IT-Sicherheit
Von: Sascha Köhler, 22.1.2005 18:34 Uhr
Hallo Hallo!

Ich habe nun schon mehrfach gelesen, daß eine Firewall eigentlich absolut unsinnig sein soll. Ist da was dran?

Ich benutze zur Zeit die Freeware-Version von Zonealarm.

Aber was kann man denn stattdessen tun, um einigermaßen sicher zu sein?
Ich habe hier mal was von Winsecure gelesen, aber was ist das?

Wäre super, wenn mich da mal jemand "aufklären" könnte.
Bin echt dankbar für Tipps :-)

Mit besten Grüßen
Sascha



  1. Antwort von Nicos (abgemeldet) 1
    Re: Zonealarm nicht sicher, oder?
    Ich habe nun schon mehrfach gelesen, daß eine Firewall
    eigentlich absolut unsinnig sein soll. Ist da was dran?
    Es gibt eine gewisse Kritik an Personal Firewalls, die direkt auf dem System, das sie schützen sollen laufen. Die sind vom Prinzip her natürlich nict das ultimative Mittel gegen Eindringlinge, weil sie sich relativ einfach von innen aushebeln lassen. Deshalb wirst du auch in absehbarer Zeit Antworten bekommen, die dir sagen, dass du doch besser gleich die Finger von solchen PFWs lassen solst.

    Deppen.

    Eine PFW kann durchaus Sinn machen, denn sie blockiert, sofern sie richtig eingestellt ist, etliche Angriffe auf Standarddienste wie den Windows-Login und diverse andere Schwachstellen. Ob Zonealarm jetzt gut oder schlecht ist sei mal dahingestellt. Aber was kann man denn stattdessen tun, um einigermaßen sicher
    zu sein?
    Du kannst dir natürlich eine "richtige" Firewall -- z.B. in Form eines Rechners, der unter BSD läuft -- hinstellen, das ist aber auf keinen Fall finanziell Sinnvoll, solange du keine absolut wichtigen oder geheimen Daten schützen musst.

    Was du tun solltest, ist mehr oder weniger gesunder Menschenverstand: halte Windows auf dem neuesten Stand (regelmäßig Windows Update laufen lassen, am besten automatisch im Hintergrund), besorg' dir einen aktuellen Virenscanner (Updates nicht vergessen!) und schalte die unnötigen Systemdienste ab. Wenn du IE oder OE benutzt, schau' dir mal die Alternativen an. Dann solltest du relativ sicher unterwegs sein.
    22 Kommentare
    • von Frank (abgemeldet) 1
      Re^2: Zonealarm nicht sicher, oder?
      Hallo Nicos!
      Lies dir die Links mal durch und dann unterhalten wir uns weiter:http://www.ntsvcfg.de/linkblock.html
      Und solche Frechheiten kannst du demnächst unterlassen,Beleidigungen gehören nicht in dieses Forum!

      Gruß Frank [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
    • von Nicos (abgemeldet) 1
      Re^3: Zonealarm nicht sicher, oder?
      Lies dir die Links mal durch und dann unterhalten wir uns
      weiter:http://www.ntsvcfg.de/linkblock.html
      OK. Der grundsätzliche Tenor ist wohl, dass PFWs total wertlos sind, weil sie von innen her ausgehebelt werden können. Schön und gut. Felix von Leitner argumentiert auch wieder schön mit unpassenden Vergleichen zur Gebäudesicherheit und mit herausfallenden Fenstern.

      Gehst du jetzt raus und kaufst jedem Windows-Homeuser eine externe Firewall-Box inklusive Einrichtung und Support? Nein? Warum nicht? Das solltest du tun, wenn das dein Evangelium ist.

      Pauschal von halber Sicherheit abzuraten, nur weil bessere Sicherheit zum günstigen Preis von 499,95 zu haben ist, ist ein wenig seltsam. Wenn eine PFW auch nur ein einziges Mal das Eindringen eines Wurms über einen unsicheren Dienst abwehrt, war sie es wert, weil sie die Verbreitung bremst und dem Benutzer vielleicht die paar Minuten gibt, die das Update-System zum Laden und installieren des Updates braucht. Absolute Sicherheit gibt es nicht, aber deshalb gleich die Sicherheit komplett abschaffen zu wollen, ist einfach nur lächerlich.
    • von Schorsch (abgemeldet) 1
      Re^4: Zonealarm nicht sicher, oder?
      Gehst du jetzt raus und kaufst jedem Windows-Homeuser eine
      externe Firewall-Box inklusive Einrichtung und Support? Nein?
      Warum nicht? Das solltest du tun, wenn das dein Evangelium
      ist.
      Warum? Wofür sollte die bei einem Otto Normalanwender gut sein? Und wofür die Software-'Firewall'? Ich setze zuhause keine von beiden ein, sondern sorge schlicht dafür, dass keinerlei Dienste zum Internet hin geöffnet sind, von denen ich nicht explizit wünsche, dass sie dorthin offen sind.

      Das einzige, was bei mir zuhause - bei Bedarf - läuft, ist ActivePorts, um neuinstallierte Anwendungen daraufhin zu prüfen, ob sie sich wunschgemäß verhalten, oder ob sie gegen meinen Wunsch Verbindungen ins Internet öffnen. Ist letzteres der Fall, wird diese Software sofort deinstalliert und gegen ein funktionsfähiges Produkt eingetauscht.

      Firewalls setze ich in der Firma ein, um Netzwerke zu trennen. Personal 'Firewalls' hin und wieder, von einem Profi gewartet (ein Anwender, der eine PF selbst warten kann, benötigt sie nicht!), bei Anwendern, von denen ich weiss, dass sie zu dumm oder zu faul sind, im Internet sicher zu surfen. Und ausschliesslich auf Rechnern, bei denen ich mit geeigneten Mitteln dafür gesorgt habe, dass sie im Firmennetz nicht anschliessbar sind.

