Druckversion des Themas

Geschrieben von: Bo Derek 09.09.2003, 21:34

So, es ist mal wieder Zeit für einen Thread zu Personal Firewalls á la Zonealarm, Tiny und Konsorten.

Gegner argumentieren ja vor allem mit zwei Beispielen:

1. Ein gut konfiguriertes System benötigt keine Firewall

Man soll alle unnötigen Dienste beenden und Anleitungen wie von www.kssysteme.de folgen. Die Logik, wo keine Türen sind, kommt auch keiner rein.

2. Firewalls können selbst Ziel eines Angriffs sein bzw. Schwachstellen erst schaffen

Hier hat mich zuletzt das Beispiel von wizard überzeugt. Kerios Schwachstelle erlaubt dem Angreifer per DDOS Attacke erst, ein System komplett in die Knie zu zwingen.

Befürworter haben meist diese Gegenargumente:

1. Auch auf gut konfigurierten Systemen müssen Anwendungen, Dienste und Protokolle laufen und diese können eben auch Schachstellen beinhalten

Das beste Beispiel ist hier wohl das jüngst aufgetauchte DCOM/RPC Problem. Man kann natürlich die Patches einspielen, doch ein beendetes RPC hilft denen nicht weiter, die ja eigentlich Komponenten des RPC nutzen wollen. Das "Wegkonfigurieren" des Problems hilft hier also nicht weiter, aber durchaus eine Firewall.

a) RPC wird in der Firewall nur für DCOM auf einem Server mit IP xy in den Rules der Firewall freigeschalten.
b) Closed box Technik: der Dienst ist vorhanden, wird aber nur bei Bedarf freigeschalten. Auch hier helfen regelbasierte Firewalls, denn bei diesen kann man durch Checkboxes ganz bequem Regeln aktivieren und deaktivieren.

2. Jede Software ist ein potentielles Risiko

Der Einsatz einer Firewall setzt natürlich voraus, dass man sich mit der Technik auseinandersetzt und die aktiven Diskussionen verfolgt. Damit meine ich jetzt keinen Computerkurs, sondern die Tatsache, dass man als Softwareuser (jaaa, auch Linux) ab und an Patches einspielen muss. Warum also nicht auch bei einer Firewall?

Natürlich gibt es noch mehr Argumente. Ich will diesen Beitrag nur möglichst einfach und übersichtlich halten, damit jeder mitkommt.

Also was meint ihr? Kann man Personal Firewalls nun die Existenzberechtigung absprechen oder nicht?

Geschrieben von: Nautilus 09.09.2003, 21:46

1.
Das ist jetzt bestimmt der versprochene Thread zum Flamen und Abreagieren!?

2.
Man braucht eine Firewall schon deshalb, um seine vielen raubkopierten AV Scanner am Phonehome zu hindern.

3.
Gibt es bei Rokop überhaupt welche, die KEINE Firewall-Gegener sind?

4.
Im Moment scheint es mir wesentlich leichter, alle AV/AT Scanner (auch ohne Rootkits) auszutricksen, als eine vernünftig konfigurierte Personal Firewall in Verbindung mit einer Systemfirewall wie System Safety Monitor zu umgehen.

ntl ;-)

Geschrieben von: JoJo 09.09.2003, 21:57

Auf dieses Thema hier habe ich insgeheim schon lange gewartet, da es hier ja Personen gibt die gegen solche Softwarelösungen sind und ich mal vielleicht endlich tiefere Einblicke bekomme warum nun Desktopfirewalls sei es nun wie man oft hört wie die von Zonelabs halt Müll sein soll. Wie wäre es mit Test..jetzt aber net diese auf rein Punktevergabe asugelegten Leaktests.
Ich benutze die Firewall wohl vielleicht als phonehome Melder und mich einigermassen zu schützen (Vor was ?..keine Ahnung..dann ist se halt eine Art Placebo )

uind was ist schon mit der von mir angesprochenen Homephone vor bekannterweise für einen Windowsdienst reserviert sind und darüber mal eben meine BLutgruppe mitsammt Stuhlprobe zu meinem Bächer schicken. Oder nützt hier etwa die Dienstabschaltung wirklich was ? Würde das gerne wissen.

ja und dass sollte man nicht anhand einer vielleicht alten Verwundbarkeit verdeutlichen..ich würde auch dies gerne wissen, wie man halt firewalls von aussen her apschiessen bzw. umgehen kann..halt etwas mehr ins detail gehen damit der User auch mal wirklich aufgeklärt wir und nicht auf solche immer wiederholenden Sätze glauben muss. EInfach nur zeigen sie sind schlecht und es erklären.

Und wie wäre es wenn man jemanden ran setzt der sich mit Desktopfirewalls auskennt und einen Thread extra startet in dem er oder sie ein recht gutes und sicheres Regelnwerk für eine Desktopfirewall erstellt..Mitglieder könnten dann konstruktive Kritik dazu äußern und vielleicht sogar Tips geben. Mal was anderes als "mauahah DFW sind doof...warum ? baahh sag ich net"

Geschrieben von: wizard 09.09.2003, 21:59

Generell gilt als "ultimativer Hackerschutz": Wo kein Netzwerkdienst läuft kann auch nichts angegriffen werden (vereinfacht ausgedrückt). Problematisch wird es, wenn dennoch ein Netzwerkdienst (im lokalen Netzwerk) benötigt wird.

Eine generelle Grundregel bei der Konzeption von Firewalls ist, dass die Firewall eben nicht auf dem zu schützenden Rechner(n) laufen soll, sondern davor. Für Heimanwender ist es am einfachsten dies entweder mit Hilfe eines alten Rechners zu bewerkstelligen. Eine Netzwerkkarte kostet unter 10 Euro und Linux-Router System gibt es zu Hauf kostenlos im Netz. Wem das zu kompliziert ist, der kann sich ja immer noch einen DSL-Router kaufen. Die Dinger sind zwar auch kein "Allheilmittel", aber für Heimanwender IMHO vollkommen ausreichend.

Problematisch wird es leider, wenn man sich das von BO angesprochene Beispiel mit dem DCOM Problem ansieht. Die einfachste Lösung hier ist es den in Win2k & XP integrierten Paketfilter zu benutzen. Dies ist z. B. hier beschrieben: http://cert.uni-stuttgart.de/os/ms/ipsec-paketfilter.php

Der Vorteil hier ist, dass der Paketfilter auf Betriebssystemebene läuft und man kein zusätzliches (eventuell unsicheres und fehlerbehaftetes) Programm installieren muss, dass weitere Systemresourcen knabbert.

wizard

Geschrieben von: Bo Derek 09.09.2003, 22:00

Zu 1.: Nein, das meine ich sogar ernst!

Zu 2.: Phonehome ist ein Argument. Gegner könnten sagen, sowas ziehe man sich eh nicht. Befürworter würden wohl entgegnen, dass man das nicht von allen Programmen wissen kann, ob sich nachhause telefonieren oder nicht.

Zu 3.: Ja, mich zum Beispiel und Roman hat glaube ich auch nichts spezielles gegen Firewalls.

Zu 4.: Mag sein. Das rechtfertigt aber den Nutzen der Software noch nicht. Der Selbstschutz der Software kann von mir nur als tautologisch agierende Software gewertet werden, wenn keine über die Software hinausgehenden Funktionen sinnstiftend sind.

Und was ist mit meinen Punkten?

Versucht mal mit konkreten Beispielen zu argumentieren! Für welche Zwecke benötigt man eine Firewall? Oben habe ich ja schon ein Beispiel gegeben. Was ist gegen die Verwendungszwecke einzuwenden?

Geschrieben von: wizard 09.09.2003, 22:04

Mal sehen:

Ich nenne trojaner.exe in onlineupdate.exe um und schon ist die Firewall umgangen. Die AV Software nicht. Denn wie war noch gleich die Definition eines Trojaners? Genau: Ein Trojaner ist ein Programm, das etwas anderes vorgibt als es in Wirklichkeit tut.

Und wer sich SSM installiert, dem fehlen echt die guten alten Win95 Zeiten, wo das System absolut instabil war und Blue Screens an der Tagesordnung...

wizard

Geschrieben von: wizard 09.09.2003, 22:08

Der einzig wirksame Schutz gegen "Phonehome" ist den Netzstecker zu ziehen. Wenn ich der Software, die ich installiere nicht vertraue, dann installier ich sie auch nicht. Oder ich installier sie auf einem Rechner, der nicht ständig online ist oder ich benutze diese Programme nur, wenn der Rechner offline ist, usw. Für sowas braucht man nun wirklich keine Firewall...

wizard

Geschrieben von: JoJo 09.09.2003, 22:15

Nun was zum Beispiel ein Argument welches gegen die meisten kostenlosen DFW (Desktopfirewalls) sprechen würde wäre das mittlerweile recht viele Trojaner auch das feature des FWB (firewallbypass) beinhalten. Und bei einem einfachen umbenenen der exe Datei wird wohl der Checksum Check dann meckern..na ja jedenfalls wär es wohl bei meiner so. Und eher sehe ich das Problem bei den AV Programmen, aber das wäre ein anderes Thema.

Geschrieben von: Nautilus 09.09.2003, 22:17

@Bo

In unserem Artikel über DLL Trojaner ( http://www.scheinsicherheit.netfirms.com/dll.htm ) habe ich ein wenig erklärt, wie man sich mit einer Firewall i.V.m. mit einer Systemfirewall vor solchen Trojanern schützen kann.

Wizard hat Recht, dass eine FW einem nicht sagt, ob ein Programm ein Trojaner ist oder nicht.

ABER: Herkömmliche DLL Trojaner benutzen noch immer die Technik der dynamischen DLL Injektion. Und dann schlägt die Systemfirewall Alarm. Sehr kritisch wird es allerdings dann, wenn eine Software, die Internetzugriff haben soll, so gepatched ist, dass gleichzeitig eine Trojaner-DLL mitgeladen wird. Dafür genügt ein blosses LoadLibrary, was völlig unverdächtig ist.

Andererseits werden solche Patches dann oft durch die Heuristik eines AV Scanners erkannt. Z.B. ist Dr. Web hier ganz gut. Ausserdem kommen im Grunde nur ganz wenige Anwendungen als Wirte für solche Patches in Betracht. Bsp: Patche ich eine Webcam-Application, so dass sie beim Start einen DLL Trojaner wie ColdFusion mitlädt, bringt mich das noch nicht viel weiter, wenn die Firewall port-genau konfiguriert ist. Denn der DLL Trojaner braucht normalerweise einen eigenen Port. Wirklich funktionieren tut die ganze Sache also nur, wenn man Anwendungen wie emule/edonkey/kazaa patched, die eine sehr breite Portfreigabe erfordern. Bereits existierende Anwendungen wie den Internet Explorer kann man schlecht patchen (Systemdateischutz, MD5 Check der Firewall). Wie aber bringe ich ein potentielles Vic dazu, sich eine der o.g. Anwendungen gerade aus meiner unvertrauenswürdigen Quelle zu saugen? Das Leben eines VXers ist also gar nicht so einfach, wenn das Victim auf Zack ist.

@Wizard Du hast Recht, dass Systemfirewalls oft sehr schlecht laufen. SSM funktioniert bei mir allerdings absolut problemlos. Und ich habe nun wirklich kein jungfräuliches OS mehr. Dafür macht bei mir die TinyFireWall 3/4/5 nichts als Probleme. Ich kann sie im Grunde nur unter VMWare laufen lassen.

Nautilus

Geschrieben von: Bo Derek 09.09.2003, 22:22

Selbst Tiny hat vor Jahren schon MD5 Hashwerte zur Identifikation von Dateien benutzt.



Das ist nun wirklich kein Argument. Fakt ist, Firewalls können verhindern, dass Programme Verbindung mit dem Inet aufnehmen. Nicht jeder Real Player ist ein Firewall Killer

Dass dieser Schutz nicht 100%ig ist, wirst Du mit Deinem "wirksam" sicher nicht gemeint haben. Absolute Sicherheit KANN nicht zur Debatte stehen.



Schon wahr, doch Vertrauen entsteht nicht durch effektive Werbung, sondern Erfahrung. In dieser Zeit des Erfahrung sammelns kann eine Firewall als Prävention genutzt werden.



Ich hab hier kein Hardwarelager.

Geschrieben von: Nautilus 09.09.2003, 22:29

Sehr schön sind übrigens auch noch die aus dem Protecus Board ( http://board.protecus.de/showtopic.php?threadid=5894#129822 ) stammenden Links:

"
http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec_Ger.asp

Ich wollte also das Programm direkt von von dieser Adresse herunterladen:

ftp://203.81.46.131/CompuSec_Deutsch.zip

Das scheint doch ein ganz normaler FTP-Download zu sein?"

Tatsächlich "schiesst" dieser Download (wohl unabsichtlich!!) jede Menge Firewalls einfach ab...

