Hallo an alle,
möchte gerne von euch wissen welche für euch die beste firewall is.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Plazebo Noldman „Firewall voting“
Personal Firewall?
Tyrfing Noldman „Firewall voting“
Wenn du unter "Firewall" einen hostbasierten Paketfilter (werbewirksam auch Personal Firewall genannt): gar keine
-IRON- Noldman „Firewall voting“
Firewall: Ja,unbedingt. Welche: Brain 1.x "continuous update"
Desktopfirewall: Nein.
Teletom -IRON- „Firewall: Ja,unbedingt. Welche: Brain 1.x continuous update Desktopfirewall: Nein.“
Hi,
"Brain 1.x sollte man schnellstens auf 2.x upgraten und dann auf Layer 7 betreiben." Kleiner Scherz.
RPC scheint speziell bei W2000, XP und W2003 noch Sicherheitslücken zu besitzen.
RPC lässt sich bei den genannten Systemen jedoch fast unmöglich deaktivieren, deshalb ist der Einsatz einer Firewall äußerst anzuraten.
Am besten nur die RPC-Ports blockieren.
Spezielle Blockierungen macht "Look n Stop Lite" am besten.
Die Freeware "Outpost" ist jedoch auch nicht von schlechten Eltern. Outpost blockiert so ziemlich alle relevanten Ports, ist modular aufgebaut und hat eine sehr große Funktionsvielfalt.
Nun kann z.B. Malware sehr leicht Sicherheitssoftware "killen" (sprich beenden), dagegen hilft, die Firewall mit dem Tool "srvany" als Dienst einzurichten und sich als Nicht-Administrator einzuloggen.
Eine andere Möglichkeit besteht, die Firewall-Software umzubenennen (nicht nur den Dateinamen sondern mit einem Hexeditor den Hauptspeichernamen ändern). Naja und wenn die Firewall "h_wurst.exe" heisst, wird sie bei keinem MalWare-Killfile in der Liste geführt.
( Anmerkung: Es gibt noch viel raffiniertere Namen als "h_wurst". )
Gruß
Teletom
Tyrfing Teletom „Hi, Brain 1.x sollte man schnellstens auf 2.x upgraten und dann auf Layer 7...“
>>RPC lässt sich bei den genannten Systemen jedoch fast unmöglich deaktivieren, deshalb ist der Einsatz einer Firewall äußerst anzuraten. Nur öffnet RPC Port 135 nicht für sich selbst, sondern nur für Dienste, die ihre Internetverbindung über RPC abwickeln.
Wenn Nachrichtendienst, Taskplaner und DCOM beendet sind ist auch 135 dicht, bei laufendem RPC und ohne Probleme.
Der Verlust des Taskplaners mag zwar etwas scmerzen, aber man sollte sich wirklich überlegen ob man nicht "diskretere" Alternativen zu einem Programm, dass gleich zwei Ports öffnet, verwenden möchte
Teletom Tyrfing „ RPC lässt sich bei den genannten Systemen jedoch fast unmöglich deaktivieren,...“
Port 135 wird eben NICHT dicht, wenn man DCOM, Taskplaner und Nachrichtendienst deaktiviert.
Kann jeder nachprüfen:
Die genannten Dienste deaktivieren und www.port-scan.de aufrufen.
Selectivtest > Zu scannende Ports: 135-139,443,445 eingeben und Start Scan anklicken.
Port 135 und Port 445 sind nach wie vor offen wie ein Scheunentor.
Remote Procedure Call (RPC) heißt nicht umsonst so, mindestens ein Port muss offen sein, wenn der Dienst aktiv ist.
Also die genannten Dienste schnellsten wieder aktivieren und ein Firewalldienst installieren bzw. aktivieren.
Gruß
Teletom
Tyrfing Teletom „False & Stop“
Man muss bei DCOM auch noch die Bindungen entfernen ;)
Evtl. sind es auch nicht nur die drei (ICS könnte z.B. noch dranhängen), ich möchte jetzt nicht alle meine deaktivierten Dienste wieder anschmeißen, um das zu testen.
Fakt ist: bei mir ist Port 135 dicht, völlig ohne PF und Router, wenn du willst, kann ich dir gerne einen Screenshot zeigen
Tyrfing Nachtrag zu: „False & Stop“
1.) ICS hängt nicht dran, genau so wenig wie UPnP und noch einiges
2.) Wie man DCOM vernüftig abdreht steht hier vor allen Dingen den Neustart sollte man nicht vergessen...
Maklerredfire Noldman „Firewall voting“
So arbeitet eine Personal Firewall.... ;o)))
http://boards.solarisproject.de/casemodder/thread.php?threadid=13408&sid=
-IRON- Maklerredfire „So arbeitet eine Personal Firewall.... o...“
Herrlich! Aber eigentlich hättest du schreiben müssen: "So sinnvoll ist eine DTFW."
Teletom Maklerredfire „So arbeitet eine Personal Firewall.... o...“
Hi,
das Foto ist bekannt.
kleine Wiederholung:
bei einem W98-Minimal-System ist es völlig zwecklos, eine Firewall zu installieren. Da fehlen ja die "Wände" und es kann jeder "drumherumfahren".
Beim Dienstekillen muss man eben darauf aufpassen,
dass man nicht zu viel wegnimmt,
mindestens der Taschenrechner (Calc.exe) sollte noch
lauffähig sein.
Hoffentlich kommt nicht jemand auf die Idee, dass der
Taschenrechner unsicher ist, weil sich dort Trojaner
einnissten können. Wenn der Taschenrechner gekillt wird,
was bleibt da noch vom Minimalsystem übrig? - ups...
*SCNR*
Besser wäre ja ein Firewalldienst, dann müsste man
allerdings ein System mit einem Dienstemanager wie XP nehmen.
Bei XP ist es aber fast unmöglich,
den RPC-Dienst zu deaktivieren.
Ich glaube jedoch nicht, dass kein Noob Windows XP verwendet.
Mit anderen Worten: Noobs arbeiten auch
mit aktiviertem RPC-Dienst z.B. unter XP.
Bei der fragwürdigen Sicherheit des RPC-Dienstes unter
Windows XP ohne Firewall im Internet tätig zu sein,
ist das nicht etwas riskant?
Gruß
Teletom
-IRON- Teletom „Hi, das Foto ist bekannt. kleine Wiederholung: bei einem W98-Minimal-System ist...“
Was darf sich der unvoreingenommene Leser unter einem W98-Minimalsystem vorstellen? So was wie ein Videoschnitt-, Soundbearbeitungs- und High-End-Grafikbearbeitungssystem auf Windows-Basis, mit dem man auch im Internet agieren kann? Oder eher sowas wie einen Spiele-PC ohne aktuelle Patches, der zum Surfen und Filesharing missbraucht wird?
Und was wird das mit dem Taschenrechner? Gibts da welche, die Windows benutzen? Sowas wie PocketPC?
Erklär mal, Teletom...
Olaf19 Noldman „Firewall voting“
Na, hier geht's ja mal wieder mächtig philosophisch zu...
Nun, von den kostenlosen Desktop-Firewalls hat Agnitum Outpost den besten Ruf; auch ich habe sie mal getestet und fand sie ganz gut zu handeln. Zum Download geht es hier.
