Sinn und Unsinn von DW Einstellungen

[Gast_Witti_*]

Verwendest Du vielleicht WindowsXP mit aktivierter hauseigenen Firewall.?

[Rokop]

OK, dann möchte ich die Diskussion noch mal richtig entfachen. Was meint Ihr, wieviel verschiedene Trojaner gibt es ? Ich schätze mal mit Varianten, Unterarten und alles was in die Kategorie mit hineingehört so irgendwo in dem Bereich 5000 bis 10000. Wieviel davon sind erfolgreich in der Lage eine Firewall zu tunneln ? Ich schätze mal nicht mehr als 50. Die Zahl ist sicher recht hoch gegriffen, denn ich selbst kenne nicht mal 10. Von diesen Zahlen ausgehend, würde ich mal meinen, daß eine wirksame Access Kontrolle, wie sie einige Firewalls schon ansatzweise bieten, gar nicht mal so unpraktisch sein sollte. Die Entwickler einer Firewall könnten meiner Meinung nach genau hierhin das Hauptaugenmerk legen. Es gibt ja schon einige Ansätze, tunnelnde Trojaner zu entlarven. Das eine Firewall Ports schließen oder den Rechner "stealth" machen soll ist quatsch. Wer keine Dienste anbietet, braucht so etwas nicht. Außerdem sind die wenigsten SK`s in der Lage, etwas mit einem offenen Port anzufangen. Denn nur weil er offen ist, sind sie ja lange noch nicht drin. Und die Gefahr von einem "professionellen Hacker" gehackt zu werden ist ziemlich gering.
Also zurück zum tunneln. Laßt uns doch mal darüber reden, welche Möglichkeiten es gibt, eine Firewall zu tunneln und welche Anwendungen wir bereits kennen, die dies bereits erfolgreich schaffen. Zu dieser Gruppe sollten sicher Trojaner, aber auch Spyware und Phonehome Anwendungen gehören. Die bekannten Demo Exploits sollte man lediglich nur von der technischen Seite betrachten. Bei manch einem Exploit bleibt mir persönlich der Beweis aus, daß die Firewall auch wirklich umgangen wurde (Auch wenn ich dies nicht grundsätzlich bestreiten möchte).

[Grizzly]

Verwendest Du vielleicht WindowsXP mit aktivierter hauseigenen Firewall.?

nein,ich verwende Windows ME.mein XP verschimmelt derzeit in irgendeiner Schublade da es mir einfach zu aufgebläht ist.

@rokop

eben,wenn keine Dienste angeboten werden,warum dann noch die Ports extra zumachen? man kann nunmal eine Tür nicht zweimal schließen.....
das aber reduziert eine Firewall zu einem Programm,welches nur einfach Bescheid sagt,wer denn da mal rauswill......
Insofern wird eine Firewall widersinnig......

grizzly

[Internetfan1971]

Hallo!

Auch wenn hier schon einiges zum Thema gesagt wurde, nochmals zwei Links

„Durch eine Personal Firewall kann man momentan keine zusätzliche Sicherheit erreichen. Eine sichere und angemessene Installation und Konfiguration des Betriebssystems reicht völlig aus.“

http://www.team-cauchy.de/personal/


Die Schutzwirkung einer sog. Desktop Firewall ist daher gleich Null!

http://www.uni-muenster.de/ZIV/Hinweise/De...opFirewall.html

Tja, wer es immer noch nicht glaubt, da werden sie nicht geholfen...

[wizard]

es snd ja einige Webseiten verfügbar,die Tests anbieten,um die Firewall oder besser den eigenen PC überprüfen und dann einem mitteilen,was nicht stimmt.

Davon gibt es leider eine Reihe sehr "unseriöser" Testseiten. Erstaunlicherweise rät fasst jeder dieser Testseiten am Ende eine Personal Firewall zu installieren - ganz gleich was das Ergebnis aus. Außerdem testen einige dieser Seiten Dienste (Ports), die eigentlich nichts auf einem normalen "Heim-Rechner" verloren haben: http, ftp, etc.

