Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Baumansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
Rika Shinji Ikari „Hackerproblem im LAN“
Optionen

Die einfachste Möglichkeit wäre, dass du dir erstmal 'ne Beruhigungsspritze gehen lässt :-)

Bei den etwa 3000 Zugriffen solltest du 4 verschiedene Dinge unterscheiden:

1. Ein Zugriff ist meistens nur die Antwort von einem Server, von dem du Daten angefordert hast. Um solche Zusammenhänge im In- und Out-Traffic zu erkennen, nutzt die Firewall das sogenannte Stateful Inspection. Konkret: Du schickst zur Auflösung per DNS jeweils ein TCP und ein UDP Packet an den DNS-Server. Nach kurzer Zeit schickt er dir die Antwort als UDP-Packet an Port 53. Die Firewall würde das Packet blockieren, aber da sie ja weiss, dass du vorher 'ne DNS-Anfrage abgeschickt hast, lässt sie es durch.
(Ich z.B, wundere mich nicht, dass selbst, wenn ich eD*nkey wieder geschlossen habe, trotzdem noch einige Anfragen auf Port 4661 und 4665 eintrudeln.)

2. Blindgänger: Ein Packet ging an Person X, Person X wählt sich aus, du wählst dich ein, bekommst seine vorherige IP, und schon kommt das Packet an dich. Oder irgednjemand hat die falsche IP angegeben, oder 'ne Routing-Tabelle hat 'nen Fehler etc.

3. Bewusste Anfragen: In 'nem Windoof-Netzwerk mit Freigaben läuft dies alles über TCP/UDP Port 137, UPD Ports 138 und 139. Hier sollte die Firewall auch aufmerksam sein; Anfragen aus dem LAN sind OK, Anfragen aus dem Internet sollten blockiert werden.

4. Portscans: genau dann der Fall, wenn genau ein jemand aus dem Netz systematisch alle oder eine bestimmte Klasse deiner Ports abfragt. Zu solchen Abfragen gehören z.B. die default-Ports von Trojanern wie WickedBot, BackOrifice, NetBus etc. Echte Cracker (NICHT HACKER!!!) stellen den Port ihres Trojaners sowieso um, und wissen ferner genau, welche IP du hast. Die PortScanner suchen jedoch ganze IP-Bereiche nach potenziellen Opfern ab. Keine Sorge: Solange du keinen Trojaner laufen hast (laut Symantec Security Test haben 99% keine Trojaner-Ports offen, und nur ein Viertel davon haben wirklich Trojaner drauf), kannst du diese Scans getrost ignorieren. Sie gehören zum Netzleben dazu wie die Bettler auf der Strasse. Ein gute Firewall (also nicht Outpost) erkennt solche systematischen Anfragen und blockiert sie.

4. DoS-Attacken: Hier schicken, mittels Trojaner zentral gesteuert, viele Rechner gleichzeitig sinnlosen Datenmüll über deine Leitung, um sie komplett auszulasten. Extrem selten, da eher große Marken (Yahoo, GRC, Microsoft) als potenzielle Ziele herhalten.


Soweit, so gut. Wenn es ganze 3000 "Angriffe" pro Stunde sind, dann heisst dass, das deine Firewall einfach zu viel von dir gewollten Traffic blockiert. Outpost ist sowieso scheisse, nimm lieber NIS2003 (saug's bei eD*nkey/eM*le). Normelerweise sollten etwa, je nach verwendeter Software, nur 30 Anfragen pro Stunde als ungültig ankommen. Davon sind etwa 2 Stück wirkliche potenzielle Angriffe, wenn überhaupt.

Apropos: Nur weil Anfragen auf diese Ports kommen, heisst das doch noch nicht, dass diese Ports auch offen sind. Und auch wenn sie offen sind, sollte der dahinterstehende Service nichts preisgeben (z.B. die Windows-Freigabe wäre zwar da, aber würde nicht ohne Authentifizierung der Domäne bzw. nicht an nicht-lokale Adressen abgeben). Aber wenn jemand ein Paket an einen geschlossenen Port schickt, bekommt er 'ne Meldung, dass der Port zwar vorhanden, aber geschlossen ist. Damit weiss er zumindest, dass diese IP online ist.
Eine gute Firewall blockt solche Ports: Auf eine Anfrage gibt es nicht mal die Fehler-Antwort; du als Zielrechner scheinst überhaupt nicht vorhanden zu sein.

UND VERDAMMT NOCHMAL, HÖR AUF, WEGEN GANZ NORMALEN ZUGRIFFEN UND DEM ÜBLICHEN SCRIPTKIDDIEMIST GLECIH EIN FORUM ZU BELÖFFELN UND PANIK ZU MACHEN. LIES LIEBER DEN NICKLES, DANN WÜSSTEST DU DAS ALLES AUCH SCHON LÄNGST SELBST.
ODER WIE NICKLES ES SAGT: "Manche Leute kapieren einfach nicht, dass Traffic GELD KOSTET."

bei Antwort benachrichtigen
-IRON- Shinji Ikari „Hackerproblem im LAN“
Optionen

@ Rika:
Ein paar kleine Korrekturen und Ergänzungen:
Die Firewall würde das Packet blockieren, aber da sie ja weiss, dass du vorher 'ne DNS-Anfrage abgeschickt hast, lässt sie es durch.
Komplett falsch. Ob nun NIS, Outpost, Kerio oder sonstwas - die FW arbeitet mit Regeln. Nur weil du eine DNS-Abfrage startest, muss das zurückgesendete Datenpaket durch die FW noch lange nicht erlaubt werden. Sogar Placebo-Desktopfirewalls können in ihren Regeln zwischen INBOUND und OUTBOUND unterscheiden. Der von dir beschriebene Automatismus wäre direkte Folge einer (Fehl)bedienung durch den User.
Echte Cracker (NICHT HACKER!!!)
Hacker sind die "Guten", die sich eh nicht für Privat-PCs interessieren, Cracker sind die destruktiv veranlagten und Script-Kiddies sind die, die mit Trojanern und Portscannern spielen.
Outpost ist sowieso scheisse, nimm lieber NIS2003 (saug's bei eD*nkey/eM*le)
Du weißt nicht, wovon du schreibst. Ich glaube eher, die Konfiguration von Outpost hat dich abgeschreckt. Anderenfalls erkläre bitte mal (und zwar ohne dir selbst in Punkt 4 zu widersprechen), wozu NIS "Standard Sub7 blockiert"(usw.) meldet. Ach und seh ich das richtig: Du empfiehlst, die Firewall zu "saugen" statt zu kaufen?

Deine letzten GESCHRIENEN Belehrungen will ich mal geflissentlich überlesen.

Ganz allgemein zum Thema Desktopfirewall unter Windows:
Sie können dir zwar helfen, etwas über dein System zu lernen, aber sie schützen dich vor rein gar nichts. Solange du nicht begriffen hast, dass man unbenötigte Dienste zu deaktivieren und Sicherheitsupdates und Patches zu installieren hat, sind FWs witzlos. Weder können sie die Installation von Trojanern verhindern noch die Ausführung sonstiger Malware. Sie wiegen den User in Sicherheit, worauf dieser nachlässiger wird, als er es eh schon war.

TU-Ilmenau
Firewall umgehen
Outbound filtering in personal firewalls does not block packets that are generated by protocol stacks other than the default Microsoft stack.
Fähigkeiten von Y3K
SamSpade

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
xafford -IRON- „@ Rika: Ein paar kleine Korrekturen und Ergänzungen: Die Firewall würde das...“
Optionen

iron, ich muß dir leider widerprechen und rika recht geben. firewalls
arbeiten grundlegend nach verschiedenen prinzipien (vereinfacht):


  • die einfachsten sind simple und dumme portblocker. sie tun nichts
    anderes, als einen port daran zu hindern pakete zu empfangen oder zu
    senden. dies ist nur sinnvoll, wenn man genau weiß warum man welchen
    port schließen will.

  • die meisten firewalls arbeiten nach dem statefull packet prinzip.
    sie werden mit regeln gesteuert, so weit korrekt. allerdings beziehen
    sich die regeln auf VERBINDUNGSAUFBAU. so bald eine verbindung legitimiert ist, erkennt die firewall die verbindung anhand der
    verbindungsid. dies ist auch dringend nötig, da entgegen landläufiger
    meinung und kenntnis eine verbindung z.b. von clientA an webserver B
    nicht permanente vom port auf client A aus läuft, von der die
    verbindung gestartet wurde, und der server B die verbindung auch nicht
    die ganze zeit über seinen port 80 (http) abwickelt. es läuft ungefähr
    folgendermaßen ab.
    -client startet anfrage z.b. von port 1033 an den server auf port 80
    -webserver antwortet und beide handeln die protokolltypischen werte
    (windowgröße, vberbindungsports, etc) aus.
    -danach läuft die verbindung am server über einen der hohen ports, um
    port 80 für verbindungsversuche anderer clients an port 80 nicht zu
    blockieren.
    - es kann durchaus passieren. daß eine verbindung mehrere verbindungen
    nach sich zieht und mehrere sockets auf verschiedenen ports dazu
    gehören (schau dir mal netstat oder einen funktionierenden sniffer an.

    würden firewalls nun so agieren, wie du es andeutest, so müsstest du
    ständig irgendwelche regeln anpassen, nur um überhaupt eine webseite
    abrufen zu können und dns wäre so gut wie unmöglich, da es nicht über
    tcp, sondern über udp abgewickelt wird, welches gar keine fest etablierte
    verbindung zwischen client und server erlaubt.

