig gesichert und bei Lanparties (eher selten) behelfe ich mir mit IPSec. Andere Szenarien kommen bei mir nicht vor. Ein Modem oder ähnliches Geraffel habe ich nicht. </font><blockquote>Zitat:</font><hr />[Scriptkids] Ist es nicht gut, wenn man sich dann wenigstens vor diesen nicht mehr fürchten muss?</font>[/QUOTE]Wenn das wirklich so ist? Wie häufig zu lesen ist, gibt es tunnelnde Trojaner, ein paar Scriptenkids werden wohl auch damit klarkommen. ;) </font><blockquote>Zitat:</font><hr />Ausserdem wird es für Newcomer so immer schwerer in der RAT-Szene Fuss zu fassen</font>[/QUOTE]Bei BuHa kann man sich nicht mehr registrieren, weil da schon zu viele Leute angemeldet sind. Das halte ich für kein gutes Zeichen. </font><blockquote>Zitat:</font><hr />[ZA Pro] Welche Schwächen meinst Du genau?</font>[/QUOTE]Die umständliche Handhabung, die kindische Oberfläche und das Hauptproblem zwischen Tastatur und Stuhl. </font><blockquote>Zitat:</font><hr /> Warum spielen die erheblichen Vorteile (Konfigurierbarkeit) von ZAP gegenüber ZA keine Rolle?</font>[/QUOTE]Ich finde ZA(Pro) generell Mist, weil sie auch viel zu aufgeblasen ist. Tiny/Kerio ist deutlich schlanker. </font><blockquote>Zitat:</font><hr />Allerdings ist es sehr schwer, über eine Floodingattacke in den Rechner einzudringen.</font>[/QUOTE]Ich wäre mir da nicht so sicher. man Buffer Overflow. Die Firewall muß die Pakete verarbeiten und "hineinsehen". </font><blockquote>Zitat:</font><hr /> Normalerweise wird ... die Firewall zum Absturz gebracht.</font>[/QUOTE]In diesem Moment stehst du mit heruntergelassenen Hosen da, und eventuell laufende Dienste (Datei- und Druckerfreigabe) können angegriffen werden. </font><blockquote>Zitat:</font><hr />wie anfällig ZAP für Flooding ist. Sind Dir aussagekräftige Tests bekannt? </font>[/QUOTE]Dr Seltsam hatte IIRC mal was getestet. Auch Ken kann dir dazu mehr sagen. </font><blockquote>Zitat:</font><hr />Bin übrigens auf Deinen anstehenden Firewalltest gespannt.</font>[/QUOTE]Den werde ich Samstag durchführen. Ich kann mir fast vorstellen, daß du mir dabei sogar helfen könntest, da ich noch ein paar T00lz brauche. ;) </font><blockquote>Zitat:</font><hr />Hast Du Optix Lite FWB schon mal selbst ausprobiert?...</font>[/QUOTE]Nein, nie. Kein Bedarf und keine Notwendigkeit. </font><blockquote>Zitat:</font><hr />Gruss Nautilus (auf die Hoffnung hin, dass HTH nicht wieder sowas wie FOAD bedeutet ;)</font>[/QUOTE]Dann hätte ich sicher einen entsprechenden Smiley gesetzt. [img]smile.gif[/img] ciao [img]graemlins/teufel3.gif[/img] |
>1. Warum setzen viele der Personalfirewallgegner >selbst eine ein? Ich setze keine ein :o). Für andere kann ich nicht spechren. >2. Warum mögen Scriptkiddies lieber ein Opfer >ohne Firewall als ein Opfer mit Firewall? Weil sie Scriptkiddies sind. So einfach wie möglich soll das gehen. >3. Warum wird hier nicht zwischen Zone Alarm >(ZA) und Zone Alarm Plus bzw. Pro (ZAP) >unterschieden? Ich sprach von der KOSTENLOSEN ZA Version. Die Lücken die ich aufgezählt habe gelten für beide ZA Versionen. >4. Welche neuen Lücken macht ZA oder ZAP auf? Fehler im Treiber und Layer bei hoher Belastung. >5. Warum wird Assasin in einem PFW-Thread als >firewalltunnelnder Trojaner bezeichnet und >angedeutet, dass eine ganz normale PFW Assasin >nicht blockieren würde? Weil viele Firewalls eine recht unsichere Standardkonfiguration haben und ausgehende Verbindungen zu gewissen Ports (DHCP, DNS usw.) ist erlaubt sind und man mit Hilfe von Assasin diese Lücken ausnutzen kann. >6. Warum wird als Beweis für die Nutzlosigkeit >ein teilweise relativ theoretisches >Horrorszenario (allmächtiger Hacker, Code >Injektion, Raw Sockets, etc. vs. total >unerfahrenes Opfer)genannt? Weil sie nicht theoretisch sind. Code Injection wird von vielen Viren und Würmern genutzt. RAW Sockets werden z.B. von ACKCMD genutzt (ist allerdings nur ein Testtrojaner). Du wirst wohl kaum bestreiten, daß Firewall Tunnelnde Trojaner itw sind, oder? >7. Warum wird nicht darauf hingewiesen, dass die >neue Firewallgeneration mit Optix Lite FWB >fertig wird und in der Regel auch durch die >Mehrzahl der sonst genannten Sicherheitslücken >(Raw Sockets, Trojaner mit eigenem >Stack, "Button klicken", etc.) nicht betroffen >ist? Weil sie davon eben doch noch betroffen sind. RAW Sockets wird von vielen noch immer nicht beherrscht. Der eigene Stack wird auch nur von 2 - 3 erkannt. Das mit dem Button Klicken funktioniert sogar bei allen die ich so getestet habe (Tiny, Kerio, Agnitum, ZoneLabs). Optix tunnelt immer noch die meisten FW Systeme. >8. Warum wird nicht darauf hingewiesen, dass man >mit einer Firewall einen Trojaner schon dadurch >entlarven kann, dass man einmal für eine Weile >ganz bewusst keine Daten überträgt (also nicht >surft) und dann schaut, ob doch Daten übertragen >werden? Dazu brauchst Du keine Firewall. >10. Wer von den ZA(P) Gegnern hat die ZA(P) >schon einmal selbst in der aktuellsten Version >auf seinem Rechner installiert und getestet? Ich - anders hätte ich es nicht testen können, odeR? >11. Warum wird nicht darauf hingewiesen, dass >sich Optix Lite FWB in der Praxis nur sehr >schwer vor einem AV Scanner verbergen lässt und >ausserdem einen so begrenzten Funktionsumfang >hat, dass Scriptkiddies in der Regel doch lieber >einen normalen Trojaner einsetzen? Weil sich Optix prima dazu eignet die Schutz Software abzuschalten auf dem Rechner. Optix Aufgabe dient ja nur dazu einen "umfangreicheren" Backdoor auf dem System zu platzieren. In der Praxis lässt sich Optix Lite recht einfach verstecken - finde ich. >12. Warum wird nicht darauf hingewiesen, dass >die Verwendung von firewalltunnelnden Trojanern >so kompliziert ist, dass viele Scriptkiddies >damit überfordert sind? Wieso wird vor Viren gewarnt aber nicht darauf hingewiesen, daß sie so kompliziert sind, daß ein Scriptkiddie nicht mal wüsste wie man ihn verbreiten soll? Ob Person xy nun weiß wies geht oder nicht - die Gefahr bleibt. >13. Warum wird auf die Kombinationswirkung von >AV Scanner, PFW und sonstigen >Schutzvorrichtungen nicht eingegangen? Ein guter AV Scanner macht eine Firewall für den normal Anwender imho überflüssig. >14. Warum werden nicht auch alle AV Scanner für >sinnlos gehalten, obwohl man sie durch >Packer/Crypter bzw. durch Patchen überwinden >kann? Weil im Gegensatz zu Firewalls neue Konzepte existieren, die diese Probleme nicht haben *fg*. Außerdem wird ziemlich oft darauf aufmerksam gemacht und auch diskutiert und beraten und man glaube es kaum, es wird sogar an lösungen gearbeitet *fg*. |