Ehrlich gesagt: Ich habe das Programm nicht behalten, aber nicht, weil ich daran irgend etwas auszusetzen gehabt hätte, sondern weil ich dem ganzen Desktop-Paketfilter-Konzept nicht so recht über den Weg traue. Meine Windows-XP-Firewall, die bei der Installation der Breitband-Internetverbindung automatisch aktiviert worden ist, lasse ich auf Verdacht weiter laufen - sie tut mir ja schließlich nicht weh :-)
Egal für welches Sicherheitskonzept man sich entscheidet: Keins davon ist so perfekt, dass man künftig blindlings alles anklicken darf, was nicht bei drei auf den Bäumen ist... also nicht von einer wie auch immer gearteten Firewall zum Leichtsinn verführen lassen, sondern wachsam bleiben.
CU
Olaf
Tyrfing Noldman „Firewall voting“
Da noldman mit der nächsten Endlosdiskussion wohl kaum geholfen wird, an dieser Stelle nur noch zwei Bilder und dann klinke ich mich erstmal aus:
Port 135 dicht und wie man sieht kommt als Antwort tatsächlich ein [RST, ACK]
DCOM deaktiviert, trotzdem läuft die Kiste und auch die fürs Netzwerk nötigen Dienste noch...
Flaschflens Noldman „Firewall voting“
Hier ein paar Tips zum Schutz ohne Firewall.
Klick mich
Achtung!! Nur auf eigene Gefahr anwenden.
GarfTermy Flaschflens „Hier ein paar Tips zum Schutz ohne Firewall. Klick mich Achtung!! Nur auf eigene...“
...kommentar dazu:
Auf "manuell" setzen
- Ablagemappe ...ok
- Anmeldedienst ...nicht ok - wenn im netz, oder domäne
- Computerbrowser ...nicht ok - wenn im netzwerk!
- DHCP-Client ...nicht ok, wenn im netz ip konfig vom dhcp kommt!
- Dienst "Ausführen als" ...nicht ok, wenn dienst unter anderem account ausgeführt werden soll!
- DNS-Client ...unmöglich in einer domäne! es wird kein dc mehr gefunden!
- Faxdienst ...DAS IST OK.
- Gemeinsame Nutzung der Internetverbindung ...bei bedarf.
- IPSEC-Richtlinienagent ...schwachsinnig, ipsec sollte man nach möglichkeit einsetzen - nicht abschalten! wichtig in sicheren LAN.
- Leistungsdatenprotokolle und Warnungen ...zur leistungsüberwachung und protokollierung von systemereignissen unbedingt nötig!
- Nachrichtendienst ...wer´s mag? im netz kann der wichtig sein.
- NetMeeting-Remotedesktop-Freigabe ...ok.
- Netzwerkverbindungen ...wenn nicht aktiv, werden keine netzwerkverbindungen angezeigt.
- NT-LM-Sicherheitsdienst ...sicherheit ausschalten?
- QoS RSVP ...quality of service, kann aus.
- RAS-Verbindungsverwaltung ...sollte besser an sein.
- Remoteprozeduraufruf (RPC) ...gehört mit zu dcom/com+, sollte man laufen haben, aber mit patches sichern und mit firewall nach außen "dicht" machen.
- Sicherheitskontenverwaltung ...selbstredend AN.
- Smartcard ...nur bei authentifizierung mit einer smartcard nötig.
- Smartcard-Hilfsprogramm ...dto.
- Taskplaner ...wer auf zeitgesteuerte anwendungen verzichten will...??
- TCP/IP-NetBIOS-Hilfsprogramm ...nur aus, wenn man netbios nicht braucht.
- Telefonie ...kann aus.
- Unterbrechungsfreie Spannungsversorgung ...kann dann aus, wenn man unvorsichtigerweise KEINE usv von apc hat. sonst aus.
- Verwaltungsdienst für die Verwaltung logischer Datenträger ...wenn aus - dann keine datenträgerverwaltung! unsinn.
- Verwaltungsdienst für Datenträgerverwaltungsanforderungen ...dto.
- Wechselmedien ...kann aus.
- Windows Installer ...kann aus, braucht man nur bei *.msi installern
- Windows-Verwaltungsinstrumentation ...AN!
dann noch:
Auf "deaktiv" setzen
- Indexdienst ...ok.
- Routing und RAS ...wo bitte willst du als einfacher USER auf einer workstation das routing und ras deaktivieren (ich kenne den regkey...) UNSINN.
- Telnet ...kann man deaktivieren.
der betreiber redet von EINZELPLATZsystemen - vergißt dabei aber, das sehr viele w2k/xp kisten in netzwerken hängen.
...so - einige habe ich mal einfach ausgelassen.
für die, die jetzt basteln wollen, schaltet die dienste ruhig aus! eine neuinstallation bringt alles wieder in´s lot...
GarfTermy Noldman „Firewall voting“
lösung 1...
du willst viel geld ausgeben und eine ultimative lösung? cisco baut amtliches dafür.
lösung 2...
du willst etwas geld ausgeben und willst eine sehr gute lösung? blackice defender. www.iss.net
lösung 3...
du willst kein geld ausgeben. nimm eine freeware desktopfirewall - aber nicht zonealarm.
lösung 4...
du hörst nicht auf iron und tyrfing.
du läßt die finger von dcom. du benutzt außerdem einen aktuellen virenscanner. du lädst nicht jeden müll auf deine kiste. du löschst sofort fremde, unbekannte emails. du installierst die für den system nötigen updates und patches.
;-)
Teletom Noldman „Firewall voting“
Hi,
also das durch kssystem empfohlene auf manuell Setzen, kann man einfach nicht so stehen lassen.
Mit Sicherheit ist es auch mit dem gleichen Sicherheitseffekt viel leichter RPC zu deaktivieren, was ich, wie gesagt, keinstenfalls anrate.
Beispiele noch einmal, die man eben nicht auf "manuelle" setzen sollte. Manuell heißt, der Dienst wird im Standard nicht gestartet.
ipsec RA... IP Security --> soll die Sicherheit erhöht werden? ipsec zu deaktivieren bedeutet weniger Sicherheit
QoS ... durch QoS hat man eine bessere Performance
Taskplaner ... kann auch die Performance erhöhen
Telefonie ...
Remotedesktopfreigabe ... kann man auch über Internet betreiben und kann für Servicezwecke verwendet werden
DNS-Client ... Ist in meinen Augen nich in Ordnung, diesen zu deaktivieren. Will man keine Namensauflösung?
und und und
Alles im Allen kann man nur abraten, dieses auch so durchzuführen.
Es kommt noch hinzu, dass es sehr aufwändig ist, das so durchzuführen und man bekommt mit Sicherheit dadurch Probleme beim normalen Arbeiten mit Windows.
Also besser ist in jedem Fall, eine Firewall zu installieren.
Gruß
Teletom
Tyrfing Teletom „Hi, also das durch kssystem empfohlene auf manuell Setzen, kann man einfach...“
Damit Tommy seine "Erkenntnisse" nicht völlig ungestört an irgendwelche unbedarften Leser vermitteln kann, klinke ich mich hier dann doch noch mal kurz ein
1.) Die Diensteabstell-Anleitung von kssysteme bezieht sich explizit auf Einzelplatzsysteme und sollte deshalb nicht unbedingt komplett befolgt werden, dass hast du offenbar überlesen...
2.) Was du hingegen dazugelesen hast muss wohl eine Aufforderung von mir sein, diese Anleitung komplett zu befolgen...ich habe lediglich zur Anleitung, wie man DCOM deaktiviert, verlinkt
Und inwieweit ein Dienst, der sich 10% der Netzwerkbandbreite abzwackt, die Performace erhöht müsstest du mir dann doch mal erklären...
@Garf: RPC steht in der Liste unter "automatisch" ;)
Tyrfing Nachtrag zu: „[RST]...[FIN]“
Da ja nun gewisse Herrschaften hier gerne Haare spalten, muss ich wohl auch diese Auslassung korrigieren...