  • Proxys. diese arbeiten ähnlich dem statefull packet prinzip (einfach
    gesagt), nur daß sie die protokolle kennen, die sie filtern und
    demnach auch den inhalt der pakete analysieren und die pakete neu
    erstellen.


desktop-firewalls sind meist eine kombination aus allen 3 prinzipien
inklusive einem zusätzlichen feature, das dadurch möglich ist, daß
die DTF auf dem rechner arbeiten, den sie schützen sollen:
sie erlauben verbindungen nicht nach der verbindungsID, sondern nach
dem programm-hash des programmes, das für die verbindung legitimiert
ist. hir ist also die verbindungsid durch den programmhash ersetzt.
die regeln die man einstellt bei einer firewall, egal ob DTF oder ipchains, iptable, Firewall1, Zygnus, etc sind also nur für das blockieren
des verbindungsaufbaues zuständig. ist ein socket aufgebaut und registiert
so erfolgt die zuweisung von ports die für die verbindung notwendig
sind automatisch.
stell dir mal vor, es wäre nicht so:
du setzt von deinem port 3555 (beispiel) eine dns-anfrage an serverX
und dessen port 53 über TCP. dieser antwortet dir über UDP von seinem
port 33555 (UDP), deine firewall würde dies dann gnadenlos blocken,
da sie für diese verbindung keine regel hat (bei standard DENY oder DROP).
PS: über die nomenklatur Hacker - Cracker wird selbst in kreisen des CCC
diskutiert, früher waren hacker welche, die in systeme eindrangen und
cracker welche, die programme knackten.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- xafford „iron, ich muß dir leider widerprechen und rika recht geben. firewalls arbeiten...“
Optionen

Ich wüsste nicht, dass ich was anderes als du gesagt habe. Ich kritisiere Rikas unscharfe und seeehr allgemeine Erklärungen. Dass Firewalls nach unterschiedlichen Prinzipien arbeiten ist mir klar.
Was ich allerdings bei deinen sehr guten Beschreibungen vermisse, ist die Tatsache, dass Desktopfirewalls hauptsächlich application-based arbeiten und diese Überprüfung, wie auch stateful-packet kein großer Hinderungsgrund sind. Ist erstmal ein Schädling auf dem PC (was KEINE DT-Firewall verhindern kann - widerlege mich mal) besteht dessen erste Aktivität in der Regel darin, die Firewall mal eben auszuknipsen oder zu tunneln, meinetwegen auch per DLL-Injection. Wovor genau schützt sie mich dann bitte noch?
Ach ja...Proxies....nenne mir mal welche, die mich daran hindern, mir einen Trojanerserver aus dem Netz zu laden und dann zu installieren.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
xafford -IRON- „Ich wüsste nicht, dass ich was anderes als du gesagt habe. Ich kritisiere Rikas...“
Optionen

tut mir leid, dann habe ich dein posting falsch interpretiert.
was das application-based angeht, so habe ich das eigentlich am
rande erwähnt über die identifizierung der verbindungen anhand
des programm-hashes anstatt wie bei stand-alone-firewalls über
die verbindungsid. somit wird die verbindung dann eben anhand
des initiierenden programmes anstatt der verbindungkennung
identifiziert. was es z.b. auch absolut schwachsinnig macht eine
DTF im lan auf dem zugangsrechner zu installieren um das LAN
zu schützen, was einige leute betreiben.
was deine anspielung auf DLL-injection angeht, ich gehöre definitiv
nicht zu den leuten, die DTFs für einen sicheren schutz halten.
alles was auf dem system läuft, das es schützen soll ist potentiell
auch korrumpiert, da ist DLL-Injection noch eine der neueren möglichkeiten die DTF zu umgehen.
was proxys angeht, wie wäre es mit squid? ;o)...ich meinte mit
proxys nicht solche wie Jana oder ähnliche, soondern große proxys
ala Squid, Zeuss, etc, die wirklich das protokoll filtern und teilweise auch sehr guten schutz gegen getunnelte protokolle bieten.
natürlich schränkt man mit einem proxy die usability des netzes ein und für privatanwender ist dies weitab vom nutzbaren, aber für firmen schon wieder im bereich vom nötigen.
so lange nicht wirklich ein ambitionierter hacker den trojaner speziell an das netz und den proxy anpasst dürfte er bei rigider konfiguration des proxy ncith durchkommen. was nicht zum protokoll passt wird einfach geblockt. umgehen lässt sich natürlich auch dies, aber der aufwand muß eben mal mindestens zu erwartendem gewinn+XXX entsprechen, dann ist en konzept schlüssig.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- xafford „tut mir leid, dann habe ich dein posting falsch interpretiert. was das...“
Optionen

Dir ist aber schon klar, dass die von dir genannten einigermaßen vertretbaren Firewall-Szenarios sowohl hard- als auch softwaremäßig mit einem Normal-User an seinem Windows-PC nicht viel zu tun haben, oder? ;)

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
xafford -IRON- „Dir ist aber schon klar, dass die von dir genannten einigermaßen vertretbaren...“
Optionen

nein, haben sie nicht. die frage ist allerdings, brauchen sie das?
ich denke die panikmache und paranoia ist mindestens um den faktor 100.000 größer als die potentielle gefährdung. meist ist das, was die user betreiben ein herumdoktern an den symptomen, anstatt eine bekämpfung der ursachen. wenn ich lese, daß ein user, der sagt er habe das problem, daß seine freigaben im internet sichtbar sind die empfehlung bekommt eine desktop-firewall zu installieren, dann geht das eigentlich gegen mein veständnis von logischer problembekämpfung. wenn ich schmerzen habe, weil in meinem fuß ein splitter steckt, dann nehm ich doch auch keine schmerztablette, sondern ziege den splitter raus. der aufwand für die beseitigung des problems ist meist auch noch schneller und einfacher, als sich eine friewall runter zu laden, zu installieren und zu versuchen damit klar zu kommen.
es dürfte klar sein, daß das von dir angesprochene szenario mit fw/DMZ/FW für user absolut übertriebener aufwand ist. selbst für die meisten unternehmen ist dies absolut übertrieben.
aber wieder zurück zur eigentichen sache: ich wüsste gerne, was eine firewall bezwecken soll...verhindern, daß ein trojaner auf einen rechner kommt? wohl kaum. ein trojaner kommt auf den rechner, wenn der user ihn per mail oder download herunterläd und instaliert, da kann in den meisten fällen auch keine firewall etwas dagegen unternehmen.
verhindern, daß ein trojaner kontakt nach außen aufnehmen kann? eventuell kann die firewall das sogar, aber der trojaner kann trotzdem das system komplett ruinieren.
am lustigsten finde ich die geschichte mit den rechne runsichtbar machen. wenn man denn alle ports sperrt und auf stealth schaltet, und jemand setzt einen ping an die ip des rechners, was passiert dann? richtig, er bekommt keine antwort...was sagt das jemandem, der sich mit netzwerkprotokollen auskennt? richtig, das sagt ihm, daß da ein rechner ist, der seine orts auf stealth gestellt hat, und nicht, daß dort kein rechner wäre. und warum? wäre da kein rechner, so würde der letzte router vor diesem rechner eine icmp-antwort schicken mit der nachricht "network unreachable". worin liegt dann also der gewinn bei ports, welche stealth sind? etwa der sinn, daß steve gibson sagt, es müsste so sein um sicher zu sein?
ps: wer sich ein bißchen mit nmap auskennt, kannn auch durch eine desktop-firewall hindurch die ports eines rechners scannen.
meiner meinung nach (und über die kann man bestimmt diskutieren) sind firewalls eher die wurzel des übels, als deren bekämpfung, wenn man sieht wieviel ärger sich leute mit diesen dingern einhandeln....
naja...eigentlich war das jetzt alles nur laut nachgedacht, am besten einfach ignorieren.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- xafford „nein, haben sie nicht. die frage ist allerdings, brauchen sie das? ich denke die...“
Optionen

FULL ACK

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Plazebo -IRON- „@ Rika: Ein paar kleine Korrekturen und Ergänzungen: Die Firewall würde das...“
Optionen

Leider ist es so, dass bei den meisten Firewalls verständliche Unterscheidung zwischen "gefährlich" und "harmlos" stattfindet. Eine Firewall kann dies zwar nicht immer unterscheiden, aber so Sachen wie Portscans sind absolut harmlos (solange man keinen Trojaner hat) und die Warnmeldungen darüber verängstigen den "normalen" PC-Benutzer doch nur. Der User denkt sich, dass er ohne Firewall überhaupt nicht mehr sicher im Internet ist und bindet sich damit an das Produkt. (Ich unterstelle den Herstellern von Desktop-Firewalls jetzt einfach mal, dass die das ganz bewußt machen).

Produkte von Norton sind zwar gut, aber leider ziemlich dicke Klötze die das System sehr langsam werden lassen. Da gibt es Produkte die schlanker sind und denselben Nutzen haben. (Tiny Firewall, Outpost...)

bei Antwort benachrichtigen
Plazebo -IRON- „@ Rika: Ein paar kleine Korrekturen und Ergänzungen: Die Firewall würde das...“
Optionen

Leider ist es so, dass bei den meisten Firewalls verständliche Unterscheidung zwischen "gefährlich" und "harmlos" stattfindet. Eine Firewall kann dies zwar nicht immer unterscheiden, aber so Sachen wie Portscans sind absolut harmlos (solange man keinen Trojaner hat) und die Warnmeldungen darüber verängstigen den "normalen" PC-Benutzer doch nur. Der User denkt sich, dass er ohne Firewall überhaupt nicht mehr sicher im Internet ist und bindet sich damit an das Produkt. (Ich unterstelle den Herstellern von Desktop-Firewalls jetzt einfach mal, dass die das ganz bewußt machen).