@Iron: Ich sprach nicht von einem weiteren Tutorial zur Konfiguration von Firewalls. Davon gibt es in der Tat schon viele. Ich will auch nicht argumentieren oder ins Abstrakte abgleiten. Woran ich dachte, ist Folgendes: Es wird beispielhaft ein klassischer Infektionsvektor dargestellt (z.B. das Starten einer Anwendung namens xyzinstall.exe, die man per Email erhalten oder in Kenntnis des damit verbundenen Risikos aus einer Filesharingbörse gesaugt hat) und dem User erklärt, wie man in einer solchen Situation sinnvoll vorgeht (wenn der Verzicht auf ein Ausführen des Programmes nicht in Betracht kommt). So ein Tutorial habe ich noch nicht oft gesehen und es würde eigentlich gut zum Trojaner-Board passen. Es könnte dabei ganz konkret die Vorgehensweise zur Erkennung eines im Installer potentiell vorhandenen Trojaners (sogar die eines firewalltunnelnden Trojaners) per AV Scanner, Firewall, Cleansweep bzw. Registryüberwachungstool, etc. veranschaulicht werden. ******* ******* ******* @Prantl Stichwort BuHa-Board...wenn Du dort mal in den Trojaner-Thread schaust, wirst Du sehen, dass es total verödet ist. Da bekommt kaum noch jemand Hilfe. Aber ich stimme Dir zu, es gibt immer noch genug Boards, wo man Hilfe bekommt... ***** "Die umständliche Handhabung, die kindische Oberfläche und das Hauptproblem zwischen Tastatur und Stuhl...Ich finde ZA(Pro) generell Mist, weil sie auch viel zu aufgeblasen ist. Tiny/Kerio ist deutlich schlanker." Antwort: Das sind aber relativ "weiche" Argumente. Dafür besteht die Kerio 2 viele Leaktests nicht. (Ich will damit keineswegs sagen, dass ZAP die beste aller Firewalls ist, sondern nur für eine differenzierte, faire Beurteilung plädieren. Wenn ZAP beispielsweise allzu tief ins System eingreift und sich nicht mehr vernünftig deinstallieren laesst, wäre das für mich durchaus als wirklicher Minuspunkt dieser Wall anzusehen. Andere Walls sind aber auch nicht perfekt.) ****** Stichwort: Buffer Overflow -- In der Tat ist das nicht gänzlich auszuschliessen. Aber wohl eher eine theoretische Gefahr. Bislang wurde eine Wall IMHO noch nie erfolgreich aus dem Internet heraus exploited. Anders sieht es bei Webbrowsern aus etc. ***** "Normalerweise wird ... die Firewall zum Absturz gebracht. ... In diesem Moment stehst du mit heruntergelassenen Hosen da, und eventuell laufende Dienste (Datei- und Druckerfreigabe) können angegriffen werden." Wenn man sogar solche Dienste auf dem Rechner laufen hat, dann sollte man auf jeden Fall eine FW installieren (wenn das Geld nicht für Deine Lösung reicht). Die FW wird zwar evt. mal "abgeschossen"...aber wenn man sie deshalb erst gar nicht laufen lässt, ist es ja noch schlimmer. Du wolltest aber wahrscheinlich sagen, dass man sich primär darum kümmern soll, dass die Datei- und Druckerfreigabe deaktiviert ist (wenn man sie nicht braucht). Da stimme ich Dir natürlich zu. Die Firewall ersetzt keine vernünftige Systemkonfiguration, sondern ergänzt sie. ******** Stichwort: Firewalltest. Sag mir doch per Email Bescheid, welche Tools Du benötigst. Vielleicht habe ich sie ja. Rokop und Wizard haben meine Email. Ich möchte sie hier nicht ständig im Forum posten, sonst bekomme ich bald wieder Spam. (Ansonsten PM.) ***** ***** ***** @Seltsam "Ich setze keine [Personal Firewall] ein [img]redface.gif[/img] ). Für andere kann ich nicht spechren." -- Kein Wunder, dass sich dann Dein TDS immer wieder deaktiviert hat :)))) **** "Weil sie Scriptkiddies sind. So einfach wie möglich soll das gehen." -- Genau das ist ja mein Punkt. *** "Welche neuen Lücken macht ZA oder ZAP auf? Fehler im Treiber und Layer bei hoher Belastung." Antwort: Das Problem haben Kerio und Outpost wohl auch. In der Praxis wird man als Normalsurfer, der keinen Webserver betreibt, aber sehr sehr selten das Opfer eines gezielten, lang andauernden Floods. Ausserdem kann man dann immer noch wie oben bereits beschrieben vorgehen. ******* "5. Warum wird Assasin in einem PFW-Thread als >firewalltunnelnder Trojaner bezeichnet und >angedeutet, dass eine ganz normale PFW Assasin >nicht blockieren würde? Weil viele Firewalls eine recht unsichere Standardkonfiguration haben und ausgehende Verbindungen zu gewissen Ports (DHCP, DNS usw.) ist erlaubt sind und man mit Hilfe von Assasin diese Lücken ausnutzen kann." Antwort: Der Hinweis auf den potentiellen Konfigurationsfehler in Sachen DNS ist gut und richtig. Man kann ihn aber leicht abstellen. Wer diesen Thread liesst, sollte dies tun. Ich sehe Assasin vor allem als Gefahr für LANs und Unternehmen an, die keine PFW (Applicationfirewall) einsetzen. (Schönen Gruss an Prantl ;) Eine normale PFW meldet dagegen bei Assasin, dass die Datei msspool32.exe (falls sie nicht umbenannt wurde) ins Web will. Das liegt daran, dass Assasin IMHO nicht die Technik der .dll Injektion unterstützt. **** "Weil sie nicht theoretisch sind. Code Injection wird von vielen Viren und Würmern genutzt. RAW Sockets werden z.B. von ACKCMD genutzt (ist allerdings nur ein Testtrojaner). Du wirst wohl kaum bestreiten, daß Firewall Tunnelnde Trojaner itw sind, oder?" Antwort: Nein. Das bestreite ich nicht. Habe selbst auch gerade wieder einige dau-taugliche