Hallo Community,

ich lese hier schon eine Weile mit, jedoch hat es mich jetzt gepackt aufgrund der häufigen Nachfragen bzgl. Konfigurationshilfen oder andere Probleme bei Personal Firewalls (PFW) mal etwas Grundsätzliches zum Thema PFWs zu schreiben.

Als erstes kann ich sagen, daß man auf PFW getrost verzichten kann um das zu verstehen muss man jedoch wissen wie eine PFW grundsätzlich funktioniert:

Damit man über eine Netzwerk (z.B. das Internet) kommuniziren kann braucht jeder Teilnehmer (Client) eine eindeutige Adresse (die IP Adresse) das dürfte bekannt sein. Damit nun aber eine Verbindung zustande kommt muss das Programm noch wissen an welchem Port sich das Programm verbinden muss.
Hinter jedem Port sitzt ein Programm, daß einen bestimmten Dienst zu Verfügung stellt. Auf Port 80 bspw. der HTTP Server. Somit "weiss" z.B. der WEbbrowser, daß er sich beim Zielserver (der Internetadresse) auf Port 80 verbinden muss. Das sollte als Eistieg erstmal genügen.

Was macht nun die PFW?

Will sich nun z.B. ein Spywareprogramm mit eurem Rechner bspw. auf Port 135 (Net-BIOS wenn ich mich recht erinnere) verbinden, erkennt das die PFW (wenn sie denn funktioniert) und blockt die entsprechende Anfrage womit eine Verbindung nicht zu Stande kommt. Das ist alles mehr macht eine PFW in der Regel nicht.

An sich gut, aber(!) warum ist denn der Port 135 offen? Wenn ihr diesem Port schliesst kann sich auch nichts verbinden und was noch besser ist, es läuft keine zusätzlich Software, die ja auch Fehler enthalten kann und euch somit angreifbar macht. Mit anderen Worten wenn ihr alle Ports schliesst, die ihr nicht benötigt bzw. falls ihr sie doch mal benötigt nur im Bedarfsfall aktiviert, wird eine PFW schnell überflüssig, mit einer PFW seid ihr sogar zum Teil noch gefährdeter als ohne, da ihr euch so in trügerischer Sicherheit wiegt, die jedoch nicht vorhanden ist. Denn auch eine PFW enhält Fehler im Code und kann somit ausgetrickst werden. Außredem können PFWs problemlos von $SPYWARE beendet werden.

Jetzt könnte man vielleicht denken: "Wenn ich meine Dienste sicher konfiguriert habe _und_ eine PFW bin ich noch sicherer!". Auch diese Annahme ist falsch denn wie gesagt ist eine PFW "nur" ein Programm und Programme enthalten Fehler und Fehler verursachen Sicherheitslücken. Ohne eine PFW hat man diese potenzielle (und gar nicht mal so seltene z.B. berichtet securityfocus (http://www.securityfocus.com) recht häufig darüber) Fehlerquelle gar nicht erst und ist so gesehen sicherer ohne als mit PFW.

Auch das Argument: "Aber meine PFW fragt mich welches Prorgamm ins Internet darf und welches nicht", kann man so nicht gelten lassen. Angenommen Es kommt ein PopUp in dem steht "Progamm xy will ins Internet" und angenommen man weiss, das Programm xy ein Wurm/Trojaner/etc ist. In diesem Fall ist das System offensichtlich kompromitiert worden und muss als unsicher angesehen werden. In diesem Fall konnte ja auch offensichlich ein "böses Programm" auf den Rechner kommen ohne das der Benutzer was davon gemerkt hätte. Wenn ein "böses Programm" auf dem Rechner gelangt ist weiss man nie was sich zusätzlich noch auf dem Rechner eingenistet hat. In diesem Fall hilft meisst nur eine Neuinstallation des Systems. Aber ganz wichtig, die PFW hat hier offensichtlich nicht verhindert das ein "böses Programm" z.B. über eine Sicherheitslücke im Browser, auf das System gelangt ist, aber gerade dazu ist ein PFW doch gedacht, somit hat sie ihrem Zweck nicht erfüllt und stellt so nur ein Sichereitsrisiko da.

So das soll's mal gewesen sein, ich hoffe ich konnte den ein oder anderen Denkanstoß geben und jedem sollte nun klar sein, das man mit einer PFW nicht automatisch sicher ist, im Gegenteil, man durch sie z.T. noch unsicherer und damit angreifbarer wird.

Grüße,

Sith

sowas steht hier schon längst ._.

Gegenfrage:

Ich hab mehrere Dienst mit entsprechend geöffneten Ports auf meiner Workstation. Diese Dienste brauch ich lokal zwingend. Und nicht nur im Bedarfsfall. Eine Filterung der eingehenden Verbindung lassen die Dienste nicht zu.

Wie sieht deine Sicherheitslösung ohne Firewall/Paketfilter aus?

Auch das Argument: "Aber meine PFW fragt mich welches Prorgamm ins Internet darf und welches nicht", kann man so nicht gelten lassen.

Eine PSW ist alleine aus dem grund schon zu empfehlen da mitlerweile fast jedes Programm (Windoofs eingeschlossen) nach belieben "Nachhause telefoniert".
Fast 60% aller progs versuchen wenn eine I-net verbindung aktiv ist und man sie startet irgendwelche User daten zu verschiecken, sorry aber es ist mein Rechner und es geht niemanden etwas an was ich damit mache, und daten zu verschiecken ohne mich zu fragen ist eh das aller letzte........
alleine aus diesen Grund ist ne PFW scho gold wert :wink:


PS: Und ich denke 80% der dau User sind eben nicht in der lage irgendwelche Ports zu schliessen, denen bietet ne PFW wenigstens nen minimal schutz der alle mal besser als garkein schutz ist...


MFG

Diese Diskussion hatten wir hier schon zur Genüge.

Aber schauen wir mal.

Deine Argumente gegen eine Personal Firewall:

"Mit anderen Worten wenn ihr alle Ports schliesst, die ihr nicht benötigt bzw. falls ihr sie doch mal benötigt nur im Bedarfsfall aktiviert, wird eine PFW schnell überflüssig [...]"

Mir fallen spontan zwei Wege ein, die Ports zu "schließen": Die Dienste, die diese Ports bedienen, beenden oder eine Firewall. Einige dieser Dienste sind aber unter Windows leider nötig.

"[...] mit einer PFW seid ihr sogar zum Teil noch gefährdeter als ohne, da ihr euch so in trügerischer Sicherheit wiegt, die jedoch nicht vorhanden ist."

Wiegt sich der, der gar keine Firewall einsetzt, nicht noch mehr in trügerischer Sicherheit?
Ich meine, dass man Zuverlässigkeit von PFWs und Risikobewusstsein hier trennen sollte. Du argumentierst hier nicht gegen PFWs, sondern gegen laxen Umgang damit. Und gegen den laxen Umgang damit bin ich auch.
Genau wie gegen die teilweise übliche Denke: "Mein Auto hat ABS, ESP, Seitenaufprallschutz, 280 Airbags und mich als Fahrer, mir kann also nichts mehr passieren!", ohne aber gegen ABS, ESP, Seitenaufprallschutz und Airbags zu sein.


"Auch diese Annahme ist falsch denn wie gesagt ist eine PFW "nur" ein Programm und Programme enthalten Fehler und Fehler verursachen Sicherheitslücken."

Zum einen: Nehmen wir mal an, ein Fehler in einer Firewall bewirkt, dass diese in 2 % aller Fälle nicht funktioniert. Das heißt aber doch, dass sie 98 % abgewehrt hat. Wenn mich aber nun von 100 Angriffen nur noch 2 treffen, bin ich dann nicht sicherer unterwegs als zuvor?
Zum anderen: Die Alternative zu Personal Firewalls heißt doch Hardware Firewalls. Nun hat aber schon Konrad Zuse in den 1930er Jahren das Zeitalter der Universalrechner eingeläutet, und ein solcher wird auch in jeder Hardware Firewall stecken. Das heißt: Darauf läuft Software (was spätestens beim Firmware-Update deutlich wird). Und diese ist automatisch fehlerfrei?



Zwei Thesen von mir:
a) Personal Firewall erhöhen die Sicherheit, wenn man sich bewusst ist, dass sie nicht gegen alle möglichen und erdenklichen Risiken schützen.
b) Wer gegen PFWs wettert, sich im Auto aber aus Überzeugung statt wegen Bußgeldern anschnallt, handelt inkonsequent.

Mit anderen Worten wenn ihr alle Ports schliesst, die ihr nicht benötigt bzw. falls ihr sie doch mal benötigt nur im Bedarfsfall aktiviert, wird eine PFW schnell überflüssig, mit einer PFW seid ihr sogar zum Teil noch gefährdeter als ohne, da ihr euch so in trügerischer Sicherheit wiegt, die jedoch nicht vorhanden ist.Eine Personal-Firewall blockt (wenn sie richtig konfiguriert wurde), jeden unerwünschten Zugriff von außen - zur Portsperre also keinen großen Unterschied.
Software die bereits auf dem Rechner ist, kann aber genauso gut gesperrte Ports wieder aktivieren - wie eine Personal Firewall umgehen. Noch dazu sind Personal Firewalls oftmals einfacher aufgebaut, leichter zu bedienen und bieten zusätzliche Funktionen, die eventuell nützlich sind (Programmberechtigungen usw.).

Außredem können PFWs problemlos von $SPYWARE beendet werden.Das kann man so nicht sagen.
Wenn man mit Benutzerrechten arbeitet, hat jegliche Software KEINEN Zugriff auf diese Dateien und kann sie auch nicht verändern/löschen.
Die meisten Personal Firewalls lassen sich auch mit einem Passwort versehen.
Ohne dieses Passwort lassen sich die Einstellungen nicht verändern oder die Personal Firewall nicht beenden. So lässt sich z.B. vermeiden, das sich Schadprogramme selbst den Zugriff auf das Internet gewähren.

Außerdem verfügen nur sehr wenige schadprogramme über eine Funktion, die alle gängigen Firewalls beenden kann.
Der großteil der Schädlinge kann mit Personal Firewalls überhaupt nichts anfangen.

Auch das Argument: "Aber meine PFW fragt mich welches Prorgamm ins Internet darf und welches nicht", kann man so nicht gelten lassen. Angenommen Es kommt ein PopUp in dem steht "Progamm xy will ins Internet" und angenommen man weiss, das Programm xy ein Wurm/Trojaner/etc ist. In diesem Fall ist das System offensichtlich kompromitiert worden und muss als unsicher angesehen werden. In diesem Fall konnte ja auch offensichlich ein "böses Programm" auf den Rechner kommen ohne das der Benutzer was davon gemerkt hätte. Wenn ein "böses Programm" auf dem Rechner gelangt ist weiss man nie was sich zusätzlich noch auf dem Rechner eingenistet hat.Das erste Schadprogramm kommt selten "von allein" auf den Rechner, da ja alle unerwünschten Zugriffe von "außen" nicht automatisch angenommen werden.
Das erste Schadprogramm wird oft vom Nutzer selbst auf den Rechner geladen (z.B. durch emails, ausführen von infizierten Programmen usw.)

Hier ist eine Firewall schon vom Vorteil: Sie zeigt sofort an, wenn ein Programm auf das Internet zugreifen will.
So kann der User unter anderem verhindern, das z.B. Passwörter versendet werden.
Durch die Log-Dateien wird man oftmals überhaupt erst aufmerksam auf einen Schädling.
Wenn dieser nicht "gemeldet" werden würde, könnte es durchaus sein, das ein Durchschnittuser nichts davon merkt und das Schadprogramm wochenlang seine Funktionen ausübt.

In diesem Fall hilft meisst nur eine Neuinstallation des Systems. Aber ganz wichtig, die PFW hat hier offensichtlich nicht verhindert das ein "böses Programm" z.B. über eine Sicherheitslücke im Browser, auf das System gelangt ist, aber gerade dazu ist ein PFW doch gedacht, somit hat sie ihrem Zweck nicht erfüllt und stellt so nur ein Sichereitsrisiko da.Eine Firewall ist nicht dazu gedacht, Sicherheitslücken zu schließen. Sicherheitslücken gefährden jedes System, egal wie gut es geschützt ist.

Och nö....nicht schon wieder so ein Diskurs!!

Soll doch jeder selbst entscheiden!

mfg

Ui so viele Antworten gleich ;-) na dann wollen wir dochmal:

Gegenfrage:
Ich hab mehrere Dienst mit entsprechend geöffneten Ports auf meiner Workstation. Diese Dienste brauch ich lokal zwingend. Und nicht nur im Bedarfsfall. Eine Filterung der eingehenden Verbindung lassen die Dienste nicht zu.

Wie sieht deine Sicherheitslösung ohne Firewall/Paketfilter aus?
Also wenn die Dienste sowieso benötigt werden bzw. die Programme die diesen Dienst anbieten dürfen Verbindungen herstellen dann hast Du diesen Programmen doch sowieso erlaubt Verbindungen herzustellen. Da filtert dann aber keine PFW mehr was, da du diese Programme eben als vertrauenwürdig eingestellt hast. Sogesehen macht es keinen Unterschied ob Du eine PFW laufen hast oder nicht. Nur eben, das eine PFW einen weiteren Angriffspunkt darstellt.

Ich gehe davon aus, daß die Workstaion bei Dir auf Arbeit ist, da sollte es Aufgabe des Admins sein eine "richtige" Firewall (bspw. eine Linuxmaschine auf der IP Tables aktiviert ist und eine entsprechende Security Policy) eingerichtet zu haben.

Mir fallen spontan zwei Wege ein, die Ports zu "schließen": Die Dienste, die diese Ports bedienen, beenden oder eine Firewall. Einige dieser Dienste sind aber unter Windows leider nötig.
Wenn Dienste benötigt werden bzw. die Programme die diese Dienst anbieten, dann nützt Dir deine PFW nichts, da Du dem Programm sowieso gestatten musst Verbindungen herzustellen, anderfalls könntest Du es nicht nutzen und könntest es so gleich abstellen. Wo ist da bitte der Nutzen der PFW?
Welche Dienste wären das bei Windows den speziell auf die Du absolut nicht verzichten kannst?

Zum einen: Nehmen wir mal an, ein Fehler in einer Firewall bewirkt, dass diese in 2 % aller Fälle nicht funktioniert. Das heißt aber doch, dass sie 98 % abgewehrt hat. Wenn mich aber nun von 100 Angriffen nur noch 2 treffen, bin ich dann nicht sicherer unterwegs als zuvor?
Nein bist Du nicht, genau das ist es was ich mit trügerischer Sicherheit meine. Beim Sicherheitsrelvanten Fragen geht man _immer_ vom "worst case" aus. Eine PFW schützt Dich eben vor diesem anscheinend nicht, also kannst Du sie auch weglassen. Hinzu kommt, daß durch die Benutzung von PFW eine unbekannte Anzahl neuer Angriffspunkte entsteht. So gesehen geht auch die Prozentaufgabe dort nicht auf. Denn Du weisst nie wieviel Prozent der Angriffe abgewehrt werden können. Eine unbekannte Prozentgröße _muss_ man in diesem Fall auf 0 setzten (Stichwort worst case). Also bist weniger angreifbar ohne ein PFW.

Zum anderen: Die Alternative zu Personal Firewalls heißt doch Hardware Firewalls. Nun hat aber schon Konrad Zuse in den 1930er Jahren das Zeitalter der Universalrechner eingeläutet, und ein solcher wird auch in jeder Hardware Firewall stecken. Das heißt: Darauf läuft Software (was spätestens beim Firmware-Update deutlich wird). Und diese ist automatisch fehlerfrei?
Nein hab ich auch nicht behauptet. Nur wenn Du z.B. einen dezidierte Linuxmaschine benutzt hast Du dort dann open source Software drauf. Open Source Software wird nun aber von Millionen Entwicklern weltweit untersucht dadruch werden Fehler schneller gefunden und behoben, als bei einer Software in einer Firma, wo keiner weiss wie die PFW intern funktioniert. Des weiteren funktionieren Hardware Firewalls nicht wie PFW. Das kann man somit nicht direkt vergleichen.

a) Personal Firewall erhöhen die Sicherheit, wenn man sich bewusst ist, dass sie nicht gegen alle möglichen und erdenklichen Risiken schützen.
Das ist schlicht falsch (siehe oben)!


Wenn man mit Benutzerrechten arbeitet, hat jegliche Software KEINEN Zugriff auf diese Dateien und kann sie auch nicht verändern/löschen.
Die meisten Personal Firewalls lassen sich auch mit einem Passwort versehen.
Ohne dieses Passwort lassen sich die Einstellungen nicht verändern oder die Personal Firewall nicht beenden. So lässt sich z.B. vermeiden, das sich Schadprogramme selbst den Zugriff auf das Internet gewähren.
Wenn $SPYWARE als Admin installiert wurde und dann auch mit Adminrechten läuft sieht die Sache wieder ganz anders aus. Meistens reichen auch schon normale Benutzerrechte aus um die Filterregel so zu verändern, das $SPYWARE Verbindungen herstellen kann.

Außerdem verfügen nur sehr wenige schadprogramme über eine Funktion, die alle gängigen Firewalls beenden kann.
Der großteil der Schädlinge kann mit Personal Firewalls überhaupt nichts anfangen.
Wieder die trügerische Sicherheit, ich würde mich ehrlich gesagt nicht darauf verlassen, daß die $SPYWARE gerade für meine PFW keinen Exploit dabei hat. Außerdem muss man nicht undingt die PFW beenden es reicht schon aus die Filterregeln etwas umzubiegen, oder sich als ein vermeintlich vertrauenwürdiges Programm zu tarnen.

Das erste Schadprogramm kommt selten "von allein" auf den Rechner, da ja alle unerwünschten Zugriffe von "außen" nicht automatisch angenommen werden.
Das erste Schadprogramm wird oft vom Nutzer selbst auf den Rechner geladen (z.B. durch emails, ausführen von infizierten Programmen usw.)
Tja eben nicht! Ein übertiebenes Beispiel wie schnell Schadsoftware auf den Rechner kommen kann ohne das der User etwas merkt findet man bei heise Security (http://www.heise.de/security/artikel/49687) (und Teil 2 (http://www.heise.de/security/artikel/50377)).

Eine Firewall ist nicht dazu gedacht, Sicherheitslücken zu schließen. Sicherheitslücken gefährden jedes System, egal wie gut es geschützt ist.
Das stimmt nur eben das durch die Benutzung einer PFW eine unbekannte Anzahl Sicherheitslücken zusätzlich auf dem Rechner landen.


Grüße

Sith

Och nö....nicht schon wieder so ein Diskurs!!

Soll doch jeder selbst entscheiden!

mfg
Dachte ich auch, als ich diesen Fred sah. Wenn hier jetzt nochmal die übliche Hackerei los geht, mach ich ihn ohne weitere Warnung dicht.

Auch mal die SuFu benutzen.

Wenn $SPYWARE als Admin installiert wurde und dann auch mit Adminrechten läuft sieht die Sache wieder ganz anders aus. Meistens reichen auch schon normale Benutzerrechte aus um die Filterregel so zu verändern, das $SPYWARE Verbindungen herstellen kann.Wer ständig mit Adminrechten arbeitet, der hat sowieso niemals ein sicheres System ;)
Mit Benutzerrechten sieht die Sache ganz anders aus: Man sollte die Dateirechte mit dem Admin-Account so einrichten, das der Benutzer selbst keinen Zugriff auf alle wichtigen Systemdateien und Programme hat.
Ein Virus/Trojaner/Wurm der auf den Rechner gelangt, hat somit auch nur eingeschränkte Rechte zur Verfügung.
Schützt man die PF nun noch mit einem Passwort, lassen sich ungewollte Einträge nicht mehr vornehmen.

Wieder die trügerische Sicherheit, ich würde mich ehrlich gesagt nicht darauf verlassen, daß die $SPYWARE gerade für meine PFW keinen Exploit dabei hat. Außerdem muss man nicht undingt die PFW beenden es reicht schon aus die Filterregeln etwas umzubiegen, oder sich als ein vermeintlich vertrauenwürdiges Programm zu tarnen.Hier nützt aber auch die beste Hardware-Firewall nichts.
Wenn sich ein Programm gut tarnt und der Nutzer denkt, das sei sicher, dann wird er sich nicht weiter darum kümmern und den Zugriff womöglich erlauben.
Da hilft das beste Sicherheitskonzept nicht.
Der User selbst muss ebenso wissen, was er zu tun hat. Ansonsten ist jedes Sicherheitskonzept nutzlos.


Tja eben nicht! Ein übertiebenes Beispiel wie schnell Schadsoftware auf den Rechner kommen kann ohne das der User etwas merkt findet man bei heise Security (http://www.heise.de/security/artikel/49687) (und Teil 2 (http://www.heise.de/security/artikel/50377)).Den großteil dieser Schadprogramme hätte man getrost ignorieren können, wenn man folgende Ratschläge beachtet hätte:

- aktuellste Updates für das Betriebssystem (damit wäre der Exploit der dort aufgeführt ist, wirkungslos gewesen)
- höhere Sicherheitseinstellungen im Browser oder Browserwechsel
- aktueller Virenscanner (hätte den Download der Schadsoftware blockiert und die Datei sofort gelöscht)

Eine Personal Firewall hätte auch geholfen, wenn die Datei trotzdem auf dem Rechner gekommen wäre: Sie hätte verhindert, das dieses Programm andere ausführbare Dateien "nachlädt".

Wenn der User diese einfachen Ratschläge nicht berücksichtigt, dann ist ihm nicht mehr zu helfen - egal wie gut das Sicherheitskonzept war ;)

@Sith_TirEilo
Bspw. bei einem nicht vollständig gepatchten Windows XP mit Sp1 schützt eine PFW vor den bekannten Würmern die ansonsten kurz nach erstellen einer Internetverbindung das System infizieren würden. Von daher sind deine "0 % mehr Sicherheit, wegen Worst Case-Szenario" schöne Theorie aber leider nicht praxistauglich.

Das ein Router im allgemeinen einen besseren Schutz bietet stellt ja keiner in Frage, genau so sieht es mit dem tollen Linux-Proxy als Firewall-Beispiel aus. Aber leider sind diese nicht umsonst zu haben und erfordern doch zum Teil sehr detaillierte Kenntnisse in Bereichen die ein normaler Windows-Nutzer nicht hat.

Hi,

Wer ständig mit Adminrechten arbeitet, der hat sowieso niemals ein sicheres System
Mit Benutzerrechten sieht die Sache ganz anders aus: Man sollte die Dateirechte mit dem Admin-Account so einrichten, das der Benutzer selbst keinen Zugriff auf alle wichtigen Systemdateien und Programme hat.
Ein Virus/Trojaner/Wurm der auf den Rechner gelangt, hat somit auch nur eingeschränkte Rechte zur Verfügung.
Schützt man die PF nun noch mit einem Passwort, lassen sich ungewollte Einträge nicht mehr vornehmen.
Ja das stimmt womöglich, aber wenn man sowieso mit Benutzerrechten arbeitet braucht man auch keine PFW da sowieso nur Programme installiert werden können wenn man über die entsprechenden Rechte verfügt. So gesehen ist in diesem Fall auch eine PFW überflüssig. Schafft es $SPYWARE trotz Benutzerrechten sich zu installieren oder Einträge der Registry zu ändern, kann man davon ausgehen, dass diese Software dann auch in der Lage ist trotz Benutzerrechte gewisse Regelen der PFW zu ändern. So oder so ist die PFW IMHO überflüssig.