Produkte von Norton sind zwar gut, aber leider ziemlich dicke Klötze die das System sehr langsam werden lassen. Da gibt es Produkte die schlanker sind und denselben Nutzen haben. (Tiny Firewall, Outpost...)

bei Antwort benachrichtigen
Rika -IRON- „@ Rika: Ein paar kleine Korrekturen und Ergänzungen: Die Firewall würde das...“
Optionen

Und jetzt mal zu diesen Anmerkungen:

1. Natürlich basiert eine Firewall auf Regeln. Und dass Pakete defaultmäßig blockiert werden sollten , ist ja auch klar.
Aber ich fände es echt scheisse, wenn entweder jede DNS-Antwort blckiert wird oder alternativ mir jeder beliebge 'n falsches DNS-Paket unterjubeln kann.
Deshalb hat eine GUTE Firewall (wie z.B. NIS2003) das sogenannte STATEFUL INSPECTION, DAS SOLCHE ZUSAMMENHÄNGE ERKENNEN SOLL. DAS IST EINE SINNVOLLE AUTOMATIK, DIE ES DEM USER ERMÖGLICHT, AUF MAXIMALE ABSCHOTTUNG EINZUSTELLEN UND TROTZDEM ALLES FUNKTIONIEREN ZU LASSEN.)
Sprich: eine Regel von der Art "DENY INBOUND UPD:53 EXCEPT IF (WITHIN TIME - 5 SECONDS DETECTED(OUTBOUND TCP/UDP:53)"
Und das ist auch gut so. Outpost beherrscht solche genialen Automatismen nämlich nicht - die WinXP-Firewall dagegen schon...Trauriger Vergleich, nicht wahr?

2. Was meinst du, warum ich gerade betone, dass echte Hacker sowas nicht machen? Hab ich das denn so missverständlich geschrieben?

3. Ich hänge seit '94 am Netz. Und ich lebe in einer Bundesrepublik, die steuermäßig von Sozialdemokraten gebeutelt wird. Ich hab mit Assembler angefangen zu Programmieren, und ich weiss auch, wie einfach solche komerziellen Programme zu freeware umgewandelt werden. Denkst du, ich kenn den Durchschnitts-Internetuser mit 'ner DSL-Leitung nicht? DIE SAUGEN OHNE ENDE UND DENKE NICHT MAL IM GERINGSTEN ANS BEZAHLEN.

bei Antwort benachrichtigen
-IRON- Rika „Und jetzt mal zu diesen Anmerkungen: 1. Natürlich basiert eine Firewall auf...“
Optionen

Bei all deiner Schwärmerei für die zweifelhaften Fähigkeiten von NIS verlierst du leider etwas Wesentliches aus den Augen:
Der Normal-User weiß oder versteht nicht, dass eine Firewall ein Konzept, also eine Summe verschiedenster Maßnahmen ist, um Netze zu trennen und nur für genau definierte Arten von Datenverkehr durchlässig zu machen. Für den Normal-User ist eine Firewall eine Software, die er auf seinem Windows-PC installiert und nun irrtümlich glaubt, sie schütze ihn vor wie auch immer gearteten "Angriffen".
Der Normal-User wird daraufhin beinahe zwangsläufig noch nachlässiger im Umgang mit Daten und Programmen als er es eh schon war und kompensiert die geringe Zufallswirkung der DTFW gänzlich.
Woche für Woche kann ich in zahlreichen Foren folgende zwei Hauptszenarien beobachten, die ganz klar gegen eine PFW sprechen:
A) Der User klagt:
Seit ich Firewall xxx installiert habe
-werden manche Webseiten nicht richtig geladen/angezeigt
-kann ich mich auf manchen Webseiten nicht einloggen
-funktioniert FTP nicht mehr
-funktioniert mein Mailprogramm nicht mehr
-funktioniert Filesharingprogramm zzz nicht mehr
-werde ich dauernd von Trojaner yyy angegriffen
-wird mein NetBIOS dauernd angegriffen

B) Der User klagt:
Trotz der Firewall xxx
-habe ich mir den Trojaner yyy eingefangen
-habe ich mir den Mailwurm yyy eingefangen
-habe ich mir den Virus yyy eingefangen
-habe ich mir den Dialer yyy eingefangen

Verstehst du jetzt, worauf ich mit "Unsinn" hinauswollte?
Der Normal-User weiß nicht, dass eine Desktopfirewall, die mit den gleichen Rechten wie alle restliche Software auf dem zu schützenden PC läuft, äußerst fragwürdig ist. Er weiß auch nicht, dass die wenigen Dinge, die eine solche Firewall erstaunlicherweise doch noch hinbekommt, ohne weiteres auch ohne Firewall machbar sind (Dienste deaktivieren, Security-Patches installieren).

Zu 2. Ja, hast du, sehr sogar.
Zu 3. Ich bin ebensolange im Netz und obwohl meine Programmierkenntnisse bescheiden sind, verstehe ich genug von der Materie, um mich nicht von einer Placebo-Firewall wie NIS bzw. ihren Herstellern verarschen zu lassen. Dass du TROTZ deiner Programmierkenntnisse noch NICHT zu dieser Einsicht gelangt bist, finde ich ein wenig befremdlich.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „Bei all deiner Schwärmerei für die zweifelhaften Fähigkeiten von NIS...“
Optionen

Mir scheint, du hast's mit DTFs nicht ganz so...
Zu deinem Kommentar (3.): Ich selbst betrachte NIS auch nur als zusätzliche Abschirmung. Um nicht zu sagen; ich hab mir grade WinXP hier frisch draufgekloppt. Zuerst habe ich sämtliche möglichen Einstellungen vorgenommen, stets auf Sicherheit bedacht, anschließend habe ich sämtliche Patches eingespielt, anschließend habe ich sämtliche Software draufgespielt, eingestellt, sämtliche erdenkbare Tuningmaßnahmen vorgenommen, dann erst NIS wieder installiert, Updates und Virensignaturen eingespielt und erst dann bin ich erst wieder online gegangen... Dabei sind ich und meine DSL-Leitung EXTREM SAUGGIERIG.
Meine Patchsammlung ist stets aktuell (1 mal am Tag WinUpdate checken, 1 mal pro Woche das komplette Download-Center checken, 1 mal pro Monat durchsuche ich die komplette Technet-Base), ebenso kenne ich alle Versionsnummern meiner Programme aus dem Kopf, checke bei den wichtigsten jeden Tag, ob 'ne Aktualisierung vorliegt. Dazu kommen noch regelmäßiges Vorbeischauen bei BugTraq und intensive Studien von Informationsmaterial. Soweit so gut, von Systemsicherheit kannst du mir nicht mehr viel erzählen - NIS schützt mich nur vor Dingen, die noch da sein könnten, aber wohl eher nicht sind.

Und soweit ich das sehe, ist NIS technisch sehr ausgereift. Die Filter hängen einerseits zwischen NDIS-Driver und TCP-Socket, andererseits auch zwischen Socket- und Application-Layer (von Windows, nicht vom OSI). Konkret: IGMP und fragmented IP sowie der IDS-Totalblocker fangen Pakete ab, bevor sie übrhaupt den TCP/IP-Stack von Windows erreichen. Die, die durchkommen, fallen bei Bedarf noch durch die XP-Firewall (scheiss Teil, nützt nicht wirklich), gehen dann durch die Firewall-Regeln und das IDS durch, ung gelangen dann erst zur Anwendung. HTTP-Daten, eMails und Daten von Instant Messenger wandern noch zusätzlich erst durch einen von NIS bereitgestellten Proxy-Service. Die Tatsache, dass eventuelle malformed packets nicht mal zum TCP/IP-Stack gelangen, lässt z.B. ZoneAlarm alt aussehen - diese bricht deshalb unter einem SYN-Flooding gnadenlos zusammen; NIS stört sich daran nicht mal im geringsten. Und seit NIS2003 nutzt das IDS zusätzlich eine regelmäßig aktualisierte Liste von typischen Muster bekannter (und zum Glück auch schon gestopfter) Unix- und Windows-Exploits.
Leider ist auch NIS2003 nicht ganz perfekt; gegenüber Version 2002 kann man nun z.B. den HTTP_USERAGENT nur noch blocken oder zulassen, aber keinen eigenen String mehr verwenden - ich fand es klasse, jedem Webserver vorzugaukeln, ich hätte Win98 mit IE5 in der Gold-Edition, während ich tatsächlich mit Win2K und IE6b unterwegs war. So long...