Tools zur .dll Injizierung gefunden. Aber noch sind die entsprechenden Trojaner nicht sehr verbreitet und ausserdem bietet die neue Firewallgeneration insoweit schon wieder etwas Schutz. Also kein Grund zu verzweifeln. (Raw Sockets werden meines Wissens zumindest von ZA, Kerio und Sygate überwacht?) Nur nochmal zur Klarstellung: Die Warnhinweise und die Sicherheitstips in Deinen beiden Threads unterstütze ich voll uns ganz. ***** Stichwort Button-Click: Mein Tip...Administrationspasswort setzen (um ein Allow All oder ein Manipulation der Rules zu verhindern); bei Kerio 2 den DisableAllUponTermination Regkey aktivieren; darauf achten, ob das Firewall- bzw. AV Scanner- Icon in der Taskleiste erlischt. (IMHO sind Firewallkilling-Techniken viel zu auffällig und führen dazu, dass ein Trojaner binnen kürzester Zeit entdeckt wird.) **** "Weil sich Optix prima dazu eignet die Schutz Software abzuschalten auf dem Rechner. Optix Aufgabe dient ja nur dazu einen "umfangreicheren" Backdoor auf dem System zu platzieren. In der Praxis lässt sich Optix Lite recht einfach verstecken - finde ich." Antwort: Ich gehe davon aus, dass wir immer noch von Optix Lite FWB (und nicht Optix Lite) sprechen. Das Abschalten der Schutzsoftware ist IMHO auf Dauer sehr auffällig und stellt deshalb den Sinn dieser Schutzsoftware nicht in Frage. Natürlich ist es aber wieder richtig, dass Du auf diese Gefahr hinweist. Schicke mir doch einmal einen ungepatchten, aber dennoch unerkennbaren Optix Lite FWB. Meine Email hast Du ja. Ich wäre sehr überrascht, wenn Du das mit konventionellen Methoden hinbekommst ;) ***** "Wieso wird vor Viren gewarnt aber nicht darauf hingewiesen, daß sie so kompliziert sind, daß ein Scriptkiddie nicht mal wüsste wie man ihn verbreiten soll? Ob Person xy nun weiß wies geht oder nicht - die Gefahr bleibt." Antwort: Die Gefahr bleibt in der Tat bestehen. Der Unterschied ist aber, dass sich Viren und Würmer sehr schnell und automatisch verbreiten. Trojaner in der Regel nicht. **** "Ein guter AV Scanner macht eine Firewall für den normal Anwender imho überflüssig." IMHO bieten PFWs selbst für sehr unerfahrene Anwender einen gewissen Zusatzschutz, wenn nach der simplen Methode verfahren wird: "Im Zweifel blocken (es sei denn der Computer funktioniert dann nicht mehr wie gewünscht)". Je mehr der Anwender dann die Funktionsweise einer PFW versteht, desto mehr Sinn macht sie auch. So war es zumindest bei mir. Gäbe es ZoneAlarm nicht, hätten viele Leute vielleicht niemals eine PFW installiert und gelernt, sie zu verstehen. **** Weil im Gegensatz zu Firewalls neue Konzepte existieren, die diese Probleme nicht haben *fg*. Konzepte...*ggg*. Was hältst Du von Bitdefender? Gruss Nautilus [ 11. Oktober 2002, 20:25: Beitrag editiert von: Nautilus ] |
>Ich wollte lediglich dagegen angehen, daß hier >sogar die geringen Fähigkeiten, die ZA >tatsächlich hat, geleugnet werden. Du meinst die Fähigkeit selbst zur Lücke zu werden und selbst sogar Sicherheitslücken zu haben die teilweise gefährlicher sind als die des ungepatchten Systems selbst? |
>Kein Wunder, dass sich dann Dein TDS immer >wieder deaktiviert hat :)))) Ich benutze TDS-3 nur auf meinem Testrechner. Selbiges würde außerdem mit und ohne FW deaktiviert werden :o). >>"Weil sie Scriptkiddies sind. So einfach wie >>möglich soll das gehen." >Genau das ist ja mein Punkt. Das Problem ist aber die Einfachheit gegenüber dem Crypten. Crypten bekommen die meisten auch hin :o). >Das Problem haben Kerio und Outpost wohl auch. Outpost, ja. Kerio, nein. >In der Praxis wird man als Normalsurfer, der >keinen Webserver betreibt, aber sehr sehr selten >das Opfer eines gezielten, lang andauernden >Floods. Ausserdem kann man dann immer noch wie >oben bereits beschrieben vorgehen. Oder man lässt die PFW ganz weg und hat das Problem schon mal gar nicht ;o). >Antwort: Der Hinweis auf den potentiellen >Konfigurationsfehler in Sachen DNS ist gut und >richtig. Man kann ihn aber leicht abstellen. Wer >diesen Thread liesst, sollte dies tun. Sicher - allerdings musst Du hier bei 50% der Usern ganz genau (am besten mit Screenshoots) erklären, wie man das macht. In der Zeit kannst Du ihnen aber auch erklären wie man das windowsupdate bedient und NetBIOS von der Internet Verbindung abkoppelt. >Nein. Das Bestreite ich nicht. Habe selbst auch >gerade wieder einige dau-taugliche Tools >zur .dll Injizierung gefunden. Aber noch sind >die entsprechenden Trojaner nicht sehr >verbreitet und ausserdem bietet die neue Nur weil diese Tools NOCH nicht verbreitet sind, heißt es nicht das die Walls weniger nutzlos sind. >Firewallgeneration insoweit schon wieder etwas >Schutz. Exakt - ETWAS Schutz. Keinen GUTEN Schutz. Eher einen UNZUREICHENDEN Schutz. >Also kein Grund zu Verzweifeln. (Raw Sockets >werden meines Wissens zumindest von ZA, Kerio >und Sygate überwacht?) ZA nur in der Pro Version. Aber es gibt noch mehr Firewall Systeme. ZA free und NIS ist nun mal am stärksten verbreitet - und eben jene sind anfällig. >Mein Tip...Administrationspasswort setzen (um >ein Allow All oder ein Manipulation der Rules zu >verhindern); bei Kerio 2 den >DisableAllUponTermination Regkey aktivieren; >darauf achten, ob das Firewall- bzw. AV Scanner- >Icon in der Taskleiste erlischt. Oder aber statt den Leuten das zu zeigen ihnen zeigen, wie sie das System einigermaßen sicher bekommen. >Antwort: Ich gehe davon aus, dass wir immer noch >von Optix Lite FWB (und nicht Optix Lite) >sprechen. Das Abschalten der Schutzsoftware ist >IMHO auf Dauer sehr auffällig und stellt deshalb >den Sinn dieser Schutzsoftware nicht in Frage. IMHO schon :o). Ist aber wohl Ansichtssache :o). >Schicke mir doch einmal einen ungepatchten, aber >dennoch unerkennbaren Optix Lite FWB. Meine >Email hast Du ja. Ich wäre sehr überrascht, wenn >Du das mit konventionellen Methoden >hinbekommst ;) Mach ich mal