hi,
ich habe mir das service pack3 für win2000 (vorher: sp0) draufgeklatscht, und seitdem habe ich irre probleme mit der neusten free-version von zonealarm:
- wenn ZA aktiv ist geht kein proggi mehr/kann keine datei mehr öffnen!
- in ZA alles auf medium gestellt, kann aber keine trusted programms hinzufügen, sonst friert za ein.
hab schon deinstl. und wieder neu drauf, kein unterschied
mfg
noize
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
1. es gibt kein sp0
2. deinstalliere za
3. installiere za neu - funzt das? ...sonst...
4. versuch doch einfach mal eine andere pdfw
kerio
tiny
mcafee
etc. etc.
;-)
also,
1. mit sp0 wollte ich mir sparen, zu schreiben dass ich nach der installation von win 2000 kein update mehr gemacht haben, nichtmal sp1 (jetzt hab ichs ja doch noch schreiben müssen ;) )
2. hab ich gemacht, sauber deinstalliert, nochmal neu, trotzdem das selbe.
is nur komisch da vorher alles problemlos ging. aber nach dem sp3 update konnte ich nicht mal programme in za freigeben!
also dann werd ich mir mal die anderen fw´s angucken bzw
nach der vorgängerversion wie tim22 geschrieben hat suchen.
Apropos Kerio:
Kerio Designschwäche, Heise, 13.5.2003
...ja - hab ich jetzt auch gelesen, es gibt aber genug andere...
;-)
...Black Ice Defender in Deiner Aufzählung. Ist der inzwischen "in Ungnade" gefallen, oder hattest Du den nur vergessen...?
CU
Olaf
...nö - aber der kostet geld - ich glaube hier gings es eher um freeware.
;-)
Hey, da sind wir uns ja mal einig. Klar gibt es genug andere Desktopfirewalls mit genug anderen Designschwächen.
SCNR
das ändert jedoch nichts an der kernaussage: ein mehr an kontrolle und sicherheit bei einem minderwertigen betriebssystem kann nur positiv sein.
in diesem sinne: novell rulez.
;-)
Wenn Du eine Firewall suchst, die wenig Systemressourcen in Anspruch nimmt, versuch mal
Look n Stop - Lite:
http://www.looknstop.com/En/LooknStop_Lite_Setup_104.exe
Musst Du unbedingt für den Internetadapter aktivieren.
UND
ACHTUNG!!! Keine Firewall bietet Dir eine absolute Sicherheit.
Gruß
Teletom
DAS PROBLEM HATTE ICH AUCH! UND ZWAR NACHDEM ICH DIE NEUSTE VERSION VON ZONEALARM INSTALLIERT HATTE! BENUTZ EINFACH DIE VORGÄNGERVERSION 3.1.395 UND ALLES LÄUFT WIEDER WIE GESCHMIERT!!!
...mal für unsere spezis ein etwas längerer text von unserem dozi als kleine einführung in die materie...
ich zitiere wörtlic:
Firewall-Software
Zur Software-Konfiguration eines Firewall existieren zwei Grundstrategien:
· 'Es ist alles erlaubt, was nicht verboten ist'
Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. tftp, nfs) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind, aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muß.
· 'Es ist alles verboten, was nicht erlaubt ist'
Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet.
Es gibt drei Arten von Firewall-Softwareebenen:
· Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Pakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei ftp).
· Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Infomationen über geschützte Netzwerke verbergen.
· Application Gateways, auch 'Proxy' (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muß sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der 'Verboten-was-nicht-erlaubt'-Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen.
Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so daß er bei einem erneuten Zugriff darauf - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufbauen muß.
Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität von einander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines authorisierten Anwenders und können, etwa durch eine zusätzliche Modem-Verbindung, umgangen werden.
Ein Firewall nach dem heutigen Stand der Technik kann nur gegen bereits bekannte Angriffs-Methoden schützen. Er kann möglichst viele Ereignisse protokollieren, um im Fall des Falles den Vorgang möglichst lückenlos rekonstruieren zu können. Nur, was soll man protokollieren? Die Datenmengen können pro Tag auf hunderte von Megabytes anwachsen. Wer wertet dies aus, und sucht darin die Nadel im Heuhaufen?
Neueste Ansätze beruhen darauf, daß man ein Firewallsystem durch ein zusätzliches System ergänzt, welches den Verkehr auf dem Netzwerk überwacht. Dieses System ist vom Firewall völlig unabhängig, und es greift nicht aktiv in den Datenverkehr des Netzes ein. Dieses System hat die Aufgabe eines unparteiischen 'Flugschreibers' (der Name 'Network Flight Recorder' wurde von Marcus Ranum, dem Entwickler des TIS Firewall Toolkit, geprägt). Dieses System kann den Bedürfnissen entsprechend programmiert werden. Mit Hilfe dieses Systems kann man zwar einen Einbruch in das Netz nicht aktiv unterbinden, man kann ihn aber leichter erkennen und verfolgen. Das System kann, genauso wie ein Firewall, Alarme bei suspekten Ereignissen auslösen, z. B. wenn plötzlich DNS-Anfragen von einem System beantwortet werden, welches kein DNS-Server ist (DNS-Spoofing).
zitat ende.
das die architektur einer software IMMER auch die gefahr von bugs enthält, die aber schritt für schritt behoben werden, bleibt die grundsätzliche aussage "...mehr sicherheit und kontrolle durch einsatz von pdfw..." bestehen.
wer also grundsätzlich gegen den einsatz von pdfw und ein mehr an sicherheit ist, der hat in meinen augen sowohl die aufgabe, das problem als auch die betriebssysteme von microsoft nicht verstanden.