Demnach ist der Begriff Placebo-Firewall eher nicht angebracht. Man muss nur die Standardeinstellungen in die Tonne kicken, dann wird auch 'n Schuh draus.

bei Antwort benachrichtigen
-IRON- Rika „Mir scheint, du hast s mit DTFs nicht ganz so... Zu deinem Kommentar 3. : Ich...“
Optionen

Ich habs sogar so sehr mit DTFWs, dass ich keine mehr verwende.
Was all die von dir geschilderten Fähigkeiten betrifft, empfehle ich dir dringend, dich mal mit Andreas Haak in Verbindung zu setzen oder mit einem anderen aus dem Entwicklerteam von ANTS und YAW. Das sollte helfen.
Was den USERAGENT betrifft: Nimm Mozilla und installiere dir die Preferences Toolbar oder UAbar, wenn du solcherlei Spielereien gut findest. Scheint ein Verhaltensmuster zu sein, denn DTFs sind, ob nun mit Standardkonfiguration oder nicht, auch nur ein Spielzeug. Zum Glück hab ich das rechtzeitig erkannt.
Nochmal ganz klar:
Verhindert deine NIS, dass Programm X heruntergeladen werden kann? Nein.
Verhindert NIS, dass X von dir installiert wird? Nein.
Verhindert NIS, dass Programm X NIS ausknipst, bevor es ins Internet connectet? Nein.
Hast du auch nur eine der im USENET immer wieder geposteten detailierten Erläuterungen zum Thema gelesen UND verstanden? Nein.
All deine geschilderte Umsicht nützt dir deshalb GAR nichts. Du bist auf halber Strecke stehengeblieben.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „Ich habs sogar so sehr mit DTFWs, dass ich keine mehr verwende. Was all die von...“
Optionen

1. Was den Andreas Haak betrifft: Ich selbst verwende YAW 3.5 und kann es mir nicht mehr wegdenken (ja, obwohl ich DSL nutze - ein Dialer ruiniert die DFÜ-Konfiguration, ob er nun tatsächlich schadet oder nicht...). Die Registrierung von YAW kostet nur 1 EURO, aber ich hab gleich 5 EURO dafür abgedrückt (Jaja, ich bin Zivi und komme ohnehin schon kaum über die Runden... aber würde u.U. sogar noch mehr spenden).
2. Sowohl bei IE als auch Netscape geht's auch ohne Tools. Ein Eintrag in die Registry genügt. Das Dumme an der Sache: Es funktioniert nicht wirklich. Selbst wenn ich dem IE6 sage, es soll mit "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)" antworten, sendet er entweder garnix, Unsinn oder den Original-String. Netscape ist nicht besser, aber z.B. FlashGet muckt kein bisschen und sendet wirklich jeden Scheiss, den ich eingebe.
3. Warum nennst du sowas Spielzeug? Wer weiss, welche Sicherheitslücken in Windows noch am Port 135 (EPMAP aka RPC - Remote Prozedure Call) lauern? Zeig mir mal nur einen einzigen, der ohne ein komplettes Zerlegen des Systems unter Win2K/XP den Port 135 schließt! Geht einfach nicht. Und deshalb hau ich mir 'ne Firewall drauf, die den Port 135 komplett blockt. Oder die Sache mit dem Useragent: Wenn ich irgendwie in 'nen Kontakt mit 'ner Website komme, die mir schade will, hab ich einen kleinen Vorteil: Nutzt sie den Useragent, um herauszufinden, welche Browser/BS-Kombi ich verwende, dann wird sie vergeblich versuchen, mich mit Win9x/IE5-Sicherheitslücken auszuloten, wenn ich doch WinXP/IE6SP1 habe. De Facto, eine DTFW hilft dir, dich vor den Fehlern deines eigenen Systems zu schützen. Und zwar die Fehler, die niemand kennt und keiner beheben kann. (In dieser Hinsicht ist Linux nicht besser als Windows)

4.
>Verhindert deine NIS, dass Programm X heruntergeladen werden kann? >Nein.
Nein. Das verhindere ich. Ich lade Programm X nur runter, wenn ich Programm X will, es von der Website vom Hersteller von Programm X kommt und dieser für die Qualität seiner Produkte bekannt ist.
Deshalb gibt's bei mir auch kein Active Scripting, Java oder gar Active X - grundlegend: keine sicherheitsrelevanten Automatismen.

>Verhindert NIS, dass X von dir installiert wird? Nein
Siehe vorherige Antwort.

>Verhindert NIS, dass Programm X NIS ausknipst, bevor es ins Internet >connectet? Nein.
Doch. Das ist ja das Witzige daran.
Unter WinNT/2K/XP läuft der Kern von NIS direkt auf Treiber-Ebene.
Und hier kommt es drauf an: Vorausgesetzt, man ist als eingeschränkter Benutzer angemeldet (ist der Fall!), dann kann man 1. keine Dienste starten und beenden 2. keine Treiber (SYS,VXD) laden oder Entfernen. Und auch kein Prozess, den man startet, kann das.
Weiterhin schaltet sich der Treiber-Kern direkt als Vermittler zwischen die einzelnen Ebenen. Sollte es doch dank einem Exploit möglich sein (hab ich unter Win2K mit SP2 mal getestet), so fehlt plötzlich die Verbindung: der NDIS-Treiber bekommt zwar Daten, hat aber keine Verbindung mehr zum TCP/IP-Stack - die Internetverbindung ist tot, Programm X kommt nicht mehr weiter.) Eine Firewall, die dass nicht kann, ist ihr Geld nicht wert.

5. Ich kenne diese Usenet-Postings, ja sie hängen mir quasi zum Halse hinaus. Eine Firewall nützt nichts, wenn sie schlecht konfiguriert ist und man sich in falsche Sicherheit wiegt. Sie nützt nichts, wenn das System dahinter angreifbar ist. Sie schützt nicht vor eigener Dummheit. Die beste Firewall ist immernoch das eigene Hirn. Man ist, wenn das System gesichert ist, auch ohne Firewall sicher.

Meine Stellungnahme dazu kennst du ja: 'ne Firewall schützt dich vor dem, was niemand kennt und niemand vorhersehen kann. Und nur dazu ist sie gut.

bei Antwort benachrichtigen
-IRON- Rika „1. Was den Andreas Haak betrifft: Ich selbst verwende YAW 3.5 und kann es mir...“
Optionen

Ähem...genau das tut sie nicht. Deswegen riet ich dir, mal Andreas aka DocSeltsam zu kontakten. Der zerpflückt dir dann deine Treiber und Layer-Argumente besser, als ich das könnte. Aber warte noch, bis er seine Bronchitis auskuriert hat.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „Ähem...genau das tut sie nicht. Deswegen riet ich dir, mal Andreas aka...“
Optionen

Andreas Haak und Layer-Argumente? LOL...

Wie war denn das mit dem Vergleich von 0190 Warner und YAW 3.5?
0190 Warnerbringt spezielle CAPI,TAPI und DUN-DLLs mit, die genau nur dann funktionieren, wenn 0190 Warner läuft. Bei YAW 3.5 war ein ähnliches Konept geplant, wurde dann aber wieder verworfen, da die Standard-CAPI-DLLs nicht die herstellerspezifischen Funktionen (z.B. von der Fritz!-Software) beinhalten und somit Probleme verursachen. Bei YAW 3.5 kommt in Bezug auf's CAPI-Interface nur 'ne ganz normale Überwachung rein - das soll laut A.Haak angeblich genauso sicher sein. Wenn 0190 Warner gekillt wird, war's das auch für den Dialer; wenn YAW gekillt wird, hat der Dialer aber gewonnen. Scheisse war's mit dem Layer...

bei Antwort benachrichtigen
xafford Rika „Mir scheint, du hast s mit DTFs nicht ganz so... Zu deinem Kommentar 3. : Ich...“
Optionen

wo hast du denn all die schönen fachbegriffe her?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Rika xafford „wo hast du denn all die schönen fachbegriffe her?“
Optionen

Fachbegriffe? Das ist mein normales Internet-Deutsch (TM).

Mal ehrlich, man sagt doch lieber "malformed packets" als "wohlgeformtes Packet", wie das Microsoft manchmal so schön übersetzt. Und wie die Microsoftsche "Wissenbasis" nur als KBxxxx referenziert wird (Knowledge Base), heisst der Technet-Teil logischerweise Technet Base (klingt übrigens auch besser). Und ich nehm auch lieber Abkürzungen, denn unter IGMP kann man sich mehr vorstellen als unter Internet General Multicast Protocol (vielleicht 'n unpassendes Beispiel...)

Ich kann mir schon vorstellen, warum so 'ne Frage kommt; Ich selbst kenne leider viele Leute, die mit Fachbegriffen um sich werfen, obwohl sie absolut keine Ahnung davon haben.

P.S.: Das maximale Volumen subterrarer Agrarprodukte steht in reziproker Relation zur spirituellen Kapazität des Produzenten. - Die dümmsten Bauern haben die dicksten Kartoffeln :-)

bei Antwort benachrichtigen
xafford Rika „Fachbegriffe? Das ist mein normales Internet-Deutsch TM . Mal ehrlich, man sagt...“
Optionen

wenn wir schon mal dabei sind, mich würde mal interessieren, was ein protokoll, daß zur steuerung von multicasts über router mit der filterung von malformed (das im übrigen nicht wohlgeformt, sondern das gegenteil bedeutet) oder fragmented ip-packets zu tun hat. aus dieser äußerung bin ich ehrlichgesagt nicht so ganz schlau geworden.
das bezieht sich auf diese aussage von dir:
Konkret: IGMP und fragmented IP sowie der IDS-Totalblocker fangen Pakete ab, bevor sie übrhaupt den TCP/IP-Stack von Windows erreichen
übrigens, was hat SYN-flooding mit malformed ip-packerts zu tun, und wie will NIS SYN-flooding verhindern ohne implementierte SYN_Cookies?

nur so aus neugier und wissensdurst.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Rika xafford „wenn wir schon mal dabei sind, mich würde mal interessieren, was ein protokoll,...“
Optionen

Der Zusammenhang ist ein ganz einfacher:

Erinnerst du dich noch an die Zeiten, als Win98 durch ordentlich fragmentierte IP-Pakete in die Knie gezwungen wurde? Microsoft hat diese Lücken zwar gestopft, aber meinst du, sie hätten was dazugelernt? Deshalb hat NIS seit 2001 die Option, fragmentierte IP-Pakete generell zu blocken (und das war SCHEISSE). Seit NIS2003 kann es zwischen relativ normalen und extrem fragmentierten IP-Paketen unterscheiden. Konkret, letztere kommen entweder überhaupt nicht vor oder sind meist auch noch fehlerhaft - wenn also welche kommen, kann man davon ausgehen, dass es sich um einen Angriff handelt. Deshalb: "Fragmented IP packet handling", "Permit all expect suspected attacks"

IGMP wiederum hat die Eigenart, dass es in der Praxis eigentlich so gut wie nie genutzt wird. Dementsprechend gehen wir mal dvon aus, dass der TCP/IP-Stack gegenüber IGMP auch schwächelt, diese Lücken aber noch nicht bekannt sind, da kaum einer IGMP nutzt... Deshalb: "Block IGMP"