sobald ich bissi Zeit habe :o). >Antwort: Die Gefahr bleibt in der Tat bestehen. >Der Unterschied ist aber, dass sich Viren und >Würmer sehr schnell und automatisch verbreiten. >Trojaner in der Regel nicht. IN DER REGEL - exakt. Es gibt diverse Hybride und teilweise auch PlugIns. Es gibt z.B. ein "viral PlugIn" für SubSeven. >IMHO bieten PFWs selbst für sehr unerfahrene >Anwender einen gewissen Zusatzschutz, wenn nach >der simplen Methode verfahren wird: "Im Zweifel >blocken (es sei denn der Computer funktioniert >dann nicht mehr wie gewünscht)". Je mehr der >Anwender dann die Funktionsweise einer PFW >versteht, desto mehr Sinn macht sie auch. So war >es zumindest bei mir. Gäbe es ZoneAlarm nicht, >hätten viele Leute vielleicht niemals eine PFW >installiert und gelernt, sie zu verstehen. Allerdings wollen wenn überhaupt vielleicht 10% der Nutzer lernen wie es funktioniert. Ich halte es für durchaus sinnvoller zu lernen, wie man das System selbst möglichst gut absichern kann. Denn meine Ansicht bleibt bestehen: Ein unsicheres System wird durch eine Firewall nicht sicherer. In der Zeit wo Du ihnen erklärst wie Du die Firewall absicherst (was an sich schon leicht komisch ist) kannst Du ihnen genauso gut erklären, wie sie die Sicherheit ihres PCs erhöhen können - und das ist imho deutlich ertragreicher als eine "dumme Wall". >Konzepte...*ggg*. Was hältst Du von Bitdefender? Nicht sehr viel. Die DB ist ein simples XOR mit AND *fg*. Die Konfiguration ist statisch verschlüsselt und ebenfalls ein simples XOR und AND. Ich hab 5 Minuten fürs decoding gebraucht *fg*. |
</font><blockquote>Zitat:</font><hr />* quoting Nautilus: Wenn man sogar solche Dienste auf dem Rechner laufen hat, dann sollte man auf jeden Fall eine FW installieren ... Du wolltest aber wahrscheinlich sagen, dass ... die Datei- und Druckerfreigabe deaktiviert ist (wenn man sie nicht braucht).</font>[/QUOTE]Theoretischer Fall: Mal angenommen, jemand betreibt einen Server, vielleicht einen WWW-Server. Er hält nichts von Security-by-Obscurity und läßt ihn deshalb standardkonform auf Port 80 laufen. Er überlegt sich, wie er den Serverdienst "sicherer" machen kann und entscheidet sich für die Installation einer Personal Firewall. Mal abgesehen davon, daß die Firewall nicht *auf* dem zu schützenden System laufen sollte: Was bringt ihm der Einsatz seiner PFW? Ich kenne keine PFW, die echte Angriffe (SYN-Flooding, DNS-Spoofing, Bruteforce-Logins, Fragmentation Attacks etc) abwehren kann oder einfach nur Contentinspektion durchführt. Bleibt also nur der Einsatz als nach Quelladressen filternder Paketfilter. Da frage ich mich doch, kann der zu schützende Dienst nicht selbst nach Adressen filtern? So einen Dienst einzusetzen, halte ich für die falsche Entscheidung. Andere Situation: Jemand hat die Datei- und Druckerfreigabe aktiviert und verhindert mit einer PFW, daß jemand von außen darauf connected. Das ist das gleiche, wie wenn sich jemand Säcke vor die Tür hängt, anstatt die Tür zu schließen. Verstehst du, worauf ich hinauswill? Was bringt in beiden Fällen der Einsatz einer Personal Firewall? |
</font><blockquote>Zitat:</font><hr />Andere Situation: Jemand hat die Datei- und Druckerfreigabe aktiviert und verhindert mit einer PFW, daß jemand von außen darauf connected. Das ist das gleiche, wie wenn sich jemand Säcke vor die Tür hängt, anstatt die Tür zu schließen. </font>[/QUOTE]OK, nun meine Frage : Ich surfe mir einem dichten System. ports dicht/Scanner Nun habe ich aber eine Win 98 Partition. Mit dieser bin ich vernetzt und nehme ich an lan-Spielen teil, deshalb muss imho die DDfreigabe aktiviert sein und netBios brauche ich auch. Auf dieser Partition teste ich aber auch und will nur ab und zu ins Internet. Nun möchte ich aber die DDFreigabe nicht ständig de- und installieren. Für diesen Fall; kann ich die ports mit, meinetwegen, ZA oder was auch immer schützen ? Aber bitte wohlgemerkt, das regelmäßige surfen findet bei mir auf einer anderen Partition statt und die ist (relativ) sicher. Domino |
Ganz einfach - Du koppelst das NetBIOS Protokoll von deinem Internet Device (also DFÜ Adapter, ISDN Karte etc.) ab. Ich hab leider kein Windows 98 installiert um Dir genau zu sagen wie es geht. Da muss jemand anderes aushelfen. |
</font><blockquote>Zitat:</font><hr />Thus spake Domino: [Win 98 Partition] Mit dieser bin ich vernetzt und nehme ich an lan-Spielen teil, deshalb muss imho die DDfreigabe aktiviert sein</font>[/QUOTE]Nein, die D&D muß nicht aktiviert sein. Die D&D ist ein Service, der Dienste zur Verfügung stellt (jemand kann auf deine Freigaben zugreifen). Ein Spiel hingegen ist ein Client, der Dienste auf dem Gameserver in Anspruch nimmt. Dein Spiel und die D&D haben nichts miteinander zu tun. Du brauchst die D&D nie zu aktivieren, es sei denn, du möchtest, daß jemand von dir was saugen kann. </font><blockquote>Zitat:</font><hr />und netBios brauche ich auch.</font>[/QUOTE]Wozu? Damit du auf Freigaben anderer zugreifen kannst, brauchst du nur den Client für Microsoft Netzwerke. Dieser muß an TCP/IP und/oder an IPX/SPX gebunden sein. Alternativ kannst du auch mit NetBEUI arbeiten. </font><blockquote>Zitat:</font><hr />Nun möchte ich aber die DDFreigabe nicht ständig de- und installieren.</font>[/QUOTE]Bei Win2000 und höher kannst du die D&D im laufenden Betrieb an- und abschalten. Bei Win98 geht das nicht ohne Neustart. Broken by Design. ;) Laufen deine Spiele nicht unter Win2000? </font><blockquote>Zitat:</font><hr />Für diesen Fall; kann ich die ports mit, meinetwegen, ZA oder was auch immer schützen ?</font>[/QUOTE]Häufig fällt mir dabei auf, daß die Leute, auf deren Rechner eine Wall läuft, niemanden in der Netzwerkumgebung sehen. Das liegt an der Wall, sie blockiert die Browser Elections (Auswahl des Hauptsuchdienstes). Wenn du damit leben kannst... ;) edit: 1000! [ 11. Oktober 2002, 15:04: Beitrag editiert von: Dr Prantl ] |