Es sollte heißen: "Aufforderung von mir oder jemand anders"
GarfTermy Tyrfing „[RST]...[FIN]“
...wenn haarespalten - dann richtig!
* rpc habe ich nicht erwähnt
* habe ich auf den zusammenhang von dcom mit anderen diensten nochmal hingewiesen. fazit daraus? microsoft empfiehlt dem normalen user definitiv NICHT dcom zu deaktivieren.
du magst ja gerne deine dcom masche verfolgen...
als bettlektüre empfehle ich dir das kursbuch zu 70-215, dort wird ausgebig dcom beschrieben. ...und erklärt, warum man es eben NICHT deaktivieren soll. (und darum dcom auch nicht in den "diensten" auftaucht)
in diesem punkt werden wir keine einigung hinbekommen.
;-)
Teletom Noldman „Firewall voting“
Naja, die RPC-Ports macht man aber nicht "dicht", wenn man alleine DCOM deaktiviert.
Falls doch jemand auf die Idee kommt, was ich bezweifle, alle Dienste nach kssystem zu deaktivieren, dann wäre es
1. viel einfacher RPC stattdessen zu deaktivieren, was nicht zu empfehlen ist.
2. wenn man doch einen deaktivierten Dienst z.B. den DNS-Client benötigt, muss man diesen aktivieren und dieser ist dann über den offenen Port angreifbar.
und
3. für Noobs und Fortgeschrittene viel einfacher und praktikabler, eine Firewall einzurichten.
Wer meint weiterhin mit offene RPC-Ports im Internet tätig zu sein, kann sicherlich das auf eigene Gefahr auch ohne Firewall tun, weil Trojaner auch unauthorisiert Angriffe auf andere Computer ausüben, ist diese Verantwortungslosigkeit jedoch eine Zumutung für alle Internetteilnehmer.
Und
Internetteilnehmer sind nun mal keine Einzelplatzsystembenutzer.
Daraus folgt z.B. für Windows XP Anwender, entweder sind Internetteilnehmer mit offene RPC-Ports (135, 445) tätig oder die RPC-Ports sind internetverbindungsmäßig mit Hilfe einer Firewall gefiltert.
Da beißt die Maus keinen Pfaden ab, man kommt nicht um eine Firewall drumherum!
Gruß
Teletom
Olaf19 Teletom „Naja, die RPC-Ports macht man aber nicht dicht , wenn man alleine DCOM...“
Hi Teletom,
sicher - wer eine Verbindung mit dem Internet herstellt, klinkt sich damit in ein weltweites Netzwerk gemeinsam mit andren Internetnutzern ein, auch wenn bei ihm zuhause nur eine einsame Workstation "unvernetzt" herumsteht.
Ich glaube aber nicht, dass der Begriff "Einzelplatzsystembenutzer" von denen, die ihn hier verwenden, so gemeint ist.
Es ist doch so: Wenn man bei sich zuhause kein lokales Netzwerk betreibt, sondern nur einen einzigen PC, braucht man keine so "hoch entwickelte" Netzwerkfunktionalität, wie sie zB. die Windows XP Prof. Edition oder Windows 2000 besitzen.
Anscheinend sind diese speziellen Netzfeatures aber genau so wenig nötig, um mit dem Rechner ins Internet zu gehen - sonst müsste ich ja mit meiner "zwangskastrierten" Home-Edition im Internet irgendwelche Mängel verspüren. Ist aber nicht so... Im Gegenteil; zusätzlich zu den Einschränkungen, die diese Systemversion mit sich bringt, könnte ich z.B. den Nachrichtendienst abschalten, ohne dass mir etwas fehlt.
Ob das Deaktivieren einzelner Dienste aus fachlicher Sicht ratsam ist, darüber scheiden sich die Geister - ob es zu viel Mühe macht, muss aber jeder für sich selbst entscheiden.
CU
Olaf
GarfTermy Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
@olaf...
"...Ich glaube aber nicht,..." olaf - das hat nichts mit glauben zu tun. fakt ist: verbinde einen rechner mit einem anderen um daten auszutauschen - dann ist er vernetzt. das internet ist "nur" übertragungsmedium via tcp/ip.
;-)
Olaf19 GarfTermy „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
Bitte nicht den Zusammenhang verwässern: "Ich glaube aber nicht, das der Begriff "Einzelplatzsystembenutzer" von denen, die ihn hier verwenden, so gemeint ist." da habe ich von "Glauben" gesprochen - nicht im Zusammenhang mit Fakten über Netzwerke (*erbsenzähl und haarespalt* :-)
Aber vielleicht liege ich ja auch ganz falsch mit diesem Ansatz...
Mal rein hypothetisch: Wenn ich nun ein Heimnetzwerk besäße und mich tatsächlich an das Abschalten von - vermeintlich? - nicht benötigten Diensten herangemacht und dabei ein, zwei zu viel deaktiviert hätte, so dass mein Heimnetzwerk nicht mehr liefe...
Würde in solchem Fall zwangsläufig auch das Internet nicht mehr funktioniren, weil die gleichen Dienste, die ein Heimnetzwerk am Leben halten, auch für das Internet lebensnotwendig sind? Falls ja, nehme ich alles zurück und behaupte fortan das Gegenteil *g*.
CU
Olaf
xafford Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
Ob das Deaktivieren einzelner Dienste aus fachlicher Sicht ratsam ist, darüber scheiden sich die Geister
nein, darüber streiten sich keine geister. jeder mensch, der mit netzwerken zu tun hat und für deren betrieb verantwortlich ist wird dir erzählen, daß jeder dienst auf einem system welcher nicht für den betrieb notwendig ist ein dienst zu viel ist.
bei den einführungen bei uns im rechenzentrum ist bei neueinsteigern der erste hinweis der, daß auf einem neueingestellten system als allererstes alle dienste, welche nicht zwingend für den betrieb notwendig sind sofort deaktiviert, bzw deinstalliert werden.
erst wenn von allen diensten die neusten pakete eingespielt wurden werden nach und nach die dienste aktiviert, die der bestimmung des servers oder des clients entsprechen wieder aktiviert.
es ist auch einleuchtend, ein dienst, denn ich eigentlich gar nicht benötige, den schenke ich weniger beachtung, d.h. ich werde ihn höchtwahrscheinlich nicht ständig im auge behalten, ständig patchen etc....somit kommt zur grundgefährdung, die jeder dienst (sogar der eigentliche protokollstack) mitbringt ständig zusätlzich vergrößert.
ein neuling fragte einmal unseren netzwerkguru, als dieser meinte er solle alle unbenötigten dienste deaktivieren woran er erkenne, ob er einen dienst net benötigt, darauf meinte er: wenn du nicht weißt, wozu der dienst da ist, dann kannst du davon ausgehen, daß du ihn nicht brauchst (was natürlich nicht für heimanwender gilt). ein weiterer netter satz war: bei zweifelhaften diensten, einfach raus damit. läuft das system nciht mehr und man muß es neu aufspielen, so ist das noch eine kleinigkeit gegen einen unbemerkten hack auf diesen dienst.
auf einer fortbildung für netzwerke war ich einmal in einer gruppe von admins der polizei rheinland-pfalz, laut deren aussage werden bei ihnen alle pakete über ports welche nicht zu den standardmäßig verwendeten gehören und spätestens am nächsten tag steht ein admin vor der tür und nimt sich der sache an.
was ich hier erzählt habe gilt zwar an sich nur für professionelle netze in firmen, öffentlichen institutionen etc, aber als leitfaden sollte dieser ansatz wohl auch für fortgeschrittene heimanwender einen denkanstoß darstellen.
