GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings: 1 2

zum Seitenende

 Forum Index —› PC Sicherheit —› Maximum Protection Firewall 2006 ??
 


Autor Mitteilung
jasa
Premium-User

Beiträge: 585


Gesendet: 15:40 - 05.01.2006

Hallo
Habe gestern abend auf mein rechner diese Firewall von Data Becker instaliert so wie in der anleitung beschrieben.Komme aber im schutzmodus nicht mehr im Tiscalichat und wenn ich das programm Full-scan öffne dann geht das nicht.Wer kennt sich mit dieser Firewall aus und kann mit tips geben was ich ändern muss.?
gruss jasa
RICO
Power-User

Beiträge: 197


 

Gesendet: 16:31 - 05.01.2006

Hiho jasa,

mal was grundsätzliches, Firewalls auf Rechnern mit denen man Arbeitet sind Sinnlos.

Das konfigurieren einer Firewall bedarf eines gut überlegten Konzeptes sowie tiefgründiges wissen über TCP/IP, sowie das Verwalten von PORTS.

Soll heisen, eine nicht penibel und korrekt eingestellte Firewall ist für das System schädlicher als gar keine.

Ich denke, jetzt werden die Diskussionen losgehen ;-)

Anbei sollte man sich zur Verdeutlichung mal folgenden Artikel durchlesen:

Desktop/Personal Firewalls (PFW) - und warum man sie nicht braucht.

eine Firewall ist ein Sicherheitskonzept, und keine Software, die man installieren kann.

Will man einen Rechner oder ein Netzwerk schützen, benötigt man zuallererst ein Konzept. Daher geht die Sprachregelung meist auch eher dahin, daß, wird von "der Firewall" gesprochen, zunächst dieses Konzept gemeint ist. Dieses beinhaltet u.a., das man sich fragt, was vor welcher Art von Angriff geschützt werden soll.

Eine Firewall, die auf einem System läuft, welches selbst geschützt werden soll, ist meistens sinnfrei, da sie es gerade verhindern muß, daß schädigende Datenpakete zum zu schützenden System vordringen können.
So sind evtl. anfällige Komponenten, welche hätten geschützt werden sollen, bereits durchlaufen worden, bevor die Firewall überhaupt wirksam eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.
Jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und somit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können.
Die Komplexität des zu schützenden Systems wird erhöht. Mehr Komplexität heißt aber zwangsläufig auch mehr Fehlermöglichkeiten und damit weniger Sicherheit.

Sie täuscht dem Benutzer eine falsche Sicherheit vor, da dieser denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet.

Viele werden schon einmal Benutzer gesehen haben, die ohne eine Sekunde des Nachdenkens ein EMail-Attachment geöffnet hatten - und wenn man nachfragt, ob sie keine Bedenken haben, da könnte ein Virus drin sein, kommt fast immer "Wieso, ich hab doch ein Antivirus-Tool!".

Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer hiervon etwas bemerkt.
Vor allem die Regelanpassung zur Laufzeit ist als kritisch anzusehen, da Dialogboxen von Würmern o.ä. schneller 'weggeklickt' werden können, als das sie der Benutzer je zu Gesicht bekommt.

Und Regeln, die der Anwender selbst definieren kann, sofern er diese auch versteht, kann auch ein Wurm verändern, da PFW's meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Nachfolgend einige Beispiele von Software, auf die man besser verzichten sollte:
Norton Internet Security und Norton Personal Firewall, BlackIce (Defender), ZoneAlarm, Sygate Personal Firewall, Lockdown2000, Outpost u.a.... und natürlich der der Kram von DataBecker
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 16:52 - 05.01.2006

Zitat:
Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer hiervon etwas bemerkt.


Ich will die Diskussion mal " ketzerisch" eröffnen:
Warum wird denn dann allenthalben von einer Desktop - Firewall Land auf Land ab ständig geredet und diese auf seinem Rechner zu installieren?
Auch dann noch, wenn bereits eine, im Router eingebaute, existiert?

Der Artikel von Dir spaltet sicherlich die Gemeinde.

Dennoch, eine richtig eingestellte Desktop Firewall ist in jedem Fall besser als gar keine.
So falsch kann man/ich doch nicht liegen.Oder?