Merkwürdigerweise komme ich auf die gleichen Resultate.

Vermutlich gibt es bei Dir keine offenen Ports, d. h. es laufen keine Dienste. Bei WinME ist eigentlich nur der Port 5000 zu deaktivieren und man kann auf eine Personal Firewall verzichten.

das wirft natürlich die Frage auf,wozu überhaupt eine Firewall wenn Ports,hinter denen keine Dienste angeboten werden,auf "stealth" sind und damit von außen ja nicht zugänglich?????

"Stealth" ist blödsinn. Siehe dazu auch unsere Firewall FAQ. Aber Du hast es eigentlich klar erkannt: Keine Dienste - keine Firewall. Aber für viele ist halt "zu einfach" zu verstehen.

zweite Frage: sollte man eine Firewall überhaupt installieren,wenn man einen Breitbandanschluß hat??(ich meine,weil man ja eigentlich immer online ist,solange der Rechner läuft)

Wie oben schon erwähnt: Keine Dienste - keine Firewall. Außer man möchte sich einen haufen zusätzlicher Problem auf seinen Rechner holen. "Sicherer" macht man ihn im diesem Fall mit einer PF nicht.

wizard

[wizard]

OK, dann möchte ich die Diskussion noch mal richtig entfachen.

Schön. Ich finde diese Thema wird in letzter Zeit einfach zu wenig diskutiert.

Von diesen Zahlen ausgehend, würde ich mal meinen, daß eine wirksame Access Kontrolle, wie sie einige Firewalls schon ansatzweise bieten,  gar nicht mal so unpraktisch sein sollte.

Dieses Argument kommt immer wieder ("Es gibt keiner/wenige Trojaner, die eine PF umgehen, daher ist eine PF doch nicht so schlecht. Doch leider verliert man bei solchen Zahlenspielen das Gesamtbild aus den Augen:

Nehmen wir folgende Scenarien an:

1) User startet *.exe Datei. Datei ist mit einem Virus infiziert. Nach recht kurzer Zeit ist das gesamte System infiziert und wichtige Daten/Dateien beschädigt. Eine PF kann da nichts ausrichten. Und zahlenmäßig sind Viren immer nocht Trojanern überlegen.

2) User startet *.exe Datei. Danach wird die Festplatte formatiert. Auch hier bietet eine PF keinen Schutz, denn destruktive Malware (Trojaner) ist IMHO Backdoor-Trojanern immer noch zahlenmäßig überlegen. Ich meine das Verhältnis ist 70% Trojaner/30% Backdoors, wenn ich mich recht entsinne.

3) User startet *.exe Datei. Datei ist ein Wurm, der auf dem Rechner nach persönlichen Dokumenten sucht und diese dann per EMail an an die Kontakte im Adressbuch verschickt. Und was tut eine PF hier? Wiederum nichts. Die Infektionszahlen solcher Würmer übersteigen bei weitem den realen Zahlen von Backdoor-Trojanern.

Das sind nur drei Beispiele für Malwareszenarien gegen die eine PF nichts ausrichten kann. Nur mal in Relation zum Zahlenbeispiel. Daraus ergibt sich relativ eindeutig, dass eine Infektion immer mit einer ausführbaren Datei anfängt, die der User starten muß. Genauso wie bei Backdoor-Trojaner. Somit kann der einzig wirkliche Schutzansatz nur sein genau zu prüfen (und zu hinterfragen) auf was man eigentlich klickt - und nicht eine fragwürdige Software (die werbewirksam als Firewall bezeichnet wird), die nur ab und an mal eventuell unter Umständen einen Backdoor-Trojaner stoppt. Den wiederum der User selbst erkennen muß (Stichwort "ist iexplorer.exe" ein Trojaner?)

Und noch ein Punkt zu den Zahlenspielen: IMHO kann man fast 100% der Trojaner, die angeblich von eine Personal Firewall geblockt werden, dadurch unschädlichen machen, dass man die Boardmittel von Windows verwendet, sprich eingeschränkte Benutzeraccounts.