nein, darüber streiten sich keine geister. jeder mensch, der mit netzwerken zu tun hat und für deren betrieb verantwortlich ist wird dir erzählen, daß jeder dienst auf einem system welcher nicht für den betrieb notwendig ist ein dienst zu viel ist.
bei den einführungen bei uns im rechenzentrum ist bei neueinsteigern der erste hinweis der, daß auf einem neueingestellten system als allererstes alle dienste, welche nicht zwingend für den betrieb notwendig sind sofort deaktiviert, bzw deinstalliert werden.
erst wenn von allen diensten die neusten pakete eingespielt wurden werden nach und nach die dienste aktiviert, die der bestimmung des servers oder des clients entsprechen wieder aktiviert.
es ist auch einleuchtend, ein dienst, denn ich eigentlich gar nicht benötige, den schenke ich weniger beachtung, d.h. ich werde ihn höchtwahrscheinlich nicht ständig im auge behalten, ständig patchen etc....somit kommt zur grundgefährdung, die jeder dienst (sogar der eigentliche protokollstack) mitbringt ständig zusätlzich vergrößert.
ein neuling fragte einmal unseren netzwerkguru, als dieser meinte er solle alle unbenötigten dienste deaktivieren woran er erkenne, ob er einen dienst net benötigt, darauf meinte er: wenn du nicht weißt, wozu der dienst da ist, dann kannst du davon ausgehen, daß du ihn nicht brauchst (was natürlich nicht für heimanwender gilt). ein weiterer netter satz war: bei zweifelhaften diensten, einfach raus damit. läuft das system nciht mehr und man muß es neu aufspielen, so ist das noch eine kleinigkeit gegen einen unbemerkten hack auf diesen dienst.
auf einer fortbildung für netzwerke war ich einmal in einer gruppe von admins der polizei rheinland-pfalz, laut deren aussage werden bei ihnen alle pakete über ports welche nicht zu den standardmäßig verwendeten gehören und spätestens am nächsten tag steht ein admin vor der tür und nimt sich der sache an.
was ich hier erzählt habe gilt zwar an sich nur für professionelle netze in firmen, öffentlichen institutionen etc, aber als leitfaden sollte dieser ansatz wohl auch für fortgeschrittene heimanwender einen denkanstoß darstellen.
Olaf19 xafford „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
>jeder mensch, der mit netzwerken zu tun hat und für deren betrieb verantwortlich ist wird dir erzählen, daß jeder dienst auf einem system welcher nicht für den betrieb notwendig ist ein dienst zu viel ist.
Ohne selbst Admin zu sein, MCSE oder eine vergleichbare Ausbildung zu haben, kann ich aufgrund der Lektüre dieses Boards sagen, dass dieser Satz nicht zutrifft. Teletom z.B. hat mit der Administration von Netzen zu tun und rät *nicht* dazu, einzelne Dienste zu deaktivieren.
Ich gebe einmal mit meinen eigenen Worten wieder, was von Teletoms Argumentation aus den zahlreichen Diskussionen von diesem Sommer bei mir hängen geblieben ist:
Microsoft-Produkte sind nicht Open Source, Dokumentationen zu Quell-Texten sind nicht öffentlich zugänglich, daher weiß niemand außer MS genau, welcher Dienst genau wofür zuständig ist. Deswegen sollte man Dienste nicht deaktivieren. Tut man es doch, läuft irgendwann das ganze System nicht mehr, und man kann es auch nicht mehr reparieren, da die für eine Reparatur erforderlichen Dienste abgeschaltet sind.
Ich hätte gern ein Beispiel dafür gebracht, aber die Suchfunktion arbeitet so unbefriedigend, dass es mir nicht möglich ist, aus der Überfülle von überlangen Threads ein passendes Beispielpost heraus zu finden.
Deswegen Bitte @Teletom: Falls ich Deine Auffassung zu diesem Thema in den falschen Hals bekommen haben sollte, korrigiere das doch bitte wenn nötig.
CU
Olaf
xafford Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
lassen wir mal meinungen und plattformen außen vor und begeben uns mal in die theorie in der es plattformen jenseits von microsoft und deren verflechtung von diensten, anwendungen und protokollen gibt. in der desktopfirewalldebatte halte ich mich ohnehin heraus, da sie mir ziemlich egal ist und mich noch nie besonders interessiert hat, nehmen mir mal theroetisch ein netzwerk einer firma, mit der ich es auch eher zu tun habe. du hast eine begrenzte anzahl admins mit begrenzter anzahl zeit und begrenzter aufmerksamkeit. diese admins sind für die sicherheit und den betrieb eines netzes zuständig und haften in gewissem maße dafür. wenn man jetzt von der unbestrittenen these ausgeht, daß jede software potentiell lücken enthält, so ergibt sich die folge, daß jeder zusätlziche dienst zusätzliche lücken ermöglicht. wird eine dieser lücken bekannt, so müssen die admins patchen, was zusatzarbeit neben der ohnehin schon anfallenden ergibt. hat man nun eventuell noch undokumentierte dieste laufen, oder niht genutzte, so kann es zudem noch vorkommen, daß eine lücke vermeintlich überhaupt nicht vorhanden ist.
ich durfte selbst schon einmal im uninetz nach einem vergessenen win2k server suchen, der innerhalb weniger stunden 10GB traffic verursacht hatte, da er gehackt und als ftp-server mißbraucht wurde. somit sollte man also vermeiden in einem netz etwas zu betreiben, das undokumentiert ist und selten oder nie genutzt wird.
in den meisten großen netzwerken hat man auch meist dedizierte rechner, nicht weil die firma zu viel geld hat, daß sie für rechner ausgeben muß, man hat einfach mehr überblick was ein rechner macht, bessere lastverteilung, bessere ausfallsicherheit und man hält das netzwerk übersichtlich, was z.b. auch filterregeln an den routern/firewalls/switches entgegen kommt. so hat ein Oracleserver eben nur einen port für die datenbank offen zu heben und eventuell noch ssh (falls nicht über ein dediziertes netzwerk administriert wird), der webserver hat ur port 80 offen zu haben, die dns server nur port53 etc...taucht im bind ne lücke auf, dann weiß der/die admin(s) genau, daß sie den einen rechner patchen müssen udn fertig. da steht dann nicht in irgendeinem kämmerlein ein webserver, bei dem im hintergrund noch ein BIND werkelt und wenn doch, dann kann der entsprechende admin mit einer gehörigen gardinenpredigt rechnen.
kommen wir jetzt zurück zu heimrechnern. microsoft unterbricht eigentlich eine jahrelang geltende regel namens KISS, alles so einfach und simpel zu halten, wie es geht und vor allem auch alles zu dokumentieren. mal ein beispiel dafür...vor einiger zeit (und immer noch) zog SQLSlammer durch die virtuellen lande und eifrige admins patchten ihre mSQL server und wähnten sich sicher. was sie vergapen waren arbeitsplatzrechner, auf denen anwendungen liefen, die die MSDE (microsoft database engine) nutzten. einer bibliothek für anwendungen, welche datenbankfeatures brauchen einfach gesagt. genau diese bibliothek war auch anfällig für slammer und viele kleine rechnerlein wurden zur slammer-schleuder weil niemand genau wusste was läuft.
ganz bestimmt wird jetzt kein normalanwender hingehen, der seinen rechner gerade bei MM gekauft hat und wild dienste deaktivieren, das kann wohl niemand verlangen. hier wäre eigentlich microsoft in der bringschuld um dafür zu sorgen, daß z.b. ein lokaler dienst, welcher wirklich ein netzwerk braucht, standardmäßig nur an den virtuellen loopbackadapter gebunden ist, was vollkommen ausreicht. wobei die wenigsten dienste wirklich einer netzwerkschnittstelle bedürfen, da sockets und pipes ein ebenso guter ersatz sind. und slebst dann wäre ein anfälliger dienst noch lokal ausnutzbar, aber die große gefahr eines entfernten exploits ist gebannt.