      Gruss
      Schorsch
    • von Nicos (abgemeldet) 1
      Re^5: Zonealarm nicht sicher, oder?
      Gehst du jetzt raus und kaufst jedem Windows-Homeuser eine
      externe Firewall-Box inklusive Einrichtung und Support? Nein?
      Warum nicht? Das solltest du tun, wenn das dein Evangelium
      ist.
      Warum? Wofür sollte die bei einem Otto Normalanwender gut
      sein? Und wofür die Software-'Firewall'?
      Das ist laut Anti-PFW-Community der einzig brauchbare Schutz. Wenn der Gegner im System sitzt, ist sowieso alles zu spät. Da kannst du auch Dienste abschalten, wie du lustig bist.
    • von Frank (abgemeldet) 1
      Re^4: Zonealarm nicht sicher, oder?
      Hallo Nicos!
      Was nutzt mir eine PFW die 1.Mein System stark ausbremst,2.Wenig Sicherheit,d.h.Das was du als Beispiel gebracht hast,wenn,und ich wiederhole deine Aussage,wenn die PFW das Eindringen eines Wurms über einem unsicheren Dienst abwehrt.Damit hast du mir eine Bestätigung erbracht das PFW nicht sicher sind.3.Und einen Speicherfresser brauch ich auch nicht.Ein gut konfiguriertes System,wobei alle unnötigen Dienste abgeschaltet sind und alle Ports geschlossen sind,bringen mehr Sicherheit als eine PFW.Das kannst du nicht abstreiten.Wenn du hier die Fragen in diesem Forum mal verfolgen würdest,dann würde dir auffallen das viele Leute die PFW nutzen Probleme mit Schädlingen haben!
      Ist schon komisch oder?Und du bist auch schlauer als das BSI,ich versteh schon.Der Beweis ist hier:http://www.bsi-fuer-buerger.de/infiziert/06_0501.htm

      Aber da kommst du auch noch dahinter.
      Gruß Frank [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
    • von Nicos (abgemeldet) 1
      Re^5: Zonealarm nicht sicher, oder?
      Was nutzt mir eine PFW die 1.Mein System stark
      ausbremst
      Das wird erst ab einigen zehn bis hundert MB/s relevant, im normalen Betrieb an einer Dialup-, DSL- oder Kabelverbindung werd nicht geung Daten anfallen, um eine spürbare Belastung des Systems zu verursachen. Kerio verursacht auf einem Athlon XP 2200+ keine nennenswerte Systemlast bei einer Übertragungsrate von >10MByte/sec, kann also eine Fast Ethernet-Verbindung problemlos verarbeiten. Die <3MBit/s, die bei den derzeit dicksten Consumer-DSL-Anbindungen anfallen, sind dagegen fast irrelevant. 2.Wenig Sicherheit,d.h.Das was du als Beispiel
      gebracht hast,wenn,und ich wiederhole deine Aussage,wenn die
      PFW das Eindringen eines Wurms über einem unsicheren Dienst
      abwehrt.Damit hast du mir eine Bestätigung erbracht das PFW
      nicht sicher sind.
      Hä? Formulier das bitte nochmal neu, zur Zeit macht es keinen Sinn. 3.Und einen Speicherfresser brauch ich auch
      nicht.
      Eine reine PFW ohne Schnickschnack hat einen Footprint von höchstens 1-2MB, das fällt im laufenden Betrieb nicht weiter auf. Ein gut konfiguriertes System,wobei alle unnötigen
      Dienste abgeschaltet sind und alle Ports geschlossen
      sind,bringen mehr Sicherheit als eine PFW.Das kannst du nicht
      abstreiten.
      Das tue ich nicht. Was ich sage ist, dass die Pauschalisierung "PFWs sind Scheiße" einfach nur unüberlegt, voreilig und dumm ist. Wenn du hier die Fragen in diesem Forum mal
      verfolgen würdest,dann würde dir auffallen das viele Leute die
      PFW nutzen Probleme mit Schädlingen haben!
      Pille und Kondome sollen auch schonmal versagt haben. Menschen machen fehler und öffnen mal eine Datei zuviel. Und? Ist das jetzt eine Rechtfertigung für irgendwas? Ist schon komisch oder?Und du bist auch schlauer als das
      BSI,ich versteh schon.Der Beweis ist
      hier:http://www.bsi-fuer-buerger.de/infiziert/06_0501.htm
      Dann lass mich mal die Kernaussage zitieren und ein paar wichtige Schlüsselworte und Passagen hervorheben: Über Sinn und Unsinn von Personal Firewalls streiten sich die
      Fachleute noch immer.
      Denn Desktop Firewalls - wie sie auch
      genannt werden - sind, wenn man sich an die wichtigsten Grundregeln
      zum sicheren Surfen hält, fast überflüssig. Wichtig ist, dass
      das Betriebssystem, der Browser, der E-Mail-Client und die
      Anwendungen so sicher wie möglich konfiguriert sind. Solange das
      der Fall ist,
      Sie nichts aus unsicheren Quellen herunterladen
      und auch sonst vorsichtig im Internet unterwegs sind, stellt eine
      Personal Firewall nicht unbedingt einen zusätzlichen Schutz
      dar.
      Das beweist garnichts, das ist vielmehr eine Einschätzung der Situation, die keine konkreten Aussagen macht.
    • von Frank (abgemeldet) 0
      Re^6: Zonealarm nicht sicher, oder?
      Hallo!
      Da ich merke das du Probleme beim lesen hast ,bringt es mir nichts mich weiterhin mit dir auseinanderzusetzen. 2.Wenig Sicherheit,d.h.Das was du als Beispiel
      gebracht hast,wenn,und ich wiederhole deine Aussage,wenn die
      PFW das Eindringen eines Wurms über einem unsicheren Dienst
      abwehrt.Damit hast du mir eine Bestätigung erbracht das PFW
      nicht sicher sind.
      Hä? Formulier das bitte nochmal neu, zur Zeit macht es keinen
      Sinn.
      Wozu?Ich habe mich klar und verständlich ausgedrückt.Kannst wohl die Wahrheit nicht vertragen. Ein gut konfiguriertes System,wobei alle unnötigen
      Dienste abgeschaltet sind und alle Ports geschlossen
      sind,bringen mehr Sicherheit als eine PFW.Das kannst du nicht
      abstreiten.
      Das tue ich nicht. Was ich sage ist, dass die Pauschalisierung
      "PFWs sind Scheiße" einfach nur unüberlegt, voreilig und dumm
      ist.
      Das hab ich nie geschrieben.Sie bringen nichts im privaten Gebrauch. Wenn du hier die Fragen in diesem Forum mal
      verfolgen würdest,dann würde dir auffallen das viele Leute die
      PFW nutzen Probleme mit Schädlingen haben!
      Pille und Kondome sollen auch schonmal versagt haben.
      Da bist du im falschen Brett gelandet! Menschen machen fehler und öffnen mal eine Datei zuviel.
      Bei einem geigneten Wissen kann so etwas nicht passieren,kann mich nur Schorsch seinem Posting anschließen. Und? Ist das
      jetzt eine Rechtfertigung für irgendwas? Ist schon komisch oder?Und du bist auch schlauer als das
      BSI,ich versteh schon.Der Beweis ist
      hier:http://www.bsi-fuer-buerger.de/infiziert/06_0501.htm
      Dann lass mich mal die Kernaussage zitieren und ein paar
      wichtige Schlüsselworte und Passagen hervorheben: Über Sinn und Unsinn von Personal Firewalls streiten sich die
      Fachleute noch immer.
      Denn Desktop Firewalls - wie sie auch
      genannt werden - sind, wenn man sich an die wichtigsten Grundregeln
      zum sicheren Surfen hält, fast überflüssig. Wichtig ist, dass
      das Betriebssystem, der Browser, der E-Mail-Client und die
      Anwendungen so sicher wie möglich konfiguriert sind. Solange das
      der Fall ist,
      Sie nichts aus unsicheren Quellen herunterladen
      und auch sonst vorsichtig im Internet unterwegs sind, stellt eine
      Personal Firewall nicht unbedingt einen zusätzlichen Schutz
      dar.
      Das beweist garnichts, das ist vielmehr eine Einschätzung der
      Situation, die keine konkreten Aussagen macht.
      Aber sicher sagt das doch klar aus das eine PFW nicht unbedingt einen zusätzlichen Schutz bietet.Wie schon oben geschrieben,es hat kein Sinn.
      Letzter Gruß Frank
    • Fanatisch
      Hallo, Da ich merke das du Probleme beim lesen hast ,bringt es mir
      nichts mich weiterhin mit dir auseinanderzusetzen.
      Für mich bist du ein Fanatiker, der ausser der eigenen (fragwürdigen) Meinung nix mehr gelten lässt.