Nur noch drei Anmerkungen: 1. Ich stimme mit Seltsam vollkommen überein, dass die Einrichtung eines sicheren Systems Priorität besitzt (und man nicht versuchen sollte, ein unsicheres System durch eine Firewall zu kaschieren). Insoweit besteht also Konsens. 2. Meine Bemerkung, dass wohl auch Kerio anfällig ist bezieht sich hierauf: http://www.dslreports.com/forum/rema...erio~mode=flat 3. Für alle Nichtösterreicher: "Mach ich mal sobald ich bissi Zeit habe [img]redface.gif[/img] )." heisst aus dem Österreichischen übersetzt: "Mach ich irgendwann mal zwischen 2005 und 2007". Von daher spricht der Beweis des ersten Anscheins wohl dafür, dass Optix Lite FWB mit konventionellen Methoden doch nicht sooo einfach zu verbergen ist ;) Gruss Nautilus |
Ich bin kein echter Österreicher - ich machs am WE, ok Nautilus? |
@Seltsam Thanks. |
</font><blockquote>Zitat:</font><hr />Dr Prantl konstruierte folgenden Fall: Theoretischer Fall: Mal angenommen, jemand betreibt einen Server, vielleicht einen WWW-Server. Er hält nichts von Security-by-Obscurity und läßt ihn deshalb standardkonform auf Port 80 laufen. Er überlegt sich, wie er den Serverdienst "sicherer" machen kann und entscheidet sich für die Installation einer Personal Firewall.</font>[/QUOTE]Autsch. Möchte man eigentlich nicht mit einem Server von außen erreichbar sein? Eine Firewall würde doch genau dies verhindern. Der Dienst kann auf diesen Wege nicht sicherer gemacht werden. Der richtige Ansatz ist, nur die aktuellste Version zu verwenden und ein wachsames Auge auf Exploits zu werfen. Soll der Server nur Privat laufen, wäre es intelligenter diesen nur auf ein internes (nicht im Internet erreichbares) Interface zu binden. Siehe auch Deine Anleitung für IIS oder mein Beitrag für Apache & MySQL </font><blockquote>Zitat:</font><hr />Mal abgesehen davon, daß die Firewall nicht *auf* dem zu schützenden System laufen sollte: Was bringt ihm der Einsatz seiner PFW? Ich kenne keine PFW, die echte Angriffe (SYN-Flooding, DNS-Spoofing, Bruteforce-Logins, Fragmentation Attacks etc) abwehren kann oder einfach nur Contentinspektion durchführt.</font>[/QUOTE]Wobei das für den normalen Heimwender sogar ziemlich irrelevant wäre. In der Regel sind nur offene Ports Angriffsziele und auch nur dann wenn Aussicht darauf besteht, daß der Dienst dahinter einen Knacks hat, mit dem man das System r00ten kann ;) Ein Server mit PersonalFirewall kann einer hohen Last gar nicht standhalten ohne daß das System wegbricht, einfach weil deren Implementierung von Contentkontrolle ziemlich viel CPU Zeit und Speicher frißt. </font><blockquote>Zitat:</font><hr />Bleibt also nur der Einsatz als nach Quelladressen filternder Paketfilter. Da frage ich mich doch, kann der zu schützende Dienst nicht selbst nach Adressen filtern? So einen Dienst einzusetzen, halte ich für die falsche Entscheidung.</font>[/QUOTE]Die meisten werden wohl eine Fehlermeldung ausspucken, jedoch zumindest angreifbar bleiben, da ja der Dienst Anfragen entgegen nimmt. Somit bleiben Bufferoverflows ein reales Szenario. Besser ist es in diesem speziellen Fall mit IPchains/ Iptables zu filtern, wobei in der Chain natürlich die Option fürs RFC konforme Abweisen der Verbindung enthalten sein sollte. Also ICMP hinterher senden und/oder TCP RST. In der Praxis wäre das der Sohnemann, der den Rechner seiner Eltern von seinen Studienort aus via SSH fernwartet. So er eine feste IP im Wohnheim hat, könnte er diesen Port einfach für den Rest der Welt unzugänglich machen </font><blockquote>Zitat:</font><hr />Andere Situation: Jemand hat die Datei- und Druckerfreigabe aktiviert und verhindert mit einer PFW, daß jemand von außen darauf connected. Das ist das gleiche, wie wenn sich jemand Säcke vor die Tür hängt, anstatt die Tür zu schließen.</font>[/QUOTE]Spricht nichts dagegen, manche Unix Admins ziehen SMB sogar den NFS mounts vor (aus den bekannten Gründen ;) ), zumal ja auch mit Samba eine problemlose Integration möglich ist. Bloß dann sollte man schon nur auf dem privaten Interface das Ganze laufen lassen. Im Internet hat das natürlich nichts zu suchen, außer man wollte sich als Köder zur Verfügung stellen (Honeypot) um hinterher über l337-kiddies Feldstudien betreiben zu können. Tschüß Olliver |
Ich denke Windows sicher uns stabil zu konfigurieren ist für einen Anfänger schon ein Problem! (sofern er vom Standard abweichen möchte) Ich habe allein eine ganze Weile gebraucht um eine Möglichkeit zu finden diese elenden Dienste (neben der Uhr) für den Systemstart zu deaktivieren. Ich wusste vor wenigen Tagen nicht wie eine Festplatte formatiert wird und nichteinmal was denn überhaupt BIOS ist... Außerdem findet sich ein Anfänger auch nicht so einfach im Netz zurecht um zu seinen Fragen und Problemen die passenden Seiten und Foren zu finden. Wenn er diese dann findet, trifft er häufig auf Experten, wie ihr es seid, die kaum ein Gefühl dafür haben, was er versteht und was man ihm bei Adam und Eva angefangen erklären muss um zu helfen. Ich frage mich allerdings auch: Wozu braucht dieser Anfänger oder ein normaler Internetnutzer eine Firewall??? (Keine rhetorische Frage, ich wüsste es wirklich gerne) Wenn er Angst vor Zugriffen auf seine "geheimen Daten" hat, könnte er sich ein anderes Speichermedium als seine Festplatte aussuchen, oder? Und wie in einem anderen Thread schon gepostet: Ich habe ZA postwendent wieder deinstalliert, weil mein Rechner rumzickte und ich nicht wusste, ob ich diese verdammten Programme und Dienste online gehen lassen soll oder nicht. Wie finde ich soetwas heraus? Gruß Basti a.k.a. der Anfänger, der gern mehr wüsste [img]graemlins/heulen.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Mc_Long: Ich frage mich allerdings auch: Wozu braucht dieser Anfänger oder ein normaler Internetnutzer eine Firewall??? (Keine rhetorische Frage, ich wüsste es wirklich gerne)</font>[/QUOTE]Vermutlich, um seine raubkopierten Spiele und Anwendungsprogramme am Nach-Hause-Telefonieren zu hindern. |