ich merke gerade, daß ich total abschweife, auf jeden fall lohnt es sich literatur zum thema netzwerke und richtlinien zur implementation von diensten in netzwerken zu lesen oder mit leuten zu reden, die eben auf der anderen seite der admins stehen (unser uni-netzwerkguru ist übrigens ein ehemliger hacker und der einzige nicht-dipl.-informatiker). letztendlich muß aber jeder selber wissen, wie wichtig ihm seine daten und seine sicherheit sind und die entsprechenden vorkehrungen treffen und von mir aus kann das bei einem heimuser auch eine DTF sein, er sollte sich nur davor hüten zu denken, daß er damit geschützt ist, so wie z.b. die ganzen armen nutzer der XP-internetverbindungsfirewall, wleche AOL oder T-Onlinesoftware nutzen und sich trotz des "schutzes" Blaster einfingen.
Olaf19 xafford „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
Danke für Deine sehr ausführliche Antwort!
> auf jeden fall lohnt es sich literatur zum thema netzwerke und richtlinien zur implementation von diensten in netzwerken zu lesen
Gibt es dazu auch Seiten im Internet, die aus Deiner Sicht besonders empfehlenswert sind?
CU und danke nochmals,
Olaf
xafford Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
z.b. die seiten des DFN-CERT, Phrack (immer interessante texte zu lücken und deren exploits), die grundlagenartikel von tecchannel (leider nicht mehr kostenlos), securityfocus, bugtraq, the register, artikel auf SuSE und RedHat, schulungsunterlagen von Cisco und Checkpoint (leider nicht im internet zu haben), packetstorm, diverse uni-seiten,...
es gibt im internet massig seiten zu dem thema, das problem ist, daß man nicht immer auf anhieb sieht welche wirklich professionell sind und welche nicht. am besten immer mal wenn einem langweilig ist die seiten abklappern, googeln, ab und an RFCs lesen,...
etwas ganz leicht verdauliches, das alles erklärt und alle designansätze beinhaltet weiß ich jetzt aber auf anhieb nicht, aber mal schauen, ob ich im büro in meinen linksammlungen was entsprechendes finde...
Olaf19 xafford „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
> daß man nicht immer auf anhieb sieht welche wirklich professionell sind und welche nicht
Genau - deswegen habe ich Dich konsultiert :-)
Wenn Du in Deinen Linksammlungen noch etwas findest, gerne!
CU
Olaf
xafford Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
eine seite, die ich dir wirklich empfehlen kann, wenn du zeit und lust hast dich damit zu beschäftigen und dir englisch liegt:
www.secinf.net
Olaf19 xafford „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
...danke Dir!
CU
Olaf
GarfTermy Olaf19 „´Internetteilnehmer sind keine Einzelplatzsystembenutzer´“
die realität liegt doch in der praxis - oder?
nicht alle dienste sind "lebenswichtig" - einige sind aber unbedingt nötig. ...und einige sind voneinander abhängig.
zu hause kann das jeder für sich probieren, auf einem produktionssystem wird NICHT experimentiert. als admin werden derlei dinge mit bedacht und mit wissen UND geplant ausgeführt. es gibt gleichzeitig immer strategien für die fehlerbehebung - besser - fehlervermeidung.
und wer nicht ständig neu installieren will, der macht den "pseudowettbewerb" wer nun die wenigsten dienste am laufen hat einfach nicht mit.
listen, in denen einfach nur "abgeschaltet" wird halte ich auch deswegen für wenig hilfreich.
;-)
Teletom Noldman „Firewall voting“
Hi,
also Einzelplatzsysteme (Single User) sind Systeme wie PCs (Personal Computer), die von einer Person bedient werden können. Mehrplatzsysteme (blöde deutsche Übersetzung englisch: Multi User) sind Systeme, die von mehreren Personen quasigleichzeitig bedient werden können. Multiuserfähig ist das ursprüngliche Unix, d.h. eine Zentraleinheit und mehrere Arbeitsstationen (Terminals ttys). Ein Terminal besteht im einfachsten Fall aus Tastatur und Bildschirm. Mehrere Terminal-Einheiten sind über Interfaces mit einem Zentralrechner verbunden. Seit der Existenz von Windows-Terminalservern bzw. der Remoteunterstützung ist im Übrigen Windows ebenfalls multiuserfähig (Win NT, W2000, Win XP und W2003).
Sowohl Einzelplatzsysteme als auch Mehrplatzanlagen können vernetzt werden, dabei ist es zunächst unerheblich, ob es ein Intranet oder das Internet ist, vernetzt ist vernetzt.
Wenn man Computer vernetzt, braucht man auch die entsprechenden Netzwerkdienste egal ob Intranet oder Internet.
Meine Meinung ist hierzu eindeutig:
Man muss von Fall zu Fall entscheiden, ob man eine Personal-Firewall einsetzt.
Wenn man einen externen Router/Firewall hat, erübricht sich eine Firewall auf dem System, falls das nicht der Fall ist, kann man z.B. bei XP entweder mit offene RPC-Ports im Internet arbeiten, was ich nicht empfehle, oder man filtert die RPC-Ports internetmäßig mit Hilfe einer Firewall.
Andererseits sehe ich das so, dass fast niemand die kssystem-Deaktivierungen durchführt:
- Ablagemappe
- Anwendungsverwaltung
- COM+-Ereignissystem
- COM+-Systemanwendung
- Computerbrowser
- Designs
- DHCP-Client
- Distributed Transaction Coordinator
- DNS-Client
- Gatewaydienst auf Anwendungsebene
- Hilfe und Support
- IMAPI-CD-Brenn Com Dienste
- Intelligenter Hintergrundübertragungsdienst
- Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
- IPSEC-Richtlinienagent
- Leistungsdatenprotokolle und Warnungen
- Kompatibilität für schnelle Benutzerumschaltung
- Konfigurationsfreie drahtlose Verbindung
- MS Software Shadow Copy Provider
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NLA
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remote-Registrierung
- Sekundäre Anmeldung
- Seriennummern der tragbaren Medien
- Sicherheitskontenverwaltung
- Sitzungsmanager für Remotedesktophilfe
- Smartcard
- Smartcard-Hilfsprogramm
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Terminaldienste
- Treiberverwaltung für Windows-Verwaltungsinstrumentation
- Überwachung verteilter Verknüpfungen (Client)
- Universeller Plug & Play Gerätehost (siehe auch 4. Beenden von ssdp)
- Unterbrechungsfreie Spannungsversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Volumenschattenkopie
- Wechselmedien
- Windows Installer
- Windows-Bilderfassung (WIA)
- Windows-Verwaltungsinstrumentation
- Windows-Zeitgeber
- WMI-Leistungsadapter
(Das macht noch nicht einmal Tyrfing, wie er selbst schreibt.)
Selbst wenn man alle Deaktivierungen durchführt, bleiben mit Sicherheit die RPC-Ports offen und mit Sicherheit wären Probleme dadurch vorprogrammiert.
Gruß
Teletom
Olaf19 Teletom „Hi, also Einzelplatzsysteme Single User sind Systeme wie PCs Personal Computer ,...“
> Wenn man Computer vernetzt, braucht man auch die entsprechenden Netzwerkdienste egal ob Intranet oder Internet.