      Setz dich doch vielleicht damit mal auseinander?

      Gute Besserung
      Stefan
    • von McStone (abgemeldet) 1
      Re: Fanatisch
      Hallo Stefan,

      war ja eigentlich nur eine Frage der Zeit bis du hier auftauchst. Für mich bist du ein Fanatiker, der ausser der eigenen
      (fragwürdigen) Meinung nix mehr gelten lässt.
      So? Hm, Frank begründet seine Meinung wenigstens und kann externe, fundierte Quellen anführen, du dagegen schreist hier immer nur: "Alles Blödsinn, stimmt nicht!" Das kann jeder, bring' doch mal Beweise! Setz dich doch vielleicht damit mal auseinander?
      Du schlägst weiter oben vor uns nicht als Deppen zu bezeichnen (dafür aufrichtigen Dank, ich halte nichts von Beleidigungen) sondern als weltfremde Ignoranten. Ignoranz ist, zumindest nach meiner gelernten Definition, Tatsachen die in irgendeiner Form vorliegen nicht wahrzunehmen beziehungsweise einfach zu übergehen. So ein Verhalten kann ich allerdings in diesem Tread nur bei dir und Nicos beobachten.

      Wie gesagt, bring' Beweise für deine Behauptungen, ich lasse mich gerne eines besseren Belehren. Wenn du allerdings der Meinung bist daß das nicht nötig ist weil du ja eh recht hast und der Rest keine Ahnung hat dann macht es keinen Sinn mit dir zu diskutieren. Sowas nennt man Erkenntnisresistenz. Aber du hast ja diesen tollen Stein gefunden...

      mfG

      McStone
    • von Frank (abgemeldet) 2
      Re: Fanatisch
      Hallo!
      Ich habe eine Meinung die ich vertrete.Und wenn es leider Leute gibt die einfache Sätze nicht verstehen,dann kann man sich nicht auseinandersetzen.Wie auch wenn's der andere nicht versteht!
      Du kannst mich als Fanatiker bezeichnen,aber irgendwie gab es hier mehr negative Meinungen zu Zone Alarm und PFW.Nur weil du vielleicht auch eine PFW oder Zone Alarm privat nutzt und mit der Wahrheit nicht klar kommst,solltest du nicht andere Meinungen kritisieren.Ich geh davon aus das du dir den Linkblock komplett durchgelesen hast um zu verstehen,warum es hier so viel negative Meinungen darüber gibt.Muzel hat den passenden Link für den Ersatz zu PFW geliefert.Ich habe eine Meinung und wer das nicht versteht,das es nunmal Leute gibt die eine andere Meinung haben die tun mir leid.Und übrigens ich kann mich gesundheitlich nicht beklagen.Wenn du keine besseren Argumente bringen kannst,als Gute Besserung zu wünschen,dann bist du auch einer bei dem nur heiße Luft,sinnloses Geschwafel und unqualifizierte Äusserungen rauskommen.