Nautilus

Geschrieben von: wizard 09.09.2003, 22:32

Als ein Beispiel, dass ich regelmäßig in solchen Diskussionen bringe ist der Wurm/Virus I-Worm.Magstr. Dieser war vor zwei (oder drei?) Jahren ITW - also keine theoretische Gefahr. Dieser Virus benutzt keine *.dll Injektion, sondern injeziert sich direkt in den Prozess einer Applikation. Z. B. explorer.exe. Die Datei wird allerdings nicht verändert und somit springt auch der MD5-Scan der Personal Firewall nicht an.

Das ist nur ein Beispiel, wie man eine Personal Firewall umgehen kann und es gibt unzählige mehr. IMHO ist das Konzept einer Personal Firewall zum Schutz/Kontrolle vor "ausgehenden Verbindungen" immer zum Scheitern verurteilt.

wizard

Geschrieben von: Catweazle 09.09.2003, 22:33

OFFTOPIC ON ~Wollt ihr jetzt Werbung, oder das Gegenteil betreiben von diesen!~ OFTOPIC OF

Nu mal erlich ich halte nichts davon, von Firewalls.

Weil ich nicht weiß wie ich sie zu konfigurieren zu habe usw, Internet aufbau (FTP, HTTP, usw), ich habe schon mal eine versucht die Tiny Personal FW, war nicht zu frieden. Es mag zwar sein das ne GROße Firma das anschaffen tut , mit mehr als 30 Rechner im Netzwerk usw. Ich bin der Meinung eine PFW auf einen Desktop, oder anders gesprochen barucht man nicht, da reicht ein gutes AV Programm aus

PS: Oder man ist dan halt Paranoid

Catweazle

Geschrieben von: Bo Derek 09.09.2003, 22:36

Okay. Es gibt also Wege, eine Firewall zu umgehen. Her sind wir aber wieder bei der Diskussion, ob eine Firewall "wirklichen", im Sinne von 100%igen, Schutz bieten kann. Mir ging es aber eher um die Daseinsberechtigung der Programmkategorie. Wo es einen Magstr gibt, ist auch ein Blaster und bei letzterem hätte eine Firewall helfen können. Ist ein Mittel nicht akzeptabel, wenn es <100% an Leistung liefert?

Geschrieben von: Nautilus 09.09.2003, 22:37

@Wizard Weisst Du, wie sich Magstr in einen anderen Prozess injiziert? Eigentlich muesste das eine gute Systemfirewall erkennen. Allerdings stimmt es, dass hierfür nicht nur der Befehl CreateRemoteThread benutzt werden kann.

Evt. kannst Du ihn mir mal zum Test schicken, Wizard? (Nur falls Du ihn hast, natürlich.)

EDITED: Hat sich erledigt.

"It infects .EXE and .SCR files on local and remote drives if the virus has a write access. If it finds a suitable file for infection it puts a polymorphic code stub at the entry point of the infected file. It puts several anti-debugging tricks in this stub to avoid detection. This stub can be 512 bytes in size. It puts a crypted copy of itself in the last section and that is decrypted with a polymorphic decryption loop that is attached to it. Then it calculates a new valid checksum for that file and puts it in the checksum field in the PE header. "

Offenbar funktioniert Magistr als echter Filevirus. Das ist dann dasselbe wie Patchen bzw. statische DLL Injektion. Allerdings wird eine Firewall Magistr immer dann entdecken, wenn ein Programm infiziert wird, für welches keine FW-Regel existiert. Magistr muesste also ziemlich schlau sein, wenn er nur "richtige" Anwendungen infiziert und dann noch die Verbindung auf dem richtigen Port aufbaut, so dass alles unverdächtig wirkt.

Geschrieben von: Catweazle 09.09.2003, 22:41

???

Catweazle

Geschrieben von: Rokop 09.09.2003, 22:41

Zuerst mal vorneweg : Ich bin kein Firewallgegener. Ich bin schon immer der Meinung das eine PFW eine Daseinsberechtigung hat wenn:

- man weis wovor sie schützen kann und wovor nicht
- man weis wie man sie konfiguriert
- man die Arbeitsweise versteht

Im Moment habe ich keine installiert weil:

- ich zu faul dazu bin
- ich mein System und meine Programme gut kenne
- ich nichts zu verbergen habe

Auf meinem Testrechner habe ich Outpost free installiert weil:

- ich sehen möchte was unbekannte, von mir gestartete Programme so machen
- ich hin und wieder einen Backdoor auf FWB damit teste

Ich denke diese Argumente kann jeder verstehen.

Geschrieben von: wizard 09.09.2003, 22:44

Darauf wollte ich nicht hinaus. Es ging darum, dass schon einge geschickte Nameswahl ausreicht einen Trojaner durch eine Personal Firewall zu schleusen.



Nochmal: Entweder ich "vertraue" Software oder ich tue es nicht. Ist letzteres der Fall, dann hat sowas auf meinem Rechner nichts verloren, oder das Programm läuft und den Bedingungen, die ich im obigen Posting als Beispiel genannt habe. Und um beim Realplayer zu bleiben: Wer sagt mir denn, das bei einem Onlinestream kein Phonehome stattfindet?

wizard

Geschrieben von: IRON 09.09.2003, 22:59

Vor all den Gegenargumenten wurde eines noch zuwenig beleuchtet, ist aber eigentlich das wichtigste. Wenn eine Desktopfirewall in der Lage ist, mit dem User zu interagieren, ob nun mit Admin-oder eingeschränkten Userrechten, dann ist schon mal prinzipiell Gefahr im Verzug, da bei Anfragen wie "Programm xy.exe möchte ins Internet. Darf es?" gerne mal auf "Klar doch" oder wahlweise "Sicher, aber nerv mich nicht" geklickt wird.
Da nun aber die meisten Hersteller und hochkompetenten Webportale dem User weismachen, die DTFW sei selbstlernend, sicher vorkonfiguriert und kinderleicht zu handhaben und dieser dann auch promt alles falsch versteht, was nur geht und mit den Fachtermini des Handbuchs überfordert ist, sind DTFWs in meinen Augen indiskutabel, wenn man von ihnen Schutz erwartet.

Geschrieben von: Internetfan1971 09.09.2003, 23:09

Naja, ich bin kein Computerexperte und sonst auch kein Experte in irgend etwas.

Auffällig auf den Seiten der Kritiker ist auf jeden Fall, daß sie wirklich jeder PFW jede Daseinsberechtigung absprechen, also überhaupt nicht differenzieren nach dem Motto: „Ist alles der selbe Schrott!“

Ich hatte in den letzten Jahren verschiedene PFW auf meinen Rechner. Aber die meiste Zeit keine, wie jetzt auch. Und wurde ich gehackt? Nein, weder mit noch ohne PFW. Zumindest nicht das ich wüßte...

Und dies spricht zumindest nicht gerade für ihre Notwendigkeit, umgekehrt auch nicht unbedingt dagegen, weshalb ich zumindest nicht aus Sicht der Praxis heraus argumentieren könnte das eine PFW nun umgingt notwendig wäre.

Vielleicht gab es ja einfach nichts abzuwehren oder sie war so gut das ich gar nichts gemerkt hatte...

Ich bin immer gut damit gefahren,

- mein OS und sonstige wichtige Software wie Browser aktuell zu halten

- zumindest seit erscheinen von Mozilla (Firebird) /Phoenix auf den IE endgültig zu verzichten

- mein System sicher zu konfigurieren

- Einsatz eines AV-Scanners

- Meinen Verstand zu benutzen, d. h. zum Beispiel Vorsicht bei E-Mails vor allem mit Anhang, Vorsicht beim Downloads etc.

Als langjähriger Internet-User kann die Notwendigkeit einer PFW nicht (ein)sehen, ich bin aber nicht kompetent genug hier wirklich so argumentieren zu können einer PFW z. B. Funktionsunfähigkeit oder so bescheinigen zu können.

Aber wir haben ja Experten hier!

Geschrieben von: forge77 09.09.2003, 23:16

Ich denke, dass ist hier eine der entscheidenen Fragen... in praktisch jeder Firewall-Diskussion argumentieren die "Gegner" damit, dass eine PFW grundsätzlich unter bestimmten Umständen scheitern _kann_, und dies wird als _das_ Killerargument überhaupt angesehen (man denke auch an die typischen Usenet-Links.)
Nur: muss eine "Sicherheitsmaßnahme" in jedem Fall 100-prozentigen Schutz bieten, um eine Daseinsberechtigung zu haben, selbst wenn es keine vergleichbare, realistische, bessere Alternative gibt? (ich rede hier nicht von 'inbound'-protection)

Ein Sicherheitsgurt/Airbag kann auch nur bis zu einer bestimmten Geschwindigkeit, und in bestimmten Situationen Schutz bieten - ist er deswegen grundsätzlich sinnlos? (nein, der Vergleich hinkt gar nicht so sehr... )

Genauso können aktuelle PFWs nix gegen Code-Injection, verbunden mit geschickt verkehrtem Client-Server-Prinzip ausrichten, keine Frage...
Aber sind solche "Gefahren" wirklich die Regel? Nein, selbst einige der (noch) wenigen, 'wild injizierenden' Trojaner (wie z.B. Beast2 oder God2) scheitern an einer vernünftig konfigurierten, simplen PFW, weil sie gewisse Design-Mängel aufweisen...

Was ich eigentlich sagen will: man sollte ruhig etwas genauer zwischen Theorie (PFWs sind grundsätzlich umgehbar) und Realität (die meisten Schädlinge scheitern schon an simplen, veralteten PFWs) unterscheiden.


Grundsätzlich schon, deshalb ist ein Grundverständis für die PFW und die Gefahren unerlässlich.
Aber würdest _du_ denn einfach auf "ja" klicken, wenn du dir nicht sicher bist?
Dieses Problem besteht also nicht grundsätzlich für _alle_ potentiellen PFW-User...

Außerdem beobachte ich eher die Tendenz, dass lieber auf 'nein' geklickt wird, wenn der Browser mal nicht über Port 80 kommunizieren will, oder ein "echo reply" eintrifft (ist natürlich auch albern... )
Jedenfalls kann man das von dir angesprochene Problem wohl kaum pauschalisieren.

Geschrieben von: Heike 09.09.2003, 23:18

Letztens war die neue FW von Kaspersky auf einer Heft-CD, hmm, die habe ich dann mal installiert. Sie wird normalerweise über Autostart gestarten, alles so gelassen, ebenfalls die Grundeinstellung, wie sie eben bei der Installation vorgesehen ist.
Alle Programme aus dem Autostart entfernt, die eine Verbindung ins Internet aufnehmen wollen, außer einem Assasin-Server.

Schwups, logisch passiert er die FW ohne Probleme. Hmm, ob eventuell Meldungen bei Benutzung kommen würden, ist nicht probiert worden, ich denke aber, ein Datenaustausch wird ohne Probleme funktionieren.

Es hat mich eigentlich nicht sehr überrascht.
Bloß, wenn man den Angaben in der Bedienungsanleitung glauben schenkt, darf so etwas nicht passieren. Eigentlich müßte mal ein Prozess stattfinden, wo ein User klagt, der sich auf die Zusicherungen verlassen hat und eben doch einen Trojaner auf dem Rechner hatte, der trotz FW einen Zugriffauf den PC ermöglichte, ohne die FW zu killen. Und in diesem Fall hat ja keine Fehlkonfiguration des Nutzers zu dem Ergebnis geführt, die "werksseitige" Grundeinstellung machte es möglich.

Doch, eine FW ist in manchen Bereichen ganz gut, die aber alle in Bereich der allgemetnen Info liegen, ein Schutz ist sie nicht.

Wenn eine installiert ist, dann wohl eben aus dem Grund, denn JoJo auch sagte, man hat sich halt daran gewöhnt. Wenn man aber weiß, das man damit keine Vollkasko-Versicherung hat und sich entsprechend verhält, ist das ja auch kein Fehler.

Geschrieben von: Nautilus 09.09.2003, 23:26

@Heike

Eigentlich kann das überhaupt nicht sein, was Du sagst. Assasin baut eine outgoing connection von local port 1024-5000 zu einer vorab konfigurierten remote address (normalerweise an remote port 80) auf. Üblicherweise wird Assasin in den Internet Explorer injiziert.

Wenn also die Kaspersky Firewall getunnelt wurde, kann dies nur daran liegen, dass fuer den Internet Explorer eine Freigabe-Regel erstellt wurde oder dass die Kaspersky Firewall per default so schwachsinnig konfiguriert ist, dass für alle Applikationen Verbindungen zu remote port 80 erlaubt sind.

Wie dem auch sei. Das alles ist ein Konfigurationsproblem und im Grunde kein Problem der Personal Firewalls an sich. Ich schliesse mich den Ausführungen von Forge zu 100% an. Niemand (mit Verstand) hat gesagt, dass Firewalls so einfach zu bedienen sind wie AV Scanner. Auf Werbesprüche kann man insoweit genauso wenig geben, wie sonst auch.