Also ich habe bei mir zuhause kein Intranet... kann ich demnach doch gefahrlos einzelne Dienste abschalten, ohne dass dann das Internet nicht mehr funktioniert? Es muss ja nicht die ganze lange Latte sein - obwohl sich in der Tat die Frage stellt, ob das wirklich länger dauert, als für einen DTFW-Anfänger, sich in eine DTFW einzuarbeiten.
CU
Olaf
Teletom Olaf19 „ Wenn man Computer vernetzt, braucht man auch die entsprechenden Netzwerkdienste...“
Man kann gefahrlos einzelne Dienste abschalten, aber was bringt es.
Einerseits wird in einer Produktionsumgebung mit vielen Intranet- und Internetcomputern niemand auf die Idee kommen, unnötig Dienste zu deaktivieren, einmal ist das sehr aufwändig und ein anderes Mal kann es zu Problemen führen.
Andererseits wird kein Noob auf die Idee kommen, eine wie oben dargestellte Deaktivierungs-Liste in die Praxis umzusetzen, auch aus den zwei Gründen 1. zu aufwändig 2. zu problematisch.
Ich bin jedoch nicht gänzlich gegen Dienstedeaktivieren, nur sollte man es auch dort tuen, wo das etwas bringt.
Den Systemwiederherstellungsdienst mit Hilfe von Wiederherstellungspunkten kann man 1. leicht deaktivieren und 2. gut durch eine Backupstrategie ersetzen.
Eine Firewallsoftware ist sehr leicht einzurichten, am einfachsten mit der XP-Firewall, nur ein paar Mausklicks sind nötig und die voreingestellten Standardfilter sind akzeptabel. Wer mehr will, kann auch mehr bekommen - no problem.
Gruß
Teletom
Tyrfing Noldman „Firewall voting“
>>Selbst wenn man alle Deaktivierungen durchführt, bleiben mit Sicherheit die RPC-Ports offen Ein letztes Mal, extra für dich:
Port 135 lässt sich ganz ohne Paketfilter und signifikante Funktionseinbußen schließen, egal wie sehr du versuchst es wegzudiskutieren...und nun auch noch einmal, auch extra für dich:
-->Ein Bild
Sogar von deiner Lieblings-Portscanseite...und was steht da bei Port 135 und was zeigt Ethereal an?
GarfTermy Tyrfing „ Selbst wenn man alle Deaktivierungen durchführt, bleiben mit Sicherheit die...“
@tyri...
ok ok. du willst fortan ohne dcom arbeiten. ...nu´ ist´s aber gut damit. lass die anderen mal ihr dcom behalten und andere lösungen finden.
;-)
Tyrfing GarfTermy „@tyri... ok ok. du willst fortan ohne dcom arbeiten. ...nu ist s aber gut damit....“
>>lass die anderen mal ihr dcom behalten und andere lösungen finden. Kannst du gerne machen (auch wenn ich eine PF definitv nicht als gute Lösung dafür sehe, aber darüber kann man ja nun lange diskutieren), mir ging es nur um die Aussage Selbst wenn man alle Deaktivierungen durchführt, bleiben mit Sicherheit die RPC-Ports offen, denn die ist defintiv falsch
Teletom Tyrfing „ lass die anderen mal ihr dcom behalten und andere lösungen finden. Kannst du...“
Sorry, hab ich da was übersehen.
Bloß aus Interesse:
Hast Du alle kssystem-Deaktivierungen nach obiger Liste durchgeführt?
Wenn nein, welche Dienste hast Du deaktiviert?
Gruß
Teletom
Tyrfing Teletom „Sorry, hab ich da was übersehen. Bloß aus Interesse: Hast Du alle...“
Die Dienste, die offenbar einen Einfluss auf den Port haben sind folgende:
-DCOM (muss nach der kssystem-Anleitung abgedreht werden, einfach den Haken weg reicht nicht)
-Der Taskplaner
-der altbekannte Nachrichtendienst
Danach neustarten und der Port sollte zu sein, so zumindest der allgemeine Tenor und so war es auch bei mir
Teletom Tyrfing „Die Dienste, die offenbar einen Einfluss auf den Port haben sind folgende: -DCOM...“
Glück gehabt, mein lieber!
DCOM, Taskplaner und Nachrichtendienst beenden, auf manuell setzen und neu starten führt zum "Dichtmachen" von Port 135, aber nur weil schon einige Dienste der kssystem-Liste standardmäßig auf manuell stehen. Nun brauchst Du ja nur noch die anderen Dienste der Liste durchzugehen, um Port 445 und die anderen offenen Ports "dicht" zu machen.
Was aber passiert, wenn eine Malware die Ports wieder offen macht, in dem zum Beispiel mit Hilfe der Malware der Nachrichtendienst gestartet wird?
Gruß
Teletom
Tyrfing Teletom „Glück gehabt, mein lieber! DCOM, Taskplaner und Nachrichtendienst beenden, auf...“
Dann wären die entsprechenden Dienste natürlich wieder verfügbar, allerdings würde würde dich auch eine PF nicht schützen, denn Malware, die einen Dienst starten kann, kann auch ein Programm jedweder Art auf demselben System abdrehen. ;)
Sowas sollte man gar nicht erst auf System lassen, und dagegen schützt man sich auf die altbekannte Art und Weise: Virenscanner, Brain 1.0 sowie indem man von unnötige Prozesse beendet bzw.
unsichere Programme, auf die nicht verzichtet werden kann, durch sicherere Alternativen ersetzt.
Teletom Tyrfing „Dann wären die entsprechenden Dienste natürlich wieder verfügbar, allerdings...“
Hi nochmal,
zum Verhindern, dass Malware Firewallsoftware abschießen kann, hab ich nun schon sehr viel geschrieben. Du brauchst nur mal den vorliegenden Thread zu verfolgen. Und eine "h_wurst.exe" existiert in keiner killfile-Liste der Malware.
Brain 1.x sollte man, wie schon gesagt, updaten und auf Layer 7 betreiben ;oD.
Schön wär es, wenn sichere Alternativen allgemein verwendet würden z.B. Firebird.
Aber Firebird hat wie jede Software auch Bugs und man muss Firebird zusätzlich updaten. Das ganze Handling wird für viele Nutzer leider unattraktiv, so dass meistens nur der IE zur Anwendung gelangt. Da kann man nur hoffen, dass ständig gepatcht wird.
Zur kssystem-Deaktivierungsliste:
Ich denke mal, es ist so, dass es kaum jemanden gibt, der diese umfangreiche Liste wirklich in die Praxis umgesetzt hat und wenn das doch der Fall ist, ist das Ergebnis mit Problemen behaftet.
Gruß
Teletom
-IRON- Teletom „Hi nochmal, zum Verhindern, dass Malware Firewallsoftware abschießen kann, hab...“
Und eine "h_wurst.exe" existiert in keiner killfile-Liste der Malware.
Dir ist schon klar, dass kein Normaluser mit einem Hexeditor seine DTFW manipulieren wird, oder? Es reicht ja nicht, EINE EXE zu ändern, du müsstest auch Verweise in anderen Dateien anpassen, sofern das überhaupt möglich ist. Das Ergebnis wäre zweifelhaft, wenn du nicht im Besitz des Quelltextes wärst....und welcher User ist das schon. Mal wieder ein völlig unpraktischer Rat.
Aber Firebird hat wie jede Software auch Bugs und man muss Firebird zusätzlich updaten. Das ganze Handling wird für viele Nutzer leider unattraktiv...
Altes Argument von dir, aber immer noch falsch. Was muss man denn beim FB EXTRA updaten? Klar...wenn es eine neue Version gibt, wird upgedatet. Ist beim IE genauso. Wenn Bugs bekannt werden, wird upgedatet...ist beim IE genauso, nur dass es dort wesentlich öfter notwendig ist. Wenn es also ums Handling geht, ist der IE klar im Nachteil.
