Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Schutzprogramme _ Was ist denn nun der beste Schutz ?
Geschrieben von: Mad Max 20.08.2003, 18:47
Hallo zusammen,
nun bin ich mal gespannt auf Eure Antworten. Wie schützt man seinen PC den am besten ?
Im IE habe ich alles auf deaktiviert. Verriegelt.
Benutze KAV personal pro und Zonealarm. ( Kaspersky Anti-Hacker scheint ja nicht so gut zu sein. )
Liesst man sich einige Fachbücher durch, so scheint doch Zonealarm gar nicht
so schlecht zu sein.
Gruss aus Köln
Geschrieben von: Internetfan1971 20.08.2003, 22:27
Hallo!
Naja, das läßt sich natürlich nicht so pauschal beantworten wie Du vielleicht glaubst!
Desktop-Firewalls sind in der Security-Szene stark umstritten, besonders Dein Zonealarm!
Ich denke mal es gibt grob gesagt zwei Extrem-Positionen
- Eine Firewall gehört auf jeden PC (vor allem von PC Zeitschriften immer wieder favorisiert!)
- Eine Firewall hat auf PCs aus verschiedenen Gründen nichts zu suchen!
Eine dritte Position liegt wohl irgendwo in der Mitte
- Firewalls haben durchaus ihnen Sinn, wenn... Ja, wenn eigentlich? 
Das Thema wurde hier schon oft diskutiert z. B. unter
http://www.rokop-security.de/board/index.php?showtopic=10
Hier gleich eine „Abrechnung“ mit Firewalls, die FAQ-Firewall von Iron & Co. im Chip-Forum
http://www.chip.de/forum/thread.html?bwthreadid=338202
Aber ich will die Befürworterseite auch nicht verheimlichen! Ich kenne aber nur eine!
http://www.firewallinfo.de/
Nun, Du mußt Dir schon Dein eigenes Urteil bezüglich DFW bilden... 
Noch ein Rat von mir:
Vergesse den Internet-Explorer und installiere Dir z. B. Firebird!
Geschrieben von: Grizzly 21.08.2003, 01:13
@madmax
der beste schutz bist du selbst.wenn der user auf alles klickt,was ihm vor die nase kommt,dann helfen alle schutzprogramme der welt nicht mehr.
einen schutz kann man nur bedingt mit software herstellen.schutz ist eigentlich gleichbedeutend mit konzept.
was nützt der beste schutz,wenn dein rechner zig-verschiedene dienste nach außen hin anbietet....
der erste schutz beginnt erst einmal damit,die ports auf dem eigenen rechner dichtzumachen.....wie das geht,kann auf einschlägigen seiten nachgelesen werden....
was unbedingt zum guten schutz gehört,ist ein guter virenscanner.ich finde,daran sollte nicht gespart werden (aber nicht gerade Symantec in den Rachen werfen,es gibt sehr gute Alternativen)....
eine Firewall ist nicht unbedingt nötig,wenn der erste Punkt erledigt ist......
schaden kann es nicht eine zu installieren,solange es nicht gerade Zonealarm ist.
Ich habe selbst bei mir die SYGATE PF installiert und hab bisher keine Probleme damit gehabt (was ich von ZA und Outpost nicht sagen kann).Letzendlich ist es jedoch deine Entscheidung.....
grizzly
Geschrieben von: wizard 21.08.2003, 06:48
Zuerst solltest Du mal grob schildern, was überhaupt Deine Anforderungen sind. Davon hängt letztlich auch ab, ob eine Firewall überhaupt eine notwendige Option ist. Das hat noch nicht mal etwas mit der Diskussion zu tun, ob eine Personal Firewall sinnvoll ist oder nicht.
Am besten skizzierst Du mal kurz etwas über Dein System:
a) Windowsversion
B) Ist der Rechner im Netzwerk
c) Laufen bei Dir irgentwelche Netzwerkdienste (EMailserver, ftp-server, etc.)?
Erst danach kann man wirklich überlegen, was sinnvoll wäre oder nicht.
so schlecht zu sein.
Welche "Fachbücher" wären das? IMHO kann ich mir nicht vorstellen, dass es ernsthafte Fachbücher sind.
wizard
Geschrieben von: Rokop 21.08.2003, 15:29
Mit Verlaub, ich ehrlich gesagt auch nicht 
Geschrieben von: Mad Max 21.08.2003, 19:06
Hallo zusammen.
Erst einmal möchte ich mich für Eure super Infos und die Hilfe vielmals bedanken.
Wie Ihr wohl erkannt habt, bin ich auf dem Gebiet Sicherheit der absolute Laie.