      Gruß Frank [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
    • von Sebastian 1
      Re^6: Zonealarm nicht sicher, oder?
      Kerio verursacht auf einem Athlon
      XP 2200+ keine nennenswerte Systemlast
      Schön, daß Du das Beispiel bringst. Möglicherweise erzeugt Kerio in der Tat keine dolle Systemlast http://www.heise.de/newsticker/meldung/53089 der rechner bleibt einfach stehen.

      Andererseits bekommt vielleicht sogar eine Möglichkeit zur Fernadminstration von Windows, deren Realisierung mit anderer Sofware teurer wäre:
      http://www.heise.de/newsticker/result.xhtml?url=/new...

      Und wo wir gerade dabei sind: http://www.heise.de/newsticker/meldung/53089 Ein "Fehler in der Kerio Personal Firewall (KPF) ermöglicht es lokalen Anwendungen, die "Program Execution Protection" zu umgehen und weitere Prozesse ohne Benutzernachfrage zu starten."


      Have fun,


      Sebastian
    • von Nicos (abgemeldet) 0
      Re^7: Zonealarm nicht sicher, oder?
      Kerio verursacht auf einem Athlon
      XP 2200+ keine nennenswerte Systemlast
      Schön, daß Du das Beispiel bringst. Möglicherweise erzeugt
      Kerio in der Tat keine dolle Systemlast
      http://www.heise.de/newsticker/meldung/53089 der rechner
      bleibt einfach stehen.
      Das ist eine DoS-Attacke und beeinträchtigt nicht die Sicherheit des Systems.

      Zitat: "Betroffen sind alle Kerio-Versionen von 4.0.0 bis 4.1.1. Der Hersteller hat den Fehler in der Version 4.1.2 beseitigt." Andererseits bekommt vielleicht sogar eine Möglichkeit zur
      Fernadminstration von Windows, deren Realisierung mit anderer
      Sofware teurer wäre:
      http://www.heise.de/newsticker/result.xhtml?url=/new...
      Zitat: "Benutzer von Kerio PF sollten auf Version 4.0.10 wechseln." 4.1.0 ist von Dezember 2003. Und wo wir gerade dabei sind:
      http://www.heise.de/newsticker/meldung/53089 Ein "Fehler in
      der Kerio Personal Firewall (KPF) ermöglicht es lokalen
      Anwendungen, die "Program Execution Protection" zu umgehen und
      weitere Prozesse ohne Benutzernachfrage zu starten."

      Da hast du dann anscheinend leider die Links verwechselt...
    • von Sebastian 1
      Re^4: Zonealarm nicht sicher, oder?
      Hallo, Pauschal von halber Sicherheit abzuraten, nur weil bessere
      Sicherheit zum günstigen Preis von 499,95 zu haben ist, ist
      ein wenig seltsam.
      Tatsache ist: Wenn ein Schadprogramm die Firewall abschalten will, tut es das. Das ist eher Null-Sicherheit. Wenn eine PFW auch nur ein einziges
      Mal
      das Eindringen eines Wurms über einen unsicheren
      Dienst abwehrt, war sie es wert, weil sie die Verbreitung
      bremst und dem Benutzer vielleicht die paar Minuten gibt, die
      das Update-System zum Laden und installieren des Updates
      braucht.
      Solche Zahlen sind erstaunlich wurdtig. Du solltest mal im Forum hier sehen, wie oft User mit der Begründung "Ich hab eine Firewall" im Hinterkopf alle anderen Vorsichtsmaßnahmen fallen lassen.

      Die "halbe Sicherheit" (die ich nichteinmal als solche bezeichnen würde) führt oft genug zu ganzer Unvernunft.

      Ein Nutzer ohne Hintergundwissen wird nicht abschätzen können, wovor ihn die Firewall schützen kann und wovor nicht. Absolute Sicherheit gibt es nicht, aber deshalb
      gleich die Sicherheit komplett abschaffen zu wollen, ist
      einfach nur lächerlich.
      Wenn Du einen Rechner hast, bei dem ohne "Firewall" die "Sicherheit komplett abgeschafft" ist, hast Du ein Problem mit dem Betriebssystem oder mit der sinnvollen konfiguration desselben. Was nutzt Du so? Windows 95? Oder hast Du schon bis zum ME-Level durchgespielt?


      Gruß,


      Sebastian
    • von Nicos (abgemeldet) 0
      Re^5: Zonealarm nicht sicher, oder?
      Solche Zahlen sind erstaunlich wurdtig. Du solltest mal im
      Forum hier sehen, wie oft User mit der Begründung "Ich hab
      eine Firewall" im Hinterkopf alle anderen Vorsichtsmaßnahmen
      fallen lassen.
      Wurdtig? :-)
      Die "halbe Sicherheit" (die ich nichteinmal als solche
      bezeichnen würde) führt oft genug zu ganzer Unvernunft.
      Das ist dann aber keine Fehler der Software, sondern eher ein Fall von PEBKAC. Ein Nutzer ohne Hintergundwissen wird nicht abschätzen können,
      wovor ihn die Firewall schützen kann und wovor nicht.
      Die Firewall schützt ganz pauschal gesagt mal vor mehr, als das reine fehlende Hintergrundwissen würde ich schätzen... Absolute Sicherheit gibt es nicht, aber deshalb
      gleich die Sicherheit komplett abschaffen zu wollen, ist
      einfach nur lächerlich.
      Wenn Du einen Rechner hast, bei dem ohne "Firewall" die
      "Sicherheit komplett abgeschafft" ist, hast Du ein Problem mit
      dem Betriebssystem oder mit der sinnvollen konfiguration
      desselben. Was nutzt Du so? Windows 95? Oder hast Du schon bis
      zum ME-Level durchgespielt?
      Ich habe das ein wenig falsch ausgedrückt, du hast es ein wenig zu streng gelesen. Was ich sagen wollte war, dass es wohl nicht angehen kann, dass man ein Sicherungselement abschaltet, nur weil es keinen 100%igen Schutz bietet.