Hier nützt aber auch die beste Hardware-Firewall nichts.
Wenn sich ein Programm gut tarnt und der Nutzer denkt, das sei sicher, dann wird er sich nicht weiter darum kümmern und den Zugriff womöglich erlauben.
Da hilft das beste Sicherheitskonzept nicht.
Der User selbst muss ebenso wissen, was er zu tun hat. Ansonsten ist jedes Sicherheitskonzept nutzlos.
Das würde ich so nicht sagen, da Hardware Firewalls solche Sachen wie "Wo geht das Paket hin, wo kommt es her, welcher Client hat das gesendet etc. pp." unterscheiden. So gesehen hat man dort sehr viel mehr Möglichkeiten gewisse Sachen zu unterbinden.

Den großteil dieser Schadprogramme hätte man getrost ignorieren können, wenn man folgende Ratschläge beachtet hätte:

- aktuellste Updates für das Betriebssystem (damit wäre der Exploit der dort aufgeführt ist, wirkungslos gewesen)
- höhere Sicherheitseinstellungen im Browser oder Browserwechsel
- aktueller Virenscanner (hätte den Download der Schadsoftware blockiert und die Datei sofort gelöscht)

Eine Personal Firewall hätte auch geholfen, wenn die Datei trotzdem auf dem Rechner gekommen wäre: Sie hätte verhindert, das dieses Programm andere ausführbare Dateien "nachlädt".
Du sagst es hätte der User alle Sicherheitsupdates von MS bezogen wäre das nicht passiert und er bräuchte auch keine PFW die verhindert, dass $SPYWARE Dateien nachlädt ;-)

Wenn der User diese einfachen Ratschläge nicht berücksichtigt, dann ist ihm nicht mehr zu helfen - egal wie gut das Sicherheitskonzept war
Da hast Du natürlich vollkommen recht! ;-)

Bspw. bei einem nicht vollständig gepatchten Windows XP mit Sp1 schützt eine PFW vor den bekannten Würmern die ansonsten kurz nach erstellen einer Internetverbindung das System infizieren würden. Von daher sind deine "0 % mehr Sicherheit, wegen Worst Case-Szenario" schöne Theorie aber leider nicht praxistauglich.
Ja bei einem nicht vollständig gepachten System, aber wer es nach Sasser und Co. immer noch nicht mitbekommen hat (kam sogar in den Nachrichten) wie wichtig Sicherheitsupdates sind dem ist nicht mehr zu helfen (auch mit PFW).
Mal ehrlich, wie schwer ist es zweimal in der Woche auf "Windows Update" zu klicken oder wenn man dafür zu faul ist die automtischen Updates zu aktivieren? Das finde ich (vom sogenannten DAU Standpunkt) deutlich komfortabler und einfacher als für jedes Programm zu entscheiden ob es nun nach "draussen darf" oder nicht.

Grüße,

Sith

Seit wann kostet ein Linux-Proxy etwas? Squid z.B. gibt es für lau.
Genauso kannst Du Dir auch einen Router aus einem alten PC zusammen bauen und mit Linux einen Router draus machen.
Die Kosten sind ja wohl überschaubar. Das Wissen muss hierbei auch nicht grösser sein, als bei einem Hardware-Router.

So long Ajax

... Ja bei einem nicht vollständig gepachten System, aber wer es nach Sasser und Co. immer noch nicht mitbekommen hat (kam sogar in den Nachrichten) wie wichtig Sicherheitsupdates sind dem ist nicht mehr zu helfen (auch mit PFW).
Mal ehrlich, wie schwer ist es zweimal in der Woche auf "Windows Update" zu klicken oder wenn man dafür zu faul ist die automtischen Updates zu aktivieren? Das finde ich (vom sogenannten DAU Standpunkt) deutlich komfortabler und einfacher als für jedes Programm zu entscheiden ob es nun nach "draussen darf" oder nicht.

Grüße,

Sith Tja wenn da nicht das kleine Problem einer Neuinstallation wäre ... Und wer bitte hat schon eine XP-CD mit integriertem SP2? (ich ja :D)

Ausserdem geht es bei der Kontrolle der Programme nicht nur darum das sich Trojaner oder ähnliches da melden, sondern meistens eher um normale Programme die irgendwelche Daten mit den Internet austauschen wollen wie bspw. den Mediaplayer (wenn er nicht entsprechend konfiguriert wurde).

Seit wann kostet ein Linux-Proxy etwas? Squid z.B. gibt es für lau.
Genauso kannst Du Dir auch einen Router aus einem alten PC zusammen bauen und mit Linux einen Router draus machen.
Die Kosten sind ja wohl überschaubar. Das Wissen muss hierbei auch nicht grösser sein, als bei einem Hardware-Router.

So long Ajax Nicht jeder hat einen kompletten alten Rechner zu Hause den er mal eben in Null-Komma-Nix in einen Linux-Proxy umbauen und konfigurieren kann. Also ohne Kosten und entsprechendem Zeitaufwand kommt man da eher selten weg und genau das ist ein wichtiger Nachteil gegenüber einer PFW.

Tja wenn da nicht das kleine Problem einer Neuinstallation wäre ... Und wer bitte hat schon eine XP-CD mit integriertem SP2? (ich ja )

Ausserdem geht es bei der Kontrolle der Programme nicht nur darum das sich Trojaner oder ähnliches da melden, sondern meistens eher um normale Programme die irgendwelche Daten mit den Internet austauschen wollen wie bspw. den Mediaplayer (wenn er nicht entsprechend konfiguriert wurde).
Ich sehe da kein Problem: XP neu installieren auf "Windows Update" klicken fertig! Solang man nicht auf ominöse Websites surft kann dort nichts passieren bzw. nicht mehr als mit PFW (die ja auch erstmal aus dem Internet geladen werden muss). Also das halte ich für kein gutes Argument für PFWs.

Bei MS Prgrammen sind die entsprechenden Optionen ja auch treffend bezeichnet (z.B. beim Mediaplayer: "Linzenzinformationan automatisch aus dem Internet laden", oder bei Windows "Automatische Updates aus dem Internet laden" etc .pp). Wer Programme aus dem Internet lädt und sich wundert das diese Verbindungen ins Internet herstellen obwohl man dies nicht will, tja da kann man nur sagen das man solche Programme dann eben nicht benutzen soll. Ist für mich also auch nicht unbedingt ein Argument für PFWs.




Seit wann kostet ein Linux-Proxy etwas? Squid z.B. gibt es für lau.
Genauso kannst Du Dir auch einen Router aus einem alten PC zusammen bauen und mit Linux einen Router draus machen.
Die Kosten sind ja wohl überschaubar. Das Wissen muss hierbei auch nicht grösser sein, als bei einem Hardware-Router.

So long Ajax
Nicht jeder hat einen kompletten alten Rechner zu Hause den er mal eben in Null-Komma-Nix in einen Linux-Proxy umbauen und konfigurieren kann. Also ohne Kosten und entsprechendem Zeitaufwand kommt man da eher selten weg und genau das ist ein wichtiger Nachteil gegenüber einer PFW.
Ich sehe das ehr als wichtigen Vorteil gegenüber PFW, denn wenn man sich mit der Materie auseinandersetzt (setzen muss) bekommt man auch ein besseres Sicherheitsbewusstsein.
Ich persönlich finde es aber noch einfacher die automatischen Updates zu aktivieren, die Dienste einmal(!) sicher zu konfigurieren (www.ntsvcfg.de) und anschliessend Vorsicht walten zulassen bei unbekannten Attachments etc. pp. Für mich viel einfacher als dauernde "das Prorgamm will ins Internet, ja oder nein?" Fragen zu beantworten.

Grüße,

Sith

Ich sehe da kein Problem: XP neu installieren auf "Windows Update" klicken fertig! Solang man nicht auf ominöse Websites surft kann dort nichts passieren bzw. nicht mehr als mit PFW (die ja auch erstmal aus dem Internet geladen werden muss). Also das halte ich für kein gutes Argument für PFWs.

Bei MS Prgrammen sind die entsprechenden Optionen ja auch treffend bezeichnet (z.B. beim Mediaplayer: "Linzenzinformationan automatisch aus dem Internet laden", oder bei Windows "Automatische Updates aus dem Internet laden" etc .pp). Wer Programme aus dem Internet lädt und sich wundert das diese Verbindungen ins Internet herstellen obwohl man dies nicht will, tja da kann man nur sagen das man solche Programme dann eben nicht benutzen soll. Ist für mich also auch nicht unbedingt ein Argument für PFWs.

Ich sehe das ehr als wichtigen Vorteil gegenüber PFW, denn wenn man sich mit der Materie auseinandersetzt (setzen muss) bekommt man auch ein besseres Sicherheitsbewusstsein.
Ich persönlich finde es aber noch einfacher die automatischen Updates zu aktivieren, die Dienste einmal(!) sicher zu konfigurieren (www.ntsvcfg.de) und anschliessend Vorsicht walten zulassen bei unbekannten Attachments etc. pp. Für mich viel einfacher als dauernde "das Prorgamm will ins Internet, ja oder nein?" Fragen zu beantworten.

Grüße,

Sith Naja ich habe mal die integrierte Firewall von XP zu den PFW gezählt und ohne diese fängt man sich innerhalb sehr kurzer Zeit einen Wurm ein (W32Blaster, MyDoom, Sasser, ...), siehe bspw. auch hier:
http://www.microsoft.com/germany/ms/security/sasser.mspx

Was die Programme angeht war dies natürlich nicht speziell auf Software von MS bezogen, man kann genauso auch WinDVD oder auch Sacred (das Spiel) als Beispiel nehmen. Ob es unbedingt immer sinnvoll solche Programme einzusperren ist natürlich eine andere Sache, aber solange ich nicht weiß wieso ein Programm ins Internet will lass ich es auch nicht frewillig raus.

Deiner Ansicht bez. des "wichtigen Vorteils" werden aber wahrscheinlich über 90 % der PFW-Nutzer nicht teilen, weil sie einfach nur das Internet mit ihrem (mehr oder weniger) bekannten Windows nutzen wollen, ohne sich bspw. mit Linux oder sonstigen Proxy-Servern auseinandersetzen zu müssen. Und ich wüßte im Moment auch nicht wo ich einen solchen hinstellen sollte ...

Das man grundsätzlich erstmal ein "Computerführerschein" machen sollte bevor man einen PC benutzt oder im Internet surft halte ich aber für eine sehr gute Idee. Wenn ich alleine schon daran denke das XP standardmäßig die bekannten Dateitypen ausblendet, und dann soll der normale Nutzer auch noch wissen/raten welche Dateien er öffen kann/darf und welche besser nicht ...

Ich sehe da kein Problem: XP neu installieren auf "Windows Update" klicken fertig! Solang man nicht auf ominöse Websites surft kann dort nichts passieren bzw. nicht mehr als mit PFW (die ja auch erstmal aus dem Internet geladen werden muss). Also das halte ich für kein gutes Argument für PFWs.


Tja, dann mach mal folgendes...

Installiere WinXP (ungepatched) und wähle dich einfach ins Internet (ohne einen browser zu öffnen)...

Dort wirst Du dir innerhalb von 20-60 Min. (Duchschnitt) 100% was einfangen!
Teilweise schon nach wenigen Sekunden!

Viel Spaß!

Ich sehe da kein Problem: XP neu installieren auf "Windows Update" klicken fertig! Solang man nicht auf ominöse Websites surft kann dort nichts passieren bzw. nicht mehr als mit PFW (die ja auch erstmal aus dem Internet geladen werden muss). Also das halte ich für kein gutes Argument für PFWs.


Du bist also um die Sicherheit deines Rechners sehr besorgt, weißt aber nichteinmal das es für Windows Würmer gibt, die sich ohne Nutzerinteraktion installieren. (Sasser, Blaster, und konsorten)
Um einen Rechner zu sichern, sollte man auch darüber bescheid wissen, was für Gefahren bestehen.

Das meiste wurde ja schon gesagt, darum halt ich mich kurz: Irgendeine Firewall ist immernoch besser als garkeine Firewall.

Hi,

also mal etwas Allg. zur Neuinstallation, natürlich ist man mit einem frischen (ungepachten) Windows sehr gefährdet, aber gegen Sasser hilft ein einfaches Sicherheitsupdate das viel schneller runtergeladen ist als eine PFW. Des weiteren ist es IMHO viel sinnvoller sich von MS (kostenlos) die CD mit dem SP2 zu schicken zu lassen, um so die entsprechenden Patches offline zu installieren.

Allgemein ist es auch so, daß man in bei einer PFW nur sieht welches Programm nach Hause telefoniert, weil diese Programme sich an die MS APIs halten und "gut" geschreiben sind. Ein Schadprogramm wurde jedoch so konstruiert um nicht entdeckt zu werden, so ein Programm hält hält sich dann auch nicht 100%ig an die Regeln von MS, wozu auch es will ja nicht entdeckt werden. Mit anderen Worten wenn ein Programm nicht zeigen will das es nach Hause telefoniert, dann "sieht" man das auch nicht, auch nicht mit einer PFW. Beweise dafür finden sich genug in News-Groups (news.google.de) oder bei google (www.google.com), oder etwas allgemeinere Details zum Thema PFWs (http://www.ntsvcfg.de/linkblock.html) sind ebenfalls verfügbar.

Tja, dann mach mal folgendes...

Installiere WinXP (ungepatched) und wähle dich einfach ins Internet (ohne einen browser zu öffnen)...

Dort wirst Du dir innerhalb von 20-60 Min. (Duchschnitt) 100% was einfangen!
Teilweise schon nach wenigen Sekunden!Wer macht denn sowas? Wer wählt sich ins Internet ein und macht dann nichts und wartet sozusagen bis man erfolgreich angegriffen wurde? Also als erstes würde ich dan mal meine Dienste entsprechen konfigurieren und danach die kritischsten Updates runterladen (z.B. für Sasser), die Updates sind vielleicht ~2,5MB groß, dauert also genauso lange, wenn nicht sogar weniger, wie eine PFW runterzuladen.

Du bist also um die Sicherheit deines Rechners sehr besorgt, weißt aber nichteinmal das es für Windows Würmer gibt, die sich ohne Nutzerinteraktion installieren. (Sasser, Blaster, und konsorten)
Um einen Rechner zu sichern, sollte man auch darüber bescheid wissen, was für Gefahren bestehen.Okay, dann gehen wir doch mal ins Detail: Blaster nutzt eine Sicherheitslücke im RPC Dienst von Windows, Du würdest jetzt ne PFW installieren um diese Lücke zu überdecken (Du bekämpfst das Symptom), ich würde den RPC Dienst einfach abschalten und damit die Ursache neutralisieren (wer will denn RPC ins Internet anbieten???).

Sasser nutzt hingegen ein Schwäche beim LSASS Dienst, hier hilft IIRC tatsächlich nur ein Patch aber eben auch dieser Patch ist schneller runtergeladen als eine PFW.

Auch "Konsotern" bleiben draussen wenn das System sicher konfiguriert ist und man nicht bei jeder Frage vom IE schnell "ja" anklickt (wovor auch keine PFW schützt). Des Weiteren bietet MS (ob man sie nun mag oder nicht) eigentlich immer rechtzeitig entsprechende Patches an, die dann auch immer verfügbar sind bevor Programme eben dies Lücken ausnutzen.

Aber das alles weisst Du ja als jemand, der "darüber Bescheid weiss, was für Gefahren bestehen". So gesehen verwundert mich es dann schon warum Du auf PFW setzt?

Grüße,

Sith

Okay, dann gehen wir doch mal ins Detail: Blaster nutzt eine Sicherheitslücke im RPC Dienst von Windows, Du würdest jetzt ne PFW installieren um diese Lücke zu überdecken (Du bekämpfst das Symptom), ich würde den RPC Dienst einfach abschalten und damit die Ursache neutralisieren (wer will denn RPC ins Internet anbieten???).


Leider falsch. Wenn du RPC beendest wird dir dein Windows keine Freude mehr bereiten. Es werden sehr viele Sachen nicht mehr funktionieren, wenn Windows überhaupt noch ordentlich booten kann ohne RPC.


Sasser nutzt hingegen ein Schwäche beim LSASS Dienst, hier hilft IIRC tatsächlich nur ein Patch aber eben auch dieser Patch ist schneller runtergeladen als eine PFW.


Auch falsch. Die Sicherheitslücke die Sasser ausnutzt, betrifft ebenfalls den RPC Dienst bzw. den offenen RPC Port.
Sowohl Sasser als auch Blaster kann man begegnen, indem man DCOM in seinem Windows abschaltet. Dadurch funktioniert RPC noch, es wird nur der Port nach aussen geschlossen.


Auch "Konsotern" bleiben draussen wenn das System sicher konfiguriert ist und man nicht bei jeder Frage vom IE schnell "ja" anklickt (wovor auch keine PFW schützt). Des Weiteren bietet MS (ob man sie nun mag oder nicht) eigentlich immer rechtzeitig entsprechende Patches an, die dann auch immer verfügbar sind bevor Programme eben dies Lücken ausnutzen.


Wie 'schnell' Microsoft Sicherheitslücken beseitigt, sieht man gerade an dem aktuellen JPEG Vulnerabillity Patch. Diese Sicherheitslücke wurde Microsoft schon im Oktober 2003 gemeldet.
Soviel zu 'MS bietet rechtzeitig Patches an'.


Aber das alles weisst Du ja als jemand, der "darüber Bescheid weiss, was für Gefahren bestehen". So gesehen verwundert mich es dann schon warum Du auf PFW setzt?


Wie du siehts, weiss ich Bescheid.
Und nebenbei benutze ich keine PFW, sonder ein Intrusion Detection System um den eingehenden Netzwerktraffic analysieren zu lassen.

Hi,

Leider falsch. Wenn du RPC beendest wird dir dein Windows keine Freude mehr bereiten. Es werden sehr viele Sachen nicht mehr funktionieren, wenn Windows überhaupt noch ordentlich booten kann ohne RPC.Allso abschalten ist vielleicht wirklich etwas übertrieben, allerdings kann man den RPC Dienst in Windows durchaus von "Netzwerkdienst" auf "Lokales System" umstellen.
"RPC (Remote Procedure Call oder Remoteprozeduraufruf) an sich ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar." - das sagt MS dazu.

Sowas würde ich dennoch nicht ins Internet anbieten und alles Programme/Dienste die dies benötigen (z.B. Netzwerkfreigaben etc. pp) vom externen Netzwerk Interface trennen.

Nichts desto Trotz gibt es dafür ja einen Patch der das System quasi Immun macht. Um wieder Ontopic zu werden: Wo und vor allem wie schützt mich da die PFW, denn eine PFW kann mich nicht vor Programmfehlern schützen?

Die Sicherheitslücke die Sasser ausnutzt, betrifft ebenfalls den RPC Dienst bzw. den offenen RPC Port.
Sowohl Sasser als auch Blaster kann man begegnen, indem man DCOM in seinem Windows abschaltet. Dadurch funktioniert RPC noch, es wird nur der Port nach aussen geschlossen.Also der Sasser Wurm verbeitet sich folgendermaßen: Er scanned auf Port 445/TCP nach Systemen, die gegen die LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996).
Die LSASS (=Local Security Authority Subsystem Service) Sicherheitslücke erlaubt einem unauthentifizierten Angreifer das beherbergende Rechnersystem mittels eines RPC-Pakets zu kompromittieren.
Das dies mit einem RPC Paket möglich kann man aber nicht RPC anlasten, sondern muss es eben dem LSASS Dienst anlasten, da es erst durch einen Fehler im LSASS Dienst möglich ist das System zu kompromittieren.
Lange Rede kurzer Sinn, Sasser nutzt eine Sicherheitsschwäche im LSASS Dienst aus und nicht(!) im RPC Dienst.
Wieder muss ich sagen, vor solchen Sichheritslücken im OS selbst schützt auch eine PFW nichts.

Wie 'schnell' Microsoft Sicherheitslücken beseitigt, sieht man gerade an dem aktuellen JPEG Vulnerabillity Patch. Diese Sicherheitslücke wurde Microsoft schon im Oktober 2003 gemeldet.
Soviel zu 'MS bietet rechtzeitig Patches an'.
Das ist korrekt allerdings ist mir (noch) keine Schadsoftware bekannt die eben diesen Bug ausnutzt, so gesehen war MS mit dem Patch doch wieder schneller ;-). Aber stimmt schon das sowas solange bekannt ist und behoben wird spricht für mich Bände.
Aber kannst Du mir Schadsoftware nennen die eine Sicherheitslücke in Windows (und nur in Windows, OE oder IE Lücken zählen nicht) ausgenutzt hat bevor es einen entsprechenden Patch gab? Mir fällt da auf die Schnelle keine ein.
Und ein drittes mal kann ich nur sagen das vor Fehlern im OS keine PFW schützt!

Wie du siehts, weiss ich Bescheid.Habe ja nicht das Gegenteil behauptet :D

Und nebenbei benutze ich keine PFW, sonderm ein Intrusion Detection System um den eingehenden Netzwerktraffic analysieren zu lassen.Mich interessiert welche IDS Du denn da unter Windows benutzt. Ich wusste bis jetzt nicht einmal das es sowas überhaupt für Windows (umsonst) gibt, geschweige denn, das daß jemand unter Win nutzt. Ich kenne da eigentlich nur entsprechende Unix Systeme (snort, prelude etc.)
Aber das hat auch herzlich wenig mit PFWs und deren Sinn zu tun und wird somit etwas Offtopic.

Grüße,

Sith

Hi,
Aber kannst Du mir Schadsoftware nennen die eine Sicherheitslücke in Windows (und nur in Windows, OE oder IE Lücken zählen nicht) ausgenutzt hat bevor es einen entsprechenden Patch gab?
Wie willst du Windows, OE und den IE trennen?

Hallo Community,

ich lese hier schon eine Weile mit, jedoch hat es mich jetzt gepackt aufgrund der häufigen Nachfragen bzgl. Konfigurationshilfen oder andere Probleme bei Personal Firewalls (PFW) mal etwas Grundsätzliches zum Thema PFWs zu schreiben.

Als erstes kann ich sagen, daß man auf PFW getrost verzichten kann um das zu verstehen muss man jedoch wissen wie eine PFW grundsätzlich funktioniert:

Damit man über eine Netzwerk (z.B. das Internet) kommuniziren kann braucht jeder Teilnehmer (Client) eine eindeutige Adresse (die IP Adresse) das dürfte bekannt sein. Damit nun aber eine Verbindung zustande kommt muss das Programm noch wissen an welchem Port sich das Programm verbinden muss.
Hinter jedem Port sitzt ein Programm, daß einen bestimmten Dienst zu Verfügung stellt. Auf Port 80 bspw. der HTTP Server. Somit "weiss" z.B. der WEbbrowser, daß er sich beim Zielserver (der Internetadresse) auf Port 80 verbinden muss. Das sollte als Eistieg erstmal genügen.

Was macht nun die PFW?

Will sich nun z.B. ein Spywareprogramm mit eurem Rechner bspw. auf Port 135 (Net-BIOS wenn ich mich recht erinnere) verbinden, erkennt das die PFW (wenn sie denn funktioniert) und blockt die entsprechende Anfrage womit eine Verbindung nicht zu Stande kommt. Das ist alles mehr macht eine PFW in der Regel nicht.