;-)
Hast Du Dir den Text auch mal selber durchgelesen? Da steht von DTFW kein Wort drin!
Den Sinn einer Firewall (als Konzept sowie als physische Grenze/Schnittstelle zwischen Netzwerken) stellt ja niemand ernsthaft in Frage.
Denn Sinn von DTFW-Plazebos dagegen schon. Aber ich finde in diesem Text kein einziges Argument für eine DTFW.
Vielleicht bin ich aber auch bloß zu blöd dazu...
Ich finde man sollte nicht zwischen DTFWs und Nicht-DT-Firewalls unterscheiden.
Für mich ist in erster Linie interessant, ob die Firewall-Software onboard oder extern im Netz eingerichtet ist oder beides.
Eine DTFW kann man bei Windows als Dienst installieren und somit zum Laufen bringen bevor das System den "eigentlichen" Desktop anzeigt.
Ansonsten ist das oben Dargestellte sehr interessant.
Natürlich ist das Sicherheits-Firewall-Konzept eine Strategie, die immer aus mehreren Komponenten besteht.
1. Der menschliche Aspekt. Der Anwender bzw. Bediener muss immer davon ausgehen, dass es eine 100%-ige Sicherheit nie existiert. Eigenverantwortung ist beim Aufruf von Internetseiten immer angesagt.
2. Man muss das System so sicher wie möglich machen.
Unumgänglich einzurichten sind:
- der Virenschutz (z.B. AVG6 u.v.m.)
- Programme, die unauthorisierte Zugriffe verhindern
z.B. Ad-Aware und Spypot
- die Firewall (evtl. Proxyserver)
Die Onboard-Firewall muss man für den Internetadapter als Dienst mindestens so einrichten, dass "Zeitüberschreitung der Anforderung" auf einen Ping als Antwortet erscheint (das sind die ICMP-Einstellungen) und dass das Netbios für den Internetadapter nicht verwendet wird.
- bei Vorhandensein einer Wählverbindung sollte man einen 0190- Antidialer einrichten (z.B. 0190Alarm oder 0190Warner)
- das System muss so eingerichtet sein, dass die ständig laufenden Schutzprogramme nicht "abgeschossen" werden können.
Bei XP, W2000 und NT4.0 ist das unter Nutzung der Systemrechte möglich. Die Schutzprogramme sollte man als Dienste einrichten. Damit ist für einen Benutzer, der nicht Administrator ist, die Möglichkeit verwehrt, diese Dienste zu beenden oder zu starten.
Der nichtadministrative Benutzer muss beim normalen Arbeiten eingeloggt sein. Da bei Windows kein Programm, das nicht als Dienst läuft, mehr Rechte hat als der eingeloggte Benutzer, ist es daher unmöglich, einen Dienst (z.B. Firewall) durch einen unauthorisierten Zugriff beispielsweise mit terminate zu beenden.
- Da Spam-Mail immer mehr zunimmt, muss man auch eine Strategie dagegen entwickeln. Spam-Mail-Blocker (z.B. SpamPal u.a.) sind diesbezüglich gut geeignet und können, falls vorhanden, sogar nur auf den Internetzugangsserver eingerichtet werden. Auch hier sollte man nicht vergessen, dieses Programm als Dienst einzurichten.
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
...so ist´s - sicherheitskonzepte können sehr unterschiedlich sein - die quintessenz ist IMMER gleich: mehr kontrolle und mehr sicherheit.
deswegen bin ich grundsätzlich gegen eine pauschale ablehnung von dpfw/fw, da diese ablehnung oft aus der unkenntnis des zu schützenden betriebssystem (meist ms win) kommt. ...wie von einigen hier immer gern vorgetragen.
nachbemerkung... novell ist super - aber eben kein desktopbetriebssystem - leider.
;-)
Ich finde, man sollte nicht zwischen Äpfeln und Erdbeeren unterscheiden. Leider geht es dabei nicht nach meiner Meinung.
Ich hab's schon mal geschrieben: Mir ist es grundsätzlich völlig egal, was Ihr auf Euren Rechnern veranstaltet. Ich hab' auch nichts dagegen, wenn ihr Eure Haustür jeden Abend mit Ziegelsteinen und Zement zumauert, anstatt einfach die Tür zu schließen und den Schlüssel umzudrehen (= deaktivieren von unnötigen Diensten).
Aber bitte verkauft diese Eure Methode hier nicht als die ultimative Wahrheit!
BTW:
Wenn sich hier die DTFW-Jünger über die angeblichen Vorzüge ebendieser Software auslassen, kommt mir das manchmal so vor, als wenn sich Legastheniker über die Rechtschreibreform unterhalten...
Und wie lautet doch gleich Deine Empfehlung bezüglich Firewalls?
Gruß
Teletom
Meiner Meinung nach braucht Otto Normalsurfer keine Firewall.