      Zur Betriebssystemfrage sage ich jetzt mal nicht viel, Windows (XP SP2, alle Updates, wenn du es unbedingt wissen willst) sehe ich nur alle 2 Tage wenn ich zocken will. Ansonsten hatte ich bisher gerade mal einen "Einbruch" wegen persönlicher Dummheit, allerdings habe ich den Angriff wohl noch während der Installation des Rootkits unterbunden.
    • Re^4: Zonealarm nicht sicher, oder?
      Hallo Nicos OK. Der grundsätzliche Tenor ist wohl, dass PFWs total wertlos
      sind, weil sie von innen her ausgehebelt werden können.
      Du liest sehr selektiv. Der 'Tenor' ist insgesamt dieser:

      PFW können ein System nur beschränkt sicherer machen. Vieles von dem, was die Hersteller versprechen, können PFW nicht halten. Z.B. versprechen die Hersteller, dass eine PFW den gesamten Netzwerk-Traffic von innen nach aussen kontrollieren und einzelne Programme am 'Phonehome' hindern kann. Das ist eine faustdicke Lüge. Keine PFW kann wirklich verhindern, dass ein Programm Daten versendet. Es gibt eine Vielzahl von Möglichkeiten, wie eine PFW umgangen werden kann, ohne dass die PFW oder der Benutzer etwas mitbekommen. Das kann auch jeder 'nicht-böse' Software. Und so weiter. Pauschal von halber Sicherheit abzuraten, nur weil bessere
      Sicherheit zum günstigen Preis von 499,95 zu haben ist, ist
      ein wenig seltsam.
      Wer tut denn sowas? Von der (maximal) halben Sicherheit von PFW wird abgeraten, das ist richtig. Es werden diverse Dinge erläutert, die man stattdessen machen sollte. Davon sind viele Sachen völlig kostenlos zu haben. So wird z.B. empfohlen, die nicht benötigten Dienste von Windows zu beenden. Das kann man von Hand machen oder mit Hilfe des NTSVCFG-Scripts bzw. mit dem Dingens-Tool.

      Es wird auch empfohlen, sich generell Wissen anzueignen. Denn nur mit dem nötigen Wissen kann man ein sinnvolles und auf die jeweiligen Bedürfnisse zugeschnittenes Konzept erarbeiten. Wenn eine PFW auch nur ein einziges
      Mal
      das Eindringen eines Wurms über einen unsicheren
      Dienst abwehrt, war ...
      ...der Rechner nicht sinnvoll konfiguriert. Denn ein 'unsicherer Dienst' ist entweder abgeschaltet, dann kann kein Wurm eindringen. Oder dann wünscht der Benutzer, diesen Dienst zu nutzen. Dann hilft aber auch keine PFW.

      Wenn man die Dienste sinnvoll konfiguriert, braucht man keine PFW. Absolute Sicherheit gibt es nicht, aber deshalb
      gleich die Sicherheit komplett abschaffen zu wollen, ist
      einfach nur lächerlich.
      Wer will denn gleich die Sicherheit komplett abschaffen? Diejenigen, die Du als 'PFW-Hasser' bezeichnest, tun das jedenfalls nicht. Im Gegenteil, sie bemühen sich darum, die Leute dazu zu bringen, wirklich sinnvolle und wirksame Massnahmen zu ergreifen, die mindestens den selben Nutzen haben wie eine PFW.

      Denn eines ist sicher: Wissen braucht man in jedem Fall. Auch wenn man eine PFW einsetzen will.

      CU
      Peter
    • Re^2: Zonealarm nicht sicher, oder?
      Hallo Nicos Deppen.
      Ein unglaublich tolles Argument.

      Aber mal im Ernst: Bitte verzichte doch auf solche unpassenden Beleidigungen. Besten Dank. Eine PFW kann durchaus Sinn machen, denn sie blockiert, sofern
      sie richtig eingestellt ist, etliche Angriffe auf
      Standarddienste wie den Windows-Login und diverse andere
      Schwachstellen.
      Erstens liegt die Betonung auf 'sofern sie richtig eingestellt ist'. Um eine PFW korrekt zu konfigurieren ist aber Wissen notwendig. Genau das hat aber ein Normal-User wie Sascha Köhler (zumindest deutet seine Fragestellung darauf hin...) leider nicht.

      Zweitens ist es nach wie vor deutlich sinnvoller, diese 'Standarddienste' so zu konfigurieren, dass sie von aussen nicht ansprechbar sind. Dann braucht man nämlich allfällige 'Angriffe' auch nicht zu blockieren. Denn bei geschlossenen Ports ist nix zu holen. Aber was kann man denn stattdessen tun, um einigermaßen sicher
      zu sein?
      Du kannst dir natürlich eine "richtige" Firewall -- z.B. in
      Form eines Rechners, der unter BSD läuft
      Wie kommst Du darauf, dass das eine 'richtige Firewall' ist? Weisst Du eigentlich, was eine Firewall ist? Offenbar nicht wirklich. Der Begriff 'Firewall' ist ein Ausdruck, der ein Konzept beschreibt. Ein möglichst umfassendes Sicherheitskonzept. In solch einem Sicherheitskonzept finden sich verschiedene Bestandteile, ein paar sollten sich in jedem finden, z.B. regelmässige Updates. Andere sind von Situation zu Situation verschieden. Ein Rechner, der unter BSD (oder Linux oder sonstwas) läuft und gewisse Aufgaben wahrnimmt, kann je nach Situation dazugehören. Muss aber nicht. ist aber auf keinen Fall finanziell Sinnvoll, solange du keine
      absolut wichtigen oder geheimen Daten schützen musst.
      Also, ein Rechner mit BSD oder Linux als 'Hardware-Firewall' aufzustellen, ist finanziell gar nicht mal so teuer. Da reicht ein 486er vom Sperrmüll oder sonst ein kleiner Rechner, den man irgendwo gratis oder sehr günstig auftreibt und ein Fli4I oder so. Eine Linux-Distribution ist für wenig Geld zu haben, Fli4I ist sogar komplett kostenlos, Du brauchst es nur herunterzuladen.

