Welche Firewall (Freeware) geht mit meiner Antivir Edition 6.19 Version (habe Win 2000 Professional) konform, ohne das sich Verstrickungen dieser Art ergeben wie ich sie leider bereits mit Zone Labs hatte, div. Abstürze bzw. kein korrektes runterladen mehr. Nun habe ich Zone Labs verdammt, verträgt sich nicht mit AntivirEdition 6.19 dafür aber bekomme ich ständig vom Nachrichtendienst Popupfenster, irgendeiner Braut auf ihrer Homepage zu besuchen. Ich bitte um sachkundige Hilfe!! Gruss Rob
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Ich hab Tiny zusammen mit AntiVir laufen, macht keinerlei Probleme.
Dankeschön, und danke auch für die prombte Antwort. Malsehen ob es klappt.
Tschüß und Gruss Rob
Ich verschiebe diese Thread mal aufs Brett Viren und Datenschutz, da es sich hier um entsprechende Software handelt...
Look 'n' Stop lite und Outpost funktionieren auch prima.
Gruß
Teletom
Warum sollten sich ZoneAlarm und AntiVir stören ? Die haben doch gänzlich andere Tätigkeiten. Auch bringt ZoneAlarm keine Virensignaturen mit, an denen AntiVir sich stören könnte. Andersrum tut/bringt auch AntiVir nichts, was ZoneAlarm tangieren könnte.
Ich würde da eher auf ein anderweitiges Problem tippen. Aber wenn das Problem durch den wechsel von ZoneAlarm auf z.B. Tiny behoben wird is auch gut, da mir ZoneAlarm eh nie gefallen hat - die Bedienung ist einfach zu einfach für ne Firewall ;-)
Benutze allerdings unbedingt Tiny Pers. Firewall v2.1.5, da bei v2.1.4 einige Löcher in der Fernadministration entdeckt wurden.
MfG
1. Nachrichtendienst deaktivieren. Gibt tausenden Posts und FAQs dazu.
2. Eingeschränkten Benutzeraccount anlegen. Wenn du selbst als Admin angemeldet bist, dürfen auch alle Viren, Trojaner usw. das gleiche wie du - ZA und AV beenden. Ohne 'ne strenge Rechteverwaltung nützt dir das ganze also garnix.
3. ZA deinstallieren. Bringt einfach nix, weil sich ZA ganz einfach deaktiveren oder sogar modifizieren lässt, und auch stets nur auf Application-Ebene läuft. Einzige gute Alternativen sind nur McAffee PF und NPF/NIS, da die wenigstens teilweise auf Treiberebene arbeiten und ein Deaktivieren der PF dazu führt, dass in der Hierarchie der Netzwerktreiber dann eine Lücke klafft - sodass ein Vorbeikommen nicht möglich ist.
4. Unnötige Dienste usw. beenden, Sicherheitslücken zupatchen. Diese beste Firewall nützt doch nix, wenn Viren und Trojaner durch die für die Nutzandwendungen geöffneten Stellen durchkommen können, weil die Anwedungen selber fehelrhaft sind. Bestes Beispiel: Webserver mit IIS und nur den für das Funktionieren des Servers freigeschalteten Port 80, Rest durch FW gesperrt. Und trotzdem kann man den Server übernehmen, indem man eine entsprechende HTTP-Anfrage an den ungepatchten IIS an Port 80 stellt.
Zu 1.) gebe ich hier keinen weiteren Kommentar. Manche können den ND trotzdem gebrauchen. Einfach im Archiv mal nachsehen.
Zu 2.) und zu 3.) Gar nicht so schlecht, doch ZA ist fraglich. Die Firewall muss unbedingt als Dienst installiert sein bzw. werden.
Zu 4.) Port 80 oder einen anderen Port muss ich schon freigeben, wenn ich einen Webserver betreibe. Wenn ich Dienste deinstalliere, kann ich deren Funktionen selbstverständlich nicht nutzen.
Besser ist, einen Dienst für einen Adapter nicht zu verwenden. Z.B. den Netbios-Dienst nur für den Internetadapter nicht verwenden.
Gruß
Teletom
Nicht nur als Dienst, sondern als Treiber!
FW-Dienste kann man deaktivieren, und damit sind sie umgangen.
Treiber, die für den Netzwerzugriff notwendig sind, kann man hingegen schlecht entfernen. Dabei ist deren Prinzip eigentlich einfach: Checke ob FW-Programm läuft, frag den Schlüssel vom dem Proggi ab, entschlüsselte die notwendigen Programmroutinen temporär und führe sie aus, und in der Routine steht dann wiederum ein Selbstentfernungsmechanismus drin. Und die Routine sorgt natürlich noch dafür, dass die Daten zwischen den Layern des NDIS-Treibersystems durchgereicht werden. Ergo: Wenn die FW nicht läuft, dann funzt der Treiber auch nicht, die Daten können nicht mehr entsprechend in Pakete verpackt werden und der gesammte Netzwerkverkehr kommt zum Erliegen - und damit hat der Trojaner verloren, wenn er die FW deaktiviert.