Gruss, nautilus

Geschrieben von: Heike 09.09.2003, 23:36

@Nautilus,
das ist eben der Punkt:

Aber in der Bedienungsanleitung ist es eher die Zusicherung einer Produkteigenschaft, sehe ich nun mal so. Dann darf man da dem Mund nicht so voll nehmen und muß bei der Wahrheit bleiben, aber dann gäbe es eben weniger Käufer.

Geschrieben von: forge77 09.09.2003, 23:42

Äh, dann müsste es aber wohl gegen beinahe _jeden_ Produkthersteller, der in irgendeiner Form Werbung für sein Produkt macht, eine Vielzahl von Prozessen geben...

"In der Werbung hat Ariel/Persil/Spee/... immer alles porentief-rein und super-weiß gewaschen - und nun scheitert das Mittel bei mir schon an einem einfachen Flecken-Mix aus Blut, Rotwein, Ketchup & Kot in meiner neuen Hose! Schadensersatz!! "

Geschrieben von: eva-regine 10.09.2003, 00:11

Hallo,

jetzt habt ihr mich total verunsichert, was denn nun das richtige ist! von dem, was ihr gepostet habt, verstehe ich nur die Hälfte ( wenn überhaupt ). Bisher dachte ich, dass es ausreicht:

-Betriebssystem gut konfigurieren
-Microsoft Update besuchen
-kein Internetexplorer
-kein Outlook
-Anitvirusprogramm aktualisieren

Brauche ich als "Normaluserin" eine Firewall?


Liebe Grüße

eva

Geschrieben von: Rokop 10.09.2003, 00:29

Laß Dich nicht verunsichern, die Frage ist nun wirklich nicht einfach zu beantworten (zumindest möchte ich es mir nicht einfach machen). Lies noch einmal das von mir geschriebene Vorposting durch und beantworte die Frage für Dich selbst.

Die von Dir geschilderten Punkte :

kann man im Prinzip unterstreichen, auch wenn ich selbst bekennender Outlook User bin. Ich finde das Programm gar nicht so unsicher (zumindest die neueren Versionen nicht), aber dazu können wir ja gern einen neuen Thread aufmachen.

Um Deine Frage aber zu beantworten: Nein, im Prinzip braucht man keine Firewall. Ich finde allerdings, daß man sich auch nicht zu schämen braucht, wenn man trotzdem eine nutzt.

Geschrieben von: IRON 10.09.2003, 00:44

Da gibt es auch nichts zu differenzieren. Ob es nun ein Primitivling wie ZA oder etwas ambitionierteres wie Sygate ist...die Schwächen sind durch die Bank vorhanden.

Muss ich zu dieser Art der Argumentation noch irgendwas sagen? Zum Glück bist du ja letztlich, wenn auch nicht mit fundiertem Wissen, zum richtigen Fazit gekommen.



Ja. Wenn es einen 100%igen Schutz GÄBE. Leider ist deine Frage falsch gestellt. DTFWs sind keine Sicherheitsmaßnahme. Ich hab all den Quatsch auch mal klaglos geschluckt, an den "zumindest teilweisen" Schutz geglaubt. Das war vor 4 Jahren. Mittlerweile hab ich dazugelernt. Zugegeben...man muss wirklich viel lesen, bis mans kapiert, aber es lohnt sich, denke ich.

Dann ignorierst du munter die Unmenge an Malware (besonders Mailwürmer mit Backdooreigenschaften, die sehr wohl die DTFWs umnieten.

LOL. Wenn eine Schutzsoftware den Windows-eigenen TCP-Stack verkrüppelt, ist das eine Frage der Konfiguration? Der war gut.

Lass dich nicht verunsichern. Die Antwort ist ein klares NEIN.

Geschrieben von: eva-regine 10.09.2003, 00:55

Hallo,

danke für eure Antworten! Ich muss hier wegen familierer Probleme unser Netzwerk überwachen und verfolge aufmerksam eure Tests und Beiträge. Den doofen Blaster-Wurm hatten wir übrigens nicht, da auf mein anraten, die Software voher aktualisiert wurde. Eine Firewall werde ich wohl nicht installieren, da sie wohl eh nichts bringt.

Liebe Grüsse

eva

Geschrieben von: Bo Derek 10.09.2003, 08:43

Welche Schwächen?



Das ist kein Argument. Die private Haftpflicht werde ich auch nicht abschaffen, nur weil ich sie noch nie gebraucht habe.



Was ist mit dem Blaster Beispiel, das ich anfangs erwähnt habe? Was ist mit Phonehome? Bestreitest Du, dass eine Firewall hier Kommunikation verhindern kann und wenn ja, auf welcher argumentativen Grundlage?



Eine Unmenge ist noch immer eine endliche Menge. Was ist mit dem Rest? Kann hier eine Firewall nicht verhindern, dass die Würmer als Backdoor fungieren?

Geschrieben von: skep 10.09.2003, 09:39

Ich werd trotzdem meine PF weiter behalten. Und sei es nur um Phonehome und dergleichen zu bemerken.
Und die Sache mit "man sollte eh nur sichere Software installieren..dann brauch man keine PF..."...ja Mensch. Bin ich das wandelnde "Lexikon der sicheren Software" ?
Ich hab kein Bock, jedesmal bevor ich eine mir unbekannte Software installiere (also unbekannt = sicher oder unsicher ?), die Suchmaschinen zu durchforsten um dann 1000 verschiedene Meinungen von 2000 verschiedenen Experten dazu zu lesen.

Geschrieben von: Gladiator 10.09.2003, 09:44

--- ---
--- ---

Vielleicht sollte man sich dementsprechend richtig ueber Firewall's informieren denn nicht alle schreiben solches Zeugs

Geschrieben von: Internetfan1971 10.09.2003, 12:44

Jawohl, da kann man u. a. auch mal folgendes lesen


„Firewalls allein haben nur einen entscheidenden Nachteil, sie verstehen überhaupt nicht, was ein Angriff ist und, welche Daten und Informationen in einem Angriffspaket stecken. Aus diesem Grund erscheinen ebenso häufig Meldungen darüber, welches Firewallsystem mal wieder ausgehebelt wurde. Prominentes Beispiel ist sicherlich die Entdeckung von Bugs und Sicherheitslücken in dem beliebten Freeware-Firewall ZoneAlarm.

Firewallsysteme werden immer zu hoch bewertet, obwohl sie in keiner Weise die Sicherheitsanforderungen an moderne Schutzmechanismen erfüllen. Sie können weder vorbeugen, noch erkennen oder sicher handeln. Daher sind sie maximal eine vorbeugende Massnahme zum Schutz vor unautorisierten Zugriffen.“

http://firewallinfo.de/index.php?option=displaypage&Itemid=119&op=page&SubMenu=


Was halten den unsere Kritiker von IDS?

http://firewallinfo.de/index.php?option=displaypage&Itemid=121&op=page&SubMenu=


Die Lösung

„Intrusion Detection Systeme sind Softwaresysteme, die nicht nur anhand festgesetzter Regeln eine Verbindung erlauben oder blockieren sondern sie überwachen und überprüfen den gesamten Komplex der Kommunikation im Netzwerk, lesen die Datenpakete aus, orientieren sich an normaler Netzkommunikation und erkennen daher Angriffe bereits im Vorfeld anhand verdächtiger Netzaktivitäten.

(...)

Ein komplettes Intrusion Detection System kann idealerweise mit einem Firewallsystem kombiniert werden, wobei die einzelnen Module völlig unabhängig voneinander arbeiten, untereinander aber kommunikativ in Kontakt treten können.

Ein solch kombiniertes Firewall- Intrusion Detection System ist in BlackIce Defender zu finden. Dieses System gilt für den Home-Bereich allgemeinhin als unknackbar und bietet mehr als ausreichenden Schutz.“

Geschrieben von: IRON 10.09.2003, 12:54

Diejenigen, die einige hier ignorieren, weil sie ihnen mangels Kenntnissen und Informationen zu unwahrscheinlich vorkommen.
1. Die DTFW läuft auf dem zu schützenden System und ist damit von demjenigen elementar abhängig, den sie schützen soll.
2. Die DTFW kann ihre Aufgabe nur erfüllen (bis auf wenige Ausnahmen*), wenn sie den systemeigenen TCP/IP-Stack verwendet oder manipuliert. Auch hier besteht begründeterweise die Gefahr von Unzulänglichkeiten sowohl der Betriebssystem- als auch der Schutzsoftware.
3. Die DTFW WIRD deaktiviert oder ausgetrickst, wenn der User die passende Software installiert und früher oder später wird er das definitiv tun. Täte er es nicht, wäre er bereits so sicherheitsbewusst, dass er eine DTFW nicht nötig hätte.
4. Die DTFW interagiert mit dem User. Früher oder später wird er sich entweder bei der Regelkonfiguration allgemein oder bei einer Anfrage "Erlauben: Ja|Nein" falsch entscheiden. Wüsste er stets, was er tut und welches die richtige Entscheidung ist, hätte er bereits genug Kenntnisse, um eine DTFW nicht mehr zu brauchen.
[*] Manche bringen ihren eigenen mit, aber der ist dann zwangsläufig ein besonders lohnendes Ziel bei der Suche nach Bugs, die sich exploiten lassen.
Reicht das erstmal? Tipp: Lies einfach mal, was BugTraq so über die DTFWs dieses Planeten zu berichten weiß.

Ich glaube, du hast da etwas gründlich missverstanden.
Internetfan deutete an, dass er weder mit noch ohne PF gehackt worden sei und leitete daraus eine wie auch immer geartete Bewrtung des Nutzens der Software ab. Das ist schlicht unzulässig. Dein Vergleich mit der Haftpflicht ist beinamputiert.

Blaster: Nein, bestreite ich nicht.
Phonehome: Die DTFW _kann_ etwas melden, sie tut das aber nicht _zuverlässig_. Wer fürchtet sich denn üblicherweise vor Phonehome-Software:
-Paranoide
-Leute mit Raupkopien und gecrackten Versionen
DTFWs sind kein Phonehome-Blocker. Man kann sich informieren, BEVOR man Software installiert, man kann diese konfigurieren und man kann erkennen, dass die Hysterie bzgl. Phonehome unangemessen ist.

Nein. Wenn $Malware (besonders wenns neue Malware ist) erstmal auf deinen PC gelangen und aktiv werden kann, hast du bereits verloren. Ist das soooo schwer zu verstehen?

Kein Bock??? Tja DAS ist doch mal ein vernünftiges Argument. DAS versteh ich

Freilich nicht alle. Aber ich spielte auch auf die an, die eben dies tun und aufgrund ihrer Clientel besonders oft als Referenz verwendet werden.
Willst oder kannst du nicht verstehen? Ich befürchte ersteres.

Geschrieben von: IRON 10.09.2003, 13:01

LOL. Herrlicher Satz! Den muss man sich mal auf der Zunge zergehen lassen.

SIE KÖNNEN WEDER VORBEUGEN....
Heißt: Sie beugen nicht vor. Und einen Satz später:
...SIND SIE MAXIMAL EINE VORBEUGENDE MASSNAHME...
Heißt: Sie beugen vor.

Halllooooooooo....gehts noch? Tolle Empfehlung, diese Seite, Gladi.

Geschrieben von: forge77 10.09.2003, 13:55

Sehr einsichtig, besonders die Begründung...


Stell dir vor, andere hier (z.B. ich) haben nicht _nur_ gelesen (ja, auch die z.T. arg theoretischen Usenet-Weisheiten, deren Verfasser i.d.R. übrigens auch Virenscanner für Schrott halten), sondern haben auch mal 'live und in Farbe' anhand von Malware, Demo-Exploits etc. getestet, was PFWs gegen _reale_ Gefahren ausrichten können, und was nicht.

Die Erkenntnis, dass PFWs _trotz_ der unzweifelhaft vorhandenen Schwächen einen gewissen Schutz bieten können, basiert wohl auf der Tatsache, dass heutige Malware-Autoren überwiegend recht 'unambitioniert' zu Werke gehen...


Ich bezog mich mit meiner Aussage eher auf's 'umgehen' und nicht auf's (bei Trojanern eher kontraproduktive) 'umnieten' (= Prozess abschießen).
Das ändert aber nicht viel: _du_ ignorierst nämlich (zum wiederholten Male), dass sich eine Reihe von PFWs durch den üblichen 'terminate process' eben _nicht_ komplett deaktivieren lassen (Look'n'Stop, Kerio, Sygate,...)


Brauchen? Nein. (hey, wir sind uns alle einig... )
Sie kann dir aber u.U. durchaus nützen (auch in puncto 'Sicherheit.')