      Aber so eine Lösung ist auch nicht überall notwendig oder sinnvoll. ...schalte die unnötigen Systemdienste ab.
      Bingo. Du empfiehlst das ja selber. Jetzt erklär mir doch mal, warum man dann noch eine PFW benötigt.

      CU
      Peter
    • von Sebastian 1
      Re^2: Zonealarm nicht sicher, oder?
      Hallo, Ob Zonealarm jetzt gut oder schlecht ist sei
      mal dahingestellt.
      Zu beurteilen, ob eine Software gut ist, hängt nicht zuletzt vom Anwendungsgebiet ab. Wenn es darum geht, mit einem DoS weite Teile des Internets wezubomben, ist ZoneAlarm garicht so übel:

      http://www.heise.de/newsticker/meldung/42397


      Merke: Auch Schadprograme benötigen in der Regel das Domain Name System, insofern hat ZoneAlarm auch hier die Verbreitung von tausenden postenziellen Schädlingen eingedämmt.

      Es wäre allerdinge Ressourcensparender gewesen, man hätte "das Internet" einfach zwischendurch mal abgeschaltet.


      Gruß,


      Sebastian
    • 4 Sterne (OT)
      Hallo Deppen.
      Obwohl eine derartige Bezeichnung natürlich in diesem Forum nix zu suchen hat, fasst es in einem Wort zusammen, was man sich zu den Anti-PF Fanatikern so denkt.
      Wie wärs mit "Weltfremde Ignoranten" (fürs nächste mal)?
      Deine Beiträge sind wirklich gut, so dass ich jedem einen Stern verpasst habe.

      Weiter so !!!!

      Viel Spass und Erfolg
      Stefan
    • von Stuffi (abgemeldet) 0
      Star Wars! [owT]
      owT
    • Re: 4 Sterne (OT)
      Obwohl eine derartige Bezeichnung natürlich in diesem Forum
      nix zu suchen hat, fasst es in einem Wort zusammen, was man
      sich zu den Anti-PF Fanatikern so denkt.
      Was heißt denn hier Fanatiker? Bin ich in deinen Augen ein Fanatiker, nur weil ich etwas weiß und das weitergebe?

      Aufgepasst: ich bin nicht Oma Lehmann. Ich bin seit 15 Jahren Systemadministrator und baue dir jedes gewünschte Netzwerk mit jedem [TM] gwünschten Betriebssystem. Ich bin seit 17 Jahren mit irgendwelchen Hilfsmitteln in irgendwelchen Netzwerken unterwegs - Akkustikkoppler, Modems, ISDN-Router, Handys, such dir was aus. Meine älteste noch funktionierende Email-Adresse ist 14 Jahre alt.

      Ich habe bereits jede Art von Servern betrieben, und das nicht für ein paar Hansels, sondern für Tausende von Anwendern. Meine Maschinen sind mehrfach gehackt worden und ich habe herausgefunden, warum: das ist mehr, als die meisten hinkriegen. Ich betreibe große, richtig teure Firewalls und traue ihnen nicht weiter, als ich sie werfen kann.

      Und dieses Wissen (für das ich übrigens gut bezahlt werde) qualifiziert mich also für den einen als Deppen und für dich als Fanatiker. Meine Güte, der einzige sterneverteilende Fanatiker hier bist doch wohl du. Wie wärs mit "Weltfremde Ignoranten" (fürs nächste mal)?
      Das soll doch wohl ein Witz sein, oder? Weltfremde Ignoranten sind doch wohl die, die Personal Firewalls einsetzen. Die sich im Netz verstecken wollen. Allein dieser Gedanke treibt einem ja schon die Tränen in die Augen und strapaziert wirklich alle Lachmuskeln. Das ist nicht nur weltfremd, sondern beweist vor allem die eigene Ahnungslosigkeit.

      Gruß,
      Stefan
    • von Schorsch (abgemeldet) 0
      Re^2: 4 Sterne (OT)
      Lachmuskeln. Das ist nicht nur weltfremd, sondern beweist vor
      allem die eigene Ahnungslosigkeit.
      Wäre es doch nur Ahnungslosigkeit allein. Die ist nichts schlimmes, bevor ich mich mit einer neuen Sache zu beschäftigen beginne, bin ich diesbezüglich immer ahnungslos. Aber dieses Halbwissen, das sich strikt weigert, irgendwelche angelesenen Fakten nicht nur abzuspeichern, sondern auch mit dem eigenen Verstand zu bearbeiten, Zusammenhänge zu erkennen, über blosses 'Vokabelwissen' hinaus zu lernen, diese Propaganda der eigenen Unwissenheit; kurz, diese perfekte Verkörperung eines DAUs - lass ihn doch 'Fanatiker' schreien oder 'Deppen', seiner schrillen Stimme sind seine eigenen Ohren am nächsten, und wenn er dann vollends ertaubt noch schriller zu schreien beginnt, lass uns einfach woandershin gehen. Bzw. sein Post überlesen.

      Einem Schreihals mit Argumenten zu kommen, ist wie mit einem Nebelhorn vor einem Nebelhorn warnen zu wollen.