Dir ist schon klar, dass kein Normaluser mit einem Hexeditor seine DTFW manipulieren wird, oder? Es reicht ja nicht, EINE EXE zu ändern, du müsstest auch Verweise in anderen Dateien anpassen, sofern das überhaupt möglich ist. Das Ergebnis wäre zweifelhaft, wenn du nicht im Besitz des Quelltextes wärst....und welcher User ist das schon. Mal wieder ein völlig unpraktischer Rat.
Aber Firebird hat wie jede Software auch Bugs und man muss Firebird zusätzlich updaten. Das ganze Handling wird für viele Nutzer leider unattraktiv...
Altes Argument von dir, aber immer noch falsch. Was muss man denn beim FB EXTRA updaten? Klar...wenn es eine neue Version gibt, wird upgedatet. Ist beim IE genauso. Wenn Bugs bekannt werden, wird upgedatet...ist beim IE genauso, nur dass es dort wesentlich öfter notwendig ist. Wenn es also ums Handling geht, ist der IE klar im Nachteil.
Teletom -IRON- „Und eine h_wurst.exe existiert in keiner killfile-Liste der Malware. Dir ist...“
Ein Normaluser braucht seine Firewall nicht zu manipulieren.
Ein Normaluser wird andererseits auch nicht die kss-Deaktivierungsliste in die Praxis umsetzen.
Firebird ist klasse, leider gibt es hier und da noch ein paar Macken, man muss sich also zusätzlich zum Windows-Update noch um die neusten Updates von Firebird kümmern. Das bedeutet Mehraufwand und das Update-Handling ist im Vergleich zur Einbrowserstrategie ungünstiger.
Es wäre etwas vermessen, zu behaupten, dass plötzlich die Mehrzahl der User Firebird verwenden. IE ist in der Windows-Welt immer noch der meistbenutzte Browser. Darauf sollte man sich einstellen, wenn man wirklich helfen will. Das "Dumme" daran ist, dass MS ständig Sicherheitslücken repariert, wenn man die aktuellem MS-Updates realisiert, könnte man fast sagen, dass Firebird beinahe nicht mehr nötig ist.
Tyrfing Teletom „Ein Normaluser braucht seine Firewall nicht zu manipulieren. Ein Normaluser wird...“
>>Ein Normaluser wird andererseits auch nicht die kss-Deaktivierungsliste in die Praxis umsetzen. Ich kenne genug Normaluser, die es gemacht haben.
Die Anleitung ist nun wirklich verständlich und anschaulich genug und wenn man auf 1.a) und 6 verzichtet und sich statt 2.b) eine andere Liste zum Abstellen besorgt (da gibt es mehr genug bei Google oder injeder PC-Zeitschrift) ist die Anleitung gerade für Normaluser sehr zu empfehlen und auf alle Fälle einfacher, als sich in TCP, UPD, IP und ICMP einzuarbeiten.
Und was den angeblichen Sicherheitsgewinn durch Umbenennen angeht: Wenn eine PF sowas mit sich machen lässt und nicht feststellt, dass die .exe offenbar fehlt oder verändert wurde und sie sofort ersetzt zeigt das nur, dass sie offenbar ungenügend vor Manipulatioen geschützt ist
Teletom Tyrfing „ Ein Normaluser wird andererseits auch nicht die kss-Deaktivierungsliste in die...“
Bis auf Deine Person:
Hast Du denn alle Deaktivierungen vorgenommen?
Alle kss-Deaktivierungen verursachen Probleme, wenn ich beispielsweise an die Deaktivierung des DNS-Clients denke (ein Lacher). Das kann einfach nicht stimmen, das Leute, die alles nach kss deaktiviert haben, ordentlich arbeiten können. Jeder vernünftige Systemadministrator schätzt diese Liste als zumindest teilweise fraglich ein.
Gruß
Teletom
xafford Teletom „Bis auf Deine Person: Hast Du denn alle Deaktivierungen vorgenommen? Alle...“
kleine anmerkung zum füllen von wissenslücken, der dns-clientdienst ist ein caching-dienst, der aufgelöste domainnamen cacht. wird er deaktiviert, so müssen dns-namen jedes mal auf´s neue aufgelöst werden, was zu einer geringfügigen verlamgsamung von netzwerkaufrufen führt aber ein auflösen ist nach wie vor machbar, dies ist aber nur in active directory-umgebungen kritisch.
Teletom xafford „kleine anmerkung zum füllen von wissenslücken, der dns-clientdienst ist ein...“
Ich bedanke mich für die Anmerkung, es wäre aber nicht nötig gewesen. So viele Wissenslücken, wie Du meinst, sind hier jedoch bei fast keiner Person vorhanden. Aber gut ist, dass Du Dich mal mit der DNS-Client-Problematik beschäftigst.
xafford Teletom „Ich bedanke mich für die Anmerkung, es wäre aber nicht nötig gewesen. So...“
es gibt keine problematik mit name caching deamons außerhalb von verzeichnisdienstbasierten netzen, um das zu wissen muß ich mich nicht "mal mit der DNS-Client-Problematik" beschäftigen.
Tyrfing Teletom „Bis auf Deine Person: Hast Du denn alle Deaktivierungen vorgenommen? Alle...“
Also nochmal für dich:
[...]und sich statt 2.b) eine andere Liste zum Abstellen besorgt (da gibt es mehr genug bei Google oder injeder PC-Zeitschrift)[...]
-IRON- Teletom „Ein Normaluser braucht seine Firewall nicht zu manipulieren. Ein Normaluser wird...“
Ein Normaluser braucht seine Firewall nicht zu manipulieren.
Meinst du jetzt Desktopfirewall? In diesem Fall BRAUCHT er es nicht nur nicht, er KANN es auch gar nicht.
Ein Normaluser wird andererseits auch nicht die kss-Deaktivierungsliste in die Praxis umsetzen.
Ahso? Du kannst also für alle Normaluser sprechen? Gibts Statistiken zu deiner These?
man muss sich also zusätzlich zum Windows-Update noch um die neusten Updates von Firebird kümmern. Das bedeutet Mehraufwand...
Durch Wiederholung wird dieser Unsinn auch nicht richtiger, Tom.
Das "Dumme" daran ist, dass MS ständig Sicherheitslücken repariert, wenn man die aktuellem MS-Updates realisiert, könnte man fast sagen, dass Firebird beinahe nicht mehr nötig ist.
LOL. Bei zur Zeit zwischen 20 und 30 nicht gefixten Bugs allein im IE ist deine Behauptung der Brüller schlechthin.
Meinst du jetzt Desktopfirewall? In diesem Fall BRAUCHT er es nicht nur nicht, er KANN es auch gar nicht.
Ein Normaluser wird andererseits auch nicht die kss-Deaktivierungsliste in die Praxis umsetzen.
Ahso? Du kannst also für alle Normaluser sprechen? Gibts Statistiken zu deiner These?
man muss sich also zusätzlich zum Windows-Update noch um die neusten Updates von Firebird kümmern. Das bedeutet Mehraufwand...
Durch Wiederholung wird dieser Unsinn auch nicht richtiger, Tom.
Das "Dumme" daran ist, dass MS ständig Sicherheitslücken repariert, wenn man die aktuellem MS-Updates realisiert, könnte man fast sagen, dass Firebird beinahe nicht mehr nötig ist.