@DrP: Es gibt -wie gesagt - auch andere Software, die gerne nach Hause telefoniert. Ohne firewall würde ich das gar nicht (!) merken, wenn ich ständig online bin. Gruß! MyThinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Ohne firewall würde ich das gar nicht (!) merken, wenn ich ständig online bin.</font>[/QUOTE]Auch mit "Firewall" wirst Du in vielen Fällen nichts bemerken. wizard |
</font><blockquote>Zitat:</font><hr />MyThinkTank wrote: [Phonehome] Ohne firewall würde ich das gar nicht (!) merken, wenn ich ständig online bin.</font>[/QUOTE]Wenn du dir mal meinen Testbericht der GData Firewall durchliest, denkst du über deine Aussage vielleicht noch mal nach. ;) |
Firewalls schutzen am Besten, wenn man weiss wogegen man sich eigentlich schutzen will und das Betriebssystem optimal sicher konfiguriert ist, Mit Firewalls kann man die Ein-und Ausgänge einschränken, aber was genau dann unter diesen Ein-und Ausgängen hin und her wandelt, da hat Firewall keinen Einfluss drauf auf desktopfirewalls kann man meiner Meinung nach gut und gerne verzichten(und auf ZA sowieso), da beende ich lieber die Dienste und Ports im Betriebsystem manuel und benutze guten Viren-und Trojanscanner(obwohl weiss im Moment nicht, welchen Virenscanner!!!) [ 24. Oktober 2002, 13:52: Beitrag editiert von: cemosde ] |
Wo finde ich denn eine Anleitung oder Hilfen dazu wie ich aus meinem "Spionagezentrum XP Home" ein vernünftig funktionierendes Betriebssystem mache??? (Soweit das halt möglich ist...) Und wie finde ich heraus, welche Dienste und Prozesse ich beenden darf, bzw. wozu die gut sind? Was den Virescanner angeht: Ist Norton denn nicht gut??? Wollte ich mir eigentlich kaufen, nachdem Kaspersky neulich meinen Rechner irgendwie geschrottet hat. Würd mich über Ratschläge freuen! Wenn ich "Ahnungsloser" euch auf die Nerven gehe, tut euch keinen Zwang an und ignoriert mich... ... hoffe natürlich Gegenteiliges. Gruß Basti |
@Mc-Long: Bei mir funktioniert KAV (Kaspersky) unter Win XPhome ohne Probleme (Version 4.0.5.0, ControlCenter nicht installiert). @DrP: Liest sich ja lustig ;) , der Testbericht von Dir! Aber gilt das für jede Firewall und vor allem für jeden Internet-Browser? Arbeitet nicht z. B. Kerio mit Prüfsummen für zugelassene Verbindungen? Ich denke mir, genau so viel homephone, wie ich mitbekomme, kann ich auch unterbinden. Und was "Angriffe" von außen angeht: ich sitze hinter einem Router, habe einen guten Virenscanner und für den Fall der Fälle ein Backup [img]smile.gif[/img] . Grüße! MyThinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von cemosde: (obwohl weiss im Moment nicht, welchen Virenscanner!!!)</font>[/QUOTE]wizard FAQ #1: Welches sind empfehlenswerte Antivirenprogramme?</font>[*]Kaspersky Anti Virus</font>[*]NOD32 (benötigt zusätzlichen Trojanerscanner)</font>[*]AntiVirenKit 11 professional (sehr teuer, da nur mit Premiumsupport zu empfehlen)</font>[*]DrWeb (nur für sehr erfahrene Anwender zu empfehlen) wizard |
</font><blockquote>Zitat:</font><hr />Original erstellt von Mc_Long: Wo finde ich denn eine Anleitung oder Hilfen dazu wie ich aus meinem "Spionagezentrum XP Home" ein vernünftig funktionierendes Betriebssystem mache??? (Soweit das halt möglich ist...)</font>[/QUOTE]XP AntiSpy Dienste beenden WinXP und WinXP Pro </font><blockquote>Zitat:</font><hr />Und wie finde ich heraus, welche Dienste und Prozesse ich beenden darf, bzw. wozu die gut sind?</font>[/QUOTE]Google </font><blockquote>Zitat:</font><hr />Was den Virescanner angeht: Ist Norton denn nicht gut???</font>[/QUOTE]Ist die Nummer 1 der Musikcharts denn keine gute Musik? ;) </font><blockquote>Zitat:</font><hr /> Wollte ich mir eigentlich kaufen, nachdem Kaspersky neulich meinen Rechner irgendwie geschrottet hat. Würd mich über Ratschläge freuen!</font>[/QUOTE] a) einen anderen von mir empfohlenen Scanner ausprobieren (siehe anderes Posting) b) neues Thema zu Deinem KAV Problem aufmachen wizard |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Aber gilt das für jede Firewall und vor allem für jeden Internet-Browser?</font>[/QUOTE]Nein. </font><blockquote>Zitat:</font><hr />Arbeitet nicht z. B. Kerio mit Prüfsummen für zugelassene Verbindungen?</font>[/QUOTE]Ja. </font><blockquote>Zitat:</font><hr />Ich denke mir, genau so viel homephone, wie ich mitbekomme, kann ich auch unterbinden. </font>[/QUOTE]Möglicherweise. </font><blockquote>Zitat:</font><hr />Und was "Angriffe" von außen angeht: ich sitze hinter einem Router, habe einen guten Virenscanner und für den Fall der Fälle ein Backup [img]smile.gif[/img] .</font>[/QUOTE]Gut. |
@wizard danke für die tipps, Dr.Web oder NOD32, eins von den beiden wird es werden! cemosde [ 25. Oktober 2002, 01:46: Beitrag editiert von: cemosde ] |
Da ich ja bei NOD32 etwas einblick habe - nimm NOD32 wenn es auf deinem System rennt *fg*. Vertrau mir einfach *fg*. |
>@DrP: Liest sich ja lustig ;) , der >Testbericht von Dir! Aber gilt das für jede >Firewall und vor allem für jeden Internet- >Browser? Kommt darauf an. Du kannst jeden Browser für die Kommunikation benutzen. Das ist keine Schwachstelle des Internet Explorers. 90% der Firewalls die ich kenne sind anfällig für DLL Injection, 100% für Code Injection. Ebenfalls so viele sind anfällig für Pipes (der Trick mit dem IE oder einem Browser deiner Wahl). Nahezu alle (außer Firewalls mit Sandbox, wenn sie richtig konfiguriert sind) sind anfällig für Modifikationen des Regelwerks oder der Treiber. Manch schweizer Käse wäre stolz so viele Löcher zu haben wie so manche Firewall ;o). >Arbeitet nicht z. B. Kerio mit Prüfsummen für >zugelassene Verbindungen? Tut sie. Hat dafür je nach Version alle der oben aufgeführten Sicherheitslücken. >Ich denke mir, genau so viel homephone, wie ich >mitbekomme, kann ich auch unterbinden. Schon. Aber das ist nur ein Bruchteil - glaub mir. >Und was "Angriffe" von außen angeht: ich sitze >hinter einem Router, habe einen guten >Virenscanner und für den Fall der Fälle ein >Backup :) . Dann brauchst Du die Firewall eh nid ;o). |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: Dann brauchst Du die Firewall eh nid ;o).</font>[/QUOTE]Ich benutze sie auch nur als home-phone-Prüfer, weil ich einige Programme durch den Umstieg auf XP aktualisiert habe und deren ET-Verhalten noch nicht kenne. btw. Gibt eigentlich ein Tool, das nur ausgehende Verbindungen abcheckt? Gruß! MyThinkTank |