      Gruss
      Schorsch
    • Re^2: Zonealarm nicht sicher, oder?
      Deshalb wirst du auch in absehbarer Zeit
      Antworten bekommen, die dir sagen, dass du doch besser gleich
      die Finger von solchen PFWs lassen solst.

      Deppen.
      Nein. Experten. Eine PFW kann durchaus Sinn machen, denn sie blockiert, sofern
      sie richtig eingestellt ist, etliche Angriffe auf
      Standarddienste wie den Windows-Login und diverse andere
      Schwachstellen.
      Wer um alles in der Welt braucht zu Hause einen Windows-Login? Du kannst dir natürlich eine "richtige" Firewall -- z.B. in
      Form eines Rechners, der unter BSD läuft -- hinstellen, das
      ist aber auf keinen Fall finanziell Sinnvoll, solange du keine
      absolut wichtigen oder geheimen Daten schützen musst.
      So kurz kann doch keiner denken. Mir ginge es auf deiner Maschine doch nicht darum, deine paar Daten zu klauen, sondern um sie für meine Zwecke einzusetzen. Natürlich ist eine BSD-basierte Firewall viel zu komplex, aber ein kleiner Router als Schutz tut es doch auch, und zwar besser als jede Windows-"Firewall".

      Stefan
  2. Antwort von muzel (abgemeldet) 0
    Re: Zonealarm nicht sicher, oder?
    Hallo Sascha,

    ja, es ist hier schon oft diskutiert worden...
    Eine Personal Firewall wie Zone Alarm verspricht nach Herstellerangeaben, das zu tun, was Winsecure viel einfacher und sicherer erledigt.
    Dummerweise ist eine schlecht konfigurierte Personal Firewall schlechter als gar keine, Du wiegst Dich völlig unbegründet in Sicherheit.
    Was winsecure macht, ist bei http://dingens.org eigentlich gut erklärt, auch warum eine Personal Firewall in den meisten Fällen überflüssig ist.


    Gruß, muzel [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
    • Antwort von Norbert Blecker 0
      Re: Zonealarm nicht sicher, oder?
      Hallo Hallo!
      Auch Hallo Hallo,
      Ich habe nun schon mehrfach gelesen, daß eine Firewall
      eigentlich absolut unsinnig sein soll. Ist da was dran?
      Ja
      Ich benutze zur Zeit die Freeware-Version von Zonealarm.
      Aua
      Aber was kann man denn stattdessen tun, um einigermaßen sicher
      zu sein?
      Sich Wissen aneigenen. Ich habe hier mal was von Winsecure gelesen, aber was ist das?
      Die überflüsseigen Windows Dienste abschalten ist ein erster Schritt
      in die richtige Richtung.
      Wäre super, wenn mich da mal jemand "aufklären" könnte.
      Bin echt dankbar für Tipps :-)
      Du sollest dir zum Einstieg folgendes gründlich durchlesen.
      http://www.ntsvcfg.de/linkblock.html
      Dann kannst du entscheiden was du wirklich brauchst um deine Kiste
      einigermaßen sicher zu konfigurieren.
      Allerdings wäre der Verzicht auf Windows eine bessere Alternative.

      Gruß Norbert
      • Antwort von Sascha Köhler 0
        Meine Sicherheitsprogramme - hier eine Liste
        Ich werde hier mal die Software auflisten, die ich installiert habe und mit dem Thema zutun haben:

        Basis: WIN XP Professional

        -Zonealarm Freeware Version
        -Antivir XP
        -Spybot - Search & Destroy
        -Ad-Aware
        -XP Antispy
        -Windows-Dienste abschalten
        -Firefox 1.0
        -Foxmail

        Alle Sicherheitsprogramme halte ich stets auf dem neuesten Stand.
        Antivir werde ich in den nächsten Tagen gegen Panda austauschen.

        Über Meinungen zu meinen Sicherheitsmaßnahmen wäre ich natürlich dankbar :-)

        Mit besten Grüßen
        Sascha
        • Antwort von Peter Möckli 0
          Re: Zonealarm nicht sicher, oder?
          Hallo Sascha Ich habe nun schon mehrfach gelesen, daß eine Firewall
          eigentlich absolut unsinnig sein soll. Ist da was dran?
          Ja, da ist sogar sehr viel dran. Ich fasse mal die wichtigsten Dinge kurz zusammen:

          Die Hersteller von PFW behaupten, eine PFW könne Angriffe von aussen abwehren. Das ist unnötig. Wenn Du Deinen Rechner sinnvoll konfigurierst und somit alle Dienste, die Du nicht explizit benötigst, beendest oder zumindest dafür sorgst, dass sie nicht vom Internet her ansprechbar sind, brauchst Du sowas nicht. Dann können Dir Portscans und ähnliches völlig wurscht sein, denn bei geschlossenen Ports ist nix zu holen.

          Eine PFW soll Deinen Rechner 'unsichtbar' machen. Auch das ist falsch. Rechner, die auf Anfragen (z.B. bei Portscans) gar nicht antworten, können u.U. sogar erst recht die Aufmerksamkeit des 'Angreifers' erregen, der dann seine Blackbox mit den gesammelten Exploits für alle oder zumindest die weitestverbreiteten PFW rauskramt und die mal laufen lässt.

          Eine PFW soll gemäss den Herstellern zuverlässig allen Traffic von Deinem Rechner ins Internet kontrollieren und ggf. blockieren. Das ist eine glatte Lüge, das kann keine PFW dieser Welt. Das ist prinzipbedingt gar nicht möglich. Teilweise liegt das am Design von Windows selber und daran, dass jedes Programm mit jedem Programm kommunizieren kann. Unter http://www.ulm.ccc.de/chaos-seminar/personal-firewal... findest Du einen Link zu einem Video (ca. 177MB gross). Das ist der Mitschnitt von einem Seminar, das der Chaos Computer Club am 13. Dezember 2004 in Ulm veranstaltet hat und wo zumindest eine Möglichkeit demonstriert wird, wie ein beliebiges Programm Daten unbemerkt an der PFW vorbei ins Internet senden kann. Und es gibt noch eine Menge anderer Möglichkeiten, eine PFW zu umgehen. Dazu muss man sie noch nicht mal zwingend abschiessen.