Mein persönliches Sicherheitskonzept sieht so aus:
1. Nicht benötigte Dienste, Netzwerkfreigaben o.ä. deaktivieren
2. Guter Virenscanner mit stets aktuellen Signaturen
3. sinnvoll beschränkte Benutzerrechte (die meisten Windows-Nutzer arbeiten mit Admin-Rechten)
4. Verwendung von Brain 1.0 beim Surfen und Mailen
Wenn jemand meint, dazu noch eine Firewall zu benötigen:
5. Alten Rechner (486 mit 16 MB RAM reicht aus) mit z.B. IPCop als Router und Firewall.
6. Sinnvolle Regeln definieren; nur die Ports freigeben, die man benötigt.
Nehmen wir fürs erste das drei-dimensionale Koordinatensystem:
x-Achse Windows
y-Achse Linux
z-Achse Novell
Wenn wir n Systeme betrachten wollen, brauchen wir schon das n - dimensionale Koordinatensystem.
Zur Einfachheit halber projizieren wir die anderen Dimensionen in die x-y-Ebene.
Wir betrachten das Max-Paynesche Sicherheitskonzept.
1. Dienste deaktivieren - warum so umständlich nimm einfach Linux, da kannst Du gleich bei der Installation die Dienste festlegen - wir nähern uns einen Schritt der Linux-Achse unserer Windows - Linux - Dimension
2. Gute Virenscanner - gute Virenscanner gibt es vor allem bei Linux, zumal es dort weniger Viren gibt - wir nähern uns einen weiteren Schritt der Linux-Achse unserer Windows - Linux - Dimension.
3. Sinnvolles Beschränken der Benutzerrechte - ist sowieso bei Linux besser. weil es nicht so kompliziert ist - wir nähern uns einen weiteren Schritt der Linux-Achse unserer Windows - Linux - Dimension
4. Brain 1.0, kannst Du mir ein Upgrade auf 2.0 besorgen, 1.0 ist mir noch zu wenig Linux - freundlich?
5. IpCop, sag ich doch, nimm Linux
6. Am besten mit Hilfe einer Linux-Firewall
Das Max-Paynesche Sicherheitskonzept ist an der Y-Achse (Linux) angelangt. Also Max Payne es bleibt Dir nichts anderes übrig, Du musst Linux installieren.
Freut mich, dass MS durch Verschleierung der Windows-System-Ressourcen, Anwender durch das Unvermögen, Windows sicher einzurichten, in den Linux-Installationszwang treiben.
Endlich kommt ernstzunehmende Konkurrenz auf.
Ich für meinen Teil muss und will, da ich es so gewohnt bin, bei Windows bleiben. Linux werde ich als Ausgleich weiterhin ausprobieren und für spezielle Einrichtungen nutzen.
Gruß
Teletom
Hi Teletom!
Warum versuchst Du, Max Payne in die Ecke der eingeschworenen Linux-Fanatiker zu drängen? Wenn man zu den Menschen gehört, die Ironie und Sarkasmus verstehen, wenn sie ihnen begegnen, muß man das wohl so auffassen. Max hat Linux aber mit keinem Wort erwähnt. Im Gegenteil, die von ihm geposteten Tipps lassen sich wunderbar unter Windows realisieren.
Aber laß uns ruhig noch einmal auf Linux kommen. Ich für meinen Teil habe in der Tat vor, in Zukunft möglichst viele Anwendungen von Windows auf Linux zu verlagern. Zuerst nur alles, was mit dem Internet zu tun hat, dann Open Office, dann Bildbearbeitung und Webdesign.
Windows werde ich langfristig behalten, aber nur noch für Audio-/MIDI-Anwendungen einsetzen. Es gibt da ein Programm, von dem ich nicht lassen kann und will und von dem ich nicht glaube, daß es unter Linux eine angemessene Alternative gibt... Zielsetzung also: Windows für Audio, Linux für alles andere. Die nähere Zukunft wird zeigen, wie weit dieser Weg für mich gangbar ist.
Meine grundsätzliche Überlegung: Linux ist keinesfalls perfekt, auch nicht im Hinblick auf IT-Sicherheit. Aber die Sicherheitslücken sind nicht so erheblich wie unter Windows. Beispiel Desktop-Firewall: Eine DTFW arbeitet unter Windows auf User-Ebene, kann also von Programmen abgeschaltet werden, die die gleichen Rechte haben. Dieses Risiko kann man zwar verringern, indem man nur noch unter einem in den Rechtenn stark beschnittenen Gast-Account ins Internet geht. Aber clever gestrickte Malware-Programme werden auch hier einen Weg finden sich an der vom Benutzer vorgegebenen Rechtestruktur "vorbezumogeln".
Zitat Tyrfing: "Es kann doch nicht sein, dass wildfremde Leute mehr Rechte auf meinem PC haben, als ich selber" (sinngemäß).
Bei Linux setzt die Desktop-Firewall auf Kernel-Ebene an, ist also ganz tief im Betriebssystem verankert. In wie weit oben beschriebene Manipulationen dennoch möglich sind, vermag ich nicht zu sagen, aber die Wahrscheinlichkeit dafür erscheint mir wesentlich geringer.
Falls ich in meinen Überlegungen einen Denkfehler gemacht haben sollte oder gar völlig falsch liege, sagt mir das ruhig - dafür ist das hier ein Diskussionsforum, und sachlich-fachlich begründete Kritik vertrage ich sehr gut.