LOL. Bei zur Zeit zwischen 20 und 30 nicht gefixten Bugs allein im IE ist deine Behauptung der Brüller schlechthin.
higgl Noldman „Firewall voting“
Warum Desktop-Firewalls nix taugen
Vorüberlegung
Zunächst einmal stellt sich die Frage, wovor dich eine Personal-
Firewall eigentlich schützen soll?
Im wesentlichen werden zwei Zeile angestrebt:
- Unerwünschten Datentransfer von innen nach außen unterbinden
- Schutz vor unerwünschten Zugriffen von außen
Einige PF enthalten noch einen http-Proxy zur Filterung von
Werbebannern oder Cokies.
Datentransfer von innen nach außen
Einige Beispiele aus dem realen Leben:
1)
Das trojanische Pferd der Firma Aureate basierte auf einem Netscape
Navigator / Internet Explorer Plugin und kommuniziert somit nicht
*direkt* mit dem Internet. Dadurch umgeht es auf einfache Weise die
Probleme, die sonst bei einem Internetzugang über ein Netzwerk
auftreten würden. Aurate ist nicht nur um einiges älter als ZoneAlarm,
sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum
Beispiel von GoZilla und WebCopier verwendet.
Anscheint greifen neuere Versionen des Trojanischen Pferdes über die
Wirtsanwendung auf das Internet zu, sofern es sich bei diesen
Programmen um "Internet-Software" handelt.
Suchstichwörter: advert.dll, Radiate
2)
Ich hab bei einem Bekannten vor einiger Zeit im Temp-Verzeichnis eine
HTML-Datei gefunden, die ein paar Bilder aus dem Internet lädt. Die
Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
unter anderem aus den Dateinamen, die man unter {Start | Dokumente}
findet.
Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung
der Firewall mit dem Internet (auch wenn ZA die "normale" Kommuni-
kation erkannt und unterbunden hat):
C:\WINDOWS\TEMP\RN7080.htm
|
|
|
Anonymisierung: Zahlen: 0 Großbuchstaben: X Kleinbuchstaben: x
3)
|Do you want Microsoft Internet Explorer to access the internet?
|Do you want Netscape Navigator to access the internet?
|Do you want Microsoft Windows 95 to access the internet?
|Do you want DFÜ-Netzwerk to access the internet?
|Do you want Zone Alarm to access the internet?
Vernünftig programmierte Spyware wird sich ja kaum
als "The ultimative hacking tool" in Windows anmelden.
4)
Protokoll-Tunnel (Verallgemeinerung von 1.): zum Beispiel IP over
E-Mail oder http. Für einen http-Proxy [1] sieht das wie ein ganz
normale Web-Seiten-Anforderung aus. Theoretisch kann man jedes
Protokoll über jedes andere tunneln, solange man Einfluss auf
eine entsprechende Gegenstelle hat. Bei DNS-Abfragen zum Beispiel
geht das auch über "viele Ecken".
[1] Proxys verstehen im Gegensatz zu Packetfiltern das jeweilige
Protokoll und sind trotzdem gegen Tunnel (fast) machtlos, da sich
diese auf Protokollebene korrekt verhalten und lediglich unerwünschte
Inhalte transportieren.
5)
Jedes Programm hat unter Windows 9x die Zugriffs-Rechte auf der
selben Ebene wie die PF mit dem Netzwerk zu kommunizieren
(also nebenher). Unter Windows NT (2000, XP) gilt das gleiche,
wenn man sich als "Administrator" angemeldet hat; z.B. um Soft-
ware im guten Glauben zu installieren.
Happy99 und Hybris kommen dem recht nah, in dem sie die WSock32.dll
ersetzen. Mittlerweile gibt es einen Proof-Of-Concept:
http://www.securityfocus.com/archive/1/244026 (Englisch)
6)
Mittlerweile gibt es auch die ersten bösen Programme [tm], die
einige Desktop-Firewalls (bzw. bestimmte Versionen) einfach beenden:
http://groups.google.com/groups?selm=3B3....tu-chemnitz.de
http://www.seue.de/y3k/y3k.htm
Theoretisch dürften im Worst Case (also wenn das böse Programm [tm]
Administrator- bzw. Root-Rechte auf dem Rechner hat) alle PFs ziemlich
machtlos sein.
Außerdem kann man viele Desktop-Firewalls durch ähnlich-aussehende
Programme ersetzen, indem man im simpelsten Fall den Treiber-Aufruf in
der Registry löscht und den Aufruf des User-Frontends mit dem Datei-
namen eines entsprechend präparierten Programmes überschreibt.
Normale Benutzerrechte reichen bei den meisten PFs,
um neue Regeln einfügen:
http://www.heise.de/newsticker/data/pab-18.05.01-001
http://my-forum.netfirms.com/zone/zcode.htm (bestätigt "Yes-Button")
Und zum Schluss sind da noch die bösen Programme, die überhaupt nicht
mit dem Internet kommunizieren. z.B.: Ein Trojanische Pferd, das
angeblich ein Virenscanner ist (und auch wirklich andere Viren findet)
allerdings zusätzlich Zifferndreher in Excel-Tabellen verursacht.
Zugriffsmöglichkeiten von außen
Von außen, gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen:
Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und
Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern
auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel
sind Personal-Firewalls recht erfolgreich)
Bugs und Fehlkonfiguration (Default) z.B. in Browsern und
Mailprogrammen. Gegen erstere haben Personal Firewalls nur
dann eine Chance, wenn diese Fehler den Herstellern bekannt sind.
Bevor diese allerdings ihre Produkte angepasst haben, hat MS
(bzw. der Herstellers des fehlerhaften Programms) idR. ihre
Sicherheitspatches schon längst veröffentlicht.
Zu guter letzt könntest du dir noch eine Fernwartungssoftware
oder ein anderes böses Programm installiert haben (wahrscheinlich
eher unbewußt z.B. über Mail-Attachments, aktive Web-Inhalte
(ActiveX), oder im guten Glauben ein nützliches Programm zu
installieren). Dagegen sind PF ebenfalls machtlos: Es befindet
sich in diesem Fall bereits ein Programm auf deinem Rechner,
das die PF so verändern kann, dass sie Verbindungsaufbauten
von außen ohne Rückfrage annehmen. Oder noch leichter:
Es baut selbst eine Verbindung nach außen auf und holt sich seine
Befehl ab. (Damit fällt es in den ersten Abschnitt).
Weiterführende Informationen
de.comp.security.firewall FAQ von Lutz Donnerhacke:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Die "Zonealarm-FAQ" von Utz Pflock aus news:de.comp.security.firewall
enthält einige Informationen darüber, wie man als Privatanwender
einen Kompromiss zwischen Funktionaliät und angestrebter Sicherheit
erreichen kann. http://www.pflock.de/computer/za_faq.htm
Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.):
http://www.dslreports.com/forum/remark,2...ity,1~mode=flat
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.team-cauchy.de/personal/
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.samspade.org/d/persfire.html (Englisch)
Schlussüberlegung
Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen,
dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat
oder sich in der Vertrauens-Einschätzung eines sehr schlampig
programmierten bösen Programmes vertan hat.
Diese Netz ist allerdings sehr weitmaschig, so dass man sich darauf
*nicht* verlassen kann. Daraus ergibt sich eine nicht zu unter-
schätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine
PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal
ein nicht vertrauenswürdiges Programm starten, ...
Zu guter letzt handelt es sich bei Personal-Firewalls (von
ipchains/iptables mal abgesehen) meist um closed-source Produkte,
bei denen sich wieder die Vertauensfrage stellt. Die einer PF
zur Verfügung stehenden Daten sind marketingtechnisch sicherlich
nicht uninteressant.
Copy&Paste des Postings von TEC
dies enspricht voll meiner Meinung