Es gibt ja schon einige Ansätze, tunnelnde Trojaner zu entlarven.

Gegen "tunneln" von Firewalls gibt es keinen wirklichen Schutz.

Denn nur weil er offen ist, sind sie ja lange noch nicht drin. Und die Gefahr von einem "professionellen Hacker" gehackt zu werden ist ziemlich gering.

Und mit regelmäßigen Windowsupdates wird die Gefahr noch geringer.

Laßt uns doch mal darüber reden, welche Möglichkeiten es gibt, eine Firewall zu tunneln und welche Anwendungen wir bereits kennen, die dies bereits erfolgreich schaffen.

Der einfachste Weg eine Firewall zu tunnel ist übrigens eine EMail zu verschicken. Fakt ist, dass PFs gegen Malware nichts ausrichten kann, da eine "Infektion" nicht verhindert wird. D. h. die Malware kann alles machen: Firewall abstellen, Ruleset ändern, andere Applikationen benutzen, Knöpfe drücken , etc.

Im Klartext: Das eine PF wirklich vor Malware schützen könnte ist pure Illusion.

wizard

[Gast_Optimist_*]

@ Rokop
Das mit dem "Entfachen" der Diskussion hat ja bereits wunderbar geklappt. Ich finde die divergierenden Meinungen sehr interessant. Es wundert mich allerdings, daß sich nach den jahrelangen Diskussionen in Foren, Fachzeitschriften usw. noch keine einheitliche Meinung herausgebildet hat.

[Rokop]

[Grizzly]

soweit so gut...
mittlerweile kristallisiert sich ja heraus,daß FW's gegen malware nichts ausrichten.
damit trojaner und andere malware aktiv werden kann, ist ja der user da,der dann etwas dagegen unternehmen sollte,müßte,könnte.

werden keine dienste angeboten,gibt es auch keine zugriffe von außen,soweit sind wir uns ja auch schon relativ einig.

jetzt aber: wie schaut es denn jetzt mit den phonehome-funktionen einiger Programme aus,oder Spyware (naja,wer cookies hat,hat eh schon welche)??

zumindest kann ja selbst die einfachste FW hier Bescheid sagen,daß da jemand raus will.Es liegt dann ja am User,ob er es erlaubt oder nicht.......

Fazit: nicht die Firewalls sind schlecht oder unnütz, der USER ist es

Grizzly

[Internetfan1971]

Hi Leute!

Um dies Diskussion mal weiter anzuheizen


Es ist zwar sicherlich richtig, das eine PFW i. d. R. nichts oder zumindest nicht viel gegen Viren, Trojaner etc. ausrichten kann, aber ist das die wirkliche Aufgabe einer solchen? Wohl kaum!

Es ist zwar wohl unbestreitbar das zumindest eine gewisse Anzahl von Trojanern und Viren eine PFW ausschalten kann, aber dies trifft ja genauso gut auf Antivirenprogramme zu! Ich hatte da mal was läuten hören...

Hier würde wohl keiner ernsthaft argumentieren sich kein AV-Programm zu installieren, nur weil EINIGE Viren/Trojaner ein AV-Programm ausschalten können!?! :o

Zum Schutz des Rechners und der PFW gibt es gute (!) AV-Programme. Vorzugsweise Kasperky und alle mit deren Scan-Engine.

Folglich kann Malware nicht oder kaum als Gegenargument in bezug auf PFW dienen.

@Grizzly

„jetzt aber: wie schaut es denn jetzt mit den phonehome-funktionen einiger Programme aus, oder Spyware (naja,wer cookies hat,hat eh schon welche)??

zumindest kann ja selbst die einfachste FW hier Bescheid sagen, daß da jemand raus will. Es liegt dann ja am User, ob er es erlaubt oder nicht.......“


Ach, wirklich??? :o

Stell Dir mal vor ein Download-Programm wie LeechGet hat Sypware-Komponenten. Du installierst Dir das Prog und erlaubst den Programm natürlich beim ersten Programmstart eine dauerhafte Verbindung zum Internet.