          Eine PFW fügt zusätzlichen Programmcode zum System hinzu. Da es sich um Nicht-triviale Software handelt, ist sie prinzipiell ebenso fehlerbehaftet wie jede andere Software für Windows oder auch Windows selber. Jede PFW ist in der Vergangenheit schon mindestens einmal negativ aufgefallen, weil sie Bugs bzw. Sicherheitslücken hatten. Bei den aktuellen Versionen ist davon auszugehen, dass diese ebenso Lücken aufweisen. Allenfalls sind die noch nicht gefunden worden, vielleicht wurden aber welche gefunden, dies jedoch noch nicht publik gemacht...

          Der für den Netzwerk-Verkehr relevante Teil des Codes und somit die Angriffsfläche, die Dein Rechner nach aussen zeigt, wird durch eine PFW massiv vergrössert. Im Posting, das Du unter http://groups.google.ch/groups?as_umsgid=41b0a605%24... nachlesen kannst, spricht Erhard Schwenk von einer Verhundertfachung (als grobe Schätzung) des relevanten Codes.

          Die Hersteller von PFW bauen vermehrt Funktionen ein, die 'verdächtige Angriffsmuster' erkennen sollen. Das nennt man 'Intrusion Detection'. Wenn so etwas bemerkt wird, macht die PFW die Leitung dicht. Du kannst dann nicht mehr Surfen. Angeblich sollen so Angriffe wie die sogenannten 'Denial of Service'-Angriffe verhindert werden. Dummerweise ist das eher kontraproduktiv. Als Normal-User mit einem Internet-Zugang ohne statische IP-Adresse ist ein Intrusion Detection System (IDS) schlicht unnötig. Das macht Sinn bei Netzwerken von Unis, Firmen etc. aber nicht bei Privaten. Denn wirklichen DOS-Angriffen ist ein Normal-User eher selten ausgesetzt. Und wenn, kann er immer noch selber die Leitung kappen und neu einwählen. Handkehrum kann z.B. durch Verwendung eines Filesharing-Tools und den daraus resultierenden Traffic eine IDS-Funktion einer PFW anspringen und die Leitung dichtmachen... Du schiesst Dir damit nur selber in den Fuss. Aber was kann man denn stattdessen tun, um einigermaßen sicher
          zu sein?
          Etwas ist in jedem Fall absolut zwingend notwendig: Wissen. Möglichst umfassendes Wissen über Netzwerke, Protokolle und so weiter.

          CU
          Peter
          1 Kommentare
        • Antwort von McStone (abgemeldet) 0
          Re: Zonealarm nicht sicher, oder?
          Hi Sascha, Ich habe nun schon mehrfach gelesen, daß eine Firewall
          eigentlich absolut unsinnig sein soll. Ist da was dran?
          Es ist viel dran, die ganze Wahrheit isses aber auch nicht. Ich benutze zur Zeit die Freeware-Version von Zonealarm.
          Wenn du XP hast ist die interne Firewall eigentlich ausreichend Aber was kann man denn stattdessen tun, um einigermaßen sicher
          zu sein?
          Vor allen Dingen Brain 1.0 benutzen ;-), einen Virenscanner nehmen und ihn täglich updaten, auch nicht dumm ist es Spybot zu installieren, den IE zu immunisieren und den Resident anschalten (der überwacht Autostarteinträge, Registry etc.)

          Firewalls wie ZoneAlarm würde ich nicht benutzen, zum "Warum nicht?" wurden ja schon genug Links gepostet. Dann lieber einen Hardware-Router, z.B. die Dinger die man ja mittlerweile überall schon hintergeschmissen bekommt (NAT-Router) oder einen alten PC umfunktionieren. Ich hab' hier einen 233 Mhz-Rechner rumstehn auf dem IPCop installiert ist (http://www.ipcop.org/). Der Rechner hat bei eBay 25 Euro gekostet.

          Ich hatte auch mal ZoneAlarm installiert, was mich (im Nachhinein) extrem daran stört: ich habe als ich meinen IPCop fertig hatte erstmal gemerkt wie ZA den Start von Programmen die aufs Internet zugreifen verzögert. Die XP-Firewall habe ich trotzdem an.

          Um zu kontrollieren was da wie sendet habe ich einen Tool das mir den Traffic grafisch anzeigt (ums überhaupt mitzubekommen) und Active Ports sowie Etheral installiert. Ich habe hier mal was von Winsecure gelesen, aber was ist das?
          Ich glaube das: http://www.ntsvcfg.de/svc2kxp.zip Ein gleiches Programm aber mit grafischer Oberfläche gibts es unter http://www.dingens.org

          mfG

          McStone
          • Antwort von Fred 1
            Re: Zonealarm nicht sicher, oder?
            hi Sascha,

            softfirewalls bringen kaum sicherheit und können recht leicht abgeschossen werden, das steht eh alles in den Faq´s.

            Ich hatte eine laufen, als grad die ganzen blaster-varianten am toben waren und hatte trotz fehlendem patch keinen einzigen neustart durch blaster. Ersatz für sicherheitspatches ist eine PF trotzdem nicht.
            Meine wurde jedoch auch schon "abgeschossen".

            Über sinn und unsinn, lässt sich streiten, was in diesem forum auch immer recht heftig passiert.

            Ev. sollte jeder seine eigenen erfahrungen machen um sicher zu sein, was für ihn brauchbar ist.

            lg,
            fred