An sich gut, aber(!) warum ist denn der Port 135 offen? Wenn ihr diesem Port schliesst kann sich auch nichts verbinden und was noch besser ist, es läuft keine zusätzlich Software, die ja auch Fehler enthalten kann und euch somit angreifbar macht. Mit anderen Worten wenn ihr alle Ports schliesst, die ihr nicht benötigt bzw. falls ihr sie doch mal benötigt nur im Bedarfsfall aktiviert, wird eine PFW schnell überflüssig, mit einer PFW seid ihr sogar zum Teil noch gefährdeter als ohne, da ihr euch so in trügerischer Sicherheit wiegt, die jedoch nicht vorhanden ist. Denn auch eine PFW enhält Fehler im Code und kann somit ausgetrickst werden. Außredem können PFWs problemlos von $SPYWARE beendet werden.

Jetzt könnte man vielleicht denken: "Wenn ich meine Dienste sicher konfiguriert habe _und_ eine PFW bin ich noch sicherer!". Auch diese Annahme ist falsch denn wie gesagt ist eine PFW "nur" ein Programm und Programme enthalten Fehler und Fehler verursachen Sicherheitslücken. Ohne eine PFW hat man diese potenzielle (und gar nicht mal so seltene z.B. berichtet securityfocus (http://www.securityfocus.com) recht häufig darüber) Fehlerquelle gar nicht erst und ist so gesehen sicherer ohne als mit PFW.

Auch das Argument: "Aber meine PFW fragt mich welches Prorgamm ins Internet darf und welches nicht", kann man so nicht gelten lassen. Angenommen Es kommt ein PopUp in dem steht "Progamm xy will ins Internet" und angenommen man weiss, das Programm xy ein Wurm/Trojaner/etc ist. In diesem Fall ist das System offensichtlich kompromitiert worden und muss als unsicher angesehen werden. In diesem Fall konnte ja auch offensichlich ein "böses Programm" auf den Rechner kommen ohne das der Benutzer was davon gemerkt hätte. Wenn ein "böses Programm" auf dem Rechner gelangt ist weiss man nie was sich zusätzlich noch auf dem Rechner eingenistet hat. In diesem Fall hilft meisst nur eine Neuinstallation des Systems. Aber ganz wichtig, die PFW hat hier offensichtlich nicht verhindert das ein "böses Programm" z.B. über eine Sicherheitslücke im Browser, auf das System gelangt ist, aber gerade dazu ist ein PFW doch gedacht, somit hat sie ihrem Zweck nicht erfüllt und stellt so nur ein Sichereitsrisiko da.

So das soll's mal gewesen sein, ich hoffe ich konnte den ein oder anderen Denkanstoß geben und jedem sollte nun klar sein, das man mit einer PFW nicht automatisch sicher ist, im Gegenteil, man durch sie z.T. noch unsicherer und damit angreifbarer wird.

Grüße,

Sith

vergiss es, das habe ich hier schon öfters lang und breit getreten, aber die grossen herren "homeadmins" hier sind wie üblich bei allem und immer gscheider

insofern isses am besten du lässt es ganz und freust dich jedesmal aufs neue wenn ein stumpfsinniger thread übers probs mit pfws auftaucht :)

Hi,

Allso abschalten ist vielleicht wirklich etwas übertrieben, allerdings kann man den RPC Dienst in Windows durchaus von "Netzwerkdienst" auf "Lokales System" umstellen.
"RPC (Remote Procedure Call oder Remoteprozeduraufruf) an sich ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar." - das sagt MS dazu.

Sowas würde ich dennoch nicht ins Internet anbieten und alles Programme/Dienste die dies benötigen (z.B. Netzwerkfreigaben etc. pp) vom externen Netzwerk Interface trennen.

Siehe weiter unten bzgl. DCOM.


Nichts desto Trotz gibt es dafür ja einen Patch der das System quasi Immun macht. Um wieder Ontopic zu werden: Wo und vor allem wie schützt mich da die PFW, denn eine PFW kann mich nicht vor Programmfehlern schützen?

Die PFW schützt einem dadurch, das sie den Port schliesst. Jedenfalls wenn die PFW mit einer Whitelist arbeitet und der Port nicht explizit geöffnet wurde.


Also der Sasser Wurm verbeitet sich folgendermaßen: Er scanned auf Port 445/TCP nach Systemen, die gegen die LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996).
Die LSASS (=Local Security Authority Subsystem Service) Sicherheitslücke erlaubt einem unauthentifizierten Angreifer das beherbergende Rechnersystem mittels eines RPC-Pakets zu kompromittieren.
Das dies mit einem RPC Paket möglich kann man aber nicht RPC anlasten, sondern muss es eben dem LSASS Dienst anlasten, da es erst durch einen Fehler im LSASS Dienst möglich ist das System zu kompromittieren.
Lange Rede kurzer Sinn, Sasser nutzt eine Sicherheitsschwäche im LSASS Dienst aus und nicht(!) im RPC Dienst.
Wieder muss ich sagen, vor solchen Sichheritslücken im OS selbst schützt auch eine PFW nichts.

Du hast selbst gesagt, das man die Ports schliessen soll, die man nicht braucht. Nix anderes wird mit dem Abschalten von DCOM gemacht.
Wozu braucht ein normaler Windows User die Möglichkeit, von aussen auf COM Componenten zuzugreifen. Deswegen DCOM abschalten und schon sind die Ports zu. Der LSASS Dienst kann dann löchriger als ein schweizer Käse sein, es ist dann egal.


Mich interessiert welche IDS Du denn da unter Windows benutzt. Ich wusste bis jetzt nicht einmal das es sowas überhaupt für Windows (umsonst) gibt, geschweige denn, das daß jemand unter Win nutzt. Ich kenne da eigentlich nur entsprechende Unix Systeme (snort, prelude etc.)
Aber das hat auch herzlich wenig mit PFWs und deren Sinn zu tun und wird somit etwas Offtopic.


Snort funktioniert auch unter Windows.

Hi,
Die PFW schützt einem dadurch, das sie den Port schliesst.Wo hast Du das denn her? Eine PFW schliesst doch keine Ports, eine PFW verbietet, wenn überhaupt, daß bestimmte Programme (die sich kontrollieren lassen) Verbindungen herstellen. Die Ports sind davon aber nicht betroffen und nach wie vor weit offen.
Ports schliesst man (und zwar nur) dadurch das man das Programm das auf diesem Port horcht beendet, bzw. es durch vernünftige Konfiguration dazu bringt keine Netztwerkverbindungen zu öffen bzw. anzubieten.

Jedenfalls wenn die PFW mit einer Whitelist arbeitet und der Port nicht explizit geöffnet wurde.Das ist absolut falsch!
Wenn der "Port nicht expliziet geöffnet wurde", also dicht ist kann sich auch kein Programm auf eben diesem Port mit dem Rechner verbinden, da sowieso keine Gegenstelle da ist die antworten könnte, PFW hin oder her. Wil heissen da horcht kein Programm und nix, da kann man kein Exploit ansetzten, da ist halt einfach der Laden dicht. Fertig aus.
Du hast selbst gesagt, das man die Ports schliessen soll, die man nicht braucht. Nix anderes wird mit dem Abschalten von DCOM gemacht.
Wozu braucht ein normaler Windows User die Möglichkeit, von aussen auf COM Componenten zuzugreifen. Deswegen DCOM abschalten und schon sind die Ports zu. Der LSASS Dienst kann dann löchriger als ein schweizer Käse sein, es ist dann egal.Da stimme ich Dir absolut zu, nur wo ist hier das Argument _für_ eine PFW? DCOM abschalten Port dicht - gut ist, wo brauche ich jetzt hier die PFW?
vergiss es, das habe ich hier schon öfters lang und breit getreten, aber die grossen herren "homeadmins" hier sind wie üblich bei allem und immer gscheider
insofern isses am besten du lässt es ganz und freust dich jedesmal aufs neue wenn ein stumpfsinniger thread übers probs mit pfws auftauchtGerade solche Postings wie "Ich habe nen Wurm obwohl ich doch eine Firewall habe..." zeigen doch deutlich das hier Aufklärung offensichlich wirklich notwendig ist damit sowas in Zukunft weniger passiert. Wenn nur einer hier seine Dienste sicher konfiguriert (konfiguriern lässt) und versteht warum ein PFW überflüssig ist hat sich IMHO der Thread schon gelohnt.

Ich bringe auch gerne noch ein paar Beispiele:

Angriff eines Script Kiddies:
Angenommen auf dem Rechner läuft ein PSW die Dienste sind zusätzlich alle weitestgehend sicher konfiguriert bzw. deaktiviert. Weiterhin nehmen wir mal an das Script Kiddie kennt unsere IP. Das erste was das Script Kiddie wahrscheinlich macht, ist ein Portscan unseres Systems um mal zu schauen "was so geht".
Gechickt wie wir sind haben wir unser System dank PFW 'stealth' gemacht. Dummerweisse haben wir uns vorher (im Gegensatz zum Scriptkiddie) nicht darüber informiert das es sowas wie 'stealth' nicht gibt (warum steht in einschlägigen FAQs (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny)).
Wenn das Script Kiddie nun ein Paket an uns sendet erkennt das die PFW vermutlich und verwirft es sofort. Das Script Kiddie bekommt bei sich ein timeout Signal.
Man könnte nun meinen das Script Kiddie denkt das unser Recher aus ist, da daß das Paket ja offensichtlich 'gestorben' ist bzw. 'ins Leere' gelaufen ist. Aber nicht dieses Script Kiddie, denn es hat sich (im Gegensatz zu uns) vorher informiert und weiss, daß in einem solchen Fall ein "host not reacheable" (=Zielhost nicht erreichbar) zurück gekommen wäre, dies war jedoch nicht der Fall somit weiß es nun zwei Dinge: Der Rechner ist schonmal da, nimmt auch Pakete an und
verwirft ankommende Pakete
Durch den zweiten Punkt weiss das Script Kiddie außerdem das dort eine Art Filter laufen muss (irgendwas muss die Pakte ja verwerfen).
Das Script Kiddie von Welt guckt nun in seiner Exploit Kiste nach uns setzt mal alle Exploits die PFWs aushebeln auf unser System an. Das kann je nach dem von Erfolg gekröhnt sein oder eben nicht.

Betrachten wir nun was passiert wäre wenn keine PFW drauf laufen würde. Also Script Kiddie macht wieder einen PortScan unseres Systems. Da wir unsere Dienste ja vernünftig konfiguriert haben, wird kein Dienst auf dem externen Netwzerk Interface ins Internet angeboten. Das Scipt Kiddie will aber noch nicht aufgeben und sendet mal ein paar Anfragen auf beliebige Ports. Im Gegensatz zu einen Timeout kommt hier direkt "Conncetion refused" (=Verbindung abgelehnt) zurück. Nun weiss das Script Kiddie, daß hier keinen Sinn mehr macht, da hier keine Software anwortet die man 'exploiten' könnte, somit gibt das Script Kiddie auf denn all seine Exploits nutzen ihm ihr nichts.

Wie man sieht fährt man in diesem Beispiel deutlich besser ohne PFW als mit. Die einzige verwundbare Stelle ist soger die PFW selbst (wenn man mal von Fehleren im OS und dem TCP/IP-Stack des OS absieht). Deshalb ist auch das Argument "Irgendeine PFW ist besser als keine" absolut falsch, denn offentsichtlich erhöht sich ja das Risiko druch eine PFW.

Grüße,

Sith

Hi,
Gerade solche Postings wie "Ich habe nen Wurm obwohl ich doch eine Firewall habe..." zeigen doch deutlich das hier Aufklärung offensichlich wirklich notwendig ist damit sowas in Zukunft weniger passiert. Wenn nur einer hier seine Dienste sicher konfiguriert (konfiguriern lässt) und versteht warum ein PFW überflüssig ist hat sich IMHO der Thread schon gelohnt.


das brauchst du mir nicht sagen, aber ehrlich gesagt scheiss ich auf aufklärung von leuten die weder zuhören, noch sich in diesem bereich weiterentwickeln wollen. raus kommt dann nur wieder sinnloses gestreite und auf das kann ich dankend verzichten

ausserdem musst nicht du mit den Auswirkungen leben sondern jeder User selbst ;)

Hm, wieder was gelernt. DENY ist schlecht, REJECT ist besser.

Aber wie wäre es mit ner PFW in folgender Situation.
Ich hab nen Service/Programm das auf einem Port lauscht( und ich brauch das Programm). Dann wird eine neue Sicherheitslücke in dem Programm entdeckt, und solange kein fix dafür existiert bin ich ja über das Programm verwundbar.
Mit ner PFW könnte man doch sagen, das nur Anfragen von einer bestimmten IP/Port zugelassen werden sollen, oder? Quasi ein paar ausgewählte vertrauenswürdige IPs dürfen den Service weiterhin benutzen, solange die Sicherheitslücke noch nicht gefixt ist.

ausserdem musst nicht du mit den Auswirkungen leben sondern jeder User selbst ;)
Leider nicht mehr. ;(

Früher haben sich Cracker noch einen abgelacht als sie per Wurm ein paar (tausend) Rechner zum spinnen brachten. Heutzutage ist es finanziell verdammt lukrativ einige Tausend Rechner per Wurm unter Kontrolle zu halten. Man kann diese als Spamrelays benutzen und viel Geld damit verdienen. Und die betroffenen Nutzer merken kaum was. Nur, daß das Internet manchmel lahmt. ;)

Leider nicht mehr. ;(

Früher haben sich Cracker noch einen abgelacht als sie per Wurm ein paar (tausend) Rechner zum spinnen brachten. Heutzutage ist es finanziell verdammt lukrativ einige Tausend Rechner per Wurm unter Kontrolle zu halten. Man kann diese als Spamrelays benutzen und viel Geld damit verdienen. Und die betroffenen Nutzer merken kaum was. Nur, daß das Internet manchmel lahmt. ;)

tjo dagegen kann ich aber auch nix machen oder?
auch wenn ich nun mein restliches leben die 1000 3dc user im windows forum "bekehre" keine pfw zu benutzen wird das nicht wirklich viel bringen oder :D

Ich sehe das ehr als wichtigen Vorteil gegenüber PFW, denn wenn man sich mit der Materie auseinandersetzt (setzen muss) bekommt man auch ein besseres Sicherheitsbewusstsein.

Grüße,

Sithmanche leute wollen und können diese zeit nicht aufbringen...

Hi,
Aber wie wäre es mit ner PFW in folgender Situation.
Ich hab nen Service/Programm das auf einem Port lauscht( und ich brauch das Programm). Dann wird eine neue Sicherheitslücke in dem Programm entdeckt, und solange kein fix dafür existiert bin ich ja über das Programm verwundbar.
Mit ner PFW könnte man doch sagen, das nur Anfragen von einer bestimmten IP/Port zugelassen werden sollen, oder? Quasi ein paar ausgewählte vertrauenswürdige IPs dürfen den Service weiterhin benutzen, solange die Sicherheitslücke noch nicht gefixt ist.
Wenn die IPs im internen LAN sind würde ich diesen Dienst dann auch nur auf dem Interface aktivieren, der mit dem LAN verbunden ist und nicht das externe Interface damit belasten.
Sollten die IPs außerhalb des LANs sein, müsste die PFW in der Lage sein IP-Pakete zu "unteruschen" um rauszubekommen an welche Adresse diese Pakte adressiert sind bzw. von welcher Adresse diese Pakete gesendet wurden.
Das überschreitet die Fähigkeiten einer PFW IMHO doch recht deutlich (oder kann Zonealerm und co. das Neuerdings). Nein, hier hilft IMHO nur eine entsprechende professionelle Firewall, die so etwas leisten kann. Außredem ist eine solche Konfiguration eben nicht grade trivial und für den Homeuser doch ehr nicht zu empfehlen.
Als Homeuser würde ich den Dienst dann eben einfach nicht benutzen bzw. auf entsprechende Alternativen zurück greifen.

Das Szenario ist zwar nett aber welcher Homeuser braucht denn unbedingt einen Dienst der ins I-Net angeboten wird? Des weiteren ist mir keine PFW bekannt die das leisten kann (was nicht heissen soll das es so eine PFW nicht gibt/geben kann - ich lass mich da gerne eines besseren belehren).

das brauchst du mir nicht sagen, aber ehrlich gesagt scheiss ich auf aufklärung von leuten die weder zuhören, noch sich in diesem bereich weiterentwickeln wollen. raus kommt dann nur wieder sinnloses gestreite und auf das kann ich dankend verzichten

ausserdem musst nicht du mit den Auswirkungen leben sondern jeder User selbstNa ja ich muss für meinen Anschluss ins Internet schon noch bezahlen. Wenn wieder 20 MyDoomXYZhastenichtgesehen Mails am Tag in meiner MailBox landen dann verursachen die dort Traffic, genauso wie 1000 Sasser Anfragen an meine IP ebenfalls traffic verursachen (der Geld kostet) und auch eben die 1000 Sasser-Pakete erstmal verarbeitet werden müssen (auch wenn sie abgelehnt werden), was wiederrum CPU Zeit kostet. Gut das ist bei mir als Homeuser sicher zu vernachlässigen, aber wenn z.B. ein Server dadurch lahmgelagt, weil einfach mal wieder Millionen User "vergessen" haben 'Windwos Update' anzuklicken hört für mich der Spass auf.
Genau hier muss man IMHO eben mit Aufklärung ansetzen damit in Zukunft solche Sachen nicht mehr ein so breites Angriffspotential haben. Aber das wird grad ein wenig Off Topic ;)

manche leute wollen und können diese zeit nicht aufbringen...Das verlangt ja auch keiner aber jemand der in der Lage ist sich ein PFW runterzuladen (und in der Lage ist diese sinnvoll zu konfigurieren) für den sollte es auch kein Problem sein ein oder zweimal in der Woche 'Windows Update' anzuklicken und ein paar mal auf OK zu tippen. Anschliessend einmal(!) auf ntsvcfg.de (http://www.ntsvcfg.de/) zu gehen ein kleines Script runterzuladen und anschließend auszuführen. Wo ist denn da das Probelm, das macht den Rechner wesentlich sicherer (und ist nicht viel schwerer durchzuführen) als eine PFW.

Grüße,

Sith

wieso ich ein PFW verwende.

kurz:

mir ist bewusst, dass ich meinen Rechner durch richtige Konfiguration der Dienste von Außen nach Innen dicht bekommen würde.

Bloß habe ich dann immernoch keine Kontrolle von Innen nach außen, was z.B. bei Programmen die bekanntermaßen Spyware enthalten, auf die man aber nicht verzichten will von Vorteil ist.

Auch muss ich mich mit ner PFW nicht erst mit den Diensten rumärgern und fahre dabei in der Praxis fast genauso sicher.
Klar würden Scriptkiddies und böse Programme durchkommen, aber mal ehrlich wie hoch ist die Wahrscheinlichkeit, dass das Scriptkiddie gerade mich hacken will?
Allerdings muss ich anmerken, dass darüber anders urteilen würden, wenn ich einen Server laufen hätte.

Nebenbei liefert mir meine Kerio Firewall den Ursprung (sprich IP) der Anfragen, was bei einem HTTP-Server durchaus interessant sein kann uns sich auch sicher zur erstellung von Filterregeln eignet.

Es kann aber sein, dass es dafür auch eine Windows eigene Funktion gibt, die mir mangels Interesse bisher unbekannt ist.

Bloß habe ich dann immernoch keine Kontrolle von Innen nach außen, was z.B. bei Programmen die bekanntermaßen Spyware enthalten, auf die man aber nicht verzichten will von Vorteil ist.Boah wie krass bist Du denn drauf? Wer benutzt denn Software bei der bekannt ist das $SPYWARE im Hintergrund installiert wird? Welche Software ist denn das? Das muss ja ne super Software sein das Du dadurch so nachlässig Dein System (freiwillig) gefährdest?
Mal im Ernst woher willst Du denn wissen das da nichts anderes auf den Rechner kommt?
Es ist doch so, die meisten Firewalls bieten Regeländerung per Laufzeit an, das heisst man muss nicht admin sein um die Frage "Programm XY will ins Internet? Ja|Nein" zu beantworten. Nun stellt es aber kein Problem für $SPYWARE da diese Frage "schnell" mit "ja" anzuklicken, so bekommt der User ja nicht mal das PopUp Fenster zu Gesicht und weiss gar nicht das nun trotzdem ein Programm ins Internet verbinden kann.
Außerdem gibt es noch viele andere Möglichkeiten das System, wenn mal Schadsoftware auf den Rechner gelangt ist, zu manipulieren.
Sicherheitstechnisch gesehen kann man keinem Output eines kompromittierten Systems mehr glauben, auch der Output (bzw. Logs) der PFW ist in diesem Sinne nicht mehr zu trauen.
Also nochmal ganz deutlich: Wer Programme ausführt und auch noch weiss das diese schädlichen Code im Gepäck haben, dem ist echt nicht mehr zu helfen. Sorry das ich das so sagen muss, ist auch nicht böse gemeint, aber gerade jemand der Debian benutzt (eine Distribution bei der Sicherheit - neben 'apt-get' - ja das ultimative Killerfeature darstellt) sollte es eigentlich besser wissen.
Auch muss ich mich mit ner PFW nicht erst mit den Diensten rumärgern und fahre dabei in der Praxis fast genauso sicher.
Bei ntsvcfg.de musst Du dich auch nicht mit Diensten rumäregen sondern nur ein Skript runterladen und ausführen und schon wurden Deine Dienste von "Experten" entsprechend sicher konfiguriert.
Und nein Du fährst in der Praxis nicht fast (oder beinahe, oder ganz knapp oder wie auch immer) so sicher. Du fährst definitv unsicherer mit PFW und unsicher eingestellten Diensten als _ohne_ PSW und sicher eingrichteten Diensten.
Wo kommt denn dieser Glauben her, das eine PFW jedes Prorgamm entdeckt das nach draussen funken will? Ey hallo? Schadsoftware wurde konstruiert um nicht entdeckt zu werden, Schadsoftware ist dazu da PFWs zu umgehen oder auszutricksen. Wenn Dir Deine PFW anzeigt das $SPYWARExy erfolgreich geblockt wurden, woher weisst Du denn das das nicht nur eine Ablenkung war um dem User glauben zu machen er wäre 'sicher', während 20 andere Programme auf Deinem Rechner ne wilde Party feiern ohne das Du das bemerkst. Ich kann mich da echt nur wiederholen, wenn Schadsoftware nicht entdeckt werden will, dann wird sie auch nicht von einer PFW entdeckt.
PFWs bieten hier nur Scheinsicherheit und wenn (wie andscheind bei Dir) Schadsoftware auf dem Rechner gelangt ist, ist sowieso Feierabend, da hilft meist wirklich nur eine Neuaufsetzung des Systems.

Klar würden Scriptkiddies und böse Programme durchkommen, aber mal ehrlich wie hoch ist die Wahrscheinlichkeit, dass das Scriptkiddie gerade mich hacken will? Darum ging es in dem Beispiel nicht. Aber ich will trotzdem darauf eingehen: Solche Sätze sind genauso wie: "Ich schnall' mich beim autofahren nicht an, wie groß ist schon die Wahrscheinlichkeit das gerade ich einen Unfall habe?" Mit anderen Worten sowas kann man nicht vorhersehen, es passiert halt einfach, aber wenns passiert bin ich lieber angeschnallt.

Du musst halt auch mal die Links lesen die ich hier poste, aber bitte extra für Dich nochmal ein (zwar älteres aber gutes) Beispiel (http://groups.google.de/groups?hl=de&lr=&ie=UTF-8&threadm=a83qco%24h2b%241%40news.online.de&rnum=2&prev=/groups%3Fq%3DKinderpornos%2Bauf%2Beigenm%2BRechner!!!!!!%2B(HELP!!!!!!)%26hl%3Dd e%26lr%3D%26ie%3DUTF-8%26selm%3Da83qco%2524h2b%25241%2540news.online.de%26rnum%3D2)

Grüße,

Sith

na schaun wir mal was heute geschrieben wird ...