Und außerdem hab ich ja nicht behauptet, dass du die Dienste deinstallieren sollst - du sollst sie patchen, wenn du sie nutzen willst. Wenn der Webserver-Dienst fehlerbehaftet ist, dann kannst du ja halt nicht einfach Port 80 sperren, um das Ausnutzen des Fehlers zu verhindern. Man baut ja auch kein Haus aus Dynamit und verbietet einfach Feuerquellen - nein, man patcht das Haus zu Beton als Baumaterial :-)
Ich vermute, Du meinst Application-Filter oder?
FW-Dienste kann man deaktivieren, und damit sind sie umgangen
Wie soll das gehen, wenn noch nicht einmal der eingeloggte Nutzer einen Dienst "anfassen" (starten, beenden, ausführen, Parameter übergeben) kann?
Gruß
Teletom
1. Ne, ich meine, dass man die Applications lieber patchen sollte, erst recht wenn sie nicht durch die Firewall geschützt werden können. 'Ne FW ohne ein gepatchtes System ist nix wert - das wollte ich damit sagen.
2. Es geht mir dabei um das vielfach zitierte Problem, dass DTFs auch nur Software sind und somit Fehler enthalten. Und es geht mir um die Konsequenzen, wenn also nun eine DTF durch einen Bug beendet werden kann.
Firewalls, die auf Application-Level arbeiten, arbeiten dan ja nur parallel zu den Awendungen bzw. Trojanern und können diese nur mehr oder weniger scannen. Sie können also beendet oder umgangen werden.
Deaktiverte FW -> Trojaner gewinnt.
Gut designte DTFs hingegen bauen sich in die verschiedenen Layer des NDIS-Treibermodells als notwendige Komponenten ein und sorgen dafür, dass die Treiber alleine gar nicht funktionieren würden (verschlüsselte Routinen) und erst durch die explizite Anwesenheit des Restes der DTF erst lauffähig verwerden (Schlüsselübergabe, temporäres Entschlüsseln). Wenn also die DTF beendet wird, verliert sich auch die Netzwerkverbindung und der Trojaner scheitert. Weiterhin kann man so forcieren, dass nur der Windows-interne IP-Stack verwendet werden kann. Deaktivierte FW -> Trojaner verliert
Und solche gut designten DTFs sind halt nur McAffee PF und NPF/NIS. Alle anderen (Tiny, Kerio, Outpost, ZA usw.) fallen hingegen unter Kategorie 1 und sind somit prinzipiell untauglich.
Na gut,
klar ist, dass der eingeloggte Nutzer keine administrativen Rechte haben muss, d.h. er kann Dienste nicht beenden bzw. nicht starten und er kann nichts installieren oder deinstallieren (und das gleiche was für den eingeloggten Benutzer gilt, gilt somit für jedes Programm).
Dann kann auch kein Dienst (auch kein FW-Dienst) vom eingeloggten Benutzer oder Programm (z.B. Trojaner) beendet werden. Außer wenn der Trojaner als Dienst installiert wird, das geht auch wiederum nicht, denn der eingeloggte Benutzer und somit auch jedes Programm (z.B. ein Trojaner) kann nicht installieren.
Somit ist Outpost oder andere FWs doch gar nicht mal so schlecht, wenn diese FWs als Dienste installiert werden.
Gruß
Teletom
Quatsch, wenn der Dienst einen Bug hat, dann kann man den auch als eingeschränkter Benutzer ausnutzen.
Und weiterhin gilt, dass DTFs auf Application-Level halt immer umgangen werden können, weil sie nur parallel zu den Andwendungen arbeiten. Benutze einfach einige API-Funktionen, die unter ihnen liegen. Das geht theoretisch und funzt auch praktisch. Oder gar noch einfacher: Warte bis zum nächsten Scan und setzte kurz darauf den Aufruf des APIs an - bis die DTF reagieren kann, ist es schon zu spät.
Großer Vorteil, der noch zu nennen wäre, ist, dass eingeschränkte Benutzer nicht die Berechtigungen haben, VxD- oder Sys-Treiber zu laden - was aber für einen vom Trojaner mitgebrachten Packetdriver Voraussetzung ist, damit er funzen kann.