Nö - ist auch schwer. Du glaubst gar nicht wie trickreich SpyWare teilweise agiert. |
@Andreas Haak: Wie wehrst Du Dich eigentlich gegen Spyware (unter WinXP) - jenseits von Adaware? fragt sich MyThinkTank |
Gegen bekannte Spyware hilft Adaware (aber nicht die kuerzlich verbreitete trojaned Version ;) sowie Spybot Search & Destroy. Gegen unbekannte herkoemmliche Spyware hilft ne Firewall. Gegen unbekannte innovative Spyware (dll injektion, code injection etc.) hilft eine moderne Firewall plus System Safety Monitor plus ein sicheres OS, das man nicht im AdminModus betreibt. Gegen Superduperspyware gibt es (genau wie gegen Superdupertrojaner) fuer Normaluser wohl kein geeignete Abhilfe ;) Gruss Nautilus [ 26. Oktober 2002, 11:02: Beitrag editiert von: Nautilus ] |
@Andreas zuerst wollte ich Dr.Web nehmen, aber beim Downloaden von deren Website mit einer Downloadspeed von 7 kbit/s, habe ich mich doch lieber für NOD32 entschieden, hab heute den Scanner ausprobiert, der ist o.k. (als Trojanscanner habe ich jetzt Antitrojan, deiner war leider noch nicht fertig) Ciya cemosde |
</font><blockquote>Zitat:</font><hr />Original erstellt von cemosde: (als Trojanscanner habe ich jetzt Antitrojan, deiner war leider noch nicht fertig)</font>[/QUOTE]Anti-Trojan taugt nicht sonderlich viel. TDS-3 oder TrojanHunter wären die bessere Wahl gewesen. wizard |
wieso gewesen!! der AT ist erstmal zur Probe für 14 Tage [img]smile.gif[/img] thanx cemosde |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: @Andreas Haak: Wie wehrst Du Dich eigentlich gegen Spyware (unter WinXP) - jenseits von Adaware?</font>[/QUOTE]Ich habe um ehrlich zu sein keine Probleme mit Spyware. Sobald Du Dich im Netz aufhälst kannst Du so oder so durchleuchtet werden. Da is mir die Spyware auch wurscht. Außerdem telefoniert Windows XP ziemlich selten. Das automatische Update kannst du abschalten - ebenso die Fehlerübermittlung falls ein Programm krepiert ist (wobei das Programme wie WinAMP, Netscape usw. auch anbieten und dort schreit niemand). Den Uhrzeitabgleich finde ich persönlich außerdem noch recht praktisch - geb ich ehrlich zu. Wenn Dich was stört schalt es ab (XP AntiSpy z.B.) - ansonsten hinderst Du ein Programm das ernsthaft nach Hause telen will nicht wirklich davon ab nach Hause zu telen. |
Hossa Und generell D:) Es gibt kein HappyEnd...Denn Firewalls sind und bleiben vom Können und Wissen der Admins abhängig. Über beides verfügt der normale Anwender in der Regel nicht. Da spielt dann die Form der Firewall auch nur eine untergeordnete Rolle. Desktop Firewalls sind und waren eine Idee die verpufft ist, der Rest ist Commerz... Es wird nie ein 'Hurra ich click darauf und alles ist bestens Konzept geben' .... Genau deshalb verzichte ich darauf mir alle möglichen Anwendungen die mir alles mögliche versprechen, sowie eine Vielzahl an sogenannten Sicherheits Toolz zu installieren... Denn Fakt ist 'und das geht mir genüßlich über die Lippen 'iNfÜnFjAhReN' Internet ist mir noch keiner über den Weg gelaufen der mal ebenso meinen Rechner übernehmen konnte oder sich diesen für andere Zwecke nutzbar machen machte. Und warum ist das so und bleibt auch so? Ganz einfach, ich habe nie für mich in Anspruch genommen ein Medium zu nutzen welches ich nicht verstehe... Allen anderen wünsche ich weiterhin Erfolg bei der Adresse Nummer Eins http://www.aol.com Zu hoch gepockert? Mhhh, ich zahle jedem dem es gelingt mir innerhalb der nächsten 14 Tage eine mir nicht bekannte Datei auf meinem Desktop zu hinterlegen 100 Euro.... CYA Ghoto |
Hallo Ghoto, der erste, dem das gelingen sollte, sollte dein Provider sein! [img]redface.gif[/img] Gruss Drache |
Sorry das ich erst jetzt antworte Drache Aber leider habe ich derzeit eine Menge zu tun....Mein Beitrag war ironisch gemeint und ich weiß das nicht alle oder besser gesagt eine ganze Menge Leute da nicht so gut damit klar kommen. Der Grund meines Postings war eigentlich ganz einfach und wenn man zwischen den Zeilen lesen kann auch simpel, denn was ich damit sagen wollte ist schlicht und ergreifend das es nicht möglich ist sich mittels einer suggerierten 'Desktop Firewall' und jetzt bist Du auf jedenfall 'Sicher Lösung' ein sorgloses Online Dasein zu erwerben. Da taugen auch die den Freeware nachgeschalteten 'Bezahl mich mal denn ich kann mehr Varianten' einer Desktop Lösung nichts. Deine Aussage das mein Provider wohl der erste sein könnte dem das gelingt, zeigt mir das Du Dir nicht darüber im klaren bist, dass ein PROVIDER das schwächste Glied in in der Kette ist.... Gruss Ghoto |