Nun zu meiner PC-Ausstattung:
Windows 2000 prof SP4
KAV personal pro 4.5
Zonealarm 3
kein Netzwerk usw.
Habe 2 FP wobei eine davon nur zur Datensicherung dient.
Vor kurzem habe ich mir noch die Firewall von Kaspersky zugelegt, aber die scheint ja nach Euren Verständnis nicht gerade die beste zu sein.
( Besser als ZA ? )
In einer der letzten PC-Welt wurde u.a. ZA gegen Outpost getestet. ZA erreichte
4 von 5 Punkten, Outpost 4,5 von 5.
Manko von ZA: kein Selbstschutz und kein 0190 Dialer-Schutz. Ansonsten war man damit sehr zufrieden.
Als Anwenderhandbücher habe ich eins von Data Becker und von Sybex.
Viele Grüsse aus Köln.
Geschrieben von: Rokop 21.08.2003, 19:33
Ich will es mal mit kurzen Worten zusammenfassen:
- PC Welt scheint mir nicht gerade die Referenz in sicherheitstechnischen Fragen zu sein
- Alle die, die überhaupt noch bereit sind über Firewalls zu diskutieren, würden der ZoneAlarm sicher fast jede andere PFW vorziehen.
- Eine PFW braucht keinen Dialerschutz. Ein Brennprogramm braucht auch keine Tabellenkalkulationsfunktion.
- Die Kaspersky Wall ist nicht viel besser oder schlechter als andere. Einige Punkte sind recht gut, andere nicht so gut gelöst.
- Data Becker schreibt eher Bücher für ambitionierte Laien, gute Fachbücher kosten leicht das drei- bis vierfache und sind oft ohne entsprechende Vorkenntnisse nicht leicht zu verstehen.
Das Ganze ist jetzt nicht als Belehrung gemeint, sondern schlicht und einfach meine Meinung. Wenn ich Dir trotz einiger Bedenken eine Firewall empfehlen würde, dann wäre es sicher die Outpost. Die ist bekanntermaßen in Ihren Möglichkeiten nicht schlecht und es gibt eine deutsche Sprachversion. Diese hilft nämlich beim Verstehen der Einstellungen enorm weiter.
Geschrieben von: wizard 21.08.2003, 20:38
KAV personal pro 4.5
Zonealarm 3
Windows 2k SP 4 zeigt mir, dass Du zumindest eine der wichtigsten Regeln befolgst: regelmäßige Windowsupdates.
Zu KAV brauche ich wenig zu sagen, da dieser Scanner ohne Frage einer der besten überhaupt am Markt erhältlichen Produkte ist. Sorgen macht mir ZoneAlarm. Der Nutzen dieses Programms (und anderer seiner Art) ist mehr als fragwürdig. Daher würde ich empfehlen darauf zu verzichten.
Wenn man mal definiert was eine "Firewall" ist, dann kann man es einfach beschreiben als Mittel zur Trennung von Netzwerken. In der Regel das lokale Netzwerk mit dem Internet. Du besitzt kein Netzwerk, also ist folgliche eine Firewall nicht wirklich notwendig. Empfehlswert ist eher alle unnötigen Dienste zu deaktivieren. Eine Beschreibung dazu findet man unter http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414
Sie ist im Prinzip genauso nutzlos wie der Rest dieser Programme auch. Schade um das schöne Geld.
Solche Tests solltest Du nicht ernst nehmen. Wenn man die Testberichte der PC-Welt zum Thema Sicherheit liest, dann sträuben sich bei mir immer die Haare.
Blödsinn. So eine Funktion hat nichts mit Firewalls zu tun.
Wie ich es mir dachte: Keine wirkliche Fachliteratur.
wizard
Geschrieben von: Mad Max 22.08.2003, 18:36
Vielen, vielen Dank für Eure Info´s.
Tja, da scheint ja meine Auffassung über eine PFW wohl ziemlich daneben zu sein.
Zumindest hat man aber ein gutes Gefühl. Wenn ich bedenke wie oft die Warnmeldung von ZA angeht. Werde mir mal in Ruhe den Artikel " Dienste unter Windows durchlesen,
Nun nochmal eine Frage. Man kann ja die Firewll testen lassen, von Symantec, irgendein Ministerium für Sicherheit und noch eine andere Site.
Ihr mögt mich jetzt für verrückt halten, aber die ZA hat alle Tests bestanden. Alle Ports unsichtbar usw. Nach deren Infos macht ZA ja alles dicht.
Soll ich nun ZA deinstallieren und Kaspersky nehmen oder keine.
Also ganz ehrlich. Mit ner Firewall fühl ich mich irgendwie besser.