Das mit dem SYN-Flooding haste wohl falsch verstanden. Es geht darum, dass die Pakete überhaupt nicht erst den TCP/IP-Stack erreichen, das gilt für malformed IP, IGMP und SYN-Flooding.
Tatsächlich hat NIS immernoch keine SYN-Cookies implementiert (leider...), und die SYN-Cookies von Win2K/XP sind noch etwas unausgereift. Aber das IDS von NIS kann wenigstens ein SYN-Flooding erkennen und setzt die jeweilige IP dann automatisch auf die Blockier-Liste, in diesem Fälle fängt der IDS-Blocker dann die SYN-Pakete schon ab, bevor sie den TCP/IP-Stack erreichen. Bei ZoneAlarm geht das nicht: Die Pakete löchern den TCP/IP-Stack zu Tode, die Auslastung von ZoneAlarm steigt auf 99 Prozent - das SYN-Flooding war noch erfolgreicher als ohne Firewall.

bei Antwort benachrichtigen
xafford Rika „Der Zusammenhang ist ein ganz einfacher: Erinnerst du dich noch an die Zeiten,...“
Optionen

igmp wird im internet nicht geroutet, es tritt nur in lokalen netzwerken auf (IGMP-pakete haben immer eine TTL von 1). im internet wird für multicastadressierungen RIP verwendet (bzw. die erweiterte form DVMRP). im übrigen ist multicast nicht gerade selten (internet radio, video streams, real audio, viele andere streaming-formate, etc....)
ps: wie will NIS SYN flooding ohne SYN cookies erkennen? es gibt bisher nuur 3 (davon 1 wirksame) möglichkeit SYN flooding zu erkennen und zu verhindern. SYN cookies, GENESIS und anti spoofing.
GENESIS ist nicht wirklich wirksam, nicht performant durch die vermurkste MSS und durch den unsäglichen RC5 algorithmus extrem lahmarschig und antispoofing nützt nichts gegen unspoofed SYN flooding, erzeugt zudem wiederum massig last durch reverse lookups, bzw ping, und der filter müsste den stack für die validierung belästigen.
was ich vorher noch vergessen hatte, gegen einen mitgebrachten stack eines trojaners sind sämtliche verrenkungen der DTF ohnehin unnütz da der system stack erst garnicht zum einsatz kommt und direkt raw sockets genutzt werden können.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Rika xafford „igmp wird im internet nicht geroutet, es tritt nur in lokalen netzwerken auf...“
Optionen

Ich sag's doch: Niemand braucht IGMP, und ungültige IGMP-Pakete aus 'm Netz 'ner hohen TTL lassen auf 'ne Attacke schließen. (IGMP kann man durch IP tunneln)

Das mit Multicast ist auch klar. Kommt aber nur zum Einsatz, wenn irgendwas live ausgestrahlt wird, also gleichzeitig an viele Rechner gesendet werden soll. Da ich persönlich an solchen "Veranstaltungen" nie teilnehme, sind die jeweiligen Multicast-Ports der Player bei mir grundsätzlich gesperrt. Die Ports für "normalen" Streaming-Transport sind zwar auch per Default geschlossen, haben aber 'ne spezielle Regel für Stateful Inspection.

Das mit dem SYN-Flooding ist so, dass NIS nicht "wirklich" SYN-Cookies implementiert; vielmehr nur 'n einfachen Filter, der auf SYN's anspricht und abzählt - wenn zuviele auf einmal kommen, dann blockiert er automatisch. "Echte" SYN-Cookies gehen da viel weiter...

Und an die Raw Sockets kommt bei mir nur SYSTEM und Admin, aber kein unter 'nen eingeschränkten Account gestarteter Prozess, wie z.B. Trojaner. Bin ja nicht dumm...

Ich kenn ja die ganze Diskussion zwischen Steve Gibson (GRC.COM, ShieldsUp!) und Microsoft über die Raw Sockets.
Tatsächlich bin ich der Ansicht, dass die Raw Sockets bleiben sollten: Man löst ein Problem nicht, in dem man der Mehrheit nicht erlaubt, es auslösen zu können. Statt dessen sollte man die technische Struktur, durch die das Problem möglich wird, neu durchdenken. Tatsächlich hat z.B T-Online schon vorher (sogar vor Win2K) bereits dafür gesorgt, dass man nur IP-Pakete mit der eigenen IP als Absender durch die Leitung jagen konnte. Alles andere hat der Server automatisch verworfen und an die Technikabteilung gemeldet - wenn sowas öfter vorkam, gab's Ärger.
Absolut vorbildlich! Aber AOL... :-|

bei Antwort benachrichtigen
xafford Rika „Ich sag s doch: Niemand braucht IGMP, und ungültige IGMP-Pakete aus m Netz ner...“
Optionen

ich hab jetzt lange überlegt, ob ich auf dieses posting noch antworten soll, oder nicht, die anwort könnte man nämlich auch falch auslegen. ich habe mich jetzt aber entschlossen doch noch drauf zu antworten.
mir stellt sich nun eine frage mit 2 möglichen antworten:
antowrt 1 wäre, du drückst dich nur falsch aus, antwort 2 wäre, du nutzt fachtermini, um dir den nimbus des vollprofi zu geben.
hier meine statements dazu:
was bitte soll man unter "tunneln" über IP verstehen? jedes übertragungsprotokoll im internet wird ohnehin über ip übermittelt, ip ist das grundlegendste protokoll, daß über router im internet übertragen wird. alle protokolle, egal wie tiefliegend werden durch IP übermittelt. wo willst du da noch was tunneln? man könnte ICMP über HTTP tunneln, was aber auch absoluter unsinn wäre, da eine kapselung von daten in eiem protokoll mur sinn macht, wenn auf der gegenseite ein mechanismus existiert, der diese daten aus dem protokoll wieder extrahiert und sie an die entsprechende anwendungsschicht leitet oder selbst weiter verarbeitet.
in diesem sinne noch zu etwas, IGMP ist nicht nur potentiell mißbrauchbar, IGMP ist für DoS und spoofed multicast membership schon lange bekannt.
eine TTL größer 1 ist bei IGMP auch nicht möglich, da IGMP eben nicht über router hinweg geroutet wird, es findet nur zwischen host und erstem router und letztem router und host statt, dazwischen sind es RIP pakete, IGMP wird also immer vom letzten router vor dir erstellt. was uns wieder zur sache mit dem tunnel zurückführt, wäre ICMP über irgendein anderes protokoll getunnelt (eines, bei dem dies auch wirklich geht), dann müsste immer noch auf deinem rechner ein mechanismus implementiert werden, der die IGMP nachrichten daraus wieder entkapselt und an die zuständige schicht zurück übermittelt.

punkt 2. um SYN flooding zu verhindern gibt es wie vorher angeschprochen 3 mechanismen (mehr oder weniger). ein "counter" der die halboffenen sockets zählt und weitere verhindert wäre absolut sinn- und nutzlos, da die möglichen halboffenen verbindungen, die ein system ertragen kann systemabhängig sind und filesharing mit so einem mechanismus absolut sinnentleert wäre.

und weiter...was soll heißen: "an die Raw Sockets kommt bei mir nur SYSTEM und Admin"? wie verbietest du einem userkonto zugriff auf eien teil einer API? kannst du auch einem user zugriff auf die funktion OnMouseMove aus der windowsAPI verbieten? du kannst ihm vielleicht den zugriff auf ein programm verbieten, oder eine hardware, aber nicht auf funktionsaufrufe einer API.
bei einem untergejubelten stack ist dies ohnehin makulatur, dieser unterwirft sich sowieso nicht der rechtehierarchie des systems. konnte sich der trojaner installieren samt eigenem stack, dann kann er ihn auch komplett ohen beschränkung nutzten.
was grc und ms angeht ist diese diskussion ohnehin schwachsinn...raw sockets gehen auf jedem system, egal ob 95, 98, 2000 oder xp, von unixen ganz zu schweigen. warum steve gibson das irgnoriert, darüber kann man spekulieren.
t-online verhindert übrigens auch nicht generell spoofing, verhindert wird nur (wie über die meisten richtig konfigurierten router), daß pakete mit ips aus falchen subnetzen nicht geroutet werden. aol ist da nach außen übrigens eher noch rigider, da bei aol jeder traffic aus dem aol net ins inet und umgekehrt durch proxys muß.

wie du mit diesem posting hier umgehst ist dene sache, sieh es auch nicht als persönlichen angriff, so ist es nicht gemeint. von mir aus kannst du es auch blitzen, ich werde sogar selbst zustimmen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Rika xafford „ich hab jetzt lange überlegt, ob ich auf dieses posting noch antworten soll,...“
Optionen

Oh Mann, das artet langsam aus... Mache mal jemand in das Forum einen Zugriffscounter rein :-)

Ob's nun Fachtermini sind oder nicht, wenn ich annehmen muss, dass der Leser es nicht ohne weiteres versteht, erkläre ich es eben. Wenn der Leser sich dann näher mit der Sache auseinandersetzt, nutzt er früher oder später dann auch diese Termini...
Und wenn, dann drücke ich mich weniger falsch als viel mehr undeutlich aus... So viel dazu.