Hallo, ich habe noch Fragen zu den zusätzlichen Gefahren, die man sich mit ZA einbrockt: </font><blockquote>Zitat:</font><hr />Welche neuen Lücken macht ZA oder ZAP auf? Anfälligkeit für Flooding. (Dr Prantl) Fehler im Treiber und Layer bei hoher Belastung. (Andreas Haak ) </font>[/QUOTE]Womit muß man da rechnen? Was geht dabei auf dem Rechner kaputt? (Nein, das sind keine rhetorischen Fragen, ich versuche nicht, die Gefahren herunterzuspielen, sondern will wirklich mehr darüber wissen). Vermeidet man diese Gefahren, indem man von ZA nur die Programme überwachen läßt, die ans Netz wollen? (In meiner Version heißt das "security setting: low") Da ich keinerlei Probleme mit dem Betrieb von ZA habe, wären diese Sicherheitslücken für mich der einzige Grund, auf ZA zu verzichten. Martin |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: Womit muß man da rechnen? Was geht dabei auf dem Rechner kaputt?</font>[/QUOTE]Einen recht guten Überblick darüber, was ZA anrichten kann, erhältst du, wenn du in einer Suchmaschine oder einem Forum deiner Wahl die Begriffe "Problem" und ZoneAlarm" eingibst. Das reicht von harmlosen Webseitenanzeigefehlern über Zusammenbruch von Netzwerken bis zur völligen Destabilisierung von Windows. </font><blockquote>Zitat:</font><hr />Vermeidet man diese Gefahren, indem man von ZA nur die Programme überwachen läßt, die ans Netz wollen?</font>[/QUOTE]Man vermeidet sie sie durch Verzicht auf ZA. |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: [wenn ZA Lücken aufreißt] Womit muß man da rechnen? Was geht dabei auf dem Rechner kaputt?</font>[/QUOTE]Einer jeden Personal Firewall inhärente Eigenschaft ist das Ersetzen der Standard-Windows-Netzwerkfunktionen durch die der Firewall eigenen Funktionen und Systemaufrufe. Somit kann sich der Computer im Netzwerkbetrieb und speziell auch unter Netzwerklast anders verhalten als von Microsoft vorgesehen. Das reicht von "ich kann meine Mails nicht abrufen" und "FTP klappt nicht" bis hin zu Abstürzen aufgrund speziell präparierter IP-Pakete. </font><blockquote>Zitat:</font><hr />Vermeidet man diese Gefahren, indem man von ZA nur die Programme überwachen läßt, die ans Netz wollen?</font>[/QUOTE]Ich glaube, diese Frage kannst du jetzt allein beantworten. ;) ciao, docprantl |
Hallo Dr Prantl, das ist noch gar nicht so einfach, selbst zu antworten, aber da du die Annahme nahe legst, ZA würde auch dann die Standard-Windows-Netzwerkfunktionen durch seine eigenen ersetzen, wenn man gar nicht an der Überwachung des eingehenden Traffics interessiert ist, denke ich mal, der Verzicht aufs Logging von fremden Verbindungsversuchen verringert nicht die Anfälligkeit für speziell präparierte IP-Pakete oder Flooding. Meine Frage zielte nämlich darauf ab, zu erfahren, ob man die Betriebssystem-eigene Behandlung von eingehenden Paketen zurückerhält, wenn man ZA sagt, darum soll es sich gar nicht kümmern. Habe ich deine Antwort richtig interpretiert? Martin |
>Womit muß man da rechnen? Was geht dabei auf dem >Rechner kaputt? Mit System Überlastungen, Blue Screens, Buffer Overruns. Die ersten beiden führen meist einfach nur zum Verlust der nicht-gespeicherten Daten bzw. zur Verletzung der Dateisystemintegrität (was je nach Filesystem mehr oder weniger dramatisch ist). Buffer Overruns sind schon heftiger, weil die es ermöglichen beliebigen Code auf deinem Rechner auszuführen. >Vermeidet man diese Gefahren, indem man von ZA >nur die Programme überwachen läßt, die ans Netz >wollen? Nein, weil ZA trotzdem den kompletten Verkehr überwacht. Der Traffic kommt trotzdem durch den Treiber bzw. den Socket Layer - das hat damit also nichts zu tun. |
Hmm... ...ich meine, die von Seltsam genannten Gefahren sind teilweise eher theoretischer Natur: Firewalls haben in der Tat den Nachteil, dass sie unter Last (= gezielte Flood-Attacke von mehreren Minuten) oft sehr viel oder die gesamte CPU-Leistung aufbrauchen. Als Normaluser trennt man da einfach die Internetverbindung und wählt sich unter einer neuen IP ein. Anschliessend ist man das Problem los. (Als professioneller User wird man eine professionelle Firewall wählen und diese auf einem separaten Rechner betreiben.) Wenn eine Firewall im schlimmsten Fall nach 10 oder mehr Minuten unter extremer Last zusammenbricht, kann es in der Tat einen Bluescreen geben und auch ein paar ungespeicherte Daten können verloren gehen. Das passiert aber sehr selten (wann wird man als Normaluser schon mal zum Opfer einer solchen Attacke?) und wohl eher unter Win98, als unter WinNT, 2K oder XP. Es scheint mir auch etwas fernliegend, dass ein Rechner gerade unbeaufsichtigt an wichtigen Daten rumrechnet, die verloren gehen können, und dabei gleichzeitig im Internet aktiv ist. Ausserdem gibt es im Prinzip auch zig andere Anwendungen (mit oder ohne Internetzugang), die theoretisch mal abstürzen und dabei einen Bluescreen verursachen können. Noch unwahrscheinlicher erscheint es mir, dass in einem solchen Fall die Integrität des Dateisystems beschädigt wird und man die Festplatte deshalb neuformatieren muss. Ich denke mal, dass viele Leute aus W98-Zeiten noch selbst genug Erfahrungen mit Bluescreens (deren Häufigkeit und deren Folgen haben), um beurteilen zu können, wie gross das entsprechende Risiko ist. Nichtsdestotrotz ist es sehr wichtig, eine stabile Firewall zu wählen, die unter Last nicht sofort abstürzt. Und ebenfalls sollte man keine Firewall wählen, die bei der Installation mit einiger Wahrscheinlichkeit Probleme verursacht bzw. Windows korrumptiert (das ist nämlich eine sehr viel realere Gefahr). Insoweit schaut man sich am besten in den verschiedenen Supportforen der FW-Hersteller um. Dort erhält man schnell einen Überblick, welche FWs ständig Probleme bereiten. Schliesslich deutet Seltsam an, dass ZA anfällig für einen sog. Bufferoverflow sein könnte und es dadurch dem Angreifer ermöglicht werden könnte, beliebigen Code auf dem Rechner des Opfers auszuführen. Dies würden bedeuten, dass ZA quasi ein potentieller Trojaner ist ;) Tatsächlich sind solche ausbeutbaren Bufferoverflows aber in Sachen ZA nicht bekannt. Theoretisch besteht diese Möglichkeit. Theoretisch sind aber auch alle anderen Programme mit Zugang zum Internet betroffen. Daher würde ich jetzt nicht gleich in Panik ausbrechen. Am sichersten ist immer, auf einen Computer ganz zu verzicheten... Gruss Nautilus [ 24. November 2002, 10:30: Beitrag editiert von: Nautilus ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board