CU
Olaf
Neinnein, die Punkte 1 - 4 lassen sich schon auch unter Windows realisieren.
Das größte Problem verursacht dabei Punkt 3 - vor allem, solange es Software gibt, die nur mit Admin-Rechten richtig läuft (z.B. Nero).
Und sein Windows-System auf diese Art abzusichern ist auch nicht aufwendiger, als für eine DTFW ein Regelsystem zu definieren, das diesen Namen auch verdient.
Ich hab' auch aus Windows-Sicht argumentiert - bei Linux gibt's noch ganz andere Möglichkeiten...
Ich kann lediglich Deinen Tonfall leider nicht ganz nachvollziehen - außer IPCop hab' ich von Linux kein Wort erwähnt oder gar dazu geraten, zu Linux zu wechseln.
Linux zu verwenden, ist mein ehrlich gemeinter Rat für Leute, die als erstes Dienste deaktivieren wollen. Das hat nichts mit einem Tonfall zu tun.
Erste Priorität ist immer die Sicherheit. Also immer zuerst die Sicherheit herstellen.
Wenn Du Dienste deaktivierst, kann das in einer Opensource-Umgebung sicher gemacht werden. Windows ist aber keinesfalls opensource. Darum rate ich in dem Fall, ein System wie Linux zu verwenden.
Bei Windows weiß man leider nie genau, wie die einzelnen Dienste miteinander verstrickt sind. Wenn man beispielweise einen Dienst wegnimmt, weiß man nie genau, ob die anderen Dienste diesen weggefallenen Dienst noch brauchen. Die Quellen sind bei Microsoft eben nicht offen gelegt.
Das Deaktivieren von Diensten kann also bei Windows zu Konflikten bei den anderen Diensten führen, somit wird die Systemausfallsicherheit verringert.
<Am Rande bemerkt Anfang>
Wenn ich den berüchtigten Nachrichtendienst deaktiviere, ist das völlig sinnlos:
1. Stimmt das oben dargestellte, man weiß nie genau, ob andere Dienste den Nachrichtendienst benötigen.
2. Wenn der Nachrichtendienst deaktiviert ist, bekomme ich nach wie vor Nachrichtendienst-Netzwerkpakete, denn ich habe ja nichts gemacht, um die entsprechenden Netzwerkpakete nicht zu empfangen.
- Fazit: Die Ausfallsicherheit ist bestenfalls gleich geblieben, man muss mit einer Verschlechterung der Ausfallsicherheit rechnen. Die Netzwerksicherheit hat sich nicht verbessert. Da Windows den selten verwendeten Nachrichtendienst sowieso auf "Eis" gelegt hat, hat sich die Ressourcenauslastung nur unwesentlich verbessert.
<Am Rande bemerkt Ende>
Wenn jemand der Linie des Diensteabbaus treu bleibt, heißt das, er muss von Windows zu einem Opensource-System wechseln.
Bei Windows muss man immer mit einer Sicherheitsverschlechterung rechnen, wenn man Dienste deaktiviert. Darum kann Punkt 1 des Max-Paynesche Sicherheitskonzepts - Nichtbenötigte Dienste deaktivieren - niemals an erster Stelle bei Windows stehen.
Erst recht kann nicht mehr von einem ausfallsicheren Windows gesprochen werden, wenn das System soweit durch das Deaktivieren von Diensten verändert wurde, dass beispielsweise das ipconfig-Kommando nicht mehr funktioniert. Ipconfig muss immer funktionieren, auch wenn nur das TCP/IP-Protokoll für das Internet eingerichtet ist.
Nun noch einmal zur Klärung:
Einen sogenannten DTFW kann man bei Windows als Dienst einrichten, entweder man nimmt das Tool srvany, damit kann man jedes Programm als Dienst einrichten, oder die Firewall ist schon ein Dienst (z.B. die XP-Firewall). Der eingerichtete Firewall-Dienst arbeitet nicht auf User-Ebene sondern auf System- bzw. Kernel-Ebene.
Die ursprüngliche DTFW ist nach der Dienste-Einrichtung keine Desktop-Firewall mehr, die Firewall arbeitet dann auch ohne Desktop, denn Dienste werden bekanntlich vor dem Einloggen und vor dem Erscheinen des Desktops geladen.
Aus diesem Grunde spreche ich besser entweder von Onboard-Firewalls oder, falls das Gegenteil zu trifft, von externen Firewalls.
Bei Linux ist ja eigentlich auch keine "Desktop"-Firewall vorhanden, die Linux-Onboard-Firewall arbeitet nicht nur auf Kernel-Ebene sondern wird sogar schon in der Kommando-Konsole vor dem Aufrufen der grafischen Oberfläche geladen.
Ich hoffe, dass ich einiges zum Verständnis beigetragen habe.
Gruß
Teletom
> Wenn ich den berüchtigten Nachrichtendienst deaktiviere, ist das völlig sinnlos
Sorry Teletom, aber das kann ich schon deswegen nicht so stehen lassen, weil durch das Abschalten dieses Dienstes diese nervigen Nachrichtenfenster verschwinden - so man denn von diesem Problem betroffen ist. Daß man das auch umständlicher haben kann - durch Neu-Installation und -Konfiguration von zusätzlicher Software, möchte ich nicht bezweifeln *SCNR*.