Das mit dem Tunneln ist doch ganz normal. Ich selbst tunnele PPP durch's Ethernet... Aber jetzt mal zu dieser Sache: Schon mal 'nen Linux-Kernel kompiliert? (Was für 'ne Frage...) Jede handelübliche Distri bietet dir beim make config die einzenlen Module an. Typischerweise auch das IP-Tunneling, der zugehörige Hilfetext lautet "Häufigste Anwendung ist das IP-durch-IP-Tunneling. Hört sich merkwürdig an, macht aber durchaus Sinn: ...." 'Ne gute Alternative zu PF/NAT, leider unterstützt T-Online es nicht. Was dir der große Bill über sein BS auch nicht erzählt hat: Obwohl es absolut keinen Sinn macht, unterstützen sämtliche Windowse ab 95 intern dem Empfang von IP und IGMP durch IP getunnelt. Und da hört für mich der Spass auch langsam auf: Diese Scheisse kann man leider nicht abstellen, noch kann mir irgendeiner erklären, warum's nicht ganz normal über RIP kommt. (Naja, der Bill denkt sich, RIP braucht keiner, deshalb ist der RIP-Dienst von Win2K/XP ja auch der fastletzte Dreck...)

Zu Punkt 2: Win9x/ME verträgt nicht viel, höchstens einige 100. WinNT macht etwa 500 mit, Win2K/XP vertragen mehrere 1000. Linux macht per Default 1024, aber man kann's auch auf 65535 hochschrauben. NIS hält etwa unter Win2K/XP 500 noch für angemessen, bei Win9X/ME lässt es maximal 200 zu. Und mit 'm FileSharing gibt's eigentlich kein Problem: Außer für dem Verbindungsaufbau zum einem Server wird ausschließlich UDP verwendet, und Connections bestehen dann in aller Regel auf einem TCP-ähnlichen Mechanismus, der auf UDP aufsetzt (naja, warum einfach, wenn's auch umständlich geht...)

Und das mit dem API-Zugriff ist doch ganz normal: Der eingeschränkte Benutzer kann ja nicht mal den ASPI-Layer direkt nutzen - es werden halt keine Geräte erkannt (mit NT-Bordmitteln kann man ja nicht mal 'ne Gruppe erstellen, die den Zugriff hat, hier braucht man Tools wie Nero BurnRights). Ebenso kann man keinen Speicher locken, keine SYS/VXD-Treiber laden, dass TAPI ist gesperrt usw.; man kann also zwar versuchen, Raw Sockets zu erstellen, aber bekommt nur Fehlermeldungen. Ebenso kann halt kein Trojaner einen eigenen Stack laden - der Stack müsste als Treiber implementiert werden, aber Treiberladen ist halt verboten...

Das mit den AOl-Proxies ist übrigens kein Argument... Die lassen wirklich jeden Scheiss durch.

bei Antwort benachrichtigen
-IRON- Rika „Oh Mann, das artet langsam aus... Mache mal jemand in das Forum einen...“
Optionen

Bist du sicher - ich meine GANZ sicher - , dass du weißt, wovon du sprichst? Mir scheint nämlich, du stehst unmittelbar vor deinem ganz privaten Waterloo.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „Bist du sicher - ich meine GANZ sicher - , dass du weißt, wovon du sprichst?...“
Optionen

War irgendwas undeutlich / uneindeutig / nicht klar?

Also wenn's um die Sache mit AOL geht... Ich kann ja nicht jeden Tag checken, ob sie's nun gebacken kriegen oder nicht, da ich ja kein AOL nutze. Ebenso habe ich praktisch Null Kontakt mit AOL-Usern, und wenn mal, dann bestimmt nicht, um *sowas* abzuchecken.

bei Antwort benachrichtigen
xafford -IRON- „Bist du sicher - ich meine GANZ sicher - , dass du weißt, wovon du sprichst?...“
Optionen

ich denke weiteres argumentieren hat keinen sinn. was ich wissen wollte weiß ich nun, und ich denke du auch.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- xafford „ich denke weiteres argumentieren hat keinen sinn. was ich wissen wollte weiß...“
Optionen

Jepp, seh ich auch so.

Eins muss ich aber an die "Expertin" Rika noch loswerden: malformed heißt nicht wohlgeformt sondern misssgebildet. Wenn du nicht mal DAS weißt, sind deine restlichen Fachsimpeleien nichts als lauwarme Luft.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „Jepp, seh ich auch so. Eins muss ich aber an die Expertin Rika noch loswerden:...“
Optionen

Ja eben... War übrigens mein Fehler, weil ich mich zu stark verkürzt ausgedrückt habe: Microsoft übersetzt es mit "nicht wohlgeformtes Packet", das "nicht" hatte ich kurzerhand weggelassen, 's ging ja auch nur darum, dass die Übersetzung absolut mies ist.

Desweiteren 'ne kleine Richtigstellung: Schau dir meine Visitenkarte an, dann siehst du, dass ich männlich bin. Der Fehler mit dem Namen Rika basiert auf der Übersetzung aus 'm Japanischen: Rika bedeutet sowohl "Prinzessin" als auch "Heilbringer" - und da ich mal davon ausgehe, dass du auch die Tamer-Staffel von Digimon gesehen hast (war ürigens echt cremig, aber ich hatte den Namen schon vorher!), dann ist klar, dass man sofort aus dem Name auf mein Geschlecht schliessen will - du bist bezüglich dieser Sache nicht der einzige, der's verwechselt...

bei Antwort benachrichtigen
-IRON- Rika „Ja eben... War übrigens mein Fehler, weil ich mich zu stark verkürzt...“
Optionen
und da ich mal davon ausgehe, dass du auch die Tamer-Staffel von Digimon gesehen hast

Hä? Ägypten?


Rika und Rike sind als weibliche Namen recht verbreitet. Ist auch völlig Schnurz, ob du nun Mitglied bist oder nicht. Deine Glaube an NIS disqualifiziert dich so oder so.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Rika -IRON- „und da ich mal davon ausgehe, dass du auch die Tamer-Staffel von Digimon gesehen...“
Optionen

Also, ich weiss ja nicht, wo du lebst aber ich wohne in 'nem Dorf irgendwo in Sachsen, Ostdeutschland. Ich kenn hier absolut keine Person die Rike oder Rika heisst, m.E. sind diese Namen nur in Japan und China relativ verbreitet...

Und was denkst, was ich von NIS halte? Ich spreche ja auch über die Nachteile von NIS und über die Vorteile anderer Firewalls... Von Glauben kann also echt keine Rede sein. Ich hab so ziemlich jede heilwegs verbreitete Firewall getestet, und ich weiss auch, warum ich mich für NIS entschieden habe - weil sie technisch ziemlich ausgereift ist.

bei Antwort benachrichtigen
GarfTermy Shinji Ikari „Hackerproblem im LAN“
Optionen

...was streitet ihr denn - geht das nicht ein bisserl netter und entspannter??

am rande sei bemerkt, das es da noch andere gute konzepte gibt - zb "intrusion detection", wie im blackIce defender. der vereinigt mehrere gute teile:
* ids
* firewall
* aplication protection and control

...leider nicht kostenlos, dafür aber ein sehr gutes proggi.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „...was streitet ihr denn - geht das nicht ein bisserl netter und entspannter??...“
Optionen

Selbst Steve Gibs*n (grc.com), ein Typ, der mit seiner Software "Sp*nrite 5" die Leute nach Strich und Faden betrügt und ausnimmt (seit wann nutzt eine Festplatte Amplitudenmodulation?), hat erkannt, dass bID nichts taugt: Es blockiert keine Outbound Connections, schützt also so gut wie überhaupt nicht. Von wegen Application Control - auf Steve's Page findest du ein einfaches Progrämmele, dass bID problemlos Daten zu seinem Webserver senden lässt; solange's nur ein Testprogramm mit Testdaten ist, geht's ja noch, aber in der Praxis bietet dir bID somit einen Schutz von:

"Schutz durch bID = vorhanden", wobei "=" ein Symbol mit der Bedeutung "selten, wenn überhaupt"

Naja, besser als gar kein Schutz. Jedenfalls ist das Programm keinen seiner 40 Dollar wert.

bei Antwort benachrichtigen
Teletom Shinji Ikari „Hackerproblem im LAN“
Optionen

Naja, dass Norton das "Non-Plus-Ultra" sein soll, kann ich mir nicht vorstellen.

Für mich ist auch, wie jeder weiß, die Ressourcenauslastung entscheidend. Eine geringe Ressourcenlast bedeutet eine bessere Betriebssicherheit. Und diese Betriebssicherheit ist eben auch eine Form der Sicherheit an sich.

Tiny Firewall oder der Nachfolger Kerio-Firewall ist in Hinsicht der Ressourcenlast spitzenmäßig. Outpost ist zwar nicht ganz so ressourcenschonend hat aber andere Vorteile. So bietet Outpost einen modularen Aufbau, so dass einzelne Komponenten, wie Werbeblocker, wahlweise verwendet werden können. Abwohl Outpost vor allem unter XP noch etwas verbesserungsbedürftig ist, sehe ich für dieses Produkt eine erfogversprechende Zukunft.

Sicherheit gegen Hackerangriffe ist wichtig, man sollte sich aber stets bewußt auf wahrscheinliche Hackerattacken einstellen.

Die berüchtigte "Demilitarisierte Zone" (DMZ) ist in dem Zusammenhang als Vorbild anzusehen. Demilatarisiert heisst, ich stelle mich bewusst auf mögliche Hackerangriffe ein und brauch somit nicht die absolute militarisierte Sicherheit, in welcher kein Hackerangriff möglich ist.

Modell:
Internet - Router/Firewall - Internes Netzwerk mit möglchen Hackerangriffen (DMZ) - Router/Firewall - internes Netzwerk mit erhöhten Sicherheitsanforderungen

Zu aufwändig für den privaten und Kleinfirmen- Gebrauch ich denke nicht.

Einen DSL-Router inklusive switchablen Hub bekommt man schon ab ca. 60 €. Firewall gibt es viele (siehe z.B. oben). Ich würde auf jeden PC der DMZ eine ressourcensparende Firewall installieren. Natürlich sollte der Schutz bei jedem PC noch komplettiert werden durch:

a) einen Virenschutz z.B. AVG6 von Grisoft und
b) ein "Spy" - Beseitigungsprogramm z.B. Spybot.