Gruss aus Köln und schönes Wochenende und Danke nochmals.
Geschrieben von: Rokop 22.08.2003, 19:19
Seh es einfach mal so: Auch wenn Du eigentlich gar keine brauchst, solltest Du vielleicht etwas über Firewalls lernen. Versuche sie richtig zu verstehen, die Meldungen zu deuten und versuch herauszubekommen, vor was sie Dich nicht schützen kann. Probier auch ruhig mal eine andere PFW aus - mein Vorschlag Outpost. Du wirst sehen, daß jede anders aufgebaut ist und daß Firewalls unterschiedliche Schwerpunkte haben. Zur Sache mit den Ports: Einen Rechner unsichtbar (stealth) zu machen ist im Prinzip Kinderkram und kann unter Umständen sogar Nachteile haben (z.B. never ending Tauschbörsenpings).
Lies einfach folgende FAQ und denke über das geschriebene mal nach:
http://www.rokop-security.de/main/article.php?sid=307
Geschrieben von: wizard 22.08.2003, 20:14
Hier fängt der Blödsinn ja an: Du hast auf Deinem Rechner Dienste laufen, die eventuell Schwachstellen haben, die eventuell Hackern Möglichkeiten bieten Deinen Rechner "zu entern". Diese Dienste brauchst Du aber nicht, weil Du ja kein Netzwerk betreibst. Somit ist der einfachste und effektivste Schutz diese Dienste zu deaktivieren.
Du aber lässt diese Dienste offen und versuchst Sie mit einer Software zu schützen, die eventuell selbst Schwächen hat. Und ZA hatte davon in der Vergangenheit schon genug...
Zum Thema: "Unsichtbare Ports". Das ist totaler Quatsch, der leider immer noch weiterverbreitet wird. Mit "Unsichtbarkeit" hat das nichts wirklich zu tun. Was diese "Stealth" Funktion macht ist, dass sie auf "Anfragen" an bestimmte Ports keine Antwort schickt. Um es mal flappsig auszudrücken: Du hast auf Port 1234 keinen Dienst laufen, der auf diesem Port lauscht. Trotzdem trifft auf diesem Port ein verirrtes Paket oder ein Portscan ein. In diesem Fall erhält der "Anfrager" die Antwort "sorry, aber hier gibt's nichts zu holen". Im Falle von "Stealth" erhält der "Anfrager" gar keine Antwort und kann daraus folgende Schlüsse ziehen:
a) Dein Rechner ist online
B) Du verwendest eine Firewall mit Stealthfunktion
Grade das macht es für einen Hacker erst interessant, denn anstatt der Aussage "hier gibt es nichts" kann der Hacker vermuten, dass bei Dir Dienste hinter der Firewall laufen, die man angreifen kann.
Ein weiteres Problem ist, dass automatische Anfragen, die keine Antworten erhalten sich immer wieder wiederholen, z. B. Filesharingprogramme. In diesem Fall wird das Logfile Deiner Firewall dichtgemüllt und irgentwie ist das ja auch gewollt: Du sollst halt "Angst" bekommen, damit Du auch schön artig immer die neuste Version der Firewall kaufst.
Ich persönliche würde Dir zu keiner raten. Wenn Du aber unbedingt aus "psychologischen Gründen" eine verwenden willst, dann nimm eine kostenlose.
wizard
Geschrieben von: Rokop 22.08.2003, 20:32
Hier noch was zur Unsichtbarkeit:
Schon seit Urzeiten haben sich die Admins an der Frage ob denn nun stealth oder close besser sei die Haare zerrupft. Regelrechte Glaubenskriege sind an dieser Frage herufbeschwört worden und oftmals ließ die Rationalität der Argumentation zu wünschen übrig. daher finde ich, daß man zunächst klären sollte was beide Zustände bewirken:
---
Ausgangssituation: es kommt eine Anfrage von irgendwo angetingelt. Anhand des Ports erkennt der Rechner, daß ein Dienst abgefragt wird, ob er nicht zufällig zur Verfügung stehe (OSI schicht 5). Nach kurzen hochschrecken aus dem Dämmerschlaf, erkennt der Computer, daß am abgefragten Port nichts ist und daher die Aufregung umsonst war. Wie geht es weiter?
a) “closed”: Der Rechner antwortet mit einem Reset und schickt ein ICMP Paket hinterher daß der Dienst nicht verfügbar sei. Die Gegenseite interpretiert die Antwort und zieht von dannen oder wählt stattdessen einen Port, auf dem auch was passiert. Dieser Vorgang ist kurz und schmerzlos. Es ist für den Absender nicht erkennbar ob eine Firewall vorhanden ist oder nicht.
