Zonealarm im Kreuzfeuer

[sven@mainz]

Bei Heise war heute eine interessante Abhandlung über Zonealarm und die Möglichkeiten, "nach Hause" zu telefonieren, ohne daß Zonealarm dieses mitbekommt.

http://www.heise.de/newsticker/meldung/68725

 

[gandalf94305]

Zonealarm taugt in der Tat recht wenig, auch wegen seiner etwas eingeschränkten Konfigurationsmöglichkeiten. Mein Personal Firewall derzeit ist http://www.sunbelt-software.com/Kerio.cfm (früher Kerio, nun ein anderes Unternehmen, das das Produkt vertreibt). Die Grundversion ist frei für Privatanwender.

--gandalf.

 

[ploieel]

Hallo alle hier;
ich glaube, es ist ziemlich überflüssig, hier eine Diskussion über das für und wider einer bestimmten Personal-Firewall zu führen.

Da wird einfach JEDER User seine eigene Meinung haben. Zumal das Spektrum der verfügbaren diesbezüglichen Software ja auch recht breit gefächert ist.

Was tun die meisten User, die eine derartige Firewall benutzen? Sie klicken nach der 5. Warnung entnervt auf "ja" oder "Zugriff gestatten" oder so ähnlich, und weg ist der Nutzen einer solchen Software-Lösung.

Am besten ist es nach meiner Meinung immer, eine Hardware-Firewall zu installieren, die sämtliche nicht unbedingt benötigten Ports sperrt. Gegebenenfalls kann man ja dort auch temporär benötigte Ports öffnen... Damit hat man erst einmal die schlimmsten Einfallstore für Trojaner, Viren usw. verschlossen. Dazu dann noch NIEMALS e-mail-Anhänge unbekannter Absender öffnen, sondern IMMER sofort löschen!

Eine Personal-Firewall kann und soll doch auch nur dazu eine Ergänzung sein; und die braucht einen Haufen Pflege. JEDE Meldung muss geprüft und entsprechend quittiert werden!!

Am Besten ist es immer, ausschließlich in vertrauenswürdigen Gebieten zu surfen; KAZAA, Emule und Konsorten sind das mit ABSOLUTER Gewissheit nicht!! ;-) Aber das wird Euch ja sicher allen schon bekannt sein.

 

[sven@mainz]

Am besten ist es nach meiner Meinung immer, eine Hardware-Firewall zu installieren, die sämtliche nicht unbedingt benötigten Ports sperrt. Gegebenenfalls kann man ja dort auch temporär benötigte Ports öffnen... Damit hat man erst einmal die schlimmsten Einfallstore für Trojaner, Viren usw. verschlossen. Dazu dann noch NIEMALS e-mail-Anhänge unbekannter Absender öffnen, sondern IMMER sofort löschen!

Warum soll ich Ports sperren, die hinter denen kein Programm lauscht? Wenn ein Router benutzt wird, ist von außen her erst mal alles zu, dazu brauche ich keine Software.
Eine Firewall (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Was) ist weder Hard- noch Software, sondern zuerst einmal ein Sicherheitskonzept.
Und eine Mail kann ich durchaus öffnen, wenn mein Mailprogramm diese mir im Textformat anzeigt. Ich will ja schließlich sehen, was drin steht und auch den Header in Augenschein nehmen.

Ich empfehle mal http://linkblock.de mal zu studieren. Da ist das Wichtigste zu dem Thema drin.

 

[ploieel]

Warum soll ich Ports sperren, die hinter denen kein Programm lauscht? Wenn ein Router benutzt wird, ist von außen her erst mal alles zu, dazu brauche ich keine Software.
Eine Firewall (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Was) ist weder Hard- noch Software, sondern zuerst einmal ein Sicherheitskonzept.
Und eine Mail kann ich durchaus öffnen, wenn mein Mailprogramm diese mir im Textformat anzeigt. Ich will ja schließlich sehen, was drin steht und auch den Header in Augenschein nehmen.

Ich empfehle mal http://linkblock.de mal zu studieren. Da ist das Wichtigste zu dem Thema drin.

Nur mal ganz kurz noch dazu:

Ich schrieb, das man keinen e-mail-ANHANG unbekannten Ursprungs öffnen sollte. Tut man das, so kann man dann ein Schad-Programm installiert haben, das hinter einem Port lauscht... dann kommt vom Absender eine Anfrage auf diesen Port, und schon ist der Angriff fertig. Dafür kann man prinzipiell jeden nicht-standard-Port oberhalb von 1024 nutzen. Wenn ein Router benutzt wird, der eine Firewall integriert hat, ist von außen her ersteinmal alles zu, das ist richtig. Aber wenn ein Schadprogramm installiert ist, funktioniert das eben nicht mehr so. Dann ist dessen Port von innen aus dem LAN her sozusagen aufgestoßen worden.


Und insgesamt hat es sich bei diesem Thread um das Thema Personal-Firewalls gehandelt, ausgehend von Zonealarm und seiner Unzulänglichkeiten.;-)

Danke für die Links, man kann ja immer noch dazulernen.

 

[sven@mainz]

Ich schrieb, das man keinen e-mail-ANHANG unbekannten Ursprungs öffnen sollte.

Öffnen kann man schon, z.b. mit einem Hex-Editor (wenn nicht vorher der Virenscanner Alarm schreit), aber starten sollte man tunlichst unterlassen.
Insbesondere, wo jetzt die neueste Masche ist, einem nicht mehr einen Wurm unterzujubeln, der sich nur massiv verbreitet, sondern ein Programm, welches möglichst unauffällig im Hintergrund werkelt und auf Befehle von außen wartet.

 

[ploieel]

Öffnen kann man schon, z.b. mit einem Hex-Editor (wenn nicht vorher der Virenscanner Alarm schreit), aber starten sollte man tunlichst unterlassen.
Insbesondere, wo jetzt die neueste Masche ist, einem nicht mehr einen Wurm unterzujubeln, der sich nur massiv verbreitet, sondern ein Programm, welches möglichst unauffällig im Hintergrund werkelt und auf Befehle von außen wartet.

Manche Trojaner-Autoren sind inzwischen so dreist, dass sie ihr Programm direkt in den root-Ordner schreiben lassen (unter C:\); und eine Vielzahl von "unbedarften" Usern merkt das nicht mal. Ich hatte da heute erst so einen Fall, da werkelte eine dd9.exe. Erst mal sehen, was das für ein Teil ist, bisher habe ich noch nichts schlüssiges darüber gefunden. Und eine ts.exe, auch direkt an der Wurzel. Was soll man dazu sagen...

 

[sven@mainz]

So was hatte ich selbst mal vor mir (war zwar im Windoof-Verzeichnis), das waren 2 Programme als Dienste, hat man eines abgeschossen, so hat das andere dieses wieder unter anderem Namen kopiert und gestartet. Die Lösung war nur möglich, die Wiederherstellungskonsole zu starten, (vorher natürlich die Namen der beiden Dateien merken), und die Exen dann auf der Platte zu killen. Selbst im abgesicherten Modus haben diese sich geladen.