Wie willst Du jetzt wissen, das LeechGet Infos zum Hersteller sendet? Du hast Deiner PFW den Zugriff aufs Internet erlaubt!

PFW bieten Dir mit Sicherheit kein Schutz! Wie auch?

[Gast_IRON_*]

Es wundert mich allerdings, daß sich nach den jahrelangen Diskussionen...noch keine einheitliche Meinung herausgebildet hat.

Es gibt doch eine einheitliche Meinung und die lautet: PFW sind ganz toll und schützen.
Aber Spaß beiseite.
Du meinst sicher, warum es noch immer Leute gibt, die an PFWs glauben, obwohl die Argumente der Gegenseite überzeugend und richtig sind?

Das liegt daran, dass die PFW-Fans
A) den anderen nicht glauben WOLLEN
B) nicht deren Argumente überprüfen (Dummheit)
C) nicht in der Lage sind, sie zu überprüfen (fehlendes Wissen)
D) nicht bereit sind, Zeit und Mühe in die Überprüfung zu investieren (Faulheit)
E) nicht bereit sind, Zeit und Mühe in die korrekte Systemkonfiguration zu investieren (Faulheit)

Da der Zustrom von Newbies ins Netz vorerst größer sein wird als die Menge der Personen, die hinreichend viel Wissen und Erfahrung gesammelt haben, um zu erkennen, dass PFWs Dummenfang oder zumindest überflüssig sind, wird es keine einheitliche Meinung contra PFWs geben.
Man kann nur versuchen, es den Leuten auszureden. Ob sie es glauben oder nicht, hängt in erster Linie von ihrer Bereitschaft ab, die Erfahrungen derjenigen zu respektieren, die PFWs ablehnen. Da haperts gewaltig. Drum ist es schwer bis unmöglich, ausreichend viele Newbies von der Überflüssigkeit ihrer Schlangenölsoftware zu überzeugen.

[Grizzly]

wer sich Programme mit Spyware installiert,ist eh selber schuld.

nur zur Info: leechget habe und kenne ich erstens nicht,zweitens benutze ich keine DLM (mit Ausnahme dem von OPERA) und drittens gibt es spy-freie Alternativen.....

somit ist also wiederum der User derjenige welcher,weil solche Programme sich wohl kaum von alleine installieren.

wenn das PEBCAK letztendlich mal alles Caches des humanoiden PC's einschalten wolle und sich Gedanken über seinen PC macht,ist der Einsatz von Firewalls absolut unnötig.Aber mit der weitverbreiteten Krankheit "Klickomanie" wird es immer einen Bedarf an Firewalls geben,nur um einem vorzugaukeln,man sei ja geschützt.

Grizzly

[Internetfan1971]

@IRON

F) weil User nicht glauben, das die Netzwerkspezialisten, Programmierer etc. von DFW´s nur Idioten sind!

G) weil User nicht glauben, das die Tester von DFW´s alles Idioten sind!

Fällt mir ehrlich gesagt auch ziemlich schwer!

Zumindest hatte ich mit oder auch ohne DFW noch nie einen mir bekannten Angriff, was nicht gerade für DFW´s spricht...

@Grizzly

War ja auch nur ein Beispiel, hätte genauso gut jedes x-beliebige andere Programm sein können!

Ich wollte einfach nur Deine eigene Aussage

„zumindest kann ja selbst die einfachste FW hier Bescheid sagen, daß da jemand raus will. Es liegt dann ja am User, ob er es erlaubt oder nicht......“

widerlegen, wovon Du scheinbar selber überzeugt warst! Hatte sich zumindest so angehört...

Ich wollte nur den Beweis antreten, das (reine) DFW´s nicht vor Sypware schützen können. Es sei denn sie haben z. B. ein entsprechendes Modul implementiert oder man kann dies nachholen.

Dies soll es etwa bei Outpost geben.