Statt Computerviren, Würmer und andere Eindringlinge abzuwehren, lädt das Windows XP Service Pack 2 (SP2) Hacker und Surfer zum Spaziergang auf den heimischen PC ein. Das meldet die Zeitschrift PC-Welt. Ausführliche Test der Computer-Experten ergaben, dass auf einem PC mit Windows XP und installiertem Service Pack 2 trotz aktivierter Firewall private Dokumente sowie alle Datei- und Druckerfreigaben weltweit eingesehen werden können. Viele Anwender merken davon nichts.

super :rolleyes:

http://derstandard.at/?url=/?id=1794882

Auch wenn das natürlich schon eine recht heftige Sicherheitslücke ist, "sollte" das Problem wenigestens eher selten auftreten da ja folgendes zutreffen muss:

- mehrere Rechner im Netzwerk (sonst machen die Freigaben keinen Sinn)
- Internetverbindungsfreigabe muß DEAKTIVERT sein (dann ist normal ein Router im Netzwerk, und da tritt das Problem ja nicht mehr auf)

http://www.pcwelt.de/news/sicherheit/103013/index1.html

Auch wenn das natürlich schon eine recht heftige Sicherheitslücke ist, "sollte" das Problem wenigestens eher selten auftreten da ja folgendes zutreffen muss:

- mehrere Rechner im Netzwerk (sonst machen die Freigaben keinen Sinn)
- Internetverbindungsfreigabe muß DEAKTIVERT sein (dann ist normal ein Router im Netzwerk, und da tritt das Problem ja nicht mehr auf)

http://www.pcwelt.de/news/sicherheit/103013/index1.html

is wie is sei wie sei - pfw is sinnlos


Testweise Scans seitens der PC-WELT ergaben, dass diese Konfiguration keineswegs selten oder exotisch ist: Ohne größere Mühe und in nur kurzer Zeit fanden wir private Dokumente auf leicht zugänglichen Rechnern im Internet. Es ist davon auszugehen, dass sich deren Besitzer in der trügerischen Sicherheit wiegen, dass ihre Freigaben nur im internen Heimnetz sichtbar wären, da oft nicht einmal ein Passwort-Schutz zu überwinden war.

das ist das hauptproblem, "die PFW wird mich schon schützen", dass eine pfw aber nur die symptome lindert erkennt keiner :rolleyes:

wenn jemand an krebs leidet wird auch nicht versucht nur mit schmerzstillenden mitteln dagegen vorzugehen, nein da wird versucht die Ursache dafür zu bekämpfen ;)

is wie is sei wie sei - pfw is sinnlosNö. In diesem Fall hätte sie sogar verhindert, das jemand auf die freigaben zugreifen kann, über das Internet.

Bei ntsvcfg.de musst Du dich auch nicht mit Diensten rumäregen sondern nur ein Skript runterladen und ausführen und schon wurden Deine Dienste von "Experten" entsprechend sicher konfiguriert.
Von solchen *Expertentools* kann man nur abraten.
Das hat mehrere Gründe: Es werden meist wichtige Dienste deaktiviert, ohne auf die Bedürfnisse des einzelnen Users einzugehen. Außerdem bekommt man oftmals keine genauen Erklärung wofür der Dienst eigentlich ist und welche deaktiviert werden.
Die Unterscheidung zwischen "alle", "Standard" und "LAN" ist mehr als dürftig.

Es mag auch Leute geben, die manche Funktionen nutzen wollen.

Außerdem führt es sehr oft zu Problemen, wie man hier im Forum nachlesen kann.
Das deaktivieren des "Kryptografiedienstes" mag für manche vielleicht logisch klingen, aber danach funktioniert das installieren von Microsoft Updates (z.B. DirectX) nicht mehr!

Ein User der sich mit der Materie nicht auskennt und so ein "Expertentool" benutzt hat, weiß garantiert nicht, das es daran liegt.

Nö. In diesem Fall hätte sie sogar verhindert, das jemand auf die freigaben zugreifen kann, über das Internet.

hast du den bericht oben gelesen?
anscheinend nicht :(
(aber feste posten)

hast du den bericht oben gelesen?
anscheinend nicht :(
(aber feste posten)... Doch, habe ich, und?

Die Personal Firewall (z.B. ZoneAlarm) hätte das sharen von Dateien über die Internetzone nicht erlaubt.
Somit wäre diese "Sicherheitslücke" wie sie genannt wird, überhaupt gar keine gewesen, da ein Zugriff von außen gar nicht möglich ist.

Nicht umsonst wird dort zwischen Lokale und Internetzone unterschieden.

hast du den bericht oben gelesen?
anscheinend nicht :(
(aber feste posten) Soweit ich das bisher verstanden habe geht es da wirklich "nur" um die interne Firewall von XP.

Ausserdem würde mich mal interessieren wie sie denn getestet haben das die gefunden Systeme XP mit SP2 installiert hatten!? Mit einen Netzwerkscanner findet man wohl ein paar Rechner mit offenen Freigaben, aber wie man da genaueres zur Konfiguration des Systems raufinden soll ...

... Doch, habe ich, und?

Die Personal Firewall (z.B. ZoneAlarm) hätte das sharen von Dateien über die Internetzone nicht erlaubt.
Somit wäre diese "Sicherheitslücke" wie sie genannt wird, überhaupt gar keine gewesen, da ein Zugriff von außen gar nicht möglich ist.

Nicht umsonst wird dort zwischen Lokale und Internetzone unterschieden.

im Bericht wurde eine PFW verwendet :rolleyes:

oder brauche ich nun schon mindestens 2 PFWs damit mein PC "sicher" ist

im Bericht wurde eine PFW verwendet :rolleyes:Das trifft trotzdem nur auf die Windows-Firewall zu.
Andere Personal Firewalls sind nicht betroffen.

oder brauche ich nun schon mindestens 2 PFWs damit mein PC "sicher" istDu benötigst nur eine, die nicht von Microsoft stammt. Problem gelöst. ;)

Wer benutzt denn Software bei der bekannt ist das $SPYWARE im Hintergrund installiert wird? Welche Software ist denn das?

man könnte die Sache auch so sehen, dass es besser ist wenn man bewusst Software mit bekannten Spywarefunktionen nutzt, anstatt unbewusst Software mit unbekannten ;)
Ich nutze allerdigns lieber bewusst Software, bei welche bekannt ist, dass es keine Spywarfunktionen enthält, sprich OpenSource.

Die Software die mir bei dem Besipiel vorschwebte war das mittlerweile spywarfreie DivX pro und so ein nutzloses Winamp Plugin.
Bei letzterem hätte mir damals eine PFW sicherlich geholfen, da ich nicht wusste dass dieses Spyware enthält, aber zu dem Zeitpunkt wusste ich nichtmal was ein PFW ist.


Das muss ja ne super Software sein das Du dadurch so nachlässig Dein System (freiwillig) gefährdest?

wie gesagt, das war vor der Zeit als ich mich über Netzwerktechik informiert habe - allerdings habe ich hier auch nur ein Desktop System und keine produktive Umgebung.


Debian(eine Distribution bei der Sicherheit - neben 'apt-get' - ja das ultimative Killerfeature darstellt) sollte es eigentlich besser wissen.

Debian ist die einzige mir bekannte Distribution, die sich die Server hat hacken lassen und IMHO ist hier Stabilität das zweite Killerfeature.


Bei ntsvcfg.de musst Du dich auch nicht mit Diensten rumäregen sondern nur ein Skript runterladen und ausführen und schon wurden Deine Dienste von "Experten" entsprechend sicher konfiguriert.

diese "Experten" können allerdings unmöglich wissen was ich für Dienste brauche - so schaltet ntsvcfg für meinen Geschmack ein paar Dienste zu viel ab...
Aber darum geht es gar nicht, denn ich bin durchaus in der LAge das selbst zu machen. exploit


Und nein Du fährst in der Praxis nicht fast (oder beinahe, oder ganz knapp oder wie auch immer) so sicher.

das Wörtchen um das es mir hier ging war nicht, fast, sondern Praxis und in dieser macht es für die Hackergruppen keinen Sinn eine riesiege Exploitdatenbank für alle möglichen Firewalls/ Versionen an ihre Viren dranzuhängen, solange man auch über die normalen Windows Lücken genug Opfer findet und die wahrscheinlichkeit, dass ein Scriptkiddie an meinen pr0nz (das beiweiten aufregenste auf meinem Rechner) interessiert ist bei weitem geringer, als dass man in einen Unfall verwickelt wird.
Solange sich nichts an diesen Beiden Tatsachen ändert bin ich auch nicht bereit mir mehr Arbeit zu machen als nötig...

Die Personal Firewall (z.B. ZoneAlarm) hätte das sharen von Dateien über die Internetzone nicht erlaubt.
Somit wäre diese "Sicherheitslücke" wie sie genannt wird, überhaupt gar keine gewesen, da ein Zugriff von außen gar nicht möglich ist.Wie jetzt Du würdest also neben der Windows Firewall noch zusätzlich ZoneAlarm benutzen? Wo ist denn da der Sinn? Die behindern sich doch gegenseitig. Aber gut schauen wir doch mal was passiert wäre ohne PFirewall:
Ohne PFW hätte ich die Datei- und Druckerfreige nur auf das interne Netzwerkinterface beschränkt. Somit würden keine Freigaben nach aussen gelangen, Sicherheitslücke wäre mangels PFW nicht vorhanden - Problem gelöst. Auch hier fährt man deutlich besser ohne als mit!
Aber nochmal wieso willst Du etwas nach draussen anbieten, wenn Du es danach wieder mit der PFW blockst? Wo ist da der Sinn, da kann man es auch gleich lassen!

Von solchen *Expertentools* kann man nur abraten.
Das hat mehrere Gründe: Es werden meist wichtige Dienste deaktiviert, ohne auf die Bedürfnisse des einzelnen Users einzugehen. Außerdem bekommt man oftmals keine genauen Erklärung wofür der Dienst eigentlich ist und welche deaktiviert werden.
Die Unterscheidung zwischen "alle", "Standard" und "LAN" ist mehr als dürftig.Also erstmal traue ich solchen Experten, die ihre Namen auch drunter gesetzt haben (kannst ja mal in News-Groups nach den Leuten suchen) und die das ganze immerhin umsonst machen mehr über den Weg, als irgendwelchen Programmieren von (Profitausgerichteten-) Unternehmen.

Des weiteren solltest Du Dir das ganze vielleicht mal genauer durchlesen (http://www.ntsvcfg.de/kss_xp/kss_xp.html) dann wüsstest Du auch das nicht wirklich viele Dienste abgeschaltet werden, bei vielen wird einfach nur dafür gesorgt, das der Dienst zwar erhalten bleibt, jedoch nicht mehr "nach draussen" angeboten wird.

Das trifft trotzdem nur auf die Windows-Firewall zu.
Andere Personal Firewalls sind nicht betroffen....und enthalten dafür viele andere Sicherheitslücken. Also das halte ich für kein gutes Pro-PFWs Argument.

Generell hört man hier immer wieder "ich brauch doch einige Dienste... " etc. pp. Mich würden jetzt mal konkrete Beispiele interessieren, wo ihr meint dieser oder jener Dienst muss unbedingt laufen und Serverdienste im Internet anbieten (die ihr dann komischerwiese wieder mit einer PFW blockt) sonst funktioniert das und das nicht mehr.
Ich habe doch schon genug Argumente und Beispiele gebracht warum eine PFW sinnlos ist. Bringt doch bitte mal Gegenbeispiele!

Ich bin gespannt ;-)

Sith

Das trifft trotzdem nur auf die Windows-Firewall zu.
Andere Personal Firewalls sind nicht betroffen.

Du benötigst nur eine, die nicht von Microsoft stammt. Problem gelöst. ;)


aha, welche PFWs darf ich noch nicht verwenden?

vielleich ist PFW X auf Windows XY mit Servicepak Z und Software XYZ zur Mitternachtsstunde unsicher ;D

nenene, 10000x mehr probleme für einen SYMPTOME linderer - ich löse probleme lieber an der Wurzel - danke

Wie jetzt Du würdest also neben der Windows Firewall noch zusätzlich ZoneAlarm benutzen? Wo ist denn da der Sinn? Die behindern sich doch gegenseitig. Von zwei Firewalls war nie die Rede.
Die Windows-Firewall wird natürlich abgeschaltet, womit das Thema gegessen wäre.
Sogar Microsoft empfiehlt das deaktivieren der Firewall, wenn alternative Lösungen eingesetzt werden. Das funktioniert absolut problemlos.

Aber gut schauen wir doch mal was passiert wäre ohne PFirewall:
Ohne PFW hätte ich die Datei- und Druckerfreige nur auf das interne Netzwerkinterface beschränkt. Somit würden keine Freigaben nach aussen gelangen, Sicherheitslücke wäre mangels PFW nicht vorhanden - Problem gelöst.Wohl kaum.
Denn dann hätte man das Problem, das man nicht kontrollieren kann, welche Programme Daten senden.
Außerdem wäre der Rechner "offen" wie ein Scheunentor, denn wer hindert nun irgendwelche Scriptkiddies daran, Trojaner auf das System zu schleusen? Zugriffe werden schließlich nicht geblockt.

Aber nochmal wieso willst Du etwas nach draussen anbieten, wenn Du es danach wieder mit der PFW blockst? Wo ist da der Sinn, da kann man es auch gleich lassen!Das Problem entstand im Zusammenhang mit der "Sicherheitslücke".
Dementsprechend wusste keiner davon, bevor es öffentlich wurde.
Wer auf Alternativlösungen gesetzt hat, hat einfach Glück gehabt.

Könnte gut sein, das selbst heute noch nicht alle wissen, das da überhaupt so eine riesige Sicherheitslücke vorhanden ist, weil sie keine Nachrichten gelesen / geschaut haben.

Des weiteren solltest Du Dir das ganze vielleicht mal genauer durchlesen (http://www.ntsvcfg.de/kss_xp/kss_xp.html) dann wüsstest Du auch das nicht wirklich viele Dienste abgeschaltet werden, bei vielen wird einfach nur dafür gesorgt, das der Dienst zwar erhalten bleibt, jedoch nicht mehr "nach draussen" angeboten wird.... Und deshalb ist dieses Tool auch absolut nutzlos, für Nutzer einer Firewall, da diese sowieso generell keine Zugriffe erlaubt.
Ob nun die Firewall oder dieses Programm diese Maßnahme übernimmt: Wo ist der Unterschied?

Generell hört man hier immer wieder "ich brauch doch einige Dienste... " etc. pp. Mich würden jetzt mal konkrete Beispiele interessieren, wo ihr meint dieser oder jener Dienst muss unbedingt laufen und Serverdienste im Internet anbieten (die ihr dann komischerwiese wieder mit einer PFW blockt) sonst funktioniert das und das nicht mehr.Das ist individuell von User zu User verschieden.
Wenn das Programm irgendwelche Dienste auf Basis von 3 "Voreinstellungen" deaktiviert, dann sind damit nicht alle Usergruppen abgedeckt.
Das es da zwangsläufig zu Problemen kommen wird, steht ja schon oben.

aha, welche PFWs darf ich noch nicht verwenden?Alle die jetzt noch bekannte Sicherheitslücken aufweisen.
Die Windows-Firewall fällt eindeutig raus, bis der Fehler behoben ist.

Die Windows-"Firewall" ist sowieso ein Witz, da sie generell nur das nötigste bietet, womit vom "besten Schutz" nicht die Rede sein kann.

Alternativlösungen sind allein schon aufgrund des erweiterten Funktionsumfangs vorzuziehen.

Wohl kaum.
Denn dann hätte man das Problem, das man nicht kontrollieren kann, welche Programme Daten senden.
Außerdem wäre der Rechner "offen" wie ein Scheunentor, denn wer hindert nun irgendwelche Scriptkiddies daran, Trojaner auf das System zu schleusen? Zugriffe werden schließlich nicht geblockt.


Wo nichts offen ist kann niemand eindringen oder? :rolleyes:

Wo nichts offen ist kann niemand eindringen oder? :rolleyes:Das ist es ja, was hier versucht wird zu erklären ;)
Wenn Zugriffe von außen nicht geblockt werden, dann kann man nicht nur über Sicherheitslücken auf das System kommen, sondern auch mit anderen Mitteln.

Am besten zeigt sich das bei Verwendung eines Trojaners: Damals war "Back Orifice" recht bekannt. Bei dem Tool reichte es aus, eine IP anzugeben und schon hatte man Zugriff auf den Rechner.

Wenn zu dem Zeitpunkt kein Virenscanner aktiv war, konnte dieses Programm unbemerkt auf den Rechner des Anwenders sein unweisen treiben.

Derjenige, der den Angriff gestartet hat, konnte den Rechner somit "fernsteuern". Im LAN ging das innerhalb von wenigen Sekunden... Daten löschen, verändern, aufzeichnen, Rechner abstürzen lassen usw. -> alles kein Problem.
(Ähnlich wie die Remotedesktop von Windows XP, die auf jedem XP-Rechner standardmäßig vorhanden ist).

Da man bei Windows nie so recht weiß, wie es mit der Sicherheit bestellt ist, sollte man besser auf nummer sicher gehen und alle eingehenden Verbindungen blocken.
So löst sich das Problem ganz von allein.

Das ist es ja, was hier versucht wird zu erklären ;)
Wenn Zugriffe von außen nicht geblockt werden, dann kann man nicht nur über Sicherheitslücken auf das System kommen, sondern auch mit anderen Mitteln.

Am besten zeigt sich das bei Verwendung eines Trojaners: Damals war "Back Orifice" recht bekannt. Bei dem Tool reichte es aus, eine IP anzugeben und schon hatte man Zugriff auf den Rechner.

Wenn zu dem Zeitpunkt kein Virenscanner aktiv war, konnte dieses Programm unbemerkt auf den Rechner des Anwenders sein unweisen treiben.

Derjenige, der den Angriff gestartet hat, konnte den Rechner somit "fernsteuern". Im LAN ging das innerhalb von wenigen Sekunden... Daten löschen, verändern, aufzeichnen, Rechner abstürzen lassen usw. -> alles kein Problem.
(Ähnlich wie die Remotedesktop von Windows XP, die auf jedem XP-Rechner standardmäßig vorhanden ist).

Da man bei Windows nie so recht weiß, wie es mit der Sicherheit bestellt ist, sollte man besser auf nummer sicher gehen und alle eingehenden Verbindungen blocken.
So löst sich das Problem ganz von allein.


hallo?
für dich nocheinmal - wenn KEIN EINZIGER port von aussen erreichbar ist, wie will ein trojaner/wurm/0815hacker dann bitteschön in mein system eindringen?

... Das mag vielleicht der Fall sein, wenn du nicht aktiv bist.

Aber irgendwann wirst du auch Daten senden / empfangen wollen. Genau in diesem Moment ist der Rechner eben doch erreichbar.

Nicht umsonst sind selbst große Unternehmen, die mehrere Millionen € in die Sicherheit investieren, öfters mal in den News ;)


Diese Diskussion hier dreht sich im Kreis. Jeder soll es halt so machen, wie er mag.

Wohl kaum.
Denn dann hätte man das Problem, das man nicht kontrollieren kann, welche Programme Daten senden.Tja hast Du aber mit einer PFW auch nicht, oder meinst Du Schadsoftware kann nicht Deine PFW umgehen? Desweiteren sieht man mit dem Befehl 'netstat' ganz gut welche Programme Verbindungen aufnehmen, bzw. nach draussen horchen. Wenn Schadsoftware auf dem Rechner ist, ist es soweiso zu spät... da hilft Dir die PFW auch nicht mehr, da ist nämlich das System schon kompromittiert worden (trotz installierter PFW). Alle anderen sinnvollen Prorgamme die ungefragt nach Hause telefonieren (bspw. WinAMP, Mediaplayer etc. pp) kann man das auch durch entsprechende Konfiguration abgewöhnen bzw. ist es bei anständiger Software meist irgendwo in den READMEs dokumentiert. Außerdem handelt es sich meist "nur" um eine Auto-Update Funktion.

Außerdem wäre der Rechner "offen" wie ein Scheunentor, denn wer hindert nun irgendwelche Scriptkiddies daran, Trojaner auf das System zu schleusen? Zugriffe werden schließlich nicht geblockt.Habe ich bisher undeutlich oder in suhaheli geschrieben? Wenn nichts nach draussen angeboten wird, auf was willst Du denn da zugreifen? Wenn nichts nach draussen angeboten wird, kann man auch nicht auf deinen Rechner "zugreifen". Das ist einfach so. Ist wie ne Tür die zugemauert wurde, wie willst Du da noch druchkommen?
Wenn Du schon mit solchen Sachen um dich wirfst informiere Dich halt mal vorher über was Du schreibst.

.. Und deshalb ist dieses Tool auch absolut nutzlos, für Nutzer einer Firewall, da diese sowieso generell keine Zugriffe erlaubt.
Ob nun die Firewall oder dieses Programm diese Maßnahme übernimmt: Wo ist der Unterschied?Diese 'Programm' ist nur ein Script und der Unterschied besteht darin das Du mit dem Script die Ursachen für ein offenes System behebst, mit einer PFW werden wenn überhaupt, nur die Symptome bekämpft. Zusätzlich wird bei dem Script keine zusätzliche (fehleranfällige) Software auf dem Rechner installiert, die allein durch ihre Anwesenheit schon ein neues Angriffsziel darstellt.
Das ist individuell von User zu User verschieden.
Wenn das Programm irgendwelche Dienste auf Basis von 3 "Voreinstellungen" deaktiviert, dann sind damit nicht alle Usergruppen abgedeckt.
Das es da zwangsläufig zu Problemen kommen wird, steht ja schon oben.Ja bring halt mal konkrete Beispiele, immer nur sagen "es kann" und "wahrscheindlich wird..." ist doch Käse und zeigt das Dir anscheindend die Argumente ausgehen. Erkläre mir doch mal sachlich und mit vernünftiger Begründung welchen Dienst Du unbedingt nach außen anbieten willst/musst, der druch dieses Script nicht mehr möglich ist!!!!!

Das ist es ja, was hier versucht wird zu erklären
Wenn Zugriffe von außen nicht geblockt werden, dann kann man nicht nur über Sicherheitslücken auf das System kommen, sondern auch mit anderen Mitteln.Du hast anscheindend echt keine Ahnung, sonst wüsstest Du das man nicht auf einen Rechner zugreifen kann der nichts nach draussen angeboten hat.
Von welchen "anderen Mitteln" sprichst Du denn da? Da bin ich jetzt aber mal gespannt.
AFAIK könnte man direkt den TCP/IP-Stack des OS angreifen, aber da PFW eben auf diesem aufsetzen, schützen sie auch davor logischerweise nicht.
Am besten zeigt sich das bei Verwendung eines Trojaners: Damals war "Back Orifice" recht bekannt. Bei dem Tool reichte es aus, eine IP anzugeben und schon hatte man Zugriff auf den Rechner.Das ist auch totasler Quatsch denn auch ein 'Back Orfice' muss erstmal vom Benutzer ausgeführt werden, außerdem hatte man nicht beliebigen Zugriff auf einen Rechner wenn man nur eine IP eingibt, totaler Schwachsinn. In diesem Fall musste auf beiden Rechner der Trojaner installiert und ausgeführt worden sein. Besser informieren vorher. Außerdem, seit wann schützen denn PFW vor Viren und Trojanern? Ist ja was ganz neues, für solche Fälle empfehle ich ein Antivirenprogramm.