Google-> createremotethread oder auch DLL-injection
Funzt aber nicht mit McAffee oder NPF/NIS, weil die mittels Task-API die geladenen Module der Programme mitchecken und somit merken, wenn irgendwelche DLLs hinzugeladen werden. Das war nur einst ein großes Manko an DTFs und wurde leider erst implementiert, als es einen guten Proof-of-Concept gab. Mittlerweile ist das Problem aber nicht mehr relevant.
Sehr interessant,
es gibt zwei Möglichkeiten:
entweder ein Programm läuft als Dienst, dann hat es Systemrechte
oder eben nicht, dann hat es Userrechte.
Mit einem API kannst Du also, vereinfacht gesagt, entweder einen Dienst oder ein Programm auf Userebene mit Parametern versorgen.
Wenn der Dienst unsauber programmiert ist, kann man den Dienst abschießen, das ist klar und muss nur mit Hilfe der Parameterübergabe passieren. Bei einem ordentlich programmierten Firewalldienst kann ich mir das nur bei einer Art DoS-Angriff vorstellen.
Mit dem gleichen DoS-Angriff kannst Du aber auch das System abschießen.
Zwei wesentliche Gründe sprechen dafür, dass ein Firewalldienst sinnvoll ist:
1. die Firewallsoftware muss auf die Netzwerk-System-Schicht aufsetzen
Das Ausfallen des Firewalldienstes wird somit den Netzwerkverkehr unterbrechen und das System ausfallen lassen (Nach Rikas Worten: Deaktivierte FW -> Trojaner verliert).
2. die Firewalldienstsoftware ist sogar so ordentlich programmiert, dass ein DoS-Angriff ohne Erfolg ausgeht.
Natürlich ist ein Firewallsystem nicht nur ein Firewalldienst sondern eine Strategie. Deshalb ist es das allerbeste, gar nicht erst Trojaner auf sein System zu lassen. Also z.B. Programme wie Spypot und Ad-aware sowie einen Virenschutz einsetzen.
Unter dem Gesichtspunkt, dass es nie eine 100%ige Sicherheit existiert auch nicht bei den ach so sicheren von Rika angepriesenen Firewalls, ist es jedoch egal, welchen Firewalldienst ich verwende, etwas Unsicherheit ist immer vorhanden, da reichen auch gut programmierte Freewarefirewalls.
Beispielsweise der XP-Firewalldienst.
All die Software bringt mir immer nur keine absolute Sicherheit, also hat es keinen Sinn teure liebgewordene Onboard-Software einzusetzen, zumal der ganze verschlüsselte Routinen-, Schlüsselübergabe- und temporäres Entschlüsseln- Schnickschnack ohnehin das System nochmehr belastet, so dass ein Absturz des Systems auf Grund eines DoS-artigen Angriffs noch wahrscheinlicher wird.
Seien wir doch ehrlich, solche "Angriffe" werden in der Praxis doch äußerst selten ausgeführt. Mir reicht fürs erste, dass ich ohne Spam zu erhalten, ganz normal den Nachrichtendienst gebrauchen kann, nur weil ich einen Firewalldienst auf ICMP-Basis eingerichtet habe und zwar so, dass "Zeitüberschreitung der Anforderung" beim Ping-Sender erscheint.
Ihr könnt ja Euch weiterhin in theoritschen "Task-API die geladenen Module der Programme mitchecken" Diskussionen ergötzen.
Der Praxisanwender verwendet in der Zwischenzeit Lösungen, die ein emotionsloses Arbeiten erlauben.
Gruß und fröhliches Theoretisieren
Teletom
Zum Thema "emotionsloses Arbeiten" möchtest du mal bitte die verzweifelten Anfragen der User beachten (und zwar nicht nur hier), die ZA, NPF und ähnliche "Lösungen" verwenden. Klingt alles ganz und gar nicht emotionslos.
Was die vermeintliche Seltenheit solcher Angriffe betrifft: Woher willst du das wissen? Hast du öffentliche Statistiken? Oder einfach nur mal munter geraten? Schau mal bei DSHIELD vorbei.
Also öffentlichen Statistiken nach bekommt ein Breitbandnutzer mit laufendem eMule alle 10 bis 12 Minuten einen Portscan...
P.S.: In Bezug auf Firewalls bin ich so emotionslos wie eh und je. Ich bin halt pragmatisch veranlagt und lobe NIS und McAffee PF wegen ihres gut durchdachten Konzepts.
Hi, schön dass Du auch an diesem Thema teilnimmst. Nun ja, tatsächlich dachte ich das auch, das sich AntiVir und ZoneAlarm miteinander vertragen, also habe ich beides wieder platt gemacht und nur AntiVirEdition 6.19 raufinstalliert. Und siehe da: es funktionierte wieder - ohne Einschränkung auf Win 2000 Prof.
Danke für Deine Anregungen!!
MfG