Geschrieben von: IRON 10.09.2003, 14:22

Unter einer Sicherheitsmaßnahme, bezogen auf PCs (bitte keine Auto-u. Versicherungsvergleiche mehr) verstehe ich eine Maßnahme, die die Sicherheit definitiv und zuverlässig erhöht und nicht eine Maßnahme, die dies unter günstigen Bedingungen in einigen Fällen vielleicht tut. Kannst du folgen?
IMNSHO ist eine DTFW in dieser Hinsicht ein recht wackeliger Kandidat...ganz besonders, wenn man sich ansieht, WER sich sowas ÜBERWIEGEND installiert.

Einige der hiesigen DTFW-Befürworter vergessen eins:

Während sie selbst recht viel über Sicherheit und Datenschutz am PC und über die Funktionsweise von Mailwürmern, Trojanerservern und DTFWs wissen, ist genau dieses Wissen bei den Normal-Usern, die sich ihre Tipps aus PC-Magazinen zusammenstoppeln, nicht mal ansatzweise vorhanden. Dementsprechend mies sieht es mit der Vorsicht im Umgang mit fremden Daten aus. Es spielt bei einem solchen und wesentlich realistischerem Szenario keine Rolle. ob die DTFW sich nun schon aufgrund von Bugs verabschiedet oder vielleicht etwas schwerer zu umgehen ist. Den Todesstoß wird ihr immer der Anwender selbst versetzen, indem er Malware installiert. Auch wenn diese die DTFW nicht umgehen kann, kann sie Schaden anrichten und auch, wenn ALLE Phonehomeprogramme geblockt werden, gelangen auf anderen Kanälen (Mails, gesharte Dokumente, Angaben in Foren und Gästebüchern usw.) hinreichend private Infos in fremde Hände.

Vielleicht ist es noch nicht klar genug geworden, also sag ichs nochmal deutlicher:
Ich bezweifle NICHT, dass MANCHE DTFWs in MANCHEN Fällen ihre Versprechen einhalten KÖNNEN. Aber das ist mir schlichtweg zuwenig, um sie als sinnvolle Schutzmaßnahme zu betrachten oder gar zu empfehlen.


Mittlerweile tendiere ich übrigens auch zu dieser Ansicht. Du kannst aber gerne sagen, warum und unter welchen Bedingungen du AVs für einen zuverlässigen Schutz hältst.

Geschrieben von: wizard 10.09.2003, 17:08

Über Firewalls kann man sich streiten, aber ein IDS für Heimanwender macht nun definitiv keinen Sinn. Wenn man sich mal ansieht, was für "Angriffe" mit Hilfe eines IDS aufgespührt werden, dann stellt man fest, dass die Mehrheit der Regeln kaum auf private Verhältnisse Anwendung finden.

Damit ist das Verhältnis zwischen Installation/Wartung/Betrieb eines IDS viel zu hoch als das es einen Nutzen für Heimanwender hätte.

Zu den IDS-Funktionen in Personal Firewalls: Das meiste was da als IDS verkauft wird ist eher eine Marketingfunktion als ein zusätzlicher Sicherheitsgewinn. Beispielsweise produziert das IDS von Outpost laufend Fehlalarme, was aber natürlich im Intresse des Herstellers ist...

wizard

Geschrieben von: forge77 10.09.2003, 23:42

Nö, vergessen hab zumindest ich das nicht - allerdings sind imho nicht die 'Unzulänglichkeiten' des durchschnittlichen Users Gegenstand dieses Threads, sondern ausschließlich der _mögliche_ Nutzen/Sinn von PFWs.

Dass ich ebenfalls nicht jedem User zu einer PFW raten würde, ist ja hoffentlich deutlich geworden.

Von daher gebe ich mich mit deiner Aussage...

... erstmal zufrieden, da ich bisher immer das Gefühl hatte, dass du selbst den minimalsten Sicherheitsgewinn durch eine PFW abstreiten würdest.

Wie gesagt sehe ich den Nutzen von PFWs zwar nicht so eingeschränkt wie du, aber über die persönliche Sicht der Dinge wollen wir uns mal nicht zu Tode diskutieren...


Ui, das ist aber mal was neues. Wie kommt's?
Ok, mit Blick auf deine Haltung zu PFWs ist es eigentlich nur konsequent: AVs lassen sich derzeit, rein technisch gesehen, nunmal einfacher 'austricksen' als aktuelle PFWs (wobei man die beiden Softwarearten natürlich nicht direkt vergleichen kann.)

Geschrieben von: eva-regine 10.09.2003, 23:46

Hallo,

diese Diskussion hat mich ehrlich gesagt nicht viel weiter gebracht ( weil ich einiges wohl einfach nicht verstanden habe ). Trotzdem werde ich weiterhin so verfahren, dass ich:

-einmal pro Woche microsoft-update besuchen werde
-Netzwerk sicher machen ( hat ein Freund erledigt )
-mit Mozilla surfen und mailen
-mails unbekannter Absender ungesehen löschen / keine Dateianhänge anklicke
-filesharing benutze ich nicht, ich zahle für meine Musik
-Antivirenprogramm regelmässig updaten lasse

Damit bin ich bisher ( vielleicht auch nur zufällig ) gut gefahren und habe mir noch keinen Wurm, Virus oder Dialer eingefangen ( früher jedoch schon, das war aber noch zu Internet Explorer und Outlook Zeiten, obwohl ich Zonealarm installiert hatte *g* ).
Falls ich total daneben liegen sollte, bitte ich um korrektur.

Liebe Grüße

eva

Geschrieben von: Rokop 10.09.2003, 23:51

Hallo Eva, laß Dich nicht verrückt machen. An dem Thema scheiden sich nun mal die Geister. Außerdem wird dabei auch viel aneinander vorbei geredet. Fakt ist nun mal, daß jede Software - und somit auch PFW`s - überlistet werden können. Wobei es nur ein schwacher Trost ist, daß sehr viel Malware recht schlampig programmiert ist

Geschrieben von: eva-regine 10.09.2003, 23:56

Hallo Roman,

danke für deine Antwort. Dann scheine ich ja gar nicht so verkehrt zu liegen, das ich so verfahre.

Liebe Grüße

eva

Geschrieben von: Bo Derek 10.09.2003, 23:56

Ach was. Lass Dich durch diesen Beitrag nicht verwirren.

Hier geht es eben nicht um die Frage, ob jeder User eine Firewall zu seinem Sicherheitsglück benötigt. Stein des Anstosses waren eher die Aussagen von Personal Firewall Gegnern, die oftmals diesen Programmen jeglichen Nutzen absprechen.

Ich habe ein Beispiel gebracht, in dem eine Firewall durchaus Sinn macht und auch andere wurden genannt. Nachteile würden ebenfalls genannt und beide Argumentationsseiten haben durchaus ihre Berechtigung. Wichtig war nur, dass eben differenziert argumentiert wird und nicht einfach rigoros "ist doof, braucht kein Mensch" gesagt wird.

So wie Du Dein System wartest und offensichtlich nutzt, benötigst Du wohl nicht unbedingt eine Firewall.

Geschrieben von: eva-regine 11.09.2003, 00:11

Hallo,

jetzt habe ich es offenbar geschnallt! lol Sorry, eure Diskussion war "akademischer" Natur...

Liebe Grüße

eva

Geschrieben von: Heike 11.09.2003, 00:25

Nun sind wir bei dem Wort "überlisten".
Also, ich rede jetzt nicht von den Kill-Funktionen.
Ich hatte ja mal einen Assasin-Server erwähnt, auch die damals und vielleicht auch jetzt wieder installierte NAV-2001-FW ist durchaus in der Lage, diese Verbindungen aufzuzeichnen. Der User einer FW sollte vielleicht auch mal in die Protokolle sehen, ob da ungewöhnliche Dinge vorhanden sind.
Der Wert dieser Protokolle wird von den 100%igen Gegnern sicher unterschätzt.

eva-regine,
laß Dich nicht verrückt machen.
Ich nutze sogar noch den IE und habe lange Zeit Outlook Express benutzt, ich hatte auch keine Probleme.

Du bist Dir aber darüber klar, das auch von einem bekannten Absender eine Viren-verseuchte Mail ankommen kann? Wenn er unvorsichtig war, ist es nicht ungewöhnlich.
Also, grundsätzlich eine gute Portition Mißtrauen bei Anlagen an Mails ist immer besser. Und wenn man mal ausführbare Dateianlagen austauschen will, sollte man sie einfach vorher ankündigen.

Geschrieben von: Bo Derek 11.09.2003, 00:31

Nur um noch mal zu verdeutlichen. Ein Firewall nimmt nicht ungefragt einfach irgendwelche Files an, nur weil sie einer Namenskonvention entsprechen:

Geschrieben von: eva-regine 11.09.2003, 00:55

Hallo Heike,

dass Würmer die Absenderadressen fälschen, ist mir bekannt ( Sobig.f zum Beispiel ). Wenn ich ausführbare emails austausche, spreche ich vorher die Daten ab ( Datum, Name, Größe... usw ). Zusätzlich lasse ich sie durch Kav prüfen.

Liebe Grüße

eva

Geschrieben von: IRON 11.09.2003, 01:49

Muss doch noch mal nachhaken, auch wenn das Fazit dasselbe bleiben sollte...

Mal ganz ketzerisch:
Dann kann man auch sagen, dass gehäkelte Klopapierbehälter im Fond deines Autos dich _möglicherweise_ vor einer bösen Prellung schützen können.

Man kann doch bei einer Diskussion um den Nutzen von DTFWs nicht die Realität außen vor lassen.
Möglichkeit !=Wahrscheinlichkeit

Wie wahrscheinlich es ist, dass eine nennenswerte Menge von Usern zuverlässig durch eine DTFW geschützt wird, sieht man doch in jedem PC-Forum. Formulierungen wie "Trotz Firewall habe ich mir dieses und jenes eingefangen" oder "Nach der Firewallinstallation geht das Internet nicht mehr." usw. sind an der Tagesordnung. Die User lesen was von geblocktem Trojaner und formatieren die HD, Regeln werden nicht verstanden und allem und jedem wird die Verbindungsaufnahme erlaubt, weil die Nachfragen nerven...die Liste lässt sich beliebig fortsetzen und das weißt du auch.

Nach wie vor ist es doch so: SINNVOLL einsetzen kann man so ein Ding nur, wenn man es versteht. Wenn man es versteht, kann man auch darauf verzichten, solange begleitende Vorsichtsmaßnahmen verstärkt werden.

Geschrieben von: skep 11.09.2003, 02:09

Das Nullbock-Argument hatte ich aber auch begründet. Diese Sache mit den vielen "Experten"...du verstehst

Egal...ob mit oder ohne FW, ich könnte meine FW sicherlich auch in die Tonne hauen, wenn ich wollte. Ich könnte sie aber auch drauflassen...macht eh kein Unterschied.

Geschrieben von: IRON 11.09.2003, 02:17

Doch den macht es. Ohne DTFW verhält sich der TCP-Stack deines Systems standardkonform und du hast keinerlei Veranlassung zu der Befürchtung, die DTFW könnte womöglich einen Fehler enthalten, der dein System erst recht angreifbar macht.

Geschrieben von: wizard 11.09.2003, 06:54

Nur, dass Du eine weitere Quelle Deinem Rechner hinzufügst, die ihn "angreifbar" macht. Sowas wie dies hier beispielsweise aus der letzten Woche:



wizard

Geschrieben von: skep 11.09.2003, 13:34

Da ich ersten nicht ZA habe und zweitens fast täglich diverse Seiten besuche (wo sowas dann steht) und ich dann entsprechend reagiere, ist das für mich kein Argument.

Geschrieben von: Nautilus 11.09.2003, 14:17

Habt jemand dieses Tool schon getestet? Forge?
_______________________________
"Bypassing software firewalls
Attachments:

mbtest.zip
mbtest.zip, 35081 bytes


Attached is a program I wrote (source included) to test the susceptibility of software firewalls to bypass via low-level packet injection / capture. I think most stuff is explained in the readme but here's an overview:

Two instances of the program (i.e. two computers) are required - a 'sender' and 'receiver'. The sender sends eight different packets and the receiver replies to those that make it through.


The program is coded against WinPCap, which is basically a dynamically loadable kernel driver and accompanying set of libraries that allow low-level capture and injection of traffic (see here for the details).


This does not mean that malware based on this technique would require that you have WinPCap installed. Only two files from the distribution are necessary; appropriate versions of packet.dll and npf.sys. The malware would need only copy them to the relevant directories before being able to operate - no reboot is necessary. Therefore the only requirement of such malware would be that it was run as a privileged user (i.e. no more than most other malware).


Some firewalls (Norton Personal Firewall 2003, Conseal PC Firewall) 'pick up' traffic too far along the NIC -> application path to be able to even see injected (outbound) traffic or to block captured (inbound) traffic (category 1 in the readme). They can easily be entirely bypassed via this technique in both directions (see the readme).