B) “stealth”: Ein Paketfilter fängt die Anfrage auf und ignoriert diese. Die Gegenseite interpretiert, daß aufgrund einer Störung das Paket nicht übermittelt wurde (TCP -> Empfangsbestätigung) und sendet erneut die Anfrage. Dies wird sich solange wiederholen, bis die dahinterstehende Application des Absenders festlegt, daß der timeout für Anfragen erreicht worden sei. Somit ist dieser Vorgang quälend langsam. Die Gegenseite ist nun völlig im Unklaren, was die Ursache für den paket loss sein könnte, weiß aber daß die Pakete wohl zugestellt werden können, da der letzte hop vor dem Ziel kein ICMP "Host unreachable" verschickt hat. Die Firewall hat sich im stealthmode verraten.
Welche Konsequenz hat das nun?
Durch den stealthmode werden nicht nur vermeintliche Angreifer, sondern auch Server und Router im Unklaren gelassen. So könnte auf dem Weg zum Ziel eine Störung dazu führen, daß das Ziel auf dem vorgeschlagenen Weg nicht zu erreichen ist. Ein Router auf den Weg dorthin hat das erkannt und sendet ein ICMP "redirect" an den Anfragenden um diesen doch noch zum Bestimmungsort (über eine vorgeschlagene Route) zu führen. Dummerweise blockt der Client aber icmp, weil er mal gehört hatte daß dies gefährlich sei und gerät deswegen in eine Router - Endlosschleife, die ihn nach minutenlangen warten klarmacht, daß das Ziel nicht erreichbar ist. Oder ein Server ist ausgefallen, normal würde der Router davor eine Meldung ausgeben, die der Browser entsprechend interpretieren könnte. Durch das blocken wiederholt aber stattdessen der Browser ohne Ende die Anfrage bis er in den timeout läuft.
Andere Auswirkung: Jemand ist mit einem Filesharingtool unterwegs und saugt sich genüßlich was zusammen. Plötzlich wird der Host disconnected. Die nun freigewordene IP Adresse wird über dhcp Jemandem zugewiesen, der mit filesharing nichts am Hut hat und stattdessen eine “megastealth firewall” besitzt. Weil nun der Downloader auf der Gegenseite keine Fehlermeldung erhält (remember: Dienst nicht verfügbar) versucht sein Klient unermüdlich die Verbindung wieder herzustellen. “Mr superstealth” hingegen bemerkt in seinem Logfile unzählige Connectversuche von einer IP und zittert angesichts der Warnmeldung, daß er gerade gehäckt würde. Ums kurz zu machen: “stealth” ist nur ein schwachsinniger Marketing Gag, der nicht im geringsten Sicherheit erhöht. Entscheidend ist nicht ob der Rechner sich "totstellt" sondern vielmehr wie die Firewall auf Anfragen reagiert. Gut getarnt heißt: Der Rechner unterscheidet sich in seinem Verhalten nicht durch ungeschüzten Rechner.
Ok soweit meine Erklärung. Ich denke damit läßt sich die Frage weitestgehend beantworten. Abschließend noch ein Gleichnis aus dem Leben:
“closed”: Ich sage meinem Gegenüber direkt ins Gesicht, daß ich nicht zu sprechen bin, weil ich etwas Bestimmtes tun muß. Mein Gegenüber weiß nun bescheid und kann sich darauf einrichten. Die Verhältnisse sind geklärt und der Vorgang als solcher annehmbar für beide Parteien.
“stealth”: Jemand quasselt unaufhörlich auf mich ein, aber ich ignoriere das mit einem neutralen Gesichtsausdruck. Innerlich bin ich genervt, andererseits weiß mein Gegenüber nicht, daß ich gerade meine Ruhe haben will. Als Folge setzt er noch für weitere 20 Minuten den Monolog fort, bevor er verstummt und von dannen zieht. Die Verhältnisse sind im unklaren und der Vorgang als solches ist nervenaufreibend.
Ken
Geschrieben von: Beasty Energy 23.08.2003, 02:24
Ich empfehle Armor2Net zumindest als Unterstützung, Sygate ist auch nicht schlecht, läßt aber einiges ungefragt durch und das hat nichts mit dem Ruleset zu tun. Reine Bugs. Outpost halte ich auch für gut, aber habe ich persönlich schon lange nicht mehr getestet, abgesehen von der Ur-Version (1.0).
Als weiteres zum Weg zu angemessener Sicherheit durch Software:
KAV / RAV / AVK11 oder 12 / TDS-3 und einen String Analyzer wäre wärmstens
zu empfehlen ;-).
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)