Das mag vielleicht der Fall sein, wenn du nicht aktiv bistHmm... Du hast anscheindend echt keine Ahnung. Das musst Du mir jetzt aber mal erklären, wenn Du mit Deinem Browser grade aktiv bist wie schützt Dich denn da die PFW? Wenn sie alle Anfragen blocken würde könntest Du nicht mehr surfen. Außerdem hat der Browser sowieso die Erlaubnis ins Internet zu senden und zu empfangen (oder hast das bei Deiner PFW gesperrt - dann könntest Du aber nicht mehr surfen) - in wiefern bist Du da mit PFW sicherer als ohne, wenn der Browser doch ehh alles darf?

Ich bin gespannt

Sith

... Das mag vielleicht der Fall sein, wenn du nicht aktiv bist.

Aber irgendwann wirst du auch Daten senden / empfangen wollen. Genau in diesem Moment ist der Rechner eben doch erreichbar.

Nicht umsonst sind selbst große Unternehmen, die mehrere Millionen € in die Sicherheit investieren, öfters mal in den News ;)


Diese Diskussion hier dreht sich im Kreis. Jeder soll es halt so machen, wie er mag.

anscheinend sind dir die grundlegenden netzwerktechniken nicht bekannt
(warum auch. hat einen user ja auch nicht zu interessieren - und genau in diese kerbe schlagen die ganzen PFW Hersteller)

auch wenn ich surfe, im irc bin, per ftp was sauge und daneben im skype labere sind von aussen KEINE ports erreichbar

denn alle verbindungen für die oben genannten programme sind VON MIR ausgehende verbindungen und ich erhalte immer nur antwortpakete

angreifbar wirst du nur wenn ein port eine NEUE EINGEHENDE verbindung akzeptiert (ein tcp paket mit syn flag) - und dafür muss irgendein service an einem port lauschen

Tja hast Du aber mit einer PFW auch nicht, oder meinst Du Schadsoftware kann nicht Deine PFW umgehen?Das steht schon am Anfang des Threads.
Benutzerrechte + Passwort -> Schadsoftware kann die Einstellungen nicht verändern, da sie keinen Zugriff darauf hat.

Wenn Schadsoftware auf dem Rechner ist, ist es soweiso zu spät... da hilft Dir die PFW auch nicht mehr, da ist nämlich das System schon kompromittiert worden (trotz installierter PFW).Eine weitere Grundsatzfrage... was ist besser: Der Schädling kann ungehindert nachhause telefonieren (-> Keine Firewall), oder er ist auf dem System und kann dort zwar Schaden anrichten, aber er kann nicht nachhause telefonieren (Passwörter usw.)?

Alle anderen sinnvollen Prorgamme die ungefragt nach Hause telefonieren (bspw. WinAMP, Mediaplayer etc. pp) kann man das auch durch entsprechende Konfiguration abgewöhnen bzw. ist es bei anständiger Software meist irgendwo in den READMEs dokumentiert. Außerdem handelt es sich meist "nur" um eine Auto-Update Funktion.Wie willst du kontrollieren, ob eine Software beim Programmstart (keine) Daten sendet, ohne die entsprechenden Tools?
Weißt du 100%ig, das irgendein Programm nicht auch nach dem deaktivieren der Auto-Update funktion Daten sendet?

Bei einer anständigen Firewall wird dies sofort angezeigt und protokolliert.

Habe ich bisher undeutlich oder in suhaheli geschrieben? Wenn nichts nach draussen angeboten wird, auf was willst Du denn da zugreifen? Wenn nichts nach draussen angeboten wird, kann man auch nicht auf deinen Rechner "zugreifen". Das ist einfach so. Ist wie ne Tür die zugemauert wurde, wie willst Du da noch druchkommen?Schlechtes Beispiel. Was zugemauert worden ist, kann auch wieder geöffnet werden.
Grundsatzfrage: Wenn etwas raus kann, warum sollte dann nicht zur gleichen Zeit etwas rein können?

Wenn alles so sicher wäre wie du denkst: Warum gibt es dann immer noch Meldungen über gecrackte Webserver o.ä. die noch wesentlich besser geschützt sind, als Homeuser PCs? ...

Zusätzlich wird bei dem Script keine zusätzliche (fehleranfällige) Software auf dem Rechner installiert, die allein durch ihre Anwesenheit schon ein neues Angriffsziel darstellt.Wenn man dieser Argumentation folgt, dann dürfte man keinerlei Software installieren, da *jede* zusätzliche Software ein weiteres Angriffsziel darstellt.
-> Absolut realitätsfern.


Erkläre mir doch mal sachlich und mit vernünftiger Begründung welchen Dienst Du unbedingt nach außen anbieten willst/musst, der druch dieses Script nicht mehr möglich ist!!!!!Grundsatzfrage: Was haben meine Bedürfnisse mit dem Thema zu tun?
Es reicht doch, wenn ich weiß, was ich brauche und was nicht.

Das ist auch totasler Quatsch denn auch ein 'Back Orfice' muss erstmal vom Benutzer ausgeführt werden, außerdem hatte man nicht beliebigen Zugriff auf einen Rechner wenn man nur eine IP eingibt, totaler Schwachsinn. In diesem Fall musste auf beiden Rechner der Trojaner installiert und ausgeführt worden sein. Besser informieren vorher. Komisch... dann muss wohl alles nur ein Traum gewesen sein...
Ich konnte jedenfalls von Rechner A auf Rechner B zugreifen ohne das "Programm" vorher auf beiden installiert zu haben...

Theorie und Praxis sind immernoch zwei verschiedene Dinge...


Da hier anscheinend keine konstruktive Diskussion möglich ist, klinke ich mich aus dieser aus. Viel Spaß noch...

Da hier anscheinend keine konstruktive Diskussion möglich ist, klinke ich mich aus dieser aus. Viel Spaß noch...

ich habe dir doch nichts getan oder?
auf mein obiges posting könntest du also schon noch antworten - oder fliehst du
;D

Die Antwort steht schon da, du musst sie nur finden... ;)

Theorie und Praxis sind immernoch zwei verschiedene Dinge...

Die Antwort steht schon da, du musst sie nur finden... ;)

aha - da möchte ich aber nun beweise sehen
du beschreibst nämlich etwas technisch unmögliches
(sich auf einen GESCHLOSSENEN port connecten)

welche referenzen besitzt du?
achja, und schreibe bitte an cisco sie mögen ihr ausbildungsprogramm ändern :rolleyes:

manche leute wollen und können diese zeit nicht aufbringen...


Dafür gibt es das Tool von CCC auf www.dingens.org - inkl. SourceCode. Ein Klick*, alles ist vernünftig konfiguriert und die PFW kann in Rente gehen.


* (Ich empfehle die mittlere Option...)

Ich habe doch schon genug Argumente und Beispiele gebracht warum eine PFW sinnlos ist. Bringt doch bitte mal Gegenbeispiele!

Ich bin gespannt ;-)

Sith
was für Gegenbeispiele? Du hast durchaus recht, wenn du sagst, dass das Abschalten der Dienste deutlich sicherer ist, als das drüberlegen einer Firewall.
Bloß ist eine solche Sicherheit für den Normaluser notwendig? Ich meine für diesen ist die höhere Sicherheit im Vergleich zu keiner Firewall außreichend.

Und wenn du mich davon überzeugen willst, dass dem nicht so ist, solltest du mir schon ein konkretes Beispiel anhand eines Wurmes zeigen, welcher über die Ausnutzung eines exploits der Firewall eben diese umgeht.
Und ich meine hier explizit einen exploit, denn falsch konfigurieren kann man alles ;)

was für Gegenbeispiele? Du hast durchaus recht, wenn du sagst, dass das Abschalten der Dienste deutlich sicherer ist, als das drüberlegen einer Firewall.
Bloß ist eine solche Sicherheit für den Normaluser notwendig? Ich meine für diesen ist die höhere Sicherheit im Vergleich zu keiner Firewall außreichend.

Und wenn du mich davon überzeugen willst, dass dem nicht so ist, solltest du mir schon ein konkretes Beispiel anhand eines Wurmes zeigen, welcher über die Ausnutzung eines exploits der Firewall eben diese umgeht.
Und ich meine hier explizit einen exploit, denn falsch konfigurieren kann man alles ;)

d.h. du hast Krebs, nimmst aber lieber nur Schmerzmittel - und lebst "sorgenlos und sicher" weiter anstatt die ursache zu bekämpfen?

d.h. du lässt lieber 20 sinnlose services rennen und installierst noch ein zusätzliches programm um diese überflüssigen services zu blockieren?
damit erhöhst du nicht nur den ressourcenbedarf, sondern auch den am system ausgeführten code - je mehr code desto mehr exploitbarer code

irgendwie unlogisch

Hier (Privatrechner) laufen z.B.:

- Apache2
- IIS
- CVS
- Subversion
- MySQL
- und noch ca. 5 andere zusätzliche Dienste

Die Dinger werden ausschliesslich von Localhost benutzt und ja, ich brauch sie alle zwingend.

Wie sicher ich sie gegen eingehende Verbindungen ab? Was spricht hier gegen eine PFW?

Hier (Privatrechner) laufen z.B.:

- Apache2
- IIS
- CVS
- Subversion
- MySQL
- und noch ca. 5 andere zusätzliche Dienste

Die Dinger werden ausschliesslich von Localhost benutzt und ja, ich brauch sie alle zwingend.

Wie sicher ich sie gegen eingehende Verbindungen ab? Was spricht hier gegen eine PFW?

weil man bei allen progs bestimmen kann dass sie nur auf 127.0.0.1 laufen

Nope, bei allen eben nicht.

Nope, bei allen eben nicht.

bei welchem z.b. nicht?

bei welchem z.b. nicht?
Ich hab hier zwei firmenspezifische Serverdienste laufen (ja, auf dem Privatrechner), bei denen ich das z.B. nicht eingeschränken kann. Genauso wird es wohl genug andere Software geben, bei der dies ebenfalls nicht möglich ist.

Was spricht hier bitte gegen eine PFW?

Ich hab hier zwei firmenspezifische Serverdienste laufen (ja, auf dem Privatrechner), bei denen ich das z.B. nicht eingeschränken kann. Genauso wird es wohl genug andere Software geben, bei der dies ebenfalls nicht möglich ist.

Was spricht hier bitte gegen eine PFW?

welche firmenspezifische software ist was?
warum kann man das nicht einschränken?
wenn du es nicht schaffst die software einzuschränken - was spricht für eine PFW?

was spricht gegen einen 25 euro HW router? was spricht gegen einen SIMPLEN paketfilter?
warum MUSS es eine PFW sein?
warum tuts nicht z.b. ein PortBlocker von AnalogX?
http://www.analogx.com/contents/download/network/pblock.htm
muss es eine bunte klicki norton sein die bei jedem programm mit roten und gelben bildern vor irgendwelche "gefahren" warnt und den user so die absolute sicherheit vorgaukelt?

*wobei ich software nicht benutzen würde wenn ich ihr nicht vertrauen kann*

Das steht schon am Anfang des Threads.
Benutzerrechte + Passwort -> Schadsoftware kann die Einstellungen nicht verändern, da sie keinen Zugriff darauf hat.Wo ist denn da die Logik wenn Schadsoftware doch ehh schon auf dem Rechner ist, kann die Schadsoftware machen was sie will, da brauch sie nur ein rootkit im Gepäck um sich admin Rechte zu verschaffen und schon kann die Firewall problemlos beendet werden. Nichtmal wenn Schadsoftware auf dem Rechner ist, ist es schon zu spät, wie ich auch schon am Anfang des Thread geschrieben habe.

Eine weitere Grundsatzfrage... was ist besser: Der Schädling kann ungehindert nachhause telefonieren (-> Keine Firewall), oder er ist auf dem System und kann dort zwar Schaden anrichten, aber er kann nicht nachhause telefonieren (Passwörter usw.)?
Wer sagt Dir denn das der Schädling nicht doch trotz PFW senden kann? Solche Sachen wie 98 von 100 Schädlingen werden geblockt kann man bei PFW nicht sagen. Man kann nicht kalkulieren wie sicher oder unsicher eine PFW ist das geht einfach nicht.
Stell Dir mal vor der Schädling bringt seinen eigen TCP/IP Stack oder gar eigene Treiber mit. Somit wäre er nicht mehr auf den TCP/IP Stack des OS angewiesen, die PFW setzt aber genau auf den TCP/IP Stack von Windows, aber wenn der Schädling seinen eigenen hat kann er munter senden und empfangen, da rührt sich keine PFW mehr

Wie willst du kontrollieren, ob eine Software beim Programmstart (keine) Daten sendet, ohne die entsprechenden Tools?
Weißt du 100%ig, das irgendein Programm nicht auch nach dem deaktivieren der Auto-Update funktion Daten sendet?

Bei einer anständigen Firewall wird dies sofort angezeigt und protokolliert.Woher willst Du das wissen und was ist eine anständige PFW? Woher willst Du wissen das ein Schädling der bei Dir auf dem Rechner ist von der PFW auch entdeckt wird? Das kannst Du nicht Du kannst dort nur der PFW vertrauen. Doch auch PFWs mit Benutzerrechten (wenn man Beuntzerechte hat braucht man IMHO erst Recht keine PFW) kann man aushebeln (google.com weiss warum).

Schlechtes Beispiel. Was zugemauert worden ist, kann auch wieder geöffnet werden.
Grundsatzfrage: Wenn etwas raus kann, warum sollte dann nicht zur gleichen Zeit etwas rein können?

Wenn alles so sicher wäre wie du denkst: Warum gibt es dann immer noch Meldungen über gecrackte Webserver o.ä. die noch wesentlich besser geschützt sind, als Homeuser PCs? ...Weil, wie der Name schon sagt, ein Webserver eben auch diese Webdienste ins Internet anbieten muss (dafür ist er ja Server) und da sind dann logischerweise auch entsprechende Ports offen über diese kann man dann natürlich einsteigen (mit dem mehr oder weniger vorhandenem Know-How). Nur braucht denn der Homeuser einen WEbserver der ins Internet anbietet?
Gegenfrage: Warum sind auf Servern generell kein PFWs installiert, wenn sie doch so toll und sicher sind? Wohlgemerkt wir sprechen hier nur von Personal Firewalls, nicht von professionellen Firewalls.

Wenn man dieser Argumentation folgt, dann dürfte man keinerlei Software installieren, da *jede* zusätzliche Software ein weiteres Angriffsziel darstellt.Ja das stimmt tatsächlich je weniger Software desto sicherer ist das System. Nur wozu ein Software installieren die offensichtlich keinen Sinn macht, oder anderes warum eine neue Gefahr auf dem Rechner installieren, wenn ich davon doch keinen Nutzen habe?

Grundsatzfrage: Was haben meine Bedürfnisse mit dem Thema zu tun?
Es reicht doch, wenn ich weiß, was ich brauche und was nicht.Ja sicherlich es ging mir nur um ein Bespiel. Ich habe genügend Beispiele gebracht und viele Links gepostet in denen erläutert wurde warum man keine PFW braucht. Deshalb bat ich um ein Szenario bei dem die PFW wirklich wichtig ist und ohne die das System gefährdeter war als mit. Dieses Beispiel konnte bisher noch niemand liefern. Es kam (auch von Dir) immer nur Antworten á la "mache Dienste braucht man aber" zurück. Auf die Frage welche Dienste das denn sind, die unbedingt nach draussen senden müssen konntest Du nicht antworten (weil Dir wahrscheinlich keiner einfällt). Wenn ich Dich so höre müsste Deine PFW Dich ja vor millionen von Gefahren schützen, komischerweise konntest Du bisher nicht ein einziges kleines Beispiel nennen.

Da hier anscheinend keine konstruktive Diskussion möglich ist...Naja konstruktive Diskussion ist schon möglichn nur bei Postings wie Deinen, musst Du Dir das halt gefallen lassen das man sagt Das Du davon nichts verstündest (was ja so weit weg von der Wahrheit nicht sein kann wenn ich mir Deine Postings druchlese). Ich werfe Dir auch nicht Deine Unwissenheit vor, nur solltest Du halt beim nächsten Streitgespräch vielleicht erstmal google bemühen bevor Du 100%ig unverückbar auf einer Meinung beharrst.
Aber stimmt es war etwas überspitzt formuliert von mir - tut mir ja auch leid ;)

...klinke ich mich aus dieser aus. Viel Spaß noch...
Das ist schade, aber gut...

Mach's gut :wave2:


Und wenn du mich davon überzeugen willst, dass dem nicht so ist, solltest du mir schon ein konkretes Beispiel anhand eines Wurmes zeigen, welcher über die Ausnutzung eines exploits der Firewall eben diese umgeht.
Und ich meine hier explizit einen exploit, denn falsch konfigurieren kann man allesAlso mal 'I'm feeling lucky' in google gesucht bringt ein 4 Monate altes Sicherheitsproblem (http://www.heise.de/security/result.xhtml?url=/security/news/meldung/47316) bei der Norton Firewall zutage. Derer gibt es zu Hauf. Zum Abschluss vielleicht nocht ein kleiner Exploit der Zonealarm beendete (http://www.stud.tu-ilmenau.de/%7Etraenk/zaweg.htm) (funktioniert jetzt aber nicht mehr AFAIK)

Sith

wenn du es nicht schaffst die software einzuschränken - was spricht für eine PFW?
Sie kostet mich nix und leistet das was ich brauche: Sie schirmt mir die offenen Ports ab und meldet mir Programme die nach Hause telefonieren wollen. Wobei Letzteres eher rein informativen Charakter hat.

Die Frage ist ja nicht, ob es was besseres gibt als PFWs. Die Frage war, ob PFW generell unsinnig sind.

muss es eine bunte klicki norton sein die bei jedem programm mit roten und gelben bildern vor irgendwelche "gefahren" warnt und den user so die absolute sicherheit vorgaukelt?
Auf die ganze Kirmesbeleuchtung könnte ich ebenfalls gut verzichten. Deshalb werd ich mir mal Portblocker anschauen. Thx für den Tipp.

Sie kostet mich nix und leistet das was ich brauche: Sie schirmt mir die offenen Ports ab und meldet mir Programme die nach Hause telefonieren wollen. Wobei Letzteres eher rein informativen Charakter hat.

Die Frage ist ja nicht, ob es was besseres gibt als PFWs. Die Frage war, ob PFW generell unsinnig sind.

genau deshalb denke ich ja sie sind unsinnig - du bist mit deinen 10 verschiedenen services wieder mal eine ausnahme von einem standarduser, denn ich kenne keinen standarduser der irgendwelche services laufen hat (wie z.b. IIS, Apache , mysql usw.)

sind von aussen keine Ports erreichbar - ist schonmal sense mit würmern und trojanern die sich selbst installieren, dazu einen aktuellen AV und einen Sicherheitsbewussten User und fertig

ich habe bei keinem meiner privat betreuten pcs eine pfw installiert, und KEINER der pcs hatte jemals einen trojaner oder gar wurm

Interessante Diskussion :)

Mit Freigaben, die über das Internet verfügbar sind, habe ich auch schon meine Erfahrungen gemacht :)
Damals, WinME ohne Firewall im Netz, hatte mal ne Freigabe aktiviert, und vergessen, diese wieder zu deaktivieren.. und ich hatte was auf meinem Rechner, wofür sich Andere interessiert haben(Testversion eines Bots für CS), und es hat auch Einer geklaut, veröffentlich, und die Verwunderung war groß, wie diese Testversion geleakt ist :)
Durch Zufall hatte auf meiner Festplatte eine Datei der Testversion leicht abgeändert, so konnte ich dann sagen, dass diese Testversion von meinem Rechner stammt, alles andere war mir dann sofort klar... :)

Dann mit Win 2k und später XP sind ja die Shares, soweit ich weiß(korrigiert mich wenn ich falsch liege), standardmäßig nur übers LAN zugänglich(Datei- und Druckerfreigabe ist "in der Internetverbindung" deaktiviert).

Irgendwann hab ich dann mit Windows XP auch die Firewall angeschaltet, weiß nicht mehr genau warum, auf jeden Fall war es noch bevor Blaster und Co modern waren.(Im nachhinein war ich dann natürlich froh, das ich dadurch von Blaster etc. verschont geblieben bin)

Zum Thema Patches, außer SP1 müsste mein XP ungepatcht sein.
Sehe ich nicht unbedingt einen Nutzen drin, da die meißten Sicherheitslücken durch die Firewall ziemlich irrelevant werden dürften(vom LAN mal abgesehen..), IE und OE verwende ich nicht.. eher habe ich Angst, das ein Patch eher schadet als das er hilft(nach dem Motto never touch a running system).
Zudem bin ich auch zu Faul dauernd Windows Update zu checken bzw will ich auch nicht wirklich automatische Updates.
Edit: Zudem kann man sich allein deshalb nicht (nur) auf Patches verlassen, da es ja durchaus vorkommen kann, das ein Exploit schon vor dem erscheinen eines Patches ausgenutzt werden kann..

Nun wurde hier von der Deaktivierung gewisser Dienste erzählt, wenn dies alles problemlos klappt, wäre das wohl eine Alternative zur PFW.
Ich habe mich damit vorher nicht beschäftigt, da einerseits die Firewall für mich reicht, und andererseits ich mir gedacht hab, das gewisse Dienste halt doch nicht grundlos laufen(obwohl das doch wohl so einige sind, die besser per default aus sein sollten, zB der Nachrichtendienst..), bzw keine Probleme der Art "Programm X lässt sich nicht installieren da Dienst Y nicht läuft" oder ähnliches haben wollte..
Auch diese kleinen Tools, die das automatisch erledigen, scheinen das ja ziemlich einfach zu ermöglichen, allerdings finde ich, daß es trotzdem noch einfacher ist, mal schnell die Windows Firewall zu aktivieren (bzw die ist ja seit SP1 standardmäßig aktiviert iirc).

Die Lösung mit den Diensten wäre wohl insofern eleganter, das die abgeschalteten Dienste sowie die abgeschaltete Firewall weniger Ressourcen in Anspruch nimmt, sowie es natürlich immer von Vorteil ist, wenn man weiß, was ein Dienst tut und was da eigentlich so alles auf seinem System läuft, werde mich wohl deshalb auch nochmal genauer damit beschäftigen.

Zum Thema Bugs in PFWs, also ich bin zwar kein Software Experte, aber ich vermute mal, dass das simple Blocken von Anfragen auf gewisse Ports eigentlich ziemlich einfach sein sollte und daher wenig bis keine Bugs auftreten sollten.
Das mit SP2, der ICF und den Shares ist natürlich interessant. (Ein Grund, neben dem connect limit, das ich SP2 bisher gemieden habe..)
So, habe folgendes dazu gefunden:
Edit2: Englische Version des Artikels der schon vorher verlinkt wurde - den hab ich aber "vergessen" durchzulesen *schäm*
Wenn das stimmt, was da steht, würde das ja bedeuten, das man zumindest mit shares, die nur fürs LAN verfügbar sein sollen, gar nicht ohne Firewall auskommt, zumindest mit XP+SP1/SP2.
Ist schon ziemlich krass imo, was für bugs die SPs da wieder bringen...

So, *gähn*, ich hoffe ich habe keinen totalen Müll geschrieben :)

genau deshalb denke ich ja sie sind unsinnig - du bist mit deinen 10 verschiedenen services wieder mal eine ausnahme von einem standarduser
Dass die Dinger oft mehr Schaden anrichten als sie nutzen bestreitet ja niemand. Es ging mir nur um die pauschale Verurteilung.

sind von aussen keine Ports erreichbar - ist schonmal sense mit würmern und trojanern die sich selbst installieren
Genau da liegt aber ein Problem. Viele Programme bei denen es ein DAU nicht vermuten würde, öffnen Ports! Hmm, Beispiel:

Ich hab hier einen Bayesian Spamfilter installiert. Nennt sich "K9". Das Ding fungiert als eine Art POP3 Proxy und öffnet einen Port an dem der MUA seine Post abholen kann. Kann das ein Anwender wissen? Muss er sowas wissen? Wie blockt er sowas vernünftigt, wenns das Programm keine Option dafür anbietet.