Some firewalls (ZA Free 3.7.159, Kerio 2.1.5, Outpost Pro 2.0.225, Look 'N' Stop) are able to 'pick up' the traffic but can't associate it with the program and can be bypassed due to some fixed rule or other deficiency (like not filtering fragmented traffic, etc). (category 2 in the readme).


Only one firewall tested (Sygate Personal v5.0) deals with this issue in a completely acceptable way (category 3 in the readme). It recognises the kernel driver as the source of injected traffic and lets you decide whether to block it or not.

The firewalls mentioned are just those that I and others have tested. Where a version number is missing it means I didn't personally test it and don't know which version was used.

I was surprised at the results. I started off with the assumption that most, if not all, firewalls would fall into category 2 and didn't expect that so many would have filtering deficiencies. A trojan based on this technique (which is entirely plausible) could slip traffic out past almost all software firewalls and, in most cases, a trojan server could operate without detection.

Any comments, questions, test results, etc, would all be gladly received.
"
........................


Quelle: DSL Broadband Forum ( http://www.dslreports.com/forum/remark,7321041~root=security,1~mode=flat;start=0 )


Gruss,
Nautilus

Geschrieben von: IRON 11.09.2003, 15:00

Du hast das Argument nur nicht verstanden.
Das Problem existiert für jede DTFW. Wie reagierst du, wenn du erfährst, dass deine DTFW durch diesen oder jenen Bug ausgehebelt werden kann? Updaten? Schon bemerkt, dass das Finden solcher Bugs kein Ende nimmt und die Finder und Nutzer dieser Bugs stets jenen, die das fixen müssen und jenen, die die DTFW ungefixt benutzen (weil sie von dem Problem nicht gehört haben), mehrere Schritte voraus sind?

Geschrieben von: Bo Derek 11.09.2003, 15:21

Na dieses Argument existiert ja für jede Software. Allerdings muss ich nochmal ein Szenario an die Wand malen:

Ich benutzte Kerio 2.x und Windows 2000. Was ist wahrscheinlicher: dass ich mir den Blaster Wurm einfange oder dass ich Opfer einer DDOS Attacke werde?

Antwort: nichts von beiden. Durch die Firewall besteht keine Möglichkeit mehr, dass ich mir den Wurm blaster einfange, wohl aber die Möglichkeit der DDOS Attacke. Das Auftreten dieser ist aber derart unwahrscheinlich, dass ich in diesem Fall von einem Sicherheitsgewinn ausgehen kann.

Dass Software Fehler beinhaltet, ist ein wesentlicher Bestandteil dieser Kategorie und deshalb auch kein Totschlagargument gegen Firewalls.

Geschrieben von: forge77 11.09.2003, 15:42

@Nautilus

Nein, ich habe das Tool hier zwar schon längere Zeit 'rumliegen', aber ausprobiert hab ich es noch nicht.
Es scheint mir im Grunde auch nix neues zu sein, denn schon "http://www.hackbusters.net/ob.html" hatte vor ein paar Jahren mit Hilfe von 'WinPcap' PFWs getunnelt. Darauf hatten die meisten Hersteller aber reagiert, was neben den Outbaound-Autoren auch diverse Leaktest-Vergleichstests von PFWs bestätigten.
Dass die Filterung von WinPcap-Paketen bei eingien PFW trotzdem nicht richtig funktioniert (vgl. mbtest.zip), ist natürlich etwas ernüchternd... andererseits bestätigt das Tool, dass man auf diesem Wege (genauso wie z.B. via RawSockets) die meisten PFWs eben _nicht_ einfach tunneln kann.

Man kann das ganze übrigens auch einfach mit z.B. nmap testen, welches ja ebenfalls auf WinPcap zurückgreifen kann.
Bei Kerio2 ist es dann so, wie vom mbtest-Autor geschrieben: die Paket-Prozess-Zuordnung funktioniert zwar nicht, die Pakete werden aber trotzdem ggf. geblockt.

@Bo

Was für eine DDOS-Attacke meinst du? Eine direkt gegen Kerio (Quelle?)?

Geschrieben von: Bo Derek 11.09.2003, 15:48

http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00365.html

Den Link hatte wizard mal gepostet.

Geschrieben von: forge77 11.09.2003, 16:03

Danke.
Schon ein bißchen älter... ob es inzwischen gefixt wurde?

@IRON

Woher kennst du mein Auto?!


Sag ich doch...
Nur ging es hier imho nie darum, eine abschließende, allgemeingültige Empfehlung an _alle_ User dieser Welt zum Thema PFW auszusprechen (was ja nunmal kaum möglich ist), sondern nur darum, die technischen Möglichkeiten von PFWs in einer _realen_ Umgebung abzuschätzen. Siehe dazu auch Bo's Aussage:

Geschrieben von: IRON 11.09.2003, 16:04

Wieso nicht? Von einem Malprogramm, das mir regelmäßig mein Betriebssystem ins Schleudern bringt, verabschiede ich mich auch, obwohl ich von DIESEM Programm nicht erhoffe, dass es mich vor Gefahren aus dem Internet schützt. Bei einer Desktopfirewall, die mir mein System nicht abschießt, aber womöglich trotzdem versagt, soll ich das tolerieren? Nö...also wirklich...

Geschrieben von: Bo Derek 11.09.2003, 16:13

Nochmal kurz zusammengefasst:

1. Fehler können in jeder Software auftreten. Ich diskutiere deshalb hier nicht, ob eine Firewall eine unmögliche Perfektion von 100% bietet. Das ist schlichtweg unmöglich und deshalb kann es auch nicht Gegenstand der Diskussion sein.

2. Ich habe ein Szenario beschrieben, in dem die Firewall trotz Fehler ein plus an Sicherheit bietet (für Schmaldenker: "ein plus" muss nicht gleich 100% sein - das ist logisch und das kapiert man auch... sofern man das will)

Geschrieben von: Bo Derek 11.09.2003, 16:20

Jetzt zu diesem Beitrag:

Du schreibst etwas von "regelmässigen" Versagen, obwohl ich kurze Zeit vor Dir ein plausibles Beispiel dafür gegeben habe, dass eine Firewall mit einem zugegebenen Sicherheitsloch mit einer Wahrscheinlichkeit versagt, die gegen 0 geht.

Du schreibst davon, dass eine Software (und zu dieser Kategorie gehört eine Firewall ebenfalls) "womöglich" versagen könnte. Diese Möglichkeit trifft auf alles zu: Hund, Katze, Maus, Auto, Partner, Flugzeuge, Schraubenzieher, Pflastersteine, Windows, Linux, Ohrpax, Gleitkrem, Schlüsselanhänger, Kondome, Bürstenschleifer, Krankenhausaufzüge, Stromkabel, AGP-Steckplätze, Dünnbrettbohrer, CD-Hüllen, Maustreiber, Küchengeräte, Drucker, es macht mir wirklich Spass das aufzuzählen, aber Dir die ganze Welt aufzuzählen, dürfte doch recht lang dauern.

Ich kann zu Deinen Ausführungen nur sagen: "mein Leben funktioniert, aber es besteht die Möglichkeit, dass ich und alles um mich herum trotzdem versagt. Soll ich das tolerieren? Auf jeden Fall!"

Geschrieben von: Heike 11.09.2003, 16:41

Ich sehe es genauso, was einfach fehlt, ist das Wissen, dass durch eine FW nie 100% erreicht werden können.

Eine ähnliche Entwicklung finder ja bei den Router-Benutzern statt.
"Ich habe einen Router, ich bin sicher!"
Hmm, aber wenn in anderen Boards empfohlen wird, den PC als DMZ einzuricheten, damit das Spiel xy endlich klappt. Logisch, das Spiel klappt dann, OptixPro aber auch.

Beim Router ist es wie mit der FW, wenn man die Funktion versteht, sind sie eine Hilfe, wenn man nichts versteht, erhöhen sie letztlich die Gefährdung.

Bloß, wollen sich "Klicker" damit beschäftigen? Eher nicht. Ändern wird man es nicht, jeder wird erst dann offen für Infos sein, wenn er mal ein Problem hatte oder einen kennt, dem es passiert ist.

Das ist meiner Meinung nach die Realität.

Geschrieben von: IRON 11.09.2003, 16:56

Ist es ja auch gar nicht. Vedrehe doch bitte die Tatsachen nicht. Software hat Fehler, Sicherheitssoftware hat sicherheitsrelevante Fehler.

Kann man kapieren...wenn man WILL...


Was nützt ein Szenario, das an der Realität vorbei geht. Ein Sicherheitskonzept muss auf einem konkreten Bedrohungsszenario aufbauen. Konkret war es ja, nur eben unrealistisch. Folgerichtig ist das Sicherheitskonzept fehlerhaft, denn du ignorierst wesentliche Variablen.

@ Heike: Ausnahmsweise mal FULL ACK

Geschrieben von: Bo Derek 11.09.2003, 17:04

Äh, hallo! Was Du aufstellst, sind wohl klingende Behauptungen. Das Szenario ist nicht unrealistisch, ausser Du bezeichnest einen Freund von mir als unrealistisch. Ihm ist es genau in dieser Weise passiert.

Geschrieben von: IRON 11.09.2003, 18:33

Möchtest du mir krampfhaft das Wort im Munde umdrehen?
Weil es deinem Freund so passiert ist, kannst du doch daraus kein Szenario für andere ableiten.
Ich kann dir auch ein Szenario basteln:
Gegeben sei ein Windows-Rechner (konkretes OS sei mal egal).
Auf dem Rechner ist ein aktueller Virenscanner (NAV) installiert. Der User weiß, dass er keine Software aus dem Internet herunterladen und installieren sollte, wenn die Quelle unseriös ist, es wäre aber dennoch möglich, dies zu tun (*). Der User hat Zugriff aufs Internet, kann Mails verschicken und empfangen. Verwendet wird IE und Outlook auf aktuellem Patchlevel. Der User weiß, dass er Mailanhänge nicht ungeprüft öffnen darf, es wäre aber dennoch möglich, dies zu tun. Er hat viele Mailfreunde und Kontakte zu diversen Firmen, eine Homepage mit Gästebuch und bei ebay ist er auch anzutreffen.

(*) Leider ist er sich nicht sicher, woran er die Seriosität festmachen soll.

Na? Wie sinnvoll ist in diesem Szenario eine PF?

Geschrieben von: Bo Derek 11.09.2003, 18:51

Gar nicht, denn es kommt keine vor

Geschrieben von: Nautilus 11.09.2003, 18:54

IMHO einigermassen sinnvoll ;-) Denn die PFW erschwert jedem VXer seine Arbeit. Und selbst JoJo kann nicht gleichzeitig jeden AV Scanner austricksen, die PFW tunneln und SSM überlisten.

Wenn PFWs gar nix bringen würden, müssten VXer keine PFW-Killer, DLL Trojaner usw. erfinden.

Im Ergebnis muss sich ein User meines Erachtens entscheiden: Entweder er beschäftigt sich mit der Materie PFW. Dann hat er mehr Kontrolle über seinen Computer und damit auch mehr Sicherheit. Oder er beschäftigt sich nicht damit. Dann kann er auf eine PFW auch verzichten.

Eine weitere Alternative besteht darin, keine Software aus nicht-vertrauenswürdigen Quellen herunterzuladen. Das ist für viele User aber eine genauso inakzeptable Alternative wie den Computer in den Müll zu schmeissen.

ntl

Geschrieben von: IRON 11.09.2003, 19:40

Den Beweis für deine Wahrscheinlichkeitsrechnung bleibst du geflissentlich schuldig.

Dass du so tolerant sein kannst, will ich gerne glauben, ich kann das auch sein und viele hier im Board, die sich mit der Materie auskennen. Aber für wie viel Prozent der restlichen Erdbevölkerung mit PC und Internetanschluss gilt das noch?

Wie mir Bo Derek gerade per PM mitteilte, hat er meinen Beitrag versehentlich editiert. Ich schreib das wegeditierte aber nicht nochmal...wird mir langsam etwas zu blöd hier...

Geschrieben von: wizard 11.09.2003, 21:31

Aha. Sich mal kurz über eine Software zu informieren, bevor man sie installiert, darauf hast Du "null Bock". Aber jeden Tag zig Securityseiten durchsuchen, ob die installierten PF Bugs hat.

wizard

Geschrieben von: wizard 12.09.2003, 06:17

Bisher gilt eigentlich immer folgende Logik: Unnötige Dienste abschalten, da diese fehlerhaft sein können und man somit Angreifern die Grundlage entzieht. Die gleiche Logik soll dann aber nicht mehr gelten, wenn man sich (unnötigerweise) eine Personal Firewall installiert? Genau darum ging es ja, denn das Ausgangsargument war, dass es nichts "Schaden" kann eine PF zu installieren, ob man sie braucht oder nicht.

wizard

Geschrieben von: skep 12.09.2003, 11:47

Ja..wizard...die Begründung des "Null-Bock"-Verhaltens steht 2 Wörter weiter in meinem Text...aber für dich AUCH nochmal..."die Sache mit den Experten"..du verstehst

Geschrieben von: Nautilus 05.10.2003, 19:20

Diejenigen, die Personal Firewalls ihre Daseinsberechtigung absprechen, argumentieren häufig, dass eine Firewall nur dann Sinn macht, wenn Sie auf einem eigens dafür eingerichteten Rechner läuft. So geschieht es häufig bei Unternehmen, die eine Portfirewall oder einen Router einsetzen.