Ich sträube mich dagegen, pauschal alle Dienste eingeschaltet zu lassen, nur weil es theoretisch möglich ist, dass jeder von ihnen für irgendeinen mir verborgenen Zweck gebraucht wird. Besser finde ich den Ansatz: Probieren geht über Studieren! Dabei brauche ich ja gar nicht Versuchskaninchen zu spielen und die Welt neu erfinden zu wollen - das haben genügend andere vor mir getan.
Man findet im Web zuhauf Seiten mit Tipps und Tricks rundum Windwos, wo auch dieses Thema erschöpfend abgehandelt wird. Ein Beispiel ist die Homepage von PCO: http://www.orthy.de/modules.php?name=News&file=article&sid=277
Sollte ich meinen Vorstellungen treu bleiben, nach und nach auf Linux umzusatteln, werde ich für die restlichen Anwendungen (Audio-Bereich) erst recht das Thema System Abspecken in Angriff nehmen, denn bei einer einseitigen Nutzung von Windows, die z.B. keinen Internet-Zugang vorsieht, wird noch manches mehr überflüssig werden. Dann nur noch von einer sich als lauffähig bewährt habenden Konfiguration ein Image ziehen - fertig ist das "verschlankte" System.
CU
Olaf
Also die Xp-Firewall zu aktivieren, geht beispielsweise viel schneller, einfacher und vor allem besser als den Nachrichtendienst dauerhaft zu deaktivieren und Du hast im Gegensatz dazu noch eine Erhöhung der Systemsicherheit. Wenn Du den Nachrichtendienst deaktivierst, um keine Spam-Nachrichtendienst-Nachrichten zu erhalten, ist das das gleiche, als wenn Du den Bildschirm ausschaltest, um keine Spam-Nachrichten mehr zu lesen. Der Computer stellt im Fall des Bildschirmausschaltens die Anzeigeinformationen weiterhin bereit. Genauso ist es beim Nachrichtendienst, wenn Du den Nachrichtendienst nicht mehr am Laufen hast, werden weiterhin die Spam-Nachrichtendienst-Nachrichten an Deinen Computer gesendet, Du siehst nur nichts mehr auf dem Bidschirm.
Du meinst also - Augen zu und durch - reicht aus?
Aber der Nachrichtendienst ist hier nicht das Thema, ich rede mir gerade - sicherlich mit Recht - ein, dass Du damit nicht vom eigentlichem Thema ablenken wolltest.
Dass Du Dich dagegen sträubst, pauschal alle Dienste eingeschaltet zu lassen, ist schon gar nicht mal so verkehrt, doch in der Rangordnung der Systemeinrichtung kommt zuerst die Systemsicherheit. Neben der Sicherheit vor Angriffen und unauthorisierten Fremdeingriffen gibt es gleichrangig die Systemausfallsicherheit.
Das Deaktivieren einiger Systemdienste gehört in die Rubrik Optimierung/Performancesteigerung also letzter Punkt der Systemeinrichtung. Mit anderen Worten, da System(ausfall)sicherheit vor Performancesteigung kommt, kannst Du einen Dienst erst dann deaktivieren, wenn die Systemausfallsicherheit dadurch nicht verringert werden kann.
Was dabei rauskommt, wenn Du leichtgläugig (sorry), einfach Dienste deaktivierst, kann man leicht an Deinem Computer sehen, ipconfig funktioniert nicht, wer weiß, was noch alles nicht bei Dir funktioniert. Das führt zu schwerwiegenden Konflikten, wenn Dir hier jemand nach besten Wissen einen Rat gibt, kann es sein, dass die Verwirklichung bei Dir nicht funktioniert, weil die dazugehörigen Dienste nicht laufen.
Die Dienste machen das System aus.
Andererseits bin ich letztenendes dafür, überflüssige Dienste, wenn das nicht stört, zu deaktivieren ABER, wie schon gesagt,
LETZTEN ENDES.
Ich mache Dir folgenden Vorschlag, den musst Du selbstverständlich nicht annehmen. Installier doch einfach Windows XP neu, brauchst ja vorher nur relevante Daten zu sichern. Lass bei der Neuinstallation genügend freien ungenutzten Raum über, den kannst Du dann nach Belieben verwenden, z.B. um auf den freien Raum Linux zu installieren (das ist mit Knoppix -Debian- übrigens schnell veranstaltet).
Gruß
Teletom
> ...in der Rangordnung der Systemeinrichtung kommt zuerst die Systemsicherheit.
> Das Deaktivieren einiger Systemdienste gehört in die Rubrik Optimierung/
> Performancesteigerung also letzter Punkt der Systemeinrichtung.
Okay. Das klingt einleuchtend.
> ...dass Du damit nicht vom eigentlichem Thema ablenken wolltest
Richtig, ganz im Gegenteil. Der Nachrichtendienst ist nur ein sehr griffiges und populäres Beispiel, drum.
> wenn Du den Nachrichtendienst nicht mehr am Laufen hast, werden weiterhin die Spam-Nachrichtendienst-Nachrichten an Deinen Computer gesendet, Du siehst nur nichts mehr auf dem Bidschirm
Ist das bei der Firewall nicht genau so? Die Nachrichten werden von ihr abgewiesen und sind deshalb für mich nicht mehr sichtbar, aber gesendet werden sie doch nach wie vor? Oder habe ich jetzt was falsch verstanden?