Und ein Spamfilter ist nun wirklich kein Spezialfall.

Dass die Dinger oft mehr Schaden anrichten als sie nutzen bestreitet ja niemand. Es ging mir nur um die pauschale Verurteilung.


Genau da liegt aber ein Problem. Viele Programme bei denen es ein DAU nicht vermuten würde, öffnen Ports! Hmm, Beispiel:

Ich hab hier einen Bayesian Spamfilter installiert. Nennt sich "K9". Das Ding fungiert als eine Art POP3 Proxy und öffnet einen Port an dem der MUA seine Post abholen kann. Kann das ein Anwender wissen? Muss er sowas wissen? Wie blockt er sowas vernünftigt, wenns das Programm keine Option dafür anbietet.

Und ein Spamfilter ist nun wirklich kein Spezialfall.

also ich kenne ebenfalls keinen user mit so einem programm :)
warum soll ein Spamfilter bitte einen Port öffnen?
das fällt dann in die Kategorie "nicht vertrauenswürdige Software" und wird nicht installiert

Wo ist denn da die Logik wenn Schadsoftware doch ehh schon auf dem Rechner ist, kann die Schadsoftware machen was sie will, da brauch sie nur ein rootkit im Gepäck um sich admin Rechte zu verschaffen und schon kann die Firewall problemlos beendet werden.

Wenn eine Software keine Admin-Rechte hat, kann sie sich auch keine verschaffen. So einfach ist das.

- Der Schädling muss erstmal auf den Rechner kommen
- Der Schädling muss sich Admin-Rechte verschaffen oder das Administrator-Passwort kennen (über Sicherheitslücken möglich, aber die muss es erstmal geben.)
- Der Schädling muss über eine Funktion verfügen, die alle gängigen Firewalls beenden kann.

Das alle drei Sachen zutreffen ist so unwahrscheinlich, das du vorher eine Million mal im Lotto gewinnst.

Wie gross wird dieser Schädling wohl sein, wenn er all diese Sicherheitsmassnahmen umgehen kann?

Es sollte angemerkt werden, das Personal Firewalls sinnvoll mit Hardware-Firewalls kombiniert werden können, so wie es bei Routern mit eingebauter FW der Fall ist.

Stell Dir mal vor der Schädling bringt seinen eigen TCP/IP Stack oder gar eigene Treiber mit. Somit wäre er nicht mehr auf den TCP/IP Stack des OS angewiesen, die PFW setzt aber genau auf den TCP/IP Stack von Windows, aber wenn der Schädling seinen eigenen hat kann er munter senden und empfangen, da rührt sich keine PFW mehr

Einige dieser (Personal)-Firewalls (z.B. ZA Pro) prüfen die MD5-Checksumme der Datei und stellen fest, ob diese verändert wurde oder nicht.

Ohne Schreibrechte kann der Schädling im übrigen diese Aktion gar nicht durchführen. Das Linux Konzept muss lediglich auf Windows übertragen werden. Ab Windows 2000 ist eine sinnvolle Rechteverwaltung möglich.

just my 2 cents

... Ich habe genügend Beispiele gebracht und viele Links gepostet in denen erläutert wurde warum man keine PFW braucht. Deshalb bat ich um ein Szenario bei dem die PFW wirklich wichtig ist und ohne die das System gefährdeter war als mit. Dieses Beispiel konnte bisher noch niemand liefern. Es kam (auch von Dir) immer nur Antworten á la "mache Dienste braucht man aber" zurück. Auf die Frage welche Dienste das denn sind, die unbedingt nach draussen senden müssen konntest Du nicht antworten (weil Dir wahrscheinlich keiner einfällt). Wenn ich Dich so höre müsste Deine PFW Dich ja vor millionen von Gefahren schützen, komischerweise konntest Du bisher nicht ein einziges kleines Beispiel nennen. Auf mein einfaches Beispiel bei einer Neuinstallation und einer aktiven internen XP-Firewall bist du aber auch nicht mehr weiter eingegangen. Ich hab es selbst mehrfach getestet und wenn man nicht gerade die passenden Sicherheitsupdates auf CD dabei hat, dann schafft man es normalerweise nicht genau das passende Update dafür zu finden bevor man infiziert wird. Und erstmal "irgendwelche" Dienste abstellen kommt für mich grundsätzlich nicht in Frage, da mir das Thema etwas zu komplex ist. Ich hab schon zu oft erlebt (auch hier im Forum), das da dann was schief geht und irgendwelche wichtigen Systemfunktionen plötzlich nicht funktionieren oder sich bestimmte Programme nicht mehr installieren lassen oder im schlimmsten Fall sogar Windows gar nicht mehr starten will (ok zumindest das letzte wäre eher unwahrscheinlich bei der von dir verlinkten Seite). ...
Also mal 'I'm feeling lucky' in google gesucht bringt ein 4 Monate altes Sicherheitsproblem (http://www.heise.de/security/result.xhtml?url=/security/news/meldung/47316) bei der Norton Firewall zutage. Derer gibt es zu Hauf. Zum Abschluss vielleicht nocht ein kleiner Exploit der Zonealarm beendete (http://www.stud.tu-ilmenau.de/%7Etraenk/zaweg.htm) (funktioniert jetzt aber nicht mehr AFAIK)

Sith Was für ein Zufall das diese Links auch auf den üblichen Anti-PFW-Webseiten zu finden sind :rolleyes:. Übrigends sagt der Heise-Link nur aus das Software nun mal nicht perfekt ist (oh Wunder ...), aber das man für sowas auch schnell Patches anbieten kann, wenn solche Lücken gefunden wurden: ... Symantec hat Patches für die Fehler zur Verfügung gestellt. Anwender, die ihr System regelmäßig über LiveUpdate aktualisieren, sollten nach Angaben von Symantec schon nicht mehr verwundbar sein. ... Und wie du schon im Prinzip selbst festgestellt hast, das völlig veralteten VB-Script brauch man eigentlich auch nicht mehr erwähnen.

also ich kenne ebenfalls keinen user mit so einem programm :)
warum soll ein Spamfilter bitte einen Port öffnen?
K9 Homepage (http://keir.net/k9.html)
Wie gesagt, eine Art POP3 Proxy.

Oder was ist mit "Webwasher & Co."? Sind das nicht auch nur Proxies? Die müssten doch genauso Ports öffnen?

Der Schädling muss erstmal auf den Rechner kommen
Eben, um das zu verhindern braucht es aber keine PFW der gesunde Menschenverstand und ein sicher konfiguriertes Windows reichen vollkommen aus.

Der Schädling muss sich Admin-Rechte verschaffen oder das Administrator-Passwort kennen (über Sicherheitslücken möglich, aber die muss es erstmal geben.)Muss er nicht siehe unten.

Der Schädling muss über eine Funktion verfügen, die alle gängigen Firewalls beenden kann.Braucht er auch nicht siehe unten...

Das alle drei Sachen zutreffen ist so unwahrscheinlich, das du vorher eine Million mal im Lotto gewinnst.Das wollen wir doch mal sehen...

Es sollte angemerkt werden, das Personal Firewalls sinnvoll mit Hardware-Firewalls kombiniert werden können, so wie es bei Routern mit eingebauter FW der Fall ist.Häh? Ein Router bei dem ne Firewall dabei ist, ist automtaisch eine Art 'Hardwarefirewall'. Und nein PFW kann man nicht sinnvoll kombinieren mit Hardware Firewall (z.B. eine dezidierte Linux Maschine auf der IP-Tables läuft, oder ne BSD Kiste etc. pp) Wenn der Admin seinen Job versteht und die 'Hardwarefirewall' vernünftig konfiguriert hat braucht man keine PFW merh, im Gegenteil, sie stellen dann eine Schwachpunkt im Sicherheitskonzept dar. So einfach ist das.

Einige dieser (Personal)-Firewalls (z.B. ZA Pro) prüfen die MD5-Checksumme der Datei und stellen fest, ob diese verändert wurde oder nicht.Ist ja schön, aber ach nicht undebingt wirkungsvoll, denn wenn die PFW ihren eigenen (nicht mal großen und auf das nötigste beschränkten) TCP/IP Stack mitbringt werden keine Dateien verändert, sondern höchstens ein paar neue erstellt. Dort greift dann eine Checksummeprüfung nicht denn auch:Ohne Schreibrechte kann der Schädling im übrigen diese Aktion gar nicht durchführen. Das Linux Konzept muss lediglich auf Windows übertragen werden. Ab Windows 2000 ist eine sinnvolle Rechteverwaltung möglich. ist so nicht richtig, denn zumindest der angemeldete User (dessen Brechtigungen der Schädlig erbt) kann (und seien es nur die 'Eigenen Dateien') irgendwo im System schreiben, auch kann man IMHO im Temp Verzeichnis von Win beliebig schreiben - aber da kann ich mich auch irren.
Unter Linux schiebt man dem einfach eine Riegel davor in dem man verbietet das in bestimmten Ordnern Dateien ausgeführt werden dürfen - aber das ist mit Windwos AFAIK (noch) nicht möglich. Also lässt sich das Linux- Benuterkonzept auch nicht auf Windows übertragen

Fassen wir also zusammen:

Der Schädling kam, wenn er drauf, ist trotz Firewall auf den Rechner sei es druch Fehler in der Fiewall oder druch Dummerheit des Users oder durch sonstwas
Der Schädling kann beleibig schreiben trotz Benutzerrechte und duch Passwort geschützer PFW
Der Schädling ist dank eigenen TCP/IP Stack oder dank eigner Treiber für die Netzwerkkarten (vom dem beides nicht sehr gross ist) in der Lage an der PFW "vorbeizusenden"
um weitere Daten herunterzuladen (z.B. für ein Tool das die Tastatureingaben mitliest o. ä.)

Und das alles trotz PFW. Hmm komisch, also ich finde es sehr viel wahrscheinlicher das ein Schädling dazu in der Lage ist, als daß ich eine millionmal im Lotto gewinne!

Auf mein einfaches Beispiel bei einer Neuinstallation und einer aktiven internen XP-Firewall bist du aber auch nicht mehr weiter eingegangen. Also nochmal nach frischer Installation schnell das Script runterladen (kann man später ja wieder rückgängig machen) und anschliessend 'Windwos Update'. Oder, der Königsweg wie ich finde, einfach MS anrufen und sich die CD mit SP2 zu schicken lassen bzw. gabs das ja auch jetzt als Beilage bei diversen Printmagazinen. So kann man die Patches IMHO auch am sichersten (weil off-line) installieren.

Was für ein Zufall das diese Links auch auf den üblichen Anti-PFW-Webseiten zu finden sindTja wenn Du die ganzen Argumente auf diesen Seiten widerlegen kannst, dann nur zu, ich bin gespannt. Aber ich denke mal wenn ich mir die Authoren dort anschaue (von denen die meisten angesehene Sicherheitsexperten sind z.B. Felix von Leitner dessen Referenzen (http://www.codeblau.de/references.html) ja ohne Worte für sich sprechen) wird Dir das wohl nicht gelingen eben diese Argumente dort zu widerlegen. Aber bitte ich lass mich da gerne eines Besseren belehren.


Übrigends sagt der Heise-Link nur aus das Software nun mal nicht perfekt ist (oh Wunder ...), aber das man für sowas auch schnell Patches anbieten kann, wenn solche Lücken gefunden wurdenEs wurde nach Beispielen gefragt wann bzw. wie eine PFW das System mehr gefährden kann und (oh wunder) genau das zeigen die Links (ja auch der alte) deutlich. Das die nicht mehr taufrisch sind ändert an dem Fakt aber nichts, daß duch diese Firewalls die Systeme ein Zeit lang gefährdet waren. Das könnte man ja noch in Kauf nehmen wenn PFW einen Nutzen hätten, haben sie aber nicht.

Grüße,

Sith

K9 Homepage (http://keir.net/k9.html)
Wie gesagt, eine Art POP3 Proxy.

Oder was ist mit "Webwasher & Co."? Sind das nicht auch nur Proxies? Die müssten doch genauso Ports öffnen?

ka - wie gesagt ich benutze soetwas nicht, auf meinem einzigen Windows pc habe ich nur winamp und games und sonst gar nix :)

Häh? Ein Router bei dem ne Firewall dabei ist, ist automtaisch eine Art 'Hardwarefirewall'. Und nein PFW kann man nicht sinnvoll kombinieren mit Hardware Firewall (z.B. eine dezidierte Linux Maschine auf der IP-Tables läuft, oder ne BSD Kiste etc. pp)

Du wirst die Funktionen vielleicht nicht brauchen, aber bitte schließe nicht von dir auf andere.

Eine HW-Firewall kann sehr wohl mit einer normalen PF kombiniert werden, um Logdateien, Programmberechtigungen und ähnliches nutzen zu können.

Ist ja schön, aber ach nicht undebingt wirkungsvoll, denn wenn die PFW ihren eigenen (nicht mal großen und auf das nötigste beschränkten) TCP/IP Stack mitbringt werden keine Dateien verändert, sondern höchstens ein paar neue erstellt.



Nicht möglich, keine Schreibrechte.



Unter Linux schiebt man dem einfach eine Riegel davor in dem man verbietet das in bestimmten Ordnern Dateien ausgeführt werden dürfen - aber das ist mit Windwos AFAIK (noch) nicht möglich. Also lässt sich das Linux- Benuterkonzept auch nicht auf Windows übertragen


Die Zugriffsrechte lassen sich in Windows XP für jedes Laufwerk, für jeden Ordner und jede Datei definieren.

Rechtsklick auf die entsprechenden Laufwerke/Ordner/Dateien, Eigenschaften, Sicherheit.

Von Vollzugriff, nur Lesen, Ändern, Schreiben, Ordnerinhalt auflisten und spezielle Berechtigungen ist alles möglich.

Verschiedene Benutzer können unterschiedliche Rechte erhalten, so lange sie von einem Account definiert wurden, der die nötigen Rechte hat, um diese Änderungen durchzuführen.

Ein Virus oder Wurm hat diese Rechte unter einem Benutzeraccount nicht.

Nicht möglich, keine Schreibrechte.Das wollen wir doch mal sehen...
Die Zugriffsrechte lassen sich in Windows XP für jedes Laufwerk, für jeden Ordner und jede Datei definieren.

Rechtsklick auf die entsprechenden Laufwerke/Ordner/Dateien, Eigenschaften, Sicherheit.

Von Vollzugriff, nur Lesen, Ändern, Schreiben, Ordnerinhalt auflisten und spezielle Berechtigungen ist alles möglich.

Verschiedene Benutzer können unterschiedliche Rechte erhalten, so lange sie von einem Account definiert wurden, der die nötigen Rechte hat, um diese Änderungen durchzuführen.

Ein Virus oder Wurm hat diese Rechte unter einem Benutzeraccount nicht.Mir ist schon klar (zwar nicht jedes winizge Detail) wie die Windows XP Benutzerrechte funktionieren. Generell ist es so das Schadsoftware die Benutzerrechte des Users erben (muss nicht sein ist aber meistens so). Welcher User hat denn nirgendwo im System Schreibrechte??? Da könnte man als normaler User ja nicht mal ein billiges Word Document erstellen, somit könnte man mit dem Benutzeraccount (der nirgendwo schreiben darf) nicht produktiv arbeiten. Wer macht sowas sinnfreies?
Also irgendwo hat der (angemeldete) Nutzer aufjedenfall Schreibrechte und dort dürfen dann auch alle Programme die der Benutzer ausführt (oder mit den gleichen Rechten wie der Benutzer laufen) hinein schreiben, sei es ein Webbrowser der in den Order die runtergladenen Dateien speichert oder Word das dort das neu erstellte Dokument speichert - oder eben Schadsoftware.
Ein Virus oder Wurm hat diese Rechte unter einem Benutzeraccount nicht.Auch nicht so richtig. Denn wenn ich mir nen Wurm per E-Mail, oder per Browser einfange (wovor auch keine PFW schützt), dann laufen eben Browser und E-Mail-Client mit den Rechten des Benutzers und genau die selben Rechte erbt dann die Schadsoftware und kann dann auch alles das machen was der Benutzer darf (inklusive in die dafür vorgesehenen Verzeichnisse schreiben).

Das Benutzerrechte sinnvoll und gut sind bestreite ich ja gar nicht, aber hier geht es um den Sinn der PFWs, jetzt musst Du mir aber nochmal erklären wo genau mich denn jetzt hier die PFW schützt?

Die Frage ist ja nicht, ob es was besseres gibt als PFWs. Die Frage war, ob PFW generell unsinnig sind.
Ja sind sie, denn sie haben den Zweck Angreifer draussen zu halten und den Anwender zu schützen vor schädlichem Code und das leisten sie anscheindend nicht. Das Du PFWs 'missbrauchst' um zu überwachen was gutmütige Software so alles treibt, mag sie in dem Zusammenhang vielleicht wieder sinnvoll erscheinen, jedoch das wofür sie eigentlich konstruiert sind (nämlich das System vor 'Bösem' zu schützen) leisten sie nicht und deshalb sind sie unsinnig.
Dass die Dinger oft mehr Schaden anrichten als sie nutzen bestreitet ja niemand. Es ging mir nur um die pauschale Verurteilung.LOL Nagilum Du bist der Beste :D
Also wenn Software "die mehr Schaden anrichtet als sie Nutzen bringt" nicht unsinnig ist, dann weiß ich auch nicht. *g*

Grüße,

Sith

Das wollen wir doch mal sehen...
Das Du PFWs 'missbrauchst' um zu überwachen was gutmütige Software so alles treibt, mag sie in dem Zusammenhang vielleicht wieder sinnvoll erscheinen, jedoch das wofür sie eigentlich konstruiert sind (nämlich das System vor 'Bösem' zu schützen) leisten sie nicht und deshalb sind sie unsinnig.
Hast du überhaupt gelesen was ich geschrieben hab? Es ging um offene Ports von Daemonen, die sich nicht konfigurieren lassen. Genauso ging es um offene Ports, die vielen Benutzern nicht bewusst sein dürften. Als Beispiel der angeführte Spamfilter. Die Logging Features sind für mich nur Zucker obendrauf.

Also wenn Software "die mehr Schaden anrichtet als sie Nutzen bringt" nicht unsinnig ist, dann weiß ich auch nicht.
Nochmal: Lesen bitte.
Eine Software, die Schaden anrichten kann, weil der Benutzer sie nicht zu bedienen vermag, ist wohl kaum pauschal böse. Würdest du deiner eigenen Argumentation folgen, dann müsstest du auf der Stelle dein Windows/Linux/HasseNichtGesehen abgeben.

... Also nochmal nach frischer Installation schnell das Script runterladen (kann man später ja wieder rückgängig machen) und anschliessend 'Windwos Update'. Oder, der Königsweg wie ich finde, einfach MS anrufen und sich die CD mit SP2 zu schicken lassen bzw. gabs das ja auch jetzt als Beilage bei diversen Printmagazinen. So kann man die Patches IMHO auch am sichersten (weil off-line) installieren.

Tja wenn Du die ganzen Argumente auf diesen Seiten widerlegen kannst, dann nur zu, ich bin gespannt. Aber ich denke mal wenn ich mir die Authoren dort anschaue (von denen die meisten angesehene Sicherheitsexperten sind z.B. Felix von Leitner dessen Referenzen (http://www.codeblau.de/references.html) ja ohne Worte für sich sprechen) wird Dir das wohl nicht gelingen eben diese Argumente dort zu widerlegen. Aber bitte ich lass mich da gerne eines Besseren belehren.


Es wurde nach Beispielen gefragt wann bzw. wie eine PFW das System mehr gefährden kann und (oh wunder) genau das zeigen die Links (ja auch der alte) deutlich. Das die nicht mehr taufrisch sind ändert an dem Fakt aber nichts, daß duch diese Firewalls die Systeme ein Zeit lang gefährdet waren. Das könnte man ja noch in Kauf nehmen wenn PFW einen Nutzen hätten, haben sie aber nicht.

Grüße,

Sith Das Problem ist, du gehst immer von jemandem aus der sich sehr gut mit Firewalls bzw. den Sicherheitslücken von Windows auskennt, ich gehe eher vom "normalen" Windows-Nutzer aus.

Aber auch wenn bzw. gerade weil ich mich ein wenig damit selber auskenne, würde ich nicht mal eben ein "Script" runterladen das an meinem Diensten rumspielt (wie ja oben schon geschrieben). Denn wenn man sich allein schon anschaut was "bisher" an Problemen damit bekannt sind ... Wobei ich ja zumindest diese Aussage doch sehr interessant finde: Hinweis auf offene Ports: Aktuell ist bekannt, daß durch diese Maßnahme die Ports 135 (RPC) und 1025 wieder geöffnet wurden. Daher wird für diesen Fall die Aktivierung der XP-Firewall empfohlen.

http://www.ntsvcfg.de/scheduler.html ... soviel zum Thema solche Firewalls hätten überhaupt gar keinen Nutzen :rolleyes:.

Was die Sicherheitsexperten angeht, warum sollten diese eine PFW empfehlen? Die leben davon das sie Leuten für viel Geld Sicherheit verkaufen. Und natürlich gibts günstige Möglichkeiten sich einiges sicherer einzurichten, weswegen natürlich "richtige" Firewalls bzw. Router mit integrierter Firewall vorzuziehen sind, aber kostenlose Mögichkeiten sind ja doch eher beschränkt verfügbar.

(auch wenn deine Linklisten vielleicht noch ganz gute Argumente bieten sollten, die gegen eine PFW sprechen, so ist es mir jetzt doch etwas zu aufwendig das alles durchzuarbeiten und auseinanderzunehmen)

Ich denke auch, eine PFW(kann man die die XP Firewall bzw generell Portblocker so bezeichnen? oder soll man einfach Portblocker sagen? :)) ist nicht verkehrt, das beste ist wohl, beides zu machen, unnötige Dienste abschalten und Firewall aktiv lassen, wobei zumindest für mich ein einfacher Portblocker -> XP Firewall reicht.

Ein Grund nennt x-dragon schon.
Ein weiterer stand im PC-Welt Artikel, Windows XP braucht ab SP1 anscheinend eine Firewall, um Shares über LAN, aber nicht übers Internet verfügbar zu machen...

Ich denke auch, eine PFW(kann man die die XP Firewall bzw generell Portblocker so bezeichnen? oder soll man einfach Portblocker sagen? :)) ist nicht verkehrt, das beste ist wohl, beides zu machen, unnötige Dienste abschalten und Firewall aktiv lassen, wobei zumindest für mich ein einfacher Portblocker -> XP Firewall reicht.

Ein Grund nennt x-dragon schon.
Ein weiterer stand im PC-Welt Artikel, Windows XP braucht ab SP1 anscheinend eine Firewall, um Shares über LAN, aber nicht übers Internet verfügbar zu machen...

portblocker != pfw
portblocker != fw
pfw != fw
fw != programm

alle unklarheiten beseitigt :)

Generell ist es so das Schadsoftware die Benutzerrechte des Users erben (muss nicht sein ist aber meistens so). Welcher User hat denn nirgendwo im System Schreibrechte??? Da könnte man als normaler User ja nicht mal ein billiges Word Document erstellen, somit könnte man mit dem Benutzeraccount (der nirgendwo schreiben darf) nicht produktiv arbeiten. Wer macht sowas sinnfreies?