Nun meine Gegenthese ;-) Der kürzliche Hack bei Valve (Halflife 2 Source Code) wurde offenbar unter Verwendung der Programme Hacker Defender (= Windows Rootkit) sowie Remotely Anywhere (kommerzielles RAT) verwirklicht. Ein durch eine korrekt konfigurierte Personal Firewall abgesichertes System hätte sich mit dieser Kombination nicht überlisten lassen.

Any comments?

Nautilus

Geschrieben von: wizard 05.10.2003, 19:54

Nur, dass eine Firewall keine Trojaner erkennen kann,...

wizard

Geschrieben von: Bo Derek 05.10.2003, 20:14

Er meinte ja auch wohl eher die Auswirkungen eines RAT.

Geschrieben von: Nautilus 05.10.2003, 20:23

Ausserdem bedeutet eine doppelte Verneinung wiederum ein JA.

ntl ;-)

Geschrieben von: eva-regine 05.10.2003, 22:50

Ist vielleicht ein wenig Off-Toppic, aber ich fand es lustig ( falls es schon einmal gepostet wurde, bitte meinen Beitrag löschen ):

So arbeiten Personal-Firewalls:

http://www.blablablablabla.mynetcologne.de/pfw.jpg


Viele Grüße
Eva

Geschrieben von: Bo Derek 05.10.2003, 22:55

Nee, den kannte ich noch nicht

Geschrieben von: Grizzly 06.10.2003, 01:19

gut gemacht.............

ist wohl so eine Art Schildbürgerstreich.......

Geschrieben von: Mad Max 06.10.2003, 06:32

Morgen, zusammen.

Also Leute Ihr macht mich echt fertig.


Da wird im Posting von Internetfan 1971 gesagt, Software wie Black Ice Defender seien so ziemlich unknackbar, auf der anderen Seite wird erzählt dieses Programm ist Schrott.

Ja wat is denn nu ?

Erst Hü, dann wieder hott. Man wir ja immer unsicherer bei Euren Postings.

Ich peile bald nix mehr.

Ich habe jetzt meine Einstellungen im Internet Explorer angepasst, nutze mein KAV
und meine Zonealarm.

Wenn ich wieder meine Dienste verheize stehe ich dumm da, wenn ihr mal eben Eure Kiste verheizt, dann frickelt Ihr sie wieder zusammen, weil die richtige Ahnung vorliegt.

Das ist eben der feine Unterschied zwischen einem normal User und Cracks.

Warum wird von unseren Spezialisten hier mal nicht gezeigt, wie man eine Firewall wie Zonealarm pro z. B. richtig konfiguriert oder konfigurieren könnte.

Eure Beiträge die in diesem Posting gelaufen sind, sind für den normalen Dummie, der ins WWW geht absolut nicht zu kapieren.

Gruss

MM

der nun gar nichts mehr kapiert ???

Geschrieben von: Internetfan1971 06.10.2003, 12:50

Hallo Mad Max!

Ja, ich kann schon verstehen das Du irritiert bist wenn Du die für den Anfänger sicherlich schwer zu verstehenden Diskussionen liest.

Zu der Aussage zu BlackIce und Intrusion Detection Systemen. Die von mir genannte Seite ist erstmal eine externe Page wo selber gesagt wird das Firewallsysteme höchstens einen begrenzten Nutzen haben.

Insofern empfiehlt diese Seite eine Komination aus Personal-Firewall und IDS und behauptet das dies ziemlich unknackbar wäre.

DIES hat aber so keiner von „uns“ so gesagt, außerdem solltest Du Dir auch wizards Anwort auf meine Frage bezüglich IDS etwas weiter unten durchlesen!

Und außerdem ist nichts meiner Meinung nach wirklich dauerhaft unknackbar! In der Anfangsphase von Personal-Firewalls waren die ja vielleicht erstmal unknackbar, dann aber doch. Genauso ist IDS knackbar! Früher so später finden (gute) Hacker immer Wege...

Und Du machst einen Fehler, wenn Du meinst das „wir uns“ (wer bitte ist "ihr") auf einer Meinung (nun egal welche, ob Firewalls oder sonstige Programme oder sonst was) stur festlegen müßten und dies dann dauerhaft vertreten müßten als wäre dies irgendein Dogma!

Dieses „uns“ besteht aus vielen unterschiedlichen Leuten, wozu Du ja auch gehörst, die sich teilweise ja nicht mal kennen. Die teils ganz unterschiedliche Erfahrungen, Ansichten und Schlußfolgerungen haben! Und das ist auch sehr gut so!

Und Du wirst kein Forum finden wo dies nicht so ist!

Geschrieben von: Bo Derek 06.10.2003, 13:13

Richtig, dann wär's ja auch kein Forum, sondern ein FAQ (= Frequently Asked Questions), in dem es auf jede Frage genau eine antwort gibt.

Geschrieben von: IRON 06.10.2003, 13:35

[WAS: BID unknackbar oder Schrott]

Unknackbarer Schrott. BTW: Unknackbar? LOL

Mal abgesehen davon, dass zumindest ICH meine Kiste noch nie verheizt habe, habe ICH mit dem Frickeln erst angefangen, als ich genügend Ahnung hatte.
Wie wärs also, wenn du statt einzelne Empfehlungsschnipselchen in dein Ahnungsbuch einzukleben, erst mal versuchst, dieses Puzzle zu vervollständigen, bevor du es als fertiges Bild an die Zimmertür pinnst?

WEIL ES DIESE RICHTIGE KONFIGURATION NICHT GIBT.

Höre ich da einen leisen Vorwurf?
Ich war auch mal so ein Dummie mit Null Ahnung. Weil ich mich aber dafür zu interessieren begann (vor etwa 4 Jahren), hat sich das geändert. Übrigens habe ich dazu nicht EINE Frage in einem Forum wie diesem stellen müssen, sondern lieber still vor mich hin gebüffelt.

Geschrieben von: Mad Max 06.10.2003, 13:46

@Iron.

Nein, das ist kein Vorwurf, nur manchmal wei man überhaupt nicht worum es geht.
Leider prallen hier teilweise die Meinungen auseinander. Ich versuche eigentlich nur, das Beste daraus zu machen.

Zum Beispiel habe ich gelernt, die Finger von der Registry, den Diensten und anderen Dateien zu lassen, wenn man keine Ahnung davon hat.

Ihr diskutiert hier auf einem level, der für manche nicht nachvollziehbar ist, weil man nun gar nicht weis worum es geht.

Das ist das eigentliche Problem.l

Gruss

MM

Geschrieben von: vampire 06.10.2003, 14:03

selbstverständlich kann sie das... sobald ein server startet und seinen port öffnen will, wird die firewall anzeigen , daß das programm xyz.exe ins netz connecten will und das erst erlauben wenn der user zugestimmt hat...
natürlich weiss sie nicht, daß das ein trojaner ist und kann den user deshalb darüber auch nicht informieren.
wichtig ist aber einzig und allein, daß der server zunächst geblockt wird...

...und was für software im allgemeinen gilt, gilt insbesondere auch für FW Bypässe, soll heissen, auch sie versagen gelegentlich ( sogar recht oft) und werden von FW's geblockt.
eine firewall ist IMMER ein echtes plus an sicherheit

mir ist rätselhaft wie man das nicht verstehen kann...!!!

man kann sich drehen wie man will, der a...h bleibt hinten...

Geschrieben von: IRON 06.10.2003, 15:01

Du räumst ein, dass Software im Allgemeinen gelegentlich versagt und im selben Atemzug erzählst du, dass DTFWs (die meinst du doch wohl?) ein echtes PLUS an Sicherheit bieten? Du widersprichst dir selbst. Sicherheitsrelevante Software hat (unbekannte) sicherheitsrelevante Fehler.
Ein Plus an Sicherheit gibts durch andere Maßnahmen, in erster Linie durch den Verzicht auf die Installation von Malware (Brain 1.x), durch zeitnahes Patchen bekannt gewordener Sicherheitslücken und das Deaktivieren nicht benötigter Dienste.

Geschrieben von: vampire 06.10.2003, 15:11

ja hallo IRON...

mit etwas bösartiger haarspalterei könnte ich dir jetzt unterstellen, daß du dein brain1.x für malware hältst. lies den satz nochmal...

aber das hatten wir ja schon...

jaja, die von dir aufgezählten tips sind auch ein echtes plus an sicherheit, genauso wie ne firewall... wobei ich nicht unerwähnt lassen will, daß patches ebenfalls software sind und fehlerhaft sein könnten...

Geschrieben von: Bo Derek 06.10.2003, 15:12

Übrigens ist die von IRON dargestellte Meinung von einem Wissenschaftler namens C. Perrow untersucht worden. In dem Artikel "Komplexität, Kopplung, Katastrophe" aus dem Buch "Normale Katastrophen: Die unvermeidbaren Risiken der Großtechnik" wird eben der Zustand beleuchtet, dass die Neigung, potentiell gefährliche Großtechniken mit weiteren Techniken abzusichern, statistisch nachgewiesen zu noch mehr Fehlern im System führt.

Geschrieben von: IRON 06.10.2003, 15:24

Gut, dass deine Rhetorik schlecht genug ist, um dies auch tatsächlich zu tun, während du vorgibst, darauf zu verzichten.

In der Tat.
Melde dich wieder, wenn du etwas substanzielles zum Thema und nicht zu MIR zu sagen hast. Du weißt, wie ich auf niveaulose Statements von dir reagiere und wie sehr dies dem Boardklima schadet.
Oder bist du genau daran interessiert?

Geschrieben von: vampire 06.10.2003, 15:25

patches SIND sicherheitsrelevante software....

Geschrieben von: Bo Derek 06.10.2003, 15:29

Deswegen ja auch die Erfahrung, dass mit den Patches von MS auf der einen Seite Sicherheitslücken geschlossen und auf der anderen neue geöffnet werden.

Geschrieben von: wizard 06.10.2003, 19:31

Ich glaube das beruht auf Gegenseitigkeit.



Wenn Du den Internet Explorer durch (beispielsweise) Mozilla ersetzt hast Du Deinen Rechner schon ein erhebliches Stück "sicherer" gemacht. ZoneAlarm bringt eigentlich gar nichts. Wer glaubt eine "Firewall" könne man über einen Schieberegler mit drei Einstellungen konfigurieren, der glaubt auch, dass die Agenda2010 die Probleme dieses Landes lösen wird...



Dein Fehler war, dass Du nicht systematisch vorgegangen bist. Solche Änderungen am System führt man generell schrittweise durch und man notiert sich die Änderung und testet, ob der gewünschte Effekt eingetreten ist. Wenn nicht macht man es halt rückgängig oder benutzt dafür Imagesoftware, die ja in Deinem Fall vorhanden war.



Weil das nicht möglich ist. Eine Firewallkonfiguration ist immer individuell und hängt von den Anforderung des Users/Systems ab. Eine "Standardkonfiguration" gibt es nicht (auch wenn die Marketingabteilungen der Hersteller gegenteliges versprechen).

Das einzige was da hilft ist lernen. Als Anfang kannst Du ja mal hier nachsehen: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Lernen . Und von da an dreht sich wieder alles im Kreis, du musst wissen welche Dienste Du benötigst und welche nicht, denn auch die erste Regel bei einer Firewallkonfiguration ist es unnötige Dienste zu beenden, da dies immer besser/sicherer ist als eine Firewall einzusetzen.



Dann stelle gezielte Nachfragen, wenn Du etwas nicht verstehst. Oftmals aber scheinst Du die Antworten, die man Dir gibt einfach zu ignorieren und machst lieber mit neuen Fragen zu anderen Themen weiter.

wizard

Geschrieben von: wizard 06.10.2003, 19:34

Alleine diese Aussage ist schon falsch. Den Rest erspare ich mir lieber zu kommentieren,...

wizard

Geschrieben von: Heike 06.10.2003, 19:51

vampire schrieb:

Dies mag bei einem User zutreffen, der keine FW mehr braucht.
Für einen normalen User ist diese Aussage einfach falsch und wiegt ihn in Scheinsicherheit.
Eine FW ist einfach kein Schutz, lediglich ein Hilfsmittel, gewisse Dinge zu protokollieren.

Hmm, Du weiß ja auch, dass man bei Trojanern "Kill-Funktionen" nutzen kann.
Nun, eigentlich sollte jeder User einen "Kill" seiner FW bemerken, aber wenn er nicht darauf achtet, weil er sich ja so sicher fühlt??