Durch den Router ist die DMZ geschützt, weil die "äußeren" Internethacker, die angreifen wollen, erst mal die interne Netzwerk-IP herausbekommen müssen, damit eine unumgängliche Route von außerhalb gesetzt werden kann. Die interne IP-Nummer sollte aber nirgends veröffentlicht werden.

Viel Spaß

Teletom

bei Antwort benachrichtigen
Teletom Nachtrag zu: „Naja, dass Norton das Non-Plus-Ultra sein soll, kann ich mir nicht vorstellen....“
Optionen

Ich möchte nicht den obigen Dialog stören, aber eine DMZ ist für Jedermann denkbar. Ich erinnere daran, dass ein DSL-Router mit Hub ca. 60 € kostet.

Wohlgemerkt nur die DMZ, die Zusammenstellung wie folgt:
Router/Firewall - Internes Netzwerk mit möglchen Hackerangriffen ist gleich DMZ SCHLUSS mehr nicht.

In vielen Firmen und auch teilweise im privaten Bereich ist das schon Standard.

Viele Grüße

Teletom
P.S.: Macht doch einfach kein Problem draus!

bei Antwort benachrichtigen
xafford Teletom „Ich möchte nicht den obigen Dialog stören, aber eine DMZ ist für Jedermann...“
Optionen

ähm...will ja nicht provokant klingen, aber bist du dir sicher, daß du weißt, was eine DMZ ist?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Teletom xafford „ähm...will ja nicht provokant klingen, aber bist du dir sicher, daß du weißt,...“
Optionen

Sogar ganz sicher,

hab ich oben versucht, etwas zu erklären.

Falls Du mehr wissen möchtest, frag einfach.

Viele Grüße

Teletom

bei Antwort benachrichtigen
niob01 Shinji Ikari „Hackerproblem im LAN“
Optionen

Hi

Jungens, ihr seid schon schräg drauf, soviel text zu verfassen um sich vorzugaukeln, dass der eine mehr weiss als der andere..
ich dachte so ein forum wäre dazu da verständlich zu erläutern und nicht jemanden die augen zum bluten zu bringen.
Das man mit sonem "aufschlussreichen" dialog die leute zu tode langweilen kann, nehmt ihr wohl billigend in kauf.
aber hilfe für ursprünglichen thread war meiner ansicht nicht wirklich dabei..
UND VERDAMMT NOCHMAL, HÖR AUF, WEGEN GANZ NORMALEN ZUGRIFFEN UND DEM ÜBLICHEN SCRIPTKIDDIEMIST GLECIH EIN FORUM ZU BELÖFFELN UND PANIK ZU MACHEN. LIES LIEBER DEN NICKLES, DANN WÜSSTEST DU DAS ALLES AUCH SCHON LÄNGST SELBST.
ODER WIE NICKLES ES SAGT: "Manche Leute kapieren einfach nicht, dass Traffic GELD KOSTET."
(mal an die eigene nase packen und ich meine die im gesicht ;-))

musste mal gesagt werden

tschö niob23

..und alles ist wie's ist!

PS: sicherheit ist ein wichtiges thema, aber nicht jeder ist ein freak und kennt sich damit aus, aber durch solche diskussionen, wird auch niemandem geholfen.
hoffe es fühlt sich niemand beleidigt, war nur als anregung gedacht mal auf den ursprünglichen post zu antworten.
fehler grammtischer art sind gewollt und können mir nicht angelastet werden ..loool

bei Antwort benachrichtigen
choppa Shinji Ikari „Hackerproblem im LAN“
Optionen

Als normaler User kann man es mit der Sicherheit im Internet
auch etwas übertreiben.
Was meiner Meinung schon die aller,allermeisten Gefahren blockt:

- Eine aktuell gehaltener guter Virenscanner
- Meinetwegen auch die NIS Firewall mit Standardregeln
- Ein spezieller Trojanerscanner (wie Trojancheck 5)
mit dem man gelegentlich das System checkt und die System-
Startpunkte nach fremden Programmen überprüft.
(Wer sich auskennt kann auch hin und wieder die Systemprozesse
damit anschauen)

- Ein Programm zur Vorschau der Messages auf dem E-Mail Server.

Die Wahrscheinlichkeit das man so an einen miesen Virus gerät,
welcher nun an jeder Sicherheitssperre vorbei kommt ist eigentlich
relativ gering. Selbst die neusten E-Mail Viren lassen sich durch
aktuelle Virenupdates bändigen. Und bei der Mailvorschau sollte
man sowieso alle fremden Nachrichten löschen.
Vorbeugen ist viel wichtiger ......

Und selbst wenn wirklich ein Virus das System killt - was solls ???
Eine Datensicherung auf CDRW sollte ohnehin Pflicht sein.

Und Leute die vorm ausspionieren persönlicher Daten Angst haben
können ihre wertvollen Dokumente verschlüsseln.
Dann kann der Hacker (oder wer auch immer) sich vor Freude
meinetwegen ´ne Banane rauchen ....

Es gibt da schon sehr gute Tools die Dateien per Kontextmenü
schnell und sicher verschlüsseln, so daß die alltägliche Arbeit
mit den Dateien keine große Qual wird.

bei Antwort benachrichtigen
Rika choppa „Als normaler User kann man es mit der Sicherheit im Internet auch etwas...“
Optionen

Wow! Mit dieser Einstellung wäre ich tot. Viren durch Virenscanner erkennen lassen...

Schnapp dir mal den Nuke Random Life Generator (NRLG, ein echter Uralt-Klassiker), erzeug mal 'n Virus damit, kompiliere aber den Quelltext noch nicht. Jetzt füge zwischen jeden Befehl mindestens 100 NOPs ein, entfern die Kommentare und baue ein par nichtstuende Schelifen und Jumps ein; dann kompilier ihn. Er wird funzen, aber nicht erkannt werden... Soviel zur ausgeklügelten Heuristik von Virenscannern. (Den unveränderten Virus erkennt er als (mutated) NRLG, aber auch nur dank Signatur.)

Mit den eMail-Viren isses nicht anders, und auch jeder vernünftige Mensch würde das Problem lieber an der Wurzel packen: Verwende einfach kein Programm, dass Anhänge automatisch ausführt und gescriptete HTML-Mails anzeigt bzw. unterbinde es!

Und zweitens: Die einzige Verschlüsselnug, die noch nicht geknackt wurde, ist Snefru 6. Jetzt zeig mir mal 'n komfortabel Encrytion-Tool, das diesen Algorithmus nutzt...

bei Antwort benachrichtigen
choppa Shinji Ikari „Hackerproblem im LAN“
Optionen

Mag ja sein, aber ich rede von normalen Anwendern und der Wahrscheinlichkeit daß es sie überhaupt in dieser vollen Härte trifft.
Hab ich ehrlich gesagt noch nie gehabt - oder wohlmöglich noch gar
nicht bemerkt ? *ggg* :-)
Du schreibst Du wärst mit dieser Einstellung tot !
Was für Viren (und wieviele) pfeifst Du dir denn so pro Tag rein ?

Wie auch immer, eine totale Sicherheits gibts nicht und man muß
schließlich einen guten Kompromiss zwischen Sicherheit und Komfort
finden. Denn wenn die tägliche Arbeit zur Qual wird haben die
Hacker und Script Kiddies schon ihr Ziel erreicht, wobei letztere
sich vielleicht für stinknormale PCs interessieren dürften.

Und ehrlich gesagt kenne ich auch keinen der einen Standard 128-Bit
Verschlüsselungscode geknackt hat.
Es sei denn man wird Opfer der CIA o.ä.

Was hat man als Anwender denn schon wirklich zu verlieren ?
Wer natürlich Pin Codes fürs Onlinebanking auf seinem Rechner
speichert ist selbst Schuld.
Also halbwegs gute Programme, Vorsicht, akzeptable PC Kenntnisse,
und ein umsichtiger Umgang mit sensiblen Daten reichen schon
aus um die meisten Gefahren von vornherein auszuschließen.

Wer völlig unter Verfolgungswahn leidet sollte mit einem alten
Zweit-PC ins Netz gehen, der kann von mir aus jeden Tag "abgeschossen" werden !

Und die Sache mit dem NRLG:
Es reicht schon bei einem Virus aus, ihn zwei- dreimal zu packen und er wird von vielen Virenscannern aufgrund der verfremdeten Signatur nicht mehr erkannt.
Wenn er aber aktiv wird, melden die meisten Virenscanner Alarm.
Ändern sich befallene Dateien in ihrer Größe, bemerkt die Software
sowas. Auch bei polymorphen Viren welche die Prüfsumme der Daten
unverändert lassen, schlagen gute Virenscanner Alarm.

Eine wirklich guter Plan wäre eine zweistufige Attacke, indem man
sein Opfer eine Datei zuschickt, die bei Ausführung zuerst
den Virenscanner deaktiviert. (Wie bei einem Spielepatch der die
CD-Abfrage oder Seriennummer entfernt). Sowas wird ja nicht als
Virusaktivität erkannt - Ein normales Programm eben.

Schritt zwei ist die Übermittlung des eigentlichen Virus, der
durch die gepatchte Software nicht mehr erkannt wird und weiteres
Unheil anrichtet







bei Antwort benachrichtigen
Rika choppa „Mag ja sein, aber ich rede von normalen Anwendern und der Wahrscheinlichkeit...“
Optionen

1. Das mit den tödlichen Einstellungen ist Erfahrungssache. Ich leb' in 'nem Kuhdorf mit etwa 1000 Einwohnern, dahe kenn ich so ziemlich jeden PC hier. Und außer meinem wurde bisher jeder PC von Viren, Trojanern, Würmern oder sonstigem befallen, teilweise hatten einge wohl hohe Telefonrechnungen... Eine Analyse der Vorfälle zeigt, dass etwa 80 Prozent davon per eMail eingeschleppt wurde.