Die Rechteverwaltung erlaubt nicht nur die Unterscheidung zwischen Admin, User 1, 2, 3 (...) sondern auch zwischen "SYSTEM" und User X.
Systemdateien mit dem Vermerk "Nur Lesen, Ausführen" können nicht verändert oder absichtlich gelöscht werden. Im Gegenzug dafür, darf das System auch nicht an den Userdateien herumpfuschen, ohne die Erlaubniss des Users.
Wenn Programme, Anti-Virenscanner, Personal Firewalls nicht verändert werden dürfen, wie soll dann ein Schädling diese Programme deaktivieren?

Für Treiberinstallation und ähnliches, muss man nur kurz auf den Admin-Account wechseln, oder die Funktion "runas" benutzen.

Dieses Feature wird leider von viel zu wenig Usern genutzt, obwohl es die Sicherheit extrem erhöhen würde.
Eine Firewall wäre insofern sinnvoll, als das man sie als zusätzliche Abschirmung nutzen kann.

Allein schon deshalb, weil einige Share/Freewareprogramme (versteckte) Spyware enthalten, ist eine Steuerung auf Programmebene sinnvoll.
Wenn die erstmal auf dem Rechner sind, bringt das *abschotten des Systems* von außen nach innen, rein gar nichts.
Eine Personal Firewall blockt auch auf lokaler Ebene, wenn sie ausreichend geschützt wird.

http://mitglied.lycos.de/DasByteX/Rechte1.gif
http://mitglied.lycos.de/DasByteX/Rechte2.gif

portblocker != pfw
portblocker != fw
pfw != fw
fw != programm

alle unklarheiten beseitigt :) Man könnte es vielleicht noch ein wenig erweitern :)

fw != Software/Hardware
fw = Konzept (Hardware, Software, Planung, ...)

portblocker != pfw
Hu? Wieso? Erklär' mal, bitte :) Falls Du etwas anderes meinen solltest als portblocker = pfw-schnickschnack != pfw

fw != programm


Zeig mir jemand, der eine Firewall vollständig in Hardware implementiert, und ich zeige Dir jemanden, der dem Stand in der Informatik etwa 70 Jahre hinterherhinkt.

Oder missverstehe ich Dich hier, und Du meinst mit "fw" nicht die Hardware-Firewalls?

Bei der "root vs user" Diskussion sollte man aber auch eine Sache bedenken: Mir wären meine Daten im $HOME meines Privatrechners wesentlich wichtiger als der ganze Rest des Systems.

Achja: Ich benutze selbst Root + User Accounts. Unter Windows ist das allerdings ein einziges Gekrampfe. Ich kann jeden verstehen, der das nicht freiwillig mitmacht.

Zeig mir jemand, der eine Firewall vollständig in Hardware implementiert, und ich zeige Dir jemanden, der dem Stand in der Informatik etwa 70 Jahre hinterherhinkt.

Oder missverstehe ich Dich hier, und Du meinst mit "fw" nicht die Hardware-Firewalls? Ja das hast du bestimmt mißverstanden, denn eine Firewall sollte an sich ein (Sicherheits-)Konzept sein und das setzt sich dann halt aus den verschiedenen Teilen zusammen (wie oben schon geschrieben).

[edit]
hier gibts noch einen netten Link dazu:
http://de.wikipedia.org/wiki/Firewall

Hast du überhaupt gelesen was ich geschrieben hab?Ja.
Es ging um offene Ports von Daemonen, die sich nicht konfigurieren lassen.Sowas gibt es nicht. Mir ist noch kein Apache-Server, Postfix-Server MySQLhastenichtgsehen-Server untergekommen der sich nicht konfigurieren lässt. Und wenn man's 'quick und dirty' machen muss, in dem man z.B. die zulässigen Benutzer auf 0 setzt. Also mit entsprechendem Studium der Doku, findet man bestimmt die entsprechenden Optionen.

Als Beispiel der angeführte SpamfilterSorry, aber wenn Du dich nicht vorher informierst was diese Programme genau machen hast Du halt Pech gehabt. Aber gut ich kümmere mich auch gerne darum: Die Doku schreibt dazu:K9 is an email filtering program that works in conjunction with most popular email applications that use the standard POP3 email protocol. Messages pass through K9 on their way to your email program and as K9 processes them it can learn to identify the difference between Spam and Good emails, marking Spam emails so that your email application can file them away or delete them.Das ist für mich schonmal ein Indiz dafür das dort irgendwas mit dem POP3 Protokoll passiert... und spätestens bei:The basic steps here are to change your email program POP3 account(s) to talk to the K9 proxy server. You'll be changing the POP3 server port number from the default (usually 110) to instead use K9's port of 9999. You'll change the POP3 server address to be 127.0.0.1 and then you'll need to change the user name to be OriginalPop3Server/OriginalPort/OriginalUserName. See below for the details...wird eigentlich mehr als deutlich, daß dort ein ein Port geöffent wird. Aber wo ist denn das Problem so wie ich das sehe wird das eben nur auf dem Loopback Device geöffent (127.0.0.1) da kann IMHO nichts passieren, oder ist man neuerdings mit 127.0.0.1 im Netz unterwegs? BTW was filterst Du da mit der PFW? Dein Loopback Device???
Also ehrlich, da muss man sich fragen wer hier nicht genau liest?

Eine Software, die Schaden anrichten kann, [...]
Da haben wir's schon... denn vorher hast Du geschrieben:
Dass die Dinger oft mehr Schaden anrichten [...]
Der Unterschied liegt hier in dem Wort kann. Das Software durchaus sinnvoll ist die Schaden anrichten kann bestreite ich ja gar nicht, aber Software die mehr Schaden anrichtet (es also auch tut), als das sie Nutzen bringt ist IMHO sinnlos.
Wieder kann ich nur sagen "wer im Glashaus sitzt...", besser lesen und/oder eindeutiger formulieren.

Wenn Programme, Anti-Virenscanner, Personal Firewalls nicht verändert werden dürfen, wie soll dann ein Schädling diese Programme deaktivieren? Seid wann muss denn ein Schädling ne PFW deaktivieren um Schaden anzurichten und/oder Datein zu senden, das klappt auch prima mit. Wie gesagt wenn der Schädling z.B. nen Treiber für dei Netzwerkarte debaie hat, kann er diese benutzen ohne das Windwos (und damit die PFW) was davon miitbekommen. Oder wenn's nen eigen TCP/IP stack mit dabei hat oder... oder....
Auch hier kann ich wieder nur sagen, das Buntzerrechte wichtig und sinnvoll sind, aber was hat das mit PFWs zu tun? Dadurch werden die auch nicht besser.

Wenn die erstmal auf dem Rechner sind, bringt das *abschotten des Systems* von außen nach innen, rein gar nichts. Wenn ein Schädling auf dem System ist hilft Dir auch keine PFW mehr, höchstens ein Virenprogramm, das den Schädling (hoffentlich) erkennt kann da noch helfen (wenn überhaupt).
Dennoch wird es irgendeinen Ordner geben in dem ein normaler Benutzer schreiben darf, und wenn der Schädling schon läuft, kann er auch dort hineinschreiben, sinnvolle Benutzerrechte hin oder her. Oder kannst Du bei Dir im System als normaler Nutzer keine Dateien im "Eigene Dateien" Ordner hineinschreiben???
Natürlich kann man das System so mit Benutzerrechten abschotten das nirgendwo mehr was geschreiben werden oder ausgeführt oder gelesen werden kann, jedoch wird es dann IMHO unbenutzbar.
Aber stimmt schon Benutzerrechte sind wichtig und sinnvoll das kann man gar nicht oft genug betonen.
Nur werden dadruch PFWs auch nicht besser oder sinnvoller.

portblocker != pfw
portblocker != fw
pfw != fw
fw != programm
Wobei ich sagen würde das IMHO die WindowsPFW (trotz Sicherheitsmängel und immer wieder auftretenden Schwierigkeiten) noch am ehsten ein Portblocker ist.
Das Problem ist, du gehst immer von jemandem aus der sich sehr gut mit Firewalls bzw. den Sicherheitslücken von Windows auskennt, ich gehe eher vom "normalen" Windows-Nutzer aus.Ja hier im Forum selbst gehe ich schon davon aus, das das Publikum technisch versiert ist. Aber gerade für 'normale' Windowsuser gibt es doch soche Scripte und Programme wie auf dingens.org und ntsvcfg.de. Damit eben auch Computer-Laien damit zurecht kommen.

Aber auch wenn bzw. gerade weil ich mich ein wenig damit selber auskenne, würde ich nicht mal eben ein "Script" runterladen das an meinem Diensten rumspielt (wie ja oben schon geschrieben).Ja gerade weil Du Dich damit auskennst sollte es doch für Dich kein Problem sein diese Dienste von Hand selbst zu konfigurieren, wenn Du das Schritt für Schritt macht wirst Du ja selbst sehen ob und wo es Probleme gibt.Wobei ich ja zumindest diese Aussage doch sehr interessant finde:

Hinweis auf offene Ports: Aktuell ist bekannt, daß durch diese Maßnahme die Ports 135 (RPC) und 1025 wieder geöffnet wurden. Daher wird für diesen Fall die Aktivierung der XP-Firewall empfohlen.

http://www.ntsvcfg.de/scheduler.html
... soviel zum Thema solche Firewalls hätten überhaupt gar keinen NutzenDas ist allerdings ein Punkt für Dich ;) Aber immerhin wird nur die XP-Firewall 'empfohlen' und keine komerzielle (á la Zonealarm oder Norton).

Grüße,

Sith

The basic steps here are to change your email program POP3 account(s) to talk to the K9 proxy server. You'll be changing the POP3 server port number from the default (usually 110) to instead use K9's port of 9999. You'll change the POP3 server address to be 127.0.0.1 and then you'll need to change the user name to be OriginalPop3Server/OriginalPort/OriginalUserName. See below for the details.
Sag mal, hast du noch Bekannte ausserhalb deines Hobbys? Weisst du wie die Welt der meisten Computernutzer aussieht?

Wenn du einem Laien solch einen Text vorknallst, glaubst du *wirklich* dass der den Inhalt begreift? Glaubst du *wirklich* der erkennt darin ein Sicherheitsloch? Frag mal 100 Leute was eine IP Adresse ist, oder ein Port.

K9 ist nur ein Beispiel, um zu zeigen wie schnell man sein Sicherheitskonzept untergraben kann, ohne es wissen. In so einem Fall würde dem DAU durch eine PFW geholfen.

Zeig mir jemand, der eine Firewall vollständig in Hardware implementiert, und ich zeige Dir jemanden, der dem Stand in der Informatik etwa 70 Jahre hinterherhinkt.

Oder missverstehe ich Dich hier, und Du meinst mit "fw" nicht die Hardware-Firewalls?

nein eine FW ist auch keine hardware, sondern ein Sicherheitskonzept
nur leider wird das wort FW in diesen tagen stark vergewaltigt :(

Sag mal, hast du noch Bekannte ausserhalb deines Hobbys? Weisst du wie die Welt der meisten Computernutzer aussieht?

Wenn du einem Laien solch einen Text vorknallst, glaubst du *wirklich* dass der den Inhalt begreift? Glaubst du *wirklich* der erkennt darin ein Sicherheitsloch?

K9 ist nur ein Beispiel, um zu zeigen wie schnell man sein Sicherheitskonzept untergraben kann, ohne es wissen. In so einem Fall würde dem DAU durch eine PFW geholfen.

dann ist deine definition von DAU eine deutlich andere
ich kenne (meiner Definition nach) DAUs, die können aber weder selber Treiber wechseln, noch selber ein Programm installieren (!!!)

den DAUs stellt man einmal nen fertig installierten + konfigurierten PC hin fertig

die leute die du meinst sind meiner definition nach keine DAUs sondern "Home-Admins" die glauben was zu wissen, im prinzip aber doch nix wissen ;)
und die sind mir völlig egal weil ich solche leute nicht mal in meinem Bekanntenkreis supporte

und ich glaube es gibt wesentlich mehr DAUs als man das glauben mag ;)

Hu? Wieso? Erklär' mal, bitte :) Falls Du etwas anderes meinen solltest als portblocker = pfw-schnickschnack != pfw

ein Portblocker blockiert ein Port
eine PFW blockiert nix, sie benutzt NAT und wenn nun TCP Pakete mit Syn Flag daherkommen werden sie halt ignoriert wenn kein Portforwarding gemacht wird.
(imho - muss aber ned für alle PFWs zutreffen)

btw. ich hab sogar selber mal eine PFW getestet - auf meinem Windoof PC, und hab alle Progs 1x gestartet um zu sehen wie unsicher ich lebe und wieviel Progs nach hause telefonieren - das ergebnis is hier zu sehen :)

http://www.ulukay.devisland.net/ZA.gif
der phöse phöse Firefox will an den phösen phösen H4x0r mit der IP 127.0.0.1 geheime Daten schicken :biggrin: :biggrin: :biggrin:

(Zonealarm definiert 127.0.0.1 nämlich als IP im INTERNET ;) )

Sag mal, hast du noch Bekannte ausserhalb deines Hobbys?Na einige wenige die mutig genug sind halten es noch mit mir aus ;)
Wenn du einem Laien solch einen Text vorknallst, glaubst du *wirklich* dass der den Inhalt begreift? Glaubst du *wirklich* der erkennt darin ein Sicherheitsloch? Frag mal 100 Leute was eine IP Adresse ist, oder ein Port.
Also jemand der auf die Idee kommt vor seinem E-Mail Client ein Anti-Spam Proxy zu knallen der sollte eigentlich wissen was er tut. Den besagten Satz muss er dann auch (über)lesen haben, denn das ist der erste Satz bevor es an die Konfiguration des Proxies geht. BTW. Wo ist das Sicherheitsloch???
Das ganze gibts auch in deustch (war vorher nur zu faul zum suchen) liest sich dann folgendermaßen:Für jedes POP3-Konto welches man von K9 nach Spam durchsuchen lassen will, führe folgende Änderungen in den Kontoeigenschaften von TheBat! aus:

° Ändere den POP3-Server-Port: nach 9999
° Ändere den POP3-Server: nach 127.0.0.1 (localhost)aber eine (sinnvolle) 1:1 Übersetzung scheint es nicht zu geben.
BTW Wenn's Dir nur um den Filter geht, AFAIK hat doch Thunderbird auch ein auf der Bayesian Filtermethode basierenden Spamfilter dabei - aber da kann ich mich auch irren.
Außerdem ist ein DAU der das Programm vielleicht nicht versteht auch nicht gefährdet da es scheinbar wirklich nur auf dem loopback Device aufsetzt. Da droht keine Gefahr da es sich ja nur um ein loopback handelt.

Grüße,

Sith

So. Nochmal ganz in Ruhe, sonst kann ich schlecht schlafen. :)

Mir gehts nicht um die Konfiguration von K9. K9 läuft hier wunderbar (Ergebnisse liegen auch bei 99.5%). K9 sollte einzig und allein ein Beispiel sein, dass Software sehrwohl Ports öffnen kann, ohne dass es ein unbedarfter Benutzer vermuten würde. Unter dem Licht seh ich den Einsatz einer PFW also durchaus positiv.

Dass es mir beim Anblick von Ulukays Screenshots eiskalt den Rücken runterläuft, kann ich allerdings auch nicht abstreiten. :D

K9 sollte einzig und allein ein Beispiel sein, dass Software sehrwohl Ports öffnen kann, ohne dass es ein unbedarfter Benutzer vermuten würde.Ja aber gerade da ist eine PFW das falsche Mittel, denn genau hier muss man IMHO die Ursache bekämpfen und mit der Aufklärung der User (wie z.B. hier im Forum) beginnen damit diese eben nicht mehr in Zukunft irgendwelche Programme installieren die sonstwas auf dem Rechner treiben können, sondern sich eben _vorher_ mal über dieses Programm informieren und sich fragen "Brauche ich das Programm wirklich". Mal ehrlich, wenn sich Lieschen Müller die neusten l33t gamez zieht und dann von ihrer PFW gefragt wird ob die dann nach draussen dürfen bezweifle ich mal stark das dort dann 'nein' angeklickt wird.
Oder um es mal anders auszudrücken, diejenigen die technisch versiert sind und genug davon verstehen um eine PFW vernünftig (wenn überhaupt möglich) zu adminstrieren, die brauchen keine weil sie ihr System auch so sauber halten können. Die jenigen die das nicht können, nun denen hilft auch eine PFW nicht mehr, da duch Fehlkonfigurationen sowieso nichts dabei rauskommt. So oder so eine PFW braucht man jedenfalls nicht.

Aber der Screenshot von Ulukay ist echt der Knaller :D

Gute Nacht,

Sith

ein Portblocker blockiert ein Port
eine PFW blockiert nix, sie benutzt NAT und wenn nun TCP Pakete mit Syn Flag daherkommen werden sie halt ignoriert wenn kein Portforwarding gemacht wird.
(imho - muss aber ned für alle PFWs zutreffen)

Danke.

Verzeih mir, wenn ich mal blöd weiterfrage, aber ich hab eben keine Ahnung und hätte gerne mehr:

Ein Paket mit Syn Flag ist ein Paket, auf das eine Antwort erwartet wird, richtig? Ein Portblocker schickt also ein REJECT, wenn ein Paket mit Syn Flag eintrifft, ignoriert aber alle anderen Pakete, während eine PFW alle Pakete (also auch ein Paket mit Syn Flag) auf dem betreffenden Port ignoriert?

Was hat das mit NAT zu tun? Wie verwendet eine PFW NAT auf einem Einzelrechner? Wird da die IP-Adresse des PCs lokal "umgebogen"? Wozu?

@Sith_TirEilo:
Kann man irgendwie selbst herausfinden, ob ein Service nur auf 127.0.0.1 lauscht, oder ob er auch von aussen erreichbar ist?
Oder brauch ich dazu einen Kumpel der es ausprobieren muss.

Also wenn mir jetzt 'netstat -a' sagt:
TCP ipfut7:microsoft-ds ipfut7:0 ABHÖREN

Wie kann ich dann sehen oder selbst testen, ob nur auf localhost abgehört wird oder ob der Dienst auch Verbindungen von aussen akzeptiert?

Danke.

Verzeih mir, wenn ich mal blöd weiterfrage, aber ich hab eben keine Ahnung und hätte gerne mehr:

Ein Paket mit Syn Flag ist ein Paket, auf das eine Antwort erwartet wird, richtig? Ein Portblocker schickt also ein REJECT, wenn ein Paket mit Syn Flag eintrifft, ignoriert aber alle anderen Pakete, während eine PFW alle Pakete (also auch ein Paket mit Syn Flag) auf dem betreffenden Port ignoriert?

Was hat das mit NAT zu tun? Wie verwendet eine PFW NAT auf einem Einzelrechner? Wird da die IP-Adresse des PCs lokal "umgebogen"? Wozu?

nein - ein TCP Paket mit Syn Flag ist das erste Paket das eine TCP Verbindung aufbauen möchte - ein Portblocker besetzt einfach einen Port und verhindert so das ein Service an diesen Port lauschen kann und diese TCP mit SYN beantworten kann (ob der Portblocker nun ein Reject schickt oder ein Deny ist absolut egal) normale TCP Pakete ohne Syn Flag werden doch imho so oder so ignoriert da sie zu keiner offenen Session passen

eine PFW setzt einfach NAT ein um alle Ports von aussen unzugänglich zu machen, d.h. wenn ein Paket von aussen eintrifft zu dem es keinen NAT Table Eintrag gibt kann es nicht zugestellt werden (zuerst muss ein paket raus, und darauf muss ne antwort kommen damit das NAT weiss an welchen Rechner hinterm Nat er das paket leiten sollte) - und das is auch bei Single PCs so

nein - ein TCP Paket mit Syn Flag ist das erste Paket das eine TCP Verbindung aufbauen möchte - ein Portblocker besetzt einfach einen Port und verhindert so das ein Service an diesen Port lauschen kann und diese TCP mit SYN beantworten kann (ob der Portblocker nun ein Reject schickt oder ein Deny ist absolut egal) normale TCP Pakete ohne Syn Flag werden doch imho so oder so ignoriert da sie zu keiner offenen Session passen

Ein vernünftiger Portblocker würde aber ein REJECT schicken, oder?


eine PFW setzt einfach NAT ein um alle Ports von aussen unzugänglich zu machen, d.h. wenn ein Paket von aussen eintrifft zu dem es keinen NAT Table Eintrag gibt kann es nicht zugestellt werden (zuerst muss ein paket raus, und darauf muss ne antwort kommen damit das NAT weiss an welchen Rechner hinterm Nat er das paket leiten sollte) - und das is auch bei Single PCs so
Und warum machen PFWs das auf diese Weise, anstatt als Portblocker zu arbeiten?

Ein vernünftiger Portblocker würde aber ein REJECT schicken, oder?


Und warum machen PFWs das auf diese Weise, anstatt als Portblocker zu arbeiten?

ja besser Reject als Deny (Drop)

PFWs machen des so weils einfacher is, und man sie so ohne mühe gleich als Router für weitere PCs verwenden kann

Insgesamt klingt das Funktionsprinzip nicht besonders aufwendig. Gibt es eigentlich einen vernünftigen Grund dafür, daß ZA (ich habe die letzte Version spaßeshalber noch mal installiert- und deinstalliert ;)) meinen Dual Celeron @523Mhz auf's unerträglichste ausbremst? Da wird alles zäh, booten, Outlook starten, Surfen... hatte ich zumindest von älteren Versionen (2.x?) nicht so in Erinnerung. Und ich hab hier, wie gesagt, nichts Netzwerkintensives laufen, sondern vor allem Office-Anwendungen.

Hi,

@D-Swat

Ich meine mich zu erinnern, daß wenn Du 'netstat' zusätzlich mit dem Parameter 'n' aufrufst werden Dir nicht die DNS Adressen angezeigt, sondern die reinen (numerischen) IP-Adressen also:netstat -na sollte Dir die IP-Adressen anzeigen, wenn dort dann was von 127.0.0.1:XYZ steht brauchst Dir IMHO keine Sorgen machen. Wenn hingegen etwas von 217.X.X.X:XYZ (Die T-Com IPs fangen AFAIK mit 217 an) bei der lokalen Adresse und ein echte IP bei der entfernten (remote oder foreigen, kenne da den Windows 'Slang' nicht genau) Adresse steht dann bist Du mit dieser Adresse verbunden (bspw. weil Du die Site zu der IP grade im Browser geöffnet hast).

Aber das wird langsam ziemlich Off-Topic, der Thread entwickelt sich hier ja immer mehr zu einem kleinen Netzwertechnik Guide ;), obwohl es doch eigentlich ehr um PFWs geht.

Grüße,

Sith

<edit>Text inhaltlich korrigiert, siehe nächstes Posting</edit>

...
Ja gerade weil Du Dich damit auskennst sollte es doch für Dich kein Problem sein diese Dienste von Hand selbst zu konfigurieren, wenn Du das Schritt für Schritt macht wirst Du ja selbst sehen ob und wo es Probleme gibt.Das ist allerdings ein Punkt für Dich ;) Aber immerhin wird nur die XP-Firewall 'empfohlen' und keine komerzielle (á la Zonealarm oder Norton).