Gruß
Internetfan1971

[Grizzly]

stimmt,outpost hat solch plugins....die können sogar soweit eingerichtet werden,daß nicht mal mehr werbung erscheint,von popups ganz zu schweigen.

als gegenmaßnahme zu spyware hat sich übrigens AD-Aware als recht nützlich herausgestellt......

außerdem können reine FW's auch Spyware unterbinden,daß dann natürlich (jetzt mit dem Beispiel DLM) auch kein Download mehr möglich ist,steht auf einem anderen Blatt.......

mir persönlich kommt es darauf an,einen PC zu haben,auf dem sich außer mir niemand herumtummelt........
und daß habe ich IMHO geschafft (auch ohne FW)......

grizzly

[wizard]

Es wundert mich allerdings, daß sich nach den jahrelangen Diskussionen in Foren, Fachzeitschriften usw.  noch keine einheitliche Meinung herausgebildet hat.

Das liegt daran, dass PFs ein riesiger Markt ist. Außerdem macht man sich im Web ja nicht sonderlich beliebt, wenn man irgentwas gegen PFs sagt. Schaut doch nur mal wer so alles von PFs profitiert. Kein Wunder, dass der Hype immer noch da ist:

A) Der Hersteller. Auch wenn einige PFs Freeware sind. Der "Werbefaktor" ist gigantisch (siehe ZoneLabs) und wenn man den Leuten nur oft genug mit fragwürdigen Meldungen ein "Bedrohungsszenario" vorgaugelt, dann klingelt auch in Zukunft die Kasse.

B) (Fach-)Zeitschriften. Das Heft verkauft sich halt besser wenn man vorne auf dem Cover "Schutztools" anpreist. Das man dann im Heft nicht schreiben kann, dass der Schrott nichts taugt versteht sich ja von selbst. Außerdem kann man diese Tools (&Artikel) ganz toll als Security- oder wahlweise nächsten Monat als Hackersonderheft auf den Markt schmeißen.

C) Verlage. Bücher wie man NIS oder ZA benutzt sind schnell und billig produziert (Stichwort Bücher von DAUs für DAUs).

D) Securitywebseiten. Was wäre Trojaner-Info ohne die deutsche Anleitung zu ZoneAlarm. Versteht sich schon fast von selbst, dass die Macher (obwohl sie es eigentlich besser wissen müssten) die Anleitung anbieten, damit ihre Seite im Gespräch bleibt. Naja und über Rokop-Security sage ich an dieser Stelle mal lieber nichts...

Fakt ist, dass es eine "Nachfrage" nach Sicherheit gibt, die keinlerlei Wissen und/oder Lernbereitschaft erfordert. Das dies nicht geht steht eigentlich außer Frage. Das man aber trotzdem diese "Illosion" prima verkaufen kann zeigt ja Symantec mit ihrer derzeitigen Werbekampange, die verstricht umfassend gegen Gefahren aus dem Internet geschützt zu sein, wenn man NIS kauft und installiert.

wizard

[Rokop]

D) Securitywebseiten. Was wäre Trojaner-Info ohne die deutsche Anleitung zu ZoneAlarm. Versteht sich schon fast von selbst, dass die Macher (obwohl sie es eigentlich besser wissen müssten) die Anleitung anbieten, damit ihre Seite im Gespräch bleibt. Naja und über Rokop-Security sage ich an dieser Stelle mal lieber nichts...

Hehe, was soll denn das heissen ? Immerhin setzten wir uns mit dem Thema kritisch auseinander, siehe Firewall FAQ

[wizard]

jetzt aber: wie schaut es denn jetzt mit den phonehome-funktionen einiger Programme aus,oder Spyware (naja,wer cookies hat,hat eh schon welche)??

Cookies = Spyware ist schon überzogen. Denn Cookies können durchaus nützlich sein. Selbst der IE hat ja jetzt eine brauchbare Cookieverwaltung. Somit kann man das "Problem" mit "Boardmitteln" lösen und braucht keine PF dafür.

Gegen Spyware kann eine PF genauso wenig anrichten wie gegen Malware anderer Art. Wenn das Programm in irgenteiner Form (z. B. Onlineupdate, Streaming) mit dem Internet kommunizieren muß, dann entfällt auch hier die "Kontrolle".