Wer sagt, eine FW macht einen PC sicherer, hmm, der hat wohl die Problematik der FW noch nicht erkannt oder verfolgt eben die Absicht, Scheinsicherheit zu vermitteln. Na egal, irgendwo dazwischen wird es liegen.

Mad Max schrieb:

Das ist wohl wirklich ein Problem.
Deshalb ist es eigentlich toll, dass Du sagst, das Du es nicht mehr verstehst.
Hmm, nicht böse sein. Du bist ja nicht dumm, nur unwissend auf diesem Gebiet.
Fachleute entwickeln wohl ihre eigene Sprache, die es aber auch verhindert, sich allgemein verständlich auszudrücken.
Diese Entwicklung besteht ja nicht nur auf diesem Gebiet, es ist wohl sehr schwer, sich so auszudrücken, dass man verständlich für User ist, die nichts wissen.
Du wirst aber Deine Lösung finden, davon bin ich überzeugt.

Geschrieben von: Bo Derek 06.10.2003, 20:26

Also erstens wird das Abschiessen der Firewall durch entsprechende Malware nicht unbedingt bemerkt. Meist zeigt ja nur das Icon in der Taskleiste an, dass die Firewall gestartet ist. Dieses verschwindet dann aber meist erst dann, wenn man mit der Maus drüberfährt.

Das Argument mit der Kill Funktion wird gern genommen, hat aber IMHO einen Haken. Nimmt man die Anzahl der im Umlauf befindlichen Malware und die Anzahl der potentiellen Opfer und rechnet dann den Anteil der Malware aus, die eine spezifische Firewall mit der/den Versionsnummer(n) xy abschiessen kann und ermittelt man dann noch den Anteil der Personen, die zufällig genau diese Versionsnummer(n) xy auf ihrem PC haben, so kann sich jeder ausrechnen, dass die Wahrscheinlichkeit, sich den passenden Trojaner für die genutzte Firewall einzufangen, extrem gering ist.

Geschrieben von: Nautilus 06.10.2003, 20:43

@Bo Fast alle neuen Trojaner können hunderte verschiedener FWs (und AVs/ATs) abschiessen. Alle wichtigen FWs werden abgedeckt.

Aber kein halbwegs "vernünftiger" (wenn man das überhaupt so sagen kann ;-) Angreifer verwendet die Kill Funktion. Weil sie eben auf Dauer doch bemerkt wird und deshalb viel zu auffällig ist. Im Grunde kann man als Victim geradezu dankbar sein, wenn man durch einen Firewallkiller vor einem Trojaner gewarnt wird.

ntl

Geschrieben von: IRON 06.10.2003, 20:43

Auch deine Rechnung hat (mal abgesehen von der Fragwürdigkeit deiner Zahlenquellen) noch einen Haken. Du vernachlässigst, dass zur Deaktivierung oder sonstigen Maßnahme zur Negierung einer DTFW nicht unbedingt ein konkreter FWB notwendig ist. Es sind hinreichend weit verbreitete Mailwürmer mit dieser Wirkung im Umlauf, ganz zu schweigen von Usern, die durch ihre misskonfigurierte DTFW derart genervt sind, dass sie auch schon mal was zulassen, wenn sie nur oft genug gefragt werden.

Geschrieben von: Mad Max 07.10.2003, 07:06

Hmmh,

ich bin etwas erstaunt darüber, wie " Andersdenkende " ( Vampire ) von euch direkt eine Breitseite erhalten, die sich gewaschen hat.

Es wird ein verdammt harter Ton angeschlagen. Warum ?

Ich finde eure Seite wie schon erwähnt super, sie hat nur einen grossen Nachteil.

Ihr versucht dem normalen User zu helfen, finde ich echt klasse, da ich auch schon viel davon profitiert habe.

So habe ich gelernt permanent die Patches zu installieren, den Explorer zu sichern
usw.

Klasse fand ich auch den Link zur Einstellung von Kaspersky Monitor.

Aber wie ich schon des öfteren erwähnt habe, diskutiert ihr auf einem zu hohen Niveau.

Der normale User sieht sich das an und macht den Abflug, weil er nix mehr kapiert.

Das kann doch von euch eigentlich nicht gewollt sein oder vielleicht doch ?

So nun noch einmal zu den Firewalls.

Wenn ich euch richtig verstehe, dann sind z.B. die Tests wie Datenschutzbeauftragte Niedersachen, Kanton Zürich, usw. wo Firewalls getestet werden können absoluter Schwachsinn, da die Ergebnisse ( auch wenn diese erfolgreich abgeschlossen wurden ) im Grunde genommen nicht´s aussagen.

Wenn dem so sei warum bietet man denn solche Tests an. Wäre doch Schade um die Kohle die man da sinnlos verschwendet.

Ich habe auch verstanden, dass Firewalls abgeschossen werden können.

Wie gross ist denn die Wahrscheinlichkeit, dass ausfgerechnet ich von so einem Trojaner getroffen werde. Sie ist doch minimal oder ?

Also lasse ich meine Zonealarm Pro vor sich hindümpeln, frei nach den folgenden kölschen Einstellungen.

1) Et kütt wie et kütt.

2) Et hät noch immer jot jejange.

Gruss

MM

Geschrieben von: IRON 07.10.2003, 10:47

Wenn andersdenkende so formulieren, dass User wie du das praktisch ZWANGSLÄUFIG falsch verstehen müssen und sich dann mit ihrer DTFW in Scheinsicherheit wiegen, dann gibts Breitseiten. Das dient unter anderem DEINEM Schutz.

Der normale User kann nachfragen, und zwar GANZ KONKRET, wenn er etwas nicht versteht. Dann kann man versuchen, es ihm zu erklären. GANZ ohne Fachbegriffe gehts nicht. Immer nur bildliche Vergleiche kann man nicht verwenden, denn die hinken.
Von dir habe ich nicht viele konkrete Fragen erlebt. Du stellst zwar viele neue, ignorierst aber die Antworten auf die alten Fragen. Der Normaluser muss zumindest ETWAS Eigeninitiative beim Beschaffen von Infos zeigen.

Absoluter Schwachsinn sind die Tests nicht. Höchstens deren Schlussfolgerungen und Empfehlungen. Hinzu kommt, dass die Leute, die solche Tests anbieten, nicht zwangsläufig wirklich etwas von der Materie verstehen. Sie meinen es ja gut, aber es hapert an der Umsetzung.

Nein. Im Gegenteil, ganz besonders in deinem Fall (soll keine Beleidigung sein).

Zu 1) Nein, es kommt nicht immer, wie es kommt. Man kann vorbeugen.
Zu 2) Darauf zu vertrauen ist das Dümmste, was du tun kannst.

Geschrieben von: vampire 07.10.2003, 12:01

sogar eine frisch installierte, jungfräuliche, völlig unkonfigurierte FW würde sofort ihren dienst antreten und eine den start eines servers zunächst verhindern...!!!

diese aussage ist keineswegs falsch sondern absolut richtig...!!!

sie kann zu jeder zeit von jedermann überprüft werden.

ich habe auch nicht die absicht scheinsicherheit zu vermitteln und die user in trügerischer sicherheit zuwiegen. mir ist durchaus bekannt, daß FW's relativ einfach auszuhebeln sind und niemals den 100%tigen schutz zu bieten haben den die hersteller versprechen.
nur wenn ich stets und ständig lesen muss, daß firewalls von einer fraktion selbsternannter "experten" zu überflüssiger, wirkungsloser, ja nur probleme verursachender software degradiert werden, dann fordert das meinen widerspruch heraus. denn das gegenteil ist der fall...!
auch wenn sie nicht den fälschlicherweise angepriesenen ,100%tigen schutz zu bieten haben, sind sie doch eine sinnvolle ergänzung im sicherheitskonzept eines rechners.

und diese, meine aussagen, liegen nicht "irgendwo dazwischen" sondern sind schlicht und ergreifend fakt, daran ändert niemand etwas...!!!! und punkt.

Geschrieben von: IRON 07.10.2003, 12:14

Falls sich zu diesem Zeitpunkt kein Server auf dem System befindet, der als erstes diese Jungfrau penetriert Falls....

Vielleicht nicht die ABSICHT, aber so oder so bewirkst du dieses.

1. Du MUSST das nicht lesen.
2. Belege das mit den SELBSTERNANNTEN EXPERTEN doch bitte mal mit Fakten. WER hat sich WO zum Experten ernannt?
Ich kenne hier nur zwei oder drei Experten und von denen habe ich noch nicht gelesen, dass sie sich selbst so bezeichneten.

Doch, ich.

Geschrieben von: skep 07.10.2003, 12:20

Mal so generell:

Mann..."streitet" euch (nur pro / nur contra-Fraktion der PFW's) woanders...die Diskussion wird lächerlich. Ist als wenn man zwei verbohrten 90jährigen zuhört, die einfach sturr in ihren Gedankengängen sind.

Geschrieben von: vampire 07.10.2003, 12:23

diese aussage ist symptomatisch für dich, nämlich übertrieben und total unrealistisch. sie impliziert, daß sich auf nahezu allen rechnern zu jeder zeit ein trojaner befindet.

es gibt einige 100 millionen rechner im netz, der prozentsatz von mit trojanern befallenen rechnern dürfte zwischen 0 und 1 liegen.

auf den rest deines beitrags gehe nicht ein, du suchst wieder streit und heute habe ich keine lust dazu...

Geschrieben von: Heike 07.10.2003, 13:02

vampire schrieb:

Diese Aussage ist schlicht und ergreifend falsch.

Ich hatte mir Kaspersky Anti-Hacker installiert, keine Änderungen in den Einstellungen vorgenommen.
Dann mal einen Assasin-Server gestartet, der sich in den IE injekzierte. Er hat ohne Warnmeldung seine Notify senden können, komisch, oder?
Auch ein Datenaustausch wäre mit Sicherheit möglich, wahrscheinlich auch ohne Meldung.

Wenn man eine FW installiert, will man dadurch geschützt sein, nicht dadurch, dass man wahrscheinlich nicht betroffen ist, aus rein statistischen Gründen.

Geschrieben von: vampire 07.10.2003, 13:08

du hast einen server mit FW-bypass installiert. das hebelt die FW natürlich aus, daß dies möglich ist habe ich ja eingeräumt.
versuch mal einen server ohne bypass zu starten und schon klappt das NICHT mehr, alles klar...?

Geschrieben von: Heike 07.10.2003, 13:17

Fakt ist einfach, dass ein User sich durch eine FW einen umfassenden Schutz vor Trojanerm verspricht. Ihm ist es egal, wie ein Trojaner arbeitet, er will nur geschützt sein, und zwar zu 100%.
Dieser Schutz ist Illusion, deshalb ist eine FW lediglich Scheinsicherheit, mehr nicht.

Geschrieben von: skep 07.10.2003, 13:31

@Heike

Dein "Fakt ist" steht auf wackeligen Füßen, wenn du alle User über ein Kamm scherst mit:"er will nur geschützt sein, und zwar zu 100%."

ach was reg ich mich auf...

Geschrieben von: vampire 07.10.2003, 13:34

wer A sagt muss auch B sagen:
die argumentation der firewall-gegner lässt sich ohne weiteres auch auf jede andere sicherheitssoftware übertragen. auf virenscanner, sniffer, programme wie tcpview u.s.w...sie lassen sich alle, ohne ausnahme , genau wie eine FW,von einem entsprechend konfiguriertem trojaner abschiessen.

konsequenterweise können wir ja dann auch auf diese programme verzichten und uns auf gebete verlassen...

ist das richtig...?

Geschrieben von: IRON 07.10.2003, 13:35

Sie impliziert (gesunder Menschenverstand vorausgesetzt), dass sich auf nahezu allen Privatrechnern ein Trojanisches Pferd befinden KANN und das ist überaus realistisch.

Das mit der Prozentrechnung üben wir aber noch mal.

@ skep:
Auch DU musst nicht alles lesen. Im Übrigen: Wo bitte siehst du hier einen Streit?



Fast richtig. Dass dies für AVs ebenso zutrifft, ist absolut richtig. Einziger marginaler Unterschied zwischen AV und DTFW wäre der, dass ein aktuelles AV zumindest die Chance hat, eine Installation von Malware zu verhindern, während eine DTFW nicht einmal diese kleine Chance hat.
Letztendlich helfen aber nicht Gebete sondern primitivste Sicherheitsmaßnahmen, wie z.B. "Installiere keine Malware."

Geschrieben von: skep 07.10.2003, 13:39

Laut Duden:
Streit: Meinungsverschiedenheit, Zank

Natürlich muss ich nicht alles lesen (schlau bemerkt), aber da ihr euch seit mehreren Seiten im Kreis dreht, dachte ich (wohl falsch gedacht) das ein weiteres streiten sinnlos wird.

Tja..bin nur ein Mensch...