Grüße,

Sith Ja wenn das aber nur so einfach wäre mit den Diensten. Es muß ja nicht unbedingt sofort ein Problem damit auftreten, es kann ja auch erst auftreten nach bzw. durch das installieren von weiteren Windows-Updates oder das installieren von neuen Programmen oder sonstigen Geräten und deren Treibern. Also da möchte ich gerne mögliche Fehlerquellen von vorherein ausschliessen (Updates, Treiber, sonstige Software gehen ja meinstens von einem PC aus der eine Standard-Konfiguration hat), und so ist es im allgemeinen einfacher mögliche Fehlerquellen zu lokalisieren, wenn es denn doch mal Probleme gibt.

Was die "kommerziellen" PFW angeht muß ich dir aber voll und ganz zustimmen, dann würde ich doch auch eher ein Router empfehlen, aber leider gibts ja nun mal auch die kostenlosen Varianten und die "sollen" ja einiges besser sein als die Standard-Firewall von XP ...

Aktuell verwende ich selber die XP-Firewall (mit SP2), da diese ja doch einiges verbessert worden ist und ich mit Zonealarm wie auch mit der Firewall von Seagate einige Probleme hatte (Performancefresser [siehe auch Wolfram's Post] wie auch Inkompatibilitäten mit anderer Software).

Hi,

@D-Swat

Ich meine mich zu erinnern, daß wenn Du 'netstat' zusätzlich mit dem Parameter 'n' aufrufst werden Dir nicht die DNS Adressen angezeigt, sondern die reinen (numerischen) IP-Adressen also:netstat -na sollte Dir die IP-Adressen anzeigen, wenn dort dann was von 0.0.0.0:XYZ oder 127.0.0.1:XYZ steht brauchst Dir IMHO keine Sorgen machen. Wenn hingegen etwas von 217.X.X.X:XYZ (Die T-Com IPs fangen AFAIK mit 217 an) bei der localen Adresse und ein echte IP bei der entfernten (remote oder foreigen, kenne da den Windwos 'Slang' nicht genau) Adresse steht dann bist Du mit dieser Adresse verbunden (bspw. weil Du die Site zu der IP grade im Browser geöffnet hast).

Aber das wird langsam ziemlich Off-Topic, der Thread entwickelt sich hier ja immer mehr zu einem kleinen Netzwertechnik Guide ;), obwohl es doch eigentlich ehr um PFWs geht.

Grüße,

Sith

0.0.0.0:portnummer heisst er lauscht auf allen verfügbaren ips

0.0.0.0:portnummer heisst er lauscht auf allen verfügbaren ipsHuch, wie konnt ich das übersehen :frown:. Hast natürlich Recht da ja AFAIK 0.0.0.0 für das ganze Netzwerk reserviert ist und somit auch das komplette Netztwerk einschliesst.

@ Ulukay:
THX für die Klarstellung!

Grüße,

Sith

Huch, wie konnt ich das übersehen :frown:. Hast natürlich Recht da ja AFAIK 0.0.0.0 für das ganze Netzwerk reserviert ist und somit auch das komplette Netztwerk einschliesst.

@ Ulukay:
THX für die Klarstellung!

Grüße,

Sith
Tja, so schnell kann was daneben gehen, beim Von-Hand-Konfigurieren. Vielleicht solltest doch mal über ’ne Firewall nachdenken. :)

Tja, so schnell kann was daneben gehen, beim Von-Hand-Konfigurieren. Vielleicht solltest doch mal über ’ne Firewall nachdenken. :)

d.h. PFWs braucht man nur wenn man dauernd Fehler macht?

gut dass ihr mir bestätigt dass ICH keine brauche :P :P :P

(rechtschreibfehler ausgayschlossen :) )

Tja, so schnell kann was daneben gehen, beim Von-Hand-Konfigurieren. Vielleicht solltest doch mal über ’ne Firewall nachdenken.Was hat das mit dem 'Sinn oder Unsinn von Personal Firewalls' zu tun?
Im 'Eifer des Gefechts' ;) habe ich da glatt nicht dran gedacht. Auch ein PFW kann man falsch konfigurieren, vor Fehlern des Benutzers kann auch das beste Programm nicht helfen.
Ich denke von Hand brauch ich (wenn ich das nicht will) sowieso nichts zu konfigurieren, gibt ja Programme die das für mich erledigen.

Aber hast Recht, GAST, Du machst sicherlich nie Fehler. (Gast Accounts sind schon was feines)

Sith

Hallo Community,

ich lese hier schon eine Weile mit, jedoch hat es mich jetzt gepackt aufgrund der häufigen Nachfragen bzgl. Konfigurationshilfen oder andere Probleme bei Personal Firewalls (PFW) mal etwas Grundsätzliches zum Thema PFWs zu schreiben.

Als erstes kann ich sagen, daß man auf PFW getrost verzichten kann um das zu verstehen muss man jedoch wissen wie eine PFW grundsätzlich funktioniert:

Damit man über eine Netzwerk (z.B. das Internet) kommuniziren kann braucht jeder Teilnehmer (Client) eine eindeutige Adresse (die IP Adresse) das dürfte bekannt sein. Damit nun aber eine Verbindung zustande kommt muss das Programm noch wissen an welchem Port sich das Programm verbinden muss.
Hinter jedem Port sitzt ein Programm, daß einen bestimmten Dienst zu Verfügung stellt. Auf Port 80 bspw. der HTTP Server. Somit "weiss" z.B. der WEbbrowser, daß er sich beim Zielserver (der Internetadresse) auf Port 80 verbinden muss. Das sollte als Eistieg erstmal genügen.

Was macht nun die PFW?

Will sich nun z.B. ein Spywareprogramm mit eurem Rechner bspw. auf Port 135 (Net-BIOS wenn ich mich recht erinnere) verbinden, erkennt das die PFW (wenn sie denn funktioniert) und blockt die entsprechende Anfrage womit eine Verbindung nicht zu Stande kommt. Das ist alles mehr macht eine PFW in der Regel nicht.

An sich gut, aber(!) warum ist denn der Port 135 offen? Wenn ihr diesem Port schliesst kann sich auch nichts verbinden und was noch besser ist, es läuft keine zusätzlich Software, die ja auch Fehler enthalten kann und euch somit angreifbar macht. Mit anderen Worten wenn ihr alle Ports schliesst, die ihr nicht benötigt bzw. falls ihr sie doch mal benötigt nur im Bedarfsfall aktiviert, wird eine PFW schnell überflüssig, mit einer PFW seid ihr sogar zum Teil noch gefährdeter als ohne, da ihr euch so in trügerischer Sicherheit wiegt, die jedoch nicht vorhanden ist. Denn auch eine PFW enhält Fehler im Code und kann somit ausgetrickst werden. Außredem können PFWs problemlos von $SPYWARE beendet werden.

Jetzt könnte man vielleicht denken: "Wenn ich meine Dienste sicher konfiguriert habe _und_ eine PFW bin ich noch sicherer!". Auch diese Annahme ist falsch denn wie gesagt ist eine PFW "nur" ein Programm und Programme enthalten Fehler und Fehler verursachen Sicherheitslücken. Ohne eine PFW hat man diese potenzielle (und gar nicht mal so seltene z.B. berichtet securityfocus (http://www.securityfocus.com) recht häufig darüber) Fehlerquelle gar nicht erst und ist so gesehen sicherer ohne als mit PFW.

Auch das Argument: "Aber meine PFW fragt mich welches Prorgamm ins Internet darf und welches nicht", kann man so nicht gelten lassen. Angenommen Es kommt ein PopUp in dem steht "Progamm xy will ins Internet" und angenommen man weiss, das Programm xy ein Wurm/Trojaner/etc ist. In diesem Fall ist das System offensichtlich kompromitiert worden und muss als unsicher angesehen werden. In diesem Fall konnte ja auch offensichlich ein "böses Programm" auf den Rechner kommen ohne das der Benutzer was davon gemerkt hätte. Wenn ein "böses Programm" auf dem Rechner gelangt ist weiss man nie was sich zusätzlich noch auf dem Rechner eingenistet hat. In diesem Fall hilft meisst nur eine Neuinstallation des Systems. Aber ganz wichtig, die PFW hat hier offensichtlich nicht verhindert das ein "böses Programm" z.B. über eine Sicherheitslücke im Browser, auf das System gelangt ist, aber gerade dazu ist ein PFW doch gedacht, somit hat sie ihrem Zweck nicht erfüllt und stellt so nur ein Sichereitsrisiko da.

So das soll's mal gewesen sein, ich hoffe ich konnte den ein oder anderen Denkanstoß geben und jedem sollte nun klar sein, das man mit einer PFW nicht automatisch sicher ist, im Gegenteil, man durch sie z.T. noch unsicherer und damit angreifbarer wird.

Grüße,

Sith

zu diesem schwachsinn kann man einfach nichts mehr sagen ...

Hey dein auto ist auch sinnlos, wenn du selbst das rad abschraubst .... dabei sollten die radmuttern es doch festhalten.


Sorry, aber du solltest evtl ! dich doch nochmal informieren, besonders was zu den aufgaben einer fw gehört und was nicht, und u.U. ist eine (p)fw ja nur teil einer kette von schutzmaßnahmen.

Hallo,

auch wenn ich auf 3dcenter seit langem nur mitlese hierzu möchte ich auch was beitragen:

Die "Firewall - FAQ von Lutz Donnerhacke" war für mich doch sehr erhellend.

http://www.computer-security.ch/ids/default.asp?TopicID=168

kurzer auszug den ich am besten fand:

"Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!
Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.

Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.

Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"

Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."

Diese FAQ soll dazu beitragen, dass derartige offenkundig unerfüllbare Wünsche seltener oder am besten gar nicht an die Gruppe herangetragen werden. Sie soll zum Nachdenken anregen"

Nun ja, da möchte ich auch einmal meinen Senf dazu geben. Eine Firewall kann durchaus sinnvoll sein. Voraussetzung dafür ist jedoch, dass die Firewall richtig konfiguriert ist (was einschließt, dass sie sich überhaupt so weit konfigurieren lässt) und dass sie möglichst fehlerfrei ist (nobody is perfect).

Diese Bedingungen treffen bei vielen Privatanwendern nicht zu. Viele haben wenig Ahnung von der Materie und verlassen sich einfach auf die Voreinstellung des Firewall-Herstellers. Mittlerweile werden manche Firewalls auch schon auf genau solche Benutzer abgestimmt, so dass man kaum noch wirklich was einstellen könnte, selbst wenn man genüg Ahnung hätte. Diese Art von Firewalls helfen, aber der Nutzen ist doch arg beschränkt.
Solang der Benutzer nicht wirklich extrem leichtsinnig mit den Firewall-Meldungen umgeht und die Hersteller-Einstellungen brauchbar sind, bieten sie einen gewissen Mehrwert gegenüber reinem Port-Schließen.
Der Schutz vor Spyware wurde ja bereits von der einen Seite genannt und von der anderen Seite als überflüssig abgestempelt, denn man ist ja selbst Schuld, wenn man solche Software benutzt. Nun ja, da frage ich mich, woher man denn immer wissen soll, dass eine bestimmtes Programm "nach Hause telefoniert". Die Programme wurden doch fast alle von Leuten "enttarnt" die FWs benutzen.
Nunja, ein weiterer Grund für eine Firewall ist, dass sie ein Exploit nicht kennen muss um dessen Ausnutzung verhindern zu können (ob das jede von sich aus tut ist natürlich eine andere Frage). Damit können auch Angriffe abgewehrt werden, die bisher nicht bekannt sind, bzw. für die es noch kein entsprechendes Update gibt. Sicherlich gibt es viele FWs, die dies garnicht oder nur unzureichend tun, jedoch ist das nicht ein prinzipieller Fehler, sondern ein Fehler bei der Umsetzung.

Bzgl. blocked oder stealthed würd ich sagen, dass es im Grunde egal ist, was man bevorzugt, denn in beiden Fällen kommt das "Script-Kiddie" nicht weiter. Bei blocked weiß es, dass jmd. da ist, aber das derjenige ersteinmal nicht angreifbar ist. Bei stealthed weiß es erst einmal überhaupt nichts. Sicher, wenn er sich absolut sicher ist, dass der angegriffene Rechner exisitiert und läuft, weiß es, dass auf der Gegenstelle entsprechende Hard-/Software vorhanden sein muss, was ihm aber auch nicht wirklich weiterhilft. Den Hauptvorteil von stealthed liegt meiner Meinung nach darin, dass es wesentlich länger dauert. Wenn der PC gleich sagt hier ist zu, dann dauert das nur ein paar ms, wenn er garnichts sagt, wartet der Scanner erstmal bis zu TimeOut, was je nach Einstellung schon ein paar Sekunden sein können. So ist es für den Angreifer wesentlich zeitaufwendiger. Bringt zwar effektiv nichts, aber wenn einer schon versucht zu scannen, dann will man es ja schon so aufwendig wie möglich machen

Na? Kommt hier nix mehr ?? :rolleyes:

Push:

Ich zitiere ...

The overall conclusion
is: software firewalls are insecure. And I am very much at ease
with this generalization: The concept of a software firewall,
not the implementation, is the main problem.

Software can not protect you from other software without being
at constant risk to be tricked by another piece of software
again.

Why is this a risk? This is in fact a huge risk because software
firewalls ARE being used on Windows Workstations widely. Within
a network, it is commonplace to use both software and hardware
firewalls. Moreover, the software firewalls in such networks only
serve the very purpose of protecting the network from backdoor
programs by supplying some sort of outbound detection. And after
all, this protection is obviously too weak.


Nachzulesen @ Phrack (http://www.phrack.org/show.php?p=62&a=13)

So long Ajax

Hi,

ertsmal sorry das ich so lang weg war, musst zwei Prüfungen hinter mich bringen ;).

Nun gut,
zu diesem schwachsinn kann man einfach nichts mehr sagen ...Warum tust Du es dann doch, wenn's doch alles Schwachsinn ist?
Hey dein auto ist auch sinnlos, wenn du selbst das rad abschraubst .... dabei sollten die radmuttern es doch festhalten.Der Sinn dieses Vergleiches will sich mir nicht so recht erschliessen. Ich bitte um Aufklärung!Sorry, aber du solltest evtl ! dich doch nochmal informieren, besonders was zu den aufgaben einer fw gehört [...]Wer spricht denn hier von Firewalls? Es geht hier allein um den 'Sinn und Unsinn von Personal Firewalls' und nein, eine PFW und eine "richtige" Firewall bzw. entsprechendes Sicherheitskonzept dahinter sind nicht das Gleiche!... und was nicht, und u.U. ist eine (p)fw ja nur teil einer kette von schutzmaßnahmen.Hmm... also zu erst das 'p' in PFW solltest Du nicht in Klammern setzen, denn es geht hier schliesslich um PFW und nicht um FW. Solltest Du das jetzt gleich gesetzt haben, so nach dem Motto: "Eine PFW und ein FW sind doch ehh fast das Gleiche", dann brauchen wir gar nicht weiter zu diskutieren, denn dadruch hast Du Dich breits selbst disqualifiziert!

Solltest Du nun immer noch der Meinung sagen, das eine PFW eine sinnvolle Ergänzung ist, dann bin ich dort doch erheblich anderer Meinung. Denn in einer Firma, die ein entprechendes Sicherheitskonzept hat, braucht sowas IMHO nicht, denn die Clients werden dort für gewöhnlich durch eine dezidierte FW die auf einem extra Recher läuft geschützt, sollte dort was durchkommen hilft auch die PFW nicht mehr, weil man davon ausgehen kann das zumindest der Rechner auf dem die dezidierte FW läuft kompromittiert worden ist und damit das Tor zu den internen Firmeservern (auf denen 100% keine PFW läuft und auf denen die sensiblen Daten liegen) offen ist.

Nun kann man aber sagen, aber die PFW schützt doch das Programme ungewollt ins Internet senden. Auch dazu kann ich mich nur wiederholen, sollte Schadsoftware gelungen sein auf den Rechern zu kommen ist's aus... Fertig aus. Natürlich kann man eine PFW dazu 'missbrauchen' um vermeintlich gute Software daran zu hindern ins Internet zu senden (WinAMP etc.), allerdings ist das eben nicht der Sinn einer PFW. Des weiteren schützt auch hier eine dezidierte Firewall, denn wenn dort drin steht das nichts über Port xy von Client xy ins Internet gesendet werden kann, dann wird doch auch nichts gesendet!

Deshalb nun nochmal, wo ist hier der Sinn einer PFW, bzw. wo ergänzt sie das Sicherheitskonzept?
Generell beim nächsten mal den Text lesen, danach ruhig bleiben, einen Keks essen , dann nochmal den Text lesen und verstehen und erst danach ruhig und sachlich antworten.


Nun ja, da möchte ich auch einmal meinen Senf dazu gebenGut so, konsturkive Diskussionen sind hier immer erwüscht ;)
Nun ja, da frage ich mich, woher man denn immer wissen soll, dass eine bestimmtes Programm "nach Hause telefoniert". Die Programme wurden doch fast alle von Leuten "enttarnt" die FWs benutzen.Zum einen in dem ich eben nicht jedes noch so coole super l337 Prorgamm runterlade und ausführe, sondern mich erstmal darüber ausführlich informiere (www.google.com) und erst danach das gewüschte Programm installiere.
FWs und PFWs sind zwei unterschieliche Paar Schuhe, außerdem barucht man keine PFW um festzustellen welche Programme sich ins Internet verbinden (Stichwort 'netstat'). "Gute" Software kann man so enttarnen, schlechte Software wurde konstruiert nicht entdeckt zu werden, wenn netstat sie nicht sieht, wird sie sich wohl auch an der PFW vorbei mogeln und wieder die alte Laier: Wenn schlechte Software auf dem Rechner ist, ist es breits zu spät!
Nunja, ein weiterer Grund für eine Firewall ist, dass sie ein Exploit nicht kennen muss um dessen Ausnutzung verhindern zu könnenEin PFW ist nicht dazu da um vor fehlerhafter Software zu schützen, was sie auch nicht tut. Außerdem kann eine PFW selbst Fehler enthalten und ist damit ein entprechendes Sicherheitsrisiko. Würde ich also so nicht als Argument für PFWs sehen.
Bzgl. blocked oder stealthed würd ich sagen, dass es im Grunde egal ist, was man bevorzugt, denn in beiden Fällen kommt das "Script-Kiddie" nicht weiter. Bei blocked weiß es, dass jmd. da ist, aber das derjenige ersteinmal nicht angreifbar ist. Bei stealthed weiß es erst einmal überhaupt nichts.Das ist leider alles falsch. Einen Zustand wie 'stealth' gibt es nicht. 'Stealth' ist ehr ein Modewort das von den PFW Herstellern benutzt wird. Es bedeutet aber nur, daß das eingehende Paket verworfen wird (sowas ähnliches wie ignorieren), dadruch läuft der Anfragende in ein timeout Signal. Jetzt weiss der Anfragende, durch das timeout Signal aber, daß der Rechner den er angefragt hat, auch wirklich da ist, wäre dies nicht der Fall würde ein 'Host not reachable' (= Zielhost nicht erreichbar) zurück kommen. Da dies aber nicht der Fall ist, weiss man, daß der Rechner online ist, außerdem wird Signal ja auch entsprechend dorthin geroutet.
Beim direkten blocken bzw. antworten mit: "Connection refused" weiss man zwar auch das der Rechner online ist, allerdings wird hier halt Klartext gesprochen. Beim timout kann man davon ausgehen, das eine Art Filter auf dem Rechner läuft und kann diesen entsprechend dann angreifen bzw. versuchen anzugreifen.
Lange Rede kurzer Sinn, beim 'stealth' Modus weiss der Angreifer auch, daß der Host da ist und das vermutlich ein Filter darauf läuft, bzw. viellicht auf einem Rechner der davor als Firewall geschaltet ist, daß ist schon eine ganze Menge wie ich finde.
Also so stealth ist man mit dem Stealth-Modus scheinbar nicht. ;)

Den Hauptvorteil von stealthed liegt meiner Meinung nach darin, dass es wesentlich länger dauert. Wenn der PC gleich sagt hier ist zu, dann dauert das nur ein paar ms, wenn er garnichts sagt, wartet der Scanner erstmal bis zu TimeOut, was je nach Einstellung schon ein paar Sekunden sein können. So ist es für den Angreifer wesentlich zeitaufwendiger. Bringt zwar effektiv nichts, aber wenn einer schon versucht zu scannen, dann will man es ja schon so aufwendig wie möglich machenNa ja, es ist kein Problem tausende Scan-Instanzen gleichzeitig laufen zu lassen. Durch diese tausende Scan-Instanzen wird nebenbei auch noch das System lahmgelegt, da diese Pakete ja alle verarbeitet werden müssen. (Stichwort DoS-Attacke). Davor schützt allerdings auch kein 'richtiges' Blocken. Gerade die paar Sekunden die man auf das timeout Signal warten muss machen die meisten Scriptkiddies wütend, die dann erst recht einen Angriff starten (Scriptkiddies sind meisst pupertäre Jugendliche, die 'es der Welt zeigen wollen'). Wenn ich so ein Scriptkiddie wäre, und ich würde in ein Timeout Signal laufen, würd ich nur um den Admin zu ärgern, der mich als Scriptkiddie wohl versucht hat aufzuhalten (wie kann er das nur wagen? ;) ), mal eben ein paar Tausend Anfragen an den Rechner stellen.
Alles in Allem würde ich also von solchen 'Stealth-Sachen' abraten. Lieber klar und direkt mit seinem Gegenüber sprechen, da weiss jeder woran er ist

Grüße,

Sith

Eine Kleinigkeit am Rande finde ich erwähnenswert: viele Angriffe auf den eigenen Rechner laufen automatisiert. Das Argument "Warum sollte es ausgerechnet mich erwischen" zieht nimmer (falls es das je tat), da Programme aller Art ganze IP-Ranges zur gleichen Zeit attackieren und probieren, was geht. Wenn die eigene Kiste schon geknackt wurde, greift sie u.U. selbst etliche andere an. Die *romantische* Vorstellung von dem einsamen Cracker, der im Keller hockt und sich persönlich jede einzelne Kiste vornimmt, ist überholt (wenngleich nicht aus der Welt). Es geht vielmehr um Kontrolle und um Kommerz.

Ich für meinen Teil pass einfach auf, was ich mir installiere (ich verzichte praktisch auf alle netten kostenlosen Tools), meide alle zweifelhafte Websiten, scanne meine Kiste rund alle 2 Wochen und hab ansonsten einen DSL-Router, der mir zumindest das ganze Gewürm von Hals hält. Wie gut, bekam ich zu spüren, als ich Doofkopp wegen eines DSL-Ausfalls kurzfristig auf einen ISDN-Provider auswich. Ich hab das Risiko einfach vergessen und schon war meine da noch recht ungepatchte Kiste ein wahrer Wurm-Zoo geworden. War eine sehr *erfrischende* Erfahrung ,-)

sogar der §")§(!! intelli point maustreiber versucht nach hause zu telefonieren :|

Der hat nicht zufällig eine integrierte Auto-Update-Forunktion, oder? Die Logitech-Software hat zumindest eine ähnliche Funktion, aber diese fragt vorher nach ...

das nach hause telefonieren kannst du auch mit einer pf nicht ganz verhindern.
solange du einen browser hast, kann _jedes_ programm nach hause telefonieren.

das einzige was du abschalten kannst sind so pseudo verbindungen wzb.: real player update, quicktime update, media player update ... usw. usw.

Muss das sein das Du für das loswerden Deiner Meinung einen 16 Monate alten Thread ausbuddest !? :|
Den anderen Thread nicht zu vergessen... :rolleyes:

MfG
Rooter

Muss das sein das Du für das loswerden Deiner Meinung einen 16 Monate alten Thread ausbuddest !? :|

Vor allem, weil dieses unselige Thema leider eh regelmäßig von den Toten aufersteht...