2. Dann lies mal unter comp.security.crypt nach... BlowFish, GoFish, Snefru 5, DES, 3DES, RC4, RC5 - alles geknackt! Dazu noch einige andere Sachen: SHA1 ist sicher, die Vorversion SHA aber wurde geknackt. RSA und DSS wurden, so laut einem Statement von PGP-Author Phil Zimmermann, schon längst geknackt, zumal er auch mal so nebenbei in 'nem Kommentar erwähnt, dass die Vermutungen über seine frühere Karriere bei der NSA ebenfalls korrekt sind. MD5 wurde bereits 1996 von 'nem deutschen Professor und einem seiner Schüler geknackt, MD4 schon viel früher. Und AES ist auch nicht mehr sicher, siehe hierzu mein Posting. Einzip und allein wirlich sicher sind SHA1 (128, Hash), IDEA (128, symmetrsich) und Snefru 6 (2048/4096, asymmterisch).
Außerdem ist die Kette nur so stark wie das schwächste Glied: Beim typischen Hybrid-Verfahren werden die Daten mit 'nem schnellen symmetrischen Verfahren (hier bei NTFS leider das unsichere AES, wahlweise aber IDEA !) verschlüsselt, der Schlüssel wird dann mit einem asymmterischen Verfahren verschlüsselt (DSS, also auch unsicher). Lediglich die Signatur mittels SHA1 ist sicher. Und da kein Hersteller auf das derzeit einzig sichere, aber völlig publike Snefru 6 setzt, kannst du dir auch denken, wann TCPA geknackt werden wird...

3. Ich würde es nicht Verflgungswahn nennen, sondern eher Paranoia als verstärkte Form des Misstrauens in die Technik, die Hersteller und den Staat - aber ein Zweit-Rechner ist echt übertrieben.

4. Du hast mich missverstanden: Er wird auch bei der Ausführung nicht erkannt. Die Infektion geht scheinbar auch als "Spiele-Patch" durch, nur dass Programme, die sich selbst CRC-checken, nicht mehr laufen werden. Man kann den Virus ja auch über ein ein ganzes Programm verteilen, und dann nur alle 1000 normale Programmbefehle einen Virusbefehl ausführen, sowas fällt auch nicht auf. Selbst das mit den NOPs ist ja nur 'ne geniale Streuung der tatsächlichen Aktionen. Viren werden IMMER klüger sein als die Virenscanner, soviel dazu - absolutes Misstrauen ist angesagt.

bei Antwort benachrichtigen
Plazebo Shinji Ikari „Hackerproblem im LAN“
Optionen

Kann ich auch nix für. In Zeiten wo Internet noch schweineteuer war und ich gerade erst angefangen bin musste ich auch mein Lehrgeld zahlen (allerdings eher in Form von Zeit). Zig mal neuinstalliert und jetzt weiß ich halt einigermaßen bescheid. Ich brauche keine Firewall um einigermaßen sicher zu sein. Einige Leute sollten auch ruhig mal mehr experimentieren anstatt sich vorschnell eine Desktop-Firewall draufzuhauen und sich in Pseudo-Sicherheit zu wiegen. Daraus lernt man nix und klärt auch nicht auf.
Wer natürlich präferiert das ganze nachzulesen und sich nicht jeden 2. Tag den PC neu einrichten möchte soll das meinetwegen auch tun, aber Firewall/Virenscanner/Trojanerscanner als ultimative Kombinationswaffe anzupreisen bringt doch nix.
Die meisten Leute konfigurieren ihr System so schlecht und schmeißen sämtlichen Mist drauf. Das System spyt dann ohne Ende, ist lahm, hat zig Sicherheitslücken. Da sollte man erstmal von "innen" für Sicherheit sorgen und nicht sofort an Angriffe von außen denken.
Informationen über Internet-Sicherheit kann man heutzutage überall im Internet, in den Zeitschriften am Kiosk, in Büchern oder sonstwo herbekommen, vor 8 Jahren hatte man es da schwerer sich darüber gescheite Informationen einzuholen. Also sollte man diese Informationsquellen auch mal nutzen, anstatt im Internet nur zu Spiele zocken oder so.
Ansonsten: Wozu hat man Leute die sich damit auskennen? Dann läd man mal jemanden auf 'nem Bier ein, der einem ein kleines Referat darüber hält und das System gescheit konfiguriert und die Sache ist gegessen. Erst dann sollte man anfangen zu überlegen, ob man eine Desktop-Firewall/Virenscanner/Trojanerscanner etc. braucht.

bei Antwort benachrichtigen
Rika Plazebo „Kann ich auch nix für. In Zeiten wo Internet noch schweineteuer war und ich...“
Optionen

Du nimmst mir die Wort aus dem Wort (wäh, wie unappetitlich... :-)

Aber ich glaube, genau das habe ich schon weiter oben desöfteren erwähnt: Erst 'n sicheres System, dann 'ne Firewall und Dialer-Warner. Viren- und Trojanscanner sind nur als Prophylaxe gut.

P.S.: Lädste mich auf 'n Bierchen ein?
P.P.S: Selbst meine Patchsammlung für WinXP (wobei ich bereits das SP1 in die CD geslipstreamt habe) ist mit WinRAR gepackt und bringt trozdem noch fette 110 MB auf die Waage. (28 MB Audio&Video-Codes, 32 MB für .NET, 7 MB für MDAC und MSXML, 3 MB für MSIE6, 4 MB für Shockwave&Flash, 8 MB für SAPI, 9MB für JVM, 19 MB reine WinXP-Patches seit SP1)

bei Antwort benachrichtigen
Plazebo Rika „Du nimmst mir die Wort aus dem Wort wäh, wie unappetitlich... :- Aber ich...“
Optionen

Ne, bei Bier hört die Freundschaft auf, außer ich hab dadurch einen Nutzen :-p.
Hab auch irgendwie keins.

Naja, irgendwann hab ich mir das nicht mehr so genau durchgelesen, war mir zuviel Text und ich les nicht so gerne.
Aber manche sollten einfach mal in den sauren Apfel beißen, anstatt mit diesem ganzen Firewall-Zeugs dem Problemen aus dem Weg zu gehen.
Naja, die meisten kriegen (zum Glück) trotzdem ihr Fett weg, aber meinen dann leider, sie bräuchten noch eine zweite Firewall, noch einen weiteren Virenscanner etc., anstatt dass sie anfangen sich mit dem eigentlichen Problem zu beschäftigen.
Egal, die Softwareindustrie dankt. (Ich seh an der Software von Norton keinen Nutzen, außer vielleicht PC-Anywhere und Antivirus, die leben doch nur von der Panikmache).

bei Antwort benachrichtigen
Rika Plazebo „Ne, bei Bier hört die Freundschaft auf, außer ich hab dadurch einen Nutzen...“
Optionen

Ich glaube, das irrst du dich 'n bissl. Im Gegensatz zum manch anderer Firewall fängt die Norton Firewall bei 'nem ganz normalen Inbound-UDP-Packet (z.B. weil man sich 'n Videostream anschauen will) nicht gleich mit blödsinnigen Meldungen wie "Hack attack blocked!" an, sondern gibt Informationen über die Anwendung, die Ports, den vermuteten Zweck und eine Enschätzung an; die Einschätzung ist meistens "Low Risk". Symantec's Werbetexte klingen noch vergleichsweise normal, und die Software ist meist so konfiguriert, dass der User möglichst nicht belästigt wird - leider leidet unter der Default-Konfiguration die Sicherheit, und sie richtig zu konfigurieren ist wesentlich schwieriger als bei den Panik-Firewalls.

bei Antwort benachrichtigen
Sheriff1 Shinji Ikari „Hackerproblem im LAN“
Optionen

Hi Leute

Ich habe die Sache mit der Sicherheit so gelöst:

Ich habe zwei PC's zuhause.Einer davon ist ein Pentium III 800 MHZ.
Den benütze ich als Server, der gar keine Verbindung zum Internet hat.
Alles wichtige Material ist dort drauf.
Den Neueren PC benütze ich als Verbindung zum Internet,wo ich wirklich mit gutem Gewissen surfen,saugen oder zocken kann.
und in Sachen Firewall denke ich,man sollte sich ne Hardware-Firewall besorgen (Bsp.Zyxel's ZYWALL),um wirklich sicherer als Software- FW unterwegs zu sein.Software FW sind au wirklich ressourcenfresser,oder nicht???

Greetingzzzzz...

Big Sheriff

bei Antwort benachrichtigen
Rika Sheriff1 „Hi Leute Ich habe die Sache mit der Sicherheit so gelöst: Ich habe zwei PC s...“
Optionen

Ressourcenauslastung bei so ziemlich allen FW
Hardware-Firewalls sind anundfürsich nicht wirklich sicherer. Auch sie basieren auf 'nem BS, meist 'n kleines angepasstes Linux. Linux ist auch nicht frei von Lücken, und bei 'ner HW-FW kann man leider nicht so einfach 'nen neuen Kernel oder neue Software einspielen. SW-FW kann man aktualisieren, leider haben sie aufgrunde ihres großen Umfangs meist viel mehr Fehler, die nicht gefunden werden. Dafür können sie allerdings einzlene Applikationen unterscheiden und somit die Regeln enger definieren. Ideal ist also 'ne Kombnation von HW- und SW-Firewall, im Zweifelsfalle würde ich aber zur SW-FW greifen.

bei Antwort benachrichtigen