> Was dabei rauskommt, wenn Du... Dienste deaktivierst, kann man leicht an Deinem Computer sehen, ipconfig funktioniert nicht, wer weiß, was noch alles nicht bei Dir funktioniert
Hier habe ich einen anderen Verdacht: Bereits bei der Installation von XP wurde ich gefragt, ob ich Standard- oder benutzerdefinierte Netzwerkeinstellungen wünsche. Ich habe mich für "benutzerdefiniert" entschieden, nicht zuletzt, um gleich eine IP-Adresse für meine Netzwerkkarte vergeben zu können. Ich habe ausschließlich(!) TCP/IP installiert, die anderen drei Haken entfernt, unter anderem auch bei dem von Dir an anderer Stelle lobend erwähnten Quality of Service (QoS). Ich fürchte, da liegt der Hase im Pfeffer.
Warum ich das gemacht habe - nun, weil ich festgestellt habe, es funktioniert ja trotzdem "alles". Zumindest im allgemeinen, aber eben nicht im besonderen, wie man jetzt gesehen hat. Ich nehme an, das meintest Du mit:
wenn Dir hier jemand nach besten Wissen einen Rat gibt, kann es sein, dass die Verwirklichung bei Dir nicht funktioniert, weil die dazugehörigen Dienste nicht laufen
Nun zum Vorschlag am Ende Deines Posts: So ähnlich wird es ablaufen. Ich habe noch 48 GB unpartitionierten Bereich auf meiner Festplatte. Da kommt Linux druff. Die DVD mit Red Hat 8.0 liegt schon bereit.
Danke für Deine ausführliche Antwort!
CU
Olaf
Nur zur Firewall noch ein paar Bemerkungen.
Durch die ICMP-Standard-Einstellung beim Firewalldienst erscheint beim Ping durch einen Fremdcomputer "Zeitüberschreitung der Anforderung", so als ob Dein Computer nicht online ist.
Der Absender, der eine Spam-Nachrichtendienst-Nachricht an Onlinecomputer übertragen will, sendet Dir nach dieser obigen Antwort keine Nachricht.
Gruß
Teletom
PS: Viel Spaß beim installieren, ist nicht weiter Schlimm, ich muss auch ständig Computer neu installieren, das schockt mich nicht mehr.
> Viel Spaß beim installieren, ist nicht weiter Schlimm, ich muss auch ständig Computer neu installieren, das schockt mich nicht mehr
Du wirst lachen, aber - ich finde, Installieren macht wirklich Spaß. Ich würde es auch sofort tun -- möchte aber das derzeit bis auf die Geschichte mit 'ipconfig' reibungslos laufende System einfach System sein lassen. Wenn es so weit ist, dass ich nur noch mit Linux ins Netz gehe, werde ich 'ipconfig' eh keine Träne mehr nachweinen...
Versteh das bitte nicht falsch. Halte mich jetzt nicht für einen unbelehrbaren Sturkopf, der gut gemeinte Ratschläge einfach in den Wind schlägt. Ganz im Gegenteil, ich lese das alles sehr gern, nehme es auch ernst und finde es lehrreich.
Die Argumentation Deiner Gegner klingt aber genau so überzeugend, durchdacht und fachlich fundiert. Wem soll ich nun glauben? Also lasse ich vorläufig alles auf sich beruhen und werde mich netztechnisch nun erst einmal Linux zuwenden.
Danke aber für Deine große Mühe, nicht nur in diesem Thread.
CU
Olaf
Wie immer im Leben: trau Dir nur selber!
Es ist so, auch im Internet existiert Meinungsfreiheit. Nicht alles was angepriesen wird, ist brauchbar.
Ich probiere auch ständig was aus, doch was ich hier darstelle,
ist 100%-ig ausgetestet.
Beim Abrüsten des Systems bin ich sehr vorsichtig geworden. Bei einer jederzeit durchführbaren Neuinstallation, wiege ich ab, ob ich einen Dienst entweder deinstalliere oder einen Dienst zusätzlich installiere.
Den Nachrichtendienst lass ich immer drauf, denn erstens stört der nicht (vor allem nach der Aktivierung des Firewalldienstes) und zweitens kann ich den Nachrichtendienst tatsächlich gebrauchen (und deshalb muss ich den Firewalldienst beim Internetdirektzugang aktivieren, sonst erhalte ich Spam-Nachrichtendienst-Nachrichten).
Beim MSN-Messenger ist es umgekehrt. Den MSN-Messenger deaktiviere ich prinzipiell bei jeder Kiste (weil der mich, auf deutsch gesagt, nervt). Den MSN-Messenger kann man auf Wunsch jederzeit wieder aktivieren.
Das Abrüsten von gewissen Diensten sollte man auf keinen Fall vorschlagen, weil das System dadurch nicht ordentlich laufen kann.
Ich denke mal, dass die Zeiten vorbei sind, zu behaupten, eine Onboard-Firewall nicht zu verwenden. Läuft die Firewall als Dienst, ist die Einrichtung akzeptabel. Die Standardwerte beim XP-Firewalldienst sind so eingestellt, dass man den gewünschten "Zeitüberschreitung der Anforderung" - Effekt hat und dass kein Schaden angerichtet werden kann.