Das eigentliche Problem ist aber - zumindest ist das meine eigene Erfahrung - nutzen diese "Phonehome"-Meldungen von PFs meist gar nichts. Denn was genau sagt so eine Meldung eigentlich aus? Was da versendent werden soll? Nein. Ob überhaupt irgentwas gesendet wird? Nein, denn die PF meldet sich ja schon, wenn ein Programm nur überprüft, ob eine Verbindung ins Internet vorhanden ist.

Fazit: Phonehomekontrolle ist eigentlich sinnlos, wenn man nicht alle Programme wirklich überprüfen kann. Auf meinem Rechner sind etliche Programme installiert, die Zugriff aufs Internet brauchen. Somit ist bei mir eine "Phonehome" gar nicht möglich. Und erlich gesagt auch nicht gewünscht, da auf meinem PC nur Programme laufen, die mein "Vertrauen" geniessen bzw. ich akzeptiere, dass diese mich eventuell ausspionieren, weil ich sie entweder nicht (durch andere Software) ersetzen kann oder will (z. B. Windows )

wizard

[wizard]

Es ist zwar sicherlich richtig, das eine PFW i. d. R. nichts oder zumindest nicht viel gegen Viren, Trojaner etc. ausrichten kann, aber ist das die wirkliche Aufgabe einer solchen? Wohl kaum!

Stimmt eine "Firewall" dient zum Trennen von verschiedenen Netzen. Beispielsweise Internet/LAN. Alleine schon aus diesem Grund machen eigentlich Firewalls für Client-Rechner keinen Sinn.

Es ist zwar wohl unbestreitbar das zumindest eine gewisse Anzahl von Trojanern und Viren eine PFW ausschalten kann, aber dies trifft ja genauso gut auf Antivirenprogramme zu! Ich hatte da mal was läuten hören...

Malware, die AV Software attackiert, gab es schon in den 80er des letzten Jahrhunderts . Das Argument hört man häufiger hat aber einen großen gedanklichen Fehler: Die AV Software ist nur solange verwundbar, als dass sie den Virus nicht erkennt. Eine PF ist dauerhaft verwundbar, denn diese Software verhindert ja nicht das Ausführen von Malware.

Hier würde wohl keiner ernsthaft argumentieren sich kein AV-Programm zu installieren, nur weil EINIGE Viren/Trojaner ein AV-Programm ausschalten können!?! :o

Nein. Aus oben genannten Gründen.

Zum Schutz des Rechners und der PFW gibt es gute (!) AV-Programme. Vorzugsweise Kasperky und alle mit deren Scan-Engine.

Super Idee. Ich installier mir eine eine weitere Schutzsoftware, die meine unnütze Schutzsoftware (PF) überwacht. Ist auch besser als sich über ein richtiges Schutzkonzept Gedanken zu machen. Anstatt unötige Dienste zu deaktivieren und damit dauerhaft potenzielle Sicherheitslücken zu schließen, wird einfache eine Software installiert (PF), die eventuell fehlerhaft bzw erst Angriffe ermöglicht.

PFW bieten Dir mit Sicherheit kein Schutz! Wie auch?

100% Zustimmung.

wizard

[wizard]

Hehe, was soll denn das heissen ?    Immerhin setzten wir uns mit dem Thema kritisch auseinander, siehe Firewall FAQ

Exakt. Rokop-Security setzt sich mit dem Thema kritisch auseinander im Gegensatz zu Trojaner-Info, wo man sich ja jezt scheinbar als "Beschützer" der ZoneAlarm-Jünger profilieren will. Siehe dazu diesen Beitrag im Trojaner-Board. http://www.trojaner-board.de/forum/ultimat...c;f=14;t=000317

wizard

[Gast_IRON_*]

.. im Gegensatz zu Trojaner-Info, wo man sich ja jezt scheinbar als "Beschützer" der ZoneAlarm-Jünger profilieren will...

Muss dir zustimmen. Diese Tendenz fällt mir auch auf. Gut, dass ich in dieses Board kam und lernen konnte, bevor es soweit kam.