Geschrieben von: vampire 07.10.2003, 13:54

@IRON,

KANN...?

man KANN im strassenverkehr umkommen oder sich den finger in der nase abbrechen und noch vieles mehr, die möglickeiten sind ungezählt...!

keine malware zu installieren ist zweifellos ein guter tip...

und der hinweis von skep ist auch nicht schlecht, wir drehen uns im kreis.

ich bleibe dabei, eine firewall ist eine sinnvolle ergänzung im sicherheitskonzept eines rechners...ohja, das ist sie...!

ob man sich eine firewall installiert oder nicht überlasse ich jetzt dem ermessen das einzelnen und verabschiede mich aus diesem fruchtlosen disput.

ich habe recht und von euch keiner die charakterstärke seinen standpunkt zu korrigieren. that's it

EOD

Geschrieben von: IRON 07.10.2003, 15:00

@ skep:
Wenn bereits eine Meinungsverschiedenheit in deine Augen ein Streit ist, dann dürften Foren wie dieses nicht existieren. Hier werden zwangsläufig aufgrund intellektueller Gründe bzw. Informationsdefiziten der einen Seite mehrere verschiedene Meinungen aufeinander treffen.
Zank triffts eher. Wer zankt hier?

@ vampire:
Allein dein letzter Satz "ich habe recht" disqualifiziert dein gesamtes Argumentationsgebäude. Das ist Kindergartenniveau.

Auch dein Verkehrsvergleich bzgl. meines KANN ist hinfällig und unzutreffend.
Der aufmerksame Verkehrteilnehmer handelt vorausschauend und umsichtig. Er beobachtet aufmerksam und besitzt hinreichend Erfahrung, um die Geschwindigkeiten von Fahrzeugen und die Reaktion der Fahrer einigermaßen richtig einzuschätzen. Es gibt aber un mal auch ungenügend trainierte (Kinder) oder in irgend einer Weise gehandycapte Personen.
Es gibt ebenso unbestritten Unfälle. Manche sind unvermeidbar (Herzversagen am Steuer, plötzlicher technischer Defekt des Fahrzeugs oder einer Verkehrssignalanlage). Andere SIND vermeidbar.
Die Konsequenz besteht aber nicht darin, nicht mehr vors Haus zu gehen, sondern die Risiken im Straßenverkehr durch erhöhte Aufmerksamkeit und Umsicht FÜR SICH zu minimieren.
Die Sicherheit am PC versuchen aber die Normaluser dadurch zu minimieren, dass sie ihrem PC bunte Reflektoren verpassen, die entweder in die falsche Richtung reflektieren oder abfallen und bei anderen die Frontscheibe verkleben.

Geschrieben von: vampire 07.10.2003, 15:34

achso...

Geschrieben von: Rudi Carrera 07.10.2003, 20:23

Was Sicherheit für das Individuum bedeutet, kann ein Jeder nur für sich selbst beantworten. Der eine braucht eine gemanagedte Firewall für seinen ISDN Zugang, der andere braucht an seinem Fahrzeug nicht mal nen Airbag!
Sicher, ich kann vorsichtig und vorrausschauend fahren, Ich versuche Gefahrenquellen einzuschätzen, doch wenns passiert, passierts eben. Ich fahre, also bin ich ein Risiko. Ich surfe, also gibt es Risiken. Ich kann die Risiken vermindern, je nach Wissen und den einzusetzenden Mittel, in finanzieller, wie in zeitlicher Sicht.
Das bestimme aber immer noch ich selbst!
Wie siehts aus??? Wer fährt immer Fahrrad mit Helm???
Wer hat zehn Airbags im Auto??? Wer zieht Sicherheitsschuhe beim Tragen von Lasten an??? Noch nie mit Biolatschen Auto gefahren??? Wer trinkt Alkohol???? Wer raucht???? Ist das nicht unsicher für Leib und Seele??? Welche Sicherheit wünscht ihr euch????
Wer fährt Motorrad???
Fragen über Fragen....
Ich setze in unserem LAN DFW`s ein..... und wozu?????
Zu recht!
Rudi

Geschrieben von: Internetfan1971 07.10.2003, 23:50

Hallo!

Ich habe da mal eine vielleicht etwas blöde klingende Frage. Ich bin darauf gekommen als ich den Bericht Ports auf "stealth" oder "close" gelesen hatte.

http://www.rokop-security.de/main/article.php?sid=15

Dort heißt es „Entscheidend ist nicht ob der Rechner sich "totstellt" sondern vielmehr wie die Firewall auf Anfragen reagiert. Gut getarnt heißt: Der Rechner unterscheidet sich in seinem Verhalten nicht durch ungeschüzten Rechner.“

Ist es also möglich eine PFW so zu konfigurieren das sie auf Hackeranfragen so reagiert als wenn sie nicht da wäre? Ich meine jetzt NICHT „stealth“!!. Der Rechner bzw. Firewall antwortet einfach ganz normal als ob die PFW nicht da wäre. Ich hoffe ihr versteht was ich meine!

Wenn sie dies tun würde hätte der Angreifer doch keine Motivation mehr weiterzumachen. Mal vorausgesetzt er schaut gezielt nach irgendwelchen potentiellen Opfern die z. B. ihre Dateifreigabe im Netz offen haben oder einfach nach offenen Ports, aber nicht gezielt nach mir!

Diese Ports sollen daher völlig normal, also closed sein für den Scanner. Die versendete Antwort soll völlig normal sein...

Es würden doch Hacker die es nicht ganz gezielt auf meinen PC abgesehen haben einfach nach anderen Rechnern weitersuchen und von dannen ziehen, da die Antwort „normal“ ist. Ich denke mal ja, oder was meint ihr?

Ich will einfach mal wissen ob dies mit PFW generell möglich ist.

Geschrieben von: IRON 08.10.2003, 01:43

Wirst lachen...das GEHT, allerdings nicht mit solchen Wald-und Wiesen-Firewalls wie ZonkAlarm oder Norton InSecurity.
Noch witziger ist, dass ein erwachsener, gut erzogener TCP/IP-Stack das auch ganz ohne Firewall so macht. Wozu also dann den Quark überhaupt erst verwenden?

Geschrieben von: Michail 11.10.2003, 09:19

Nun möchte ich ein kleines Fazit für mich und zwar: Wenn man ale Dienste laut
http://www.kssysteme.de/ gemacht hat, vielleicht dann kein PF nötig ist, aber was kann mir schaden, wenn ich noch z. B. ZA installiere. Bringt dann es mir irgendwelche nachteile?
Nach http://www.kssysteme.de/ sollte Ports zu sein, ZA natürlich zeigt, dass die Ports "Steals" sind. O. K ein Hacker irgendwie trickst ZA aus und weiter... die Ports sind so wieso zu. ZA kann mir mindestens verraten welche Programm ins Internet will und es finde ich für mich als Vorteil. Aber, wenn ZA mein System stark belastet wird oder wird bei Surfen stören (ich meine nicht ,das kommt immer die Mitteilung ,dass " ZA hat blockiert...", die kann ich ausschalten) dann werde ich ZA nicht installieren.

Ich bedanke mich Voraus.
Michael

Geschrieben von: wizard 12.10.2003, 14:01

Ja. Eine PF kann ebenfalls Sicherheitslücken haben (grade bei ZA in der Vergangenheit immer wieder der Fall), die Deinen Rechner "angreifbar" machen. Damit führst Du letztendlich auch den Sinn des Beendes unnötiger Dienste ad absurdum, wenn Du mögliche Angriffsquellen schließt und Dir dann schlicht eine (unnötige) neue installierst.

Außerdem birgt ZA die Gefahr, Dein System instabil zu machen, es behindert reguläre Programme beim einwandreien Funktionieren und so weiter...



Nein kann es nicht. Das kann keine Firewall. Stichwort: "Generic Host Process for Win32 Services".

wizard

Geschrieben von: vampire 12.10.2003, 14:18

es muss ja nicht unbedingt ZA sein...

ganz egal welche FW ich auch installierte, sie alle blockten zunächst die programme die ins internet wollten. wie kommst du dazu eine solche falschinformation zu posten...
wäre deine letzte bemerkung so richtig wie sie da steht, nämlich als der weisheit letzter schluss, wäre nie ne firewall entwickelt worden...

Geschrieben von: Rokop 12.10.2003, 14:41

Wieso Falschinformation ??? Einige Firewalls haben mehr oder weniger viele vorkonfigurierte Regeln und fragen daher nicht alle Anwendungen ab wie z.B. den Generic Host Process for Win32 Services

Geschrieben von: vampire 12.10.2003, 14:56

gut... das wollte Michail aber gar nicht wissen. er wollte wissen, davon müssen wir ausgehen, ob sie in der lage ist einen schädling zu blocken und das kann sie solange sie nicht getunnelt wird. einfach zuschreiben" kann sie nicht" ist zu wenig , ist falsch...

Geschrieben von: IRON 12.10.2003, 15:00

Meditiere mal über den Begriff "KANN". Damit hattest du letztens schon mal Probleme.
Wenn die Möglichkeit gegeben ist, dass eine DTFW versagt (und diese Möglichkeit ist keine hochtheoretische oder hypothetische, sondern eine real existierende), dann ist die Aussage "Sie kann nicht..." völlig berechtigt.

Geschrieben von: vampire 12.10.2003, 15:04

ist sie nicht...! das beinhaltet, daß sie das grundsätzlich nicht kann und das ist falsch...

Geschrieben von: wizard 12.10.2003, 15:24

Das sind Fakten und keine Falschinformationen. Kannst Du eigentlich in jedem guten Buch über Firewalls nachlesen...

wizard

Geschrieben von: vampire 12.10.2003, 15:43

er hat nicht nach "generic host process", svchost.exe, pipapo und trallala gefragt.

deine antwort auf die frage war definitiv falsch...

EDIT:
im übrigen könnte es sein, daß er ne Win9x version installiert hat und bei diesen versionen ist svchost.exe nicht implementiert...

Geschrieben von: Michail 12.10.2003, 16:50

Also Ihr meint, dass im Jeden eine Harware FW wie http://shop.mediamarkt.de/webapp/wcs/stores/servlet/ProductDisplay?productId=19804&catalogId=5000&langId=-3&storeId=5000&categoryId=10008 ist besser als Software???
Wird durch solche Router FW System irgenwie instabielle,langsammer?
Gruss. Michail

Geschrieben von: IRON 12.10.2003, 17:06

Na sicher ist eine EXTERNE Hardwarelösung bzw. ein vorgeschalteter Alt-PC besser als jede Desktopfirewall. Hauptsächlich DESWEGEN, weil sie UNABHÄNGIG vom zu schützenden System ist. Und eben deshalb kann sie dieses System auch nicht destabilisieren, jedenfalls, wenn man sie nicht komplett MISSkonfiguriert.

Geschrieben von: vampire 12.10.2003, 17:08

da sind wir uns ausnahmsweise mal einig. eine hardwarelösung ist ungleich besser, obwohl auch nicht zu 100% sicher...

Geschrieben von: wizard 12.10.2003, 17:15

Wer wirklich eine "Firewall" braucht (als Heimanwender), der ist IMHO mit einem Router recht gut bedient. Anfänger nehmen schlicht einen DSL-Router. Bei erfahrenen Usern ist eher ein alter Rechner mit Linux als Routersystem zu empfehlen.

wizard

Geschrieben von: vampire 12.10.2003, 17:20

@wizard
FULL ACK...

Geschrieben von: Michail 12.10.2003, 18:17

Wenn man auf eine von Microsoftseite geht http://www.microsoft.com/downloads/search.aspx?langid=10&displaylang=de
dort steht als erste Sicherchetschritt FW unter XP zu aktiwieren und http://mms://wm.microsoft.com/ms/germany/security/pcsicherheit/Germany_Firewall.wmv dort ist auch spricht man dafür FW und zwar integrierte zu aktivieren.
Gruss. Michael

Geschrieben von: IRON 12.10.2003, 18:20

Du glaubst also, was auf M$-Sicherheitsseiten über M$-Sicherheit gesagt wird. Schön.
Den Film konnt ich mir nicht ansehen: 404. Aber ich glaube kaum, dass der mich vom Gegenteil überzeugt hätte.
....
Manche lernens nie....

Geschrieben von: wizard 12.10.2003, 18:57

Versuch's mal auf dieser Seite:

http://www.microsoft.com/germany/ms/security/pcsicherheit/xp_firewall.htm

wizard

Geschrieben von: Rokop 12.10.2003, 19:43

Ich bin begeistert !!!!

Geschrieben von: IRON 12.10.2003, 20:54

Örgs...is mir übel....
Wie ein unsichtbarer Zaun...jaja...das triffts wohl...MASCHENDRAHT

Bezeichnend auch, dass die "Einstellungen..." tunlichst übergangen wurden (sonst wären es ja keine drei einfachen Schritte)

Aber ich habe selten das Wort WindOOOWWWs so wohlartikuliert gehört.