Der Wechsel nach Linux ist zwar ein Weg, aber man löst dadurch nicht die Probleme. Linux betreibe ich sozusagen als Hobby und aus Interesse, um mein Wissen abzurunden. Bei Linux gibt es vieles, wofür ich mich sehr begeistere. Da ich aber ständig mit Windows arbeite bzw. arbeiten muss, wird ein genereller Wechsel erst mal nicht erfolgen.
Gruß
Teletom
Und wo liegt jetzt der Unterschied zum MSN? Den Nachrichtendienst kann man doch auch wieder aktivieren...?
Du scheinst wohl sehr gerne von dir selber auf andere zu schließen. Du brauchst den ND, schön, die meisten anderen aber nicht. Was ist, wenn ich jetzt sage, dass man den MSN-Messenger auch gut gebrauchen kann? Sollen dann alle den MSN-Messenger schön brav drauflassen und stattdessen lieber eine Firewall draufmachen?
Korrigiert mich, wenn ich etwas Falsches sage, aber: Sind das nicht zwei verschiedene Paar Schuhe? Der Nachrichtendienst ist ein Dienst, wie sein Name sagt; der MSN-Messenger ist aber doch - so systemnah, wie er auch arbeiten mag - eher ein Anwendungsprogramm.
Noch ein Unterschied: Du kannst MSN deaktivieren, ohne dass Windows deswegen zu murren anfängt. Wenn Du dagegen irgendeinen Dienst - egal welchen - deaktivierst, erhältst Du den Hinweis:
Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden
Interessant finde ich noch den Hinweis, der in einem der zahlreichen anderen (Teil-)Threads gegeben wurde: Wenn man nur einen Rechner hat, braucht man den Nachrichtendienst nicht, bei einer Domäne mit mehreren vernetzten Rechnern hingegen schon. In meinem Fall hieße das: Also doch wieder abschalten...
CU
Olaf
Schon klar, aber wenn man schon mit erbsenzählerischer Genauigkeit vor der Abrüstung des Systems warnt, dann gehören dazu wohl auch Programme die bei Windows standardmäßig mitinstalliert werden. Oder ist das keine Abrüstung?
Und dass auch Programme voneinander abhängig sein können, ist auch nichts neues (wer weiß schon genau, ob Windows auf den MSN-Messenger in irgendeiner Weise angewiesen ist?). Nur weil bei den Diensten ein Hinweistext erscheint und bei Programmen nicht, heißt dass nicht, dass du sämtliche Programm löschen oder rausschmeißen kannst, ohne dass Windows sich querstellt oder Funktionen verlorengehen.
Im übrigen wird MSN beim Autostart auch als "Service" gestartet. Was ich aber völlig unrelevant finde, da ich nicht von Diensten allgemein rede sondern speziell vom Nachrichtendienst und ND und MSN sind wohl sehr ähnlich, sie haben zumindestens einen vergleichbaren Einsatzzweck.
So, aber dann frage ich mich: Was genau darf ich an meinem System abrüsten? Alles, nur nicht die Dienste? (Also können auch Programme bedenkenlos entfernt werden?). Oder wie oder was? Woher kann ich wissen, welche Abrüstmaßnahmen gefährlich sind? Woher weiß ich, dass ich irgendein Dienst oder Programm irgendwann mal gebrauchen könnte?
Also letztendlich scheint es ja nur eine Antwort zu geben: Nix am System rumfummeln (außer vielleicht die Auflösung) und immer brav 'ne Firewall draufhaben.
Bei MSN als Dienst und so bin ich mir nicht sicher. Hab kein XP, will's auch nicht haben, daher keine Möglichkeit es zu überprüfen. Man möge ich mich korrigieren.
Arg, heut' grasiert wieder der Tippgammel.
Ich habe keine Ahnung wie du jetzt überhaupt auf diese ganze Diskussion mit Linux kommst. Gibt's für dich keine anderen Alternativen als: Linux oder Firewall?
Kein Mensch muss oder wird sich Linux zulegen wegen diesem läppischen Nachrichtendienst.
Und ob die Daten, die mir Dieter F. aus B. über "net send" zuschickt immer noch bei mir eintrudeln, ist mir sowas von egal, egaler geht's nicht. Hauptsache die Nachricht ist weg. Wenn ich im Internet bin werde ich dauernd von irgendwelchen Daten überhäuft, da beißt die Maus keinen Faden ab wegen so einer harmlosen Sache. Ist ja auch völlig egal, ich habe den betroffenen Dienst deaktiviert, also besteht auch keine Sicherheitsgefahr.
Und wo keine Sicherheitsgefahr besteht, da muss ich mir auch nicht den Kopf über eine Firewall zerbrechen.
Wobei ich immer noch über folgendes nachdenke:
Hier reden einige über Sicherheit und Gefahren vor Angriffen, als wären sie paranoid. Aber anstatt erstmal auf die einfachsten Idee zu kommen, nämlich die betroffene Software auszutauschen oder ohnehin benutzte Dienste auszuschalten, wird immer gleich wie selbstverständlich die Firewall empfohlen.
Wenn ihr soviel Priorität auf Sicherheit legt, dann kennt ihr doch sicherlich auch bessere Lösungen als nur die Firewall, oder?
Warum benutzt ihr z.B. Windows, den Internet Explorer, Outlook und was weiß ich für potentielle Gefahrenquellen und predigt gleichzeitig was von "Sicherheit ist geht vor".
Bei jedem popeligen Problem kommt als Standardantwort "Firewall". Und dass wird sehr engstirnig gesehen. Die ultimative Allzweckwaffe, so wie sie auch von Softwareindustrie verkauft wird.
Wenn man stattdessen eine alternative Lösung braucht oder haben möchte, dann kommt nichts mehr.
Und dann wird so getan, als ginge es ohne Firewall gar nicht mehr, da man ja sowieso an jeder Ecke im Internet von bösen Hackern attackiert wird. Warum um Himmelswillen sind dann Millionen von firewalllosen Internetnutzern glücklich und haben keine Probleme? Wenn ihr Probleme habt, dann kann es doch nur an euch liegen.
Aber was soll's, was andere mit ihren Rechnern anstellen ist eh nicht meine Sache. Aber so zutun als ginge es nicht ohne Desktop-Firewall halte ich für diskussionswürdig.
Und ich habe keine Ahnung, wie Du auf Deine Aussagen kommst. Im Posting über Deinem Posting, wird doch genau dargestellt, warum man auf Linux und auf eine Firewall kommt. Hast Du vielleicht was versäumt oder überlesen?
Ein Firewalldienst ist deshalb besser, weil Du dann nicht all die überflüssigen Dienste zu deinstallieren brauchst. Dadurch erhöhst Du die Ausfallsicherheit des Systems, denn Du weißt ja nie genau, da Windows ja nicht opensource ist, ob andere Dienst die deaktivierten Dienste nicht benötigen.
Und dadurch wird auch die Sicherheit vor Angreifern und unauthorisierten Zugriffen erhöht.
Wenn Du Dienste sicher deinstallieren möchtest, nimm einfach z.B. Linux, denn Linux ist opensource und Du kannst gleich bei der Systemeinrchtung festlegen, welche Dienste laufen sollen.
Gruß
Teletom
das eigentliche grundprinzip einer firewall ist die trennung von zonen, häufig WAN, DMZ, LAN. dieses trennungsprinzip sollte wohl ein recht klarer grund sein zwischen firewalls und und desktopfirewalls zu unterscheiden, da diese keinerlei physikalische oder logische trennung implementieren und alles innerhalb eines stacks auf einen adapter gebunden sind. mit dem eigentlichen thema hat das aber wirklich nichts zu tun.
Hi,
das ist 100% richtig. Doch man kann auch zwischen externen und Onboard-Firewalls unterscheiden.
Onboard-Firewalls bei Linux sind doch nicht schlecht oder?
Das Problem ist, hat man kein internes Netzwerk, ist man auf einen Onboard-Firewall angewiesen.
Aus Geld- oder anderen Gründen kann man eine externe Firewall häufig nicht einsetzen.
Gruß
Teletom
...kleine einführung in die materie bedeutet nicht automatisch eine spezialbehandlung von dpfw. gelle?
;-)
Äh, ja, dann redest du aber am Thema vorbei, 'gelle'?
Nö, 100%ACK, gelle.
gerftermy schreibt ja nicht immer viel, aber wenn er viel schreibt, wird es sehr interessant.
Gruß
Teletom
@plazebo ...hast du irgendetwas nicht verstanden - dann frag ruhig - vielleicht verstehst du dann... ich erklär dir das gerne.
;-)
...der "glaubenskrieg" ist ja mal wieder voll entbrannt.
könnten wir uns mal auf die grundzüge der datensicherheit, privacy etc einigen OHNE dass jeder immer mehr wissen will als ein anderer??? danke.
wer es auf grund von erfahrungen tut ist mir letztlich genauso recht, wie einer der es aus erlentem wissen tut. aber über ein solch umfangreiches thema zu debattieren MUSS man allerdings einen in etwa gleichen kenntnisstand haben. also @alle nicht it-ler: aktzeptiert wissen anderer.
in einem punkt herrscht zumindest bei uns konsenz: wenn isdn karte - dann fritz...
;-)
> @alle nicht it-ler: aktzeptiert wissen anderer
Jepp, so isses!
Von einem gestandenen IT-ler wie Dir können wir alle noch sehr viel lernen. Und für alle, die jetzt immer noch zweifeln, habe ich ein paar treffende Links zusammengesucht, die auch dem letzten Blindfisch unter uns klar machen sollten, daß 'garftermy' als einziger auf diesem Brett den Durchblick noch nicht verloren hat:
http://www.nickles.de/thread_cache/537412824.html
http://www.nickles.de/thread_cache/537380065.html
http://www.nickles.de/thread_cache/537416821.html
http://www.nickles.de/thread_cache/537376949.html
http://www.nickles.de/thread_cache/537412747.html
http://www.nickles.de/thread_cache/537412631.html
Viel Spaß beim Lesen und Schmunzeln!
CU
Olaf
Viel mehr als Provokationen und herablassende Antworten wie: "Ihr habt keine IT-Ausbildung, also habt ihr eh keine Ahnung", Sachen die gar nicht zur Debatte stehen und Zitaten von irgendwelchen anderen Schlaumeyern höre ich in letzter Zeit auch nicht viel sinnvolles von dir.
...da hast du ja fleissig gesammelt - ein extra plonk für dich.