Gotti
tommes
Boardmeister

Beiträge: 979


 

Gesendet: 20:38 - 05.01.2006

mal eine frage rico:

soweit ich weiss, brauchst du zum normalen surfen port 80, für ftp transfer nochmal port 20 und 21.

den rest sollte eigentlich die firewall dichtmachen, der rest sollte über die einstellungen geregelt werden können.

liege ich falsch?

thomas
stolzwieoscar
Boardkaiser

Beiträge: 3055


 

Gesendet: 20:53 - 05.01.2006

auch hier steht was geschieben....
http://imt.uni-paderborn.de/unser-angebot/anleitungen/internetattacken/#Acht_goldene_Regeln_zur_Sicherheit_im_Netzverkehr
Zitat:
Ich denke, jetzt werden die Diskussionen losgehen ;-)

...sorry RICO ich werde mich nicht daran beteiligen..

Rolli
RICO
Power-User

Beiträge: 197


 

Gesendet: 22:07 - 05.01.2006

Portfilter
Portfilter sind der einfachste Typ einer Firewall.
Die Aufgabe eines Portfilter besteht darin, den Zugriff auf die TCP/IP- und UDP-Ports des zu schützenden Rechners oder Netzwerks zu regeln und den Bereich ICMP zu regulieren. Zum Verständnis dieser Funktionsweise sind gute Kenntnisse des TCP/IP-Protokolls durchaus hilfreich. Zumindest ist aber ein über einen bloßen Überblick hinausgehendes Verständnis erforderlich.
Die Funktion eines reinen Portfilters beschränkt sich darauf, den Zugriff auf bestimmte Ports aus einer bestimmten Richtung explizit zu verbieten oder zu erlauben und auch nur den Zugriff auf bestimmte Ports vom eigenen Rechner/Netzwerk aus ins Internet zu ermöglichen.
Was kann ein Portfilter überwachen bzw. regeln?
Einem Portfilter stehen folgende Daten zur Überprüfung der Datenpakete zur Verfügung:
o Quelladresse des Pakets (IP-Adresse des Absenders)
o Quellport des Pakets
o Zieladresse des Pakets (IP-Adresse des Empfängers)
o Zielport des Pakets
o Nur bei TCP-Verbindungen: Von wo geht die Verbindung aus?
(Wird über ein Flag ermittelt, das nur beim ersten Paket einer Verbindung gesetzt ist).
o Bei ICMP: ICMP-Typ des Pakets
Anhand dieser Daten kann ein Portfilter entscheiden, ob das Datenpaket durchgelassen werden darf oder nicht. Alle weitergehenden Filtermöglichkeiten gehen über einen reinen Portfilter hinaus.
Welches Maß an Sicherheit kann man über einen Portfilter erreichen?
Ein Portfilter allein ist zwar sicherer als eine Verbindung ohne Portfilter, er liegt jedoch von der Sicherheit am unteren Ende der Skala.
Man kann einen Portfilter so konfigurieren, daß von außen ausgehende Verbindungen grundsätzlich blockiert werden, ohne daß dadurch der Nutzwert für den Benutzer deutlich eingeschränkt wird. Alle "normalen" Dienste können so problemlos genutzt werden.
Sollte es unumgänglich sein, daß am heimischen Rechner Dienste für das Internet angeboten werden, so kann man selbst bestimmen, welche Ports geöffnet werden und welche Dienste hinter den jeweiligen Ports auf die Benutzer warten.
Eine gut implementierte und konfigurierte Portfilter-Firewall kann also recht zuverlässig den unerlaubten Zugriff von außen auf den eigenen Rechner verhindern.
Das gilt auch z.B. für den Fall, daß man sich versehentlich ein Trojanisches Pferd (BackOrifice, NetBus,...) installiert hat, das passiv am heimischen Rechner auf die Befehle eines Trojanerclients im Internet wartet. Dieser hätte ja keinen Zugriff, da Verbindungen von außen grundsätzlich unterbunden werden. Allerdings hat hier der Anwender schon den ersten Fehler gemacht, als er den Trojaner installiert hat.
Voraussetzung ist weiterhin, daß der Trojaner nicht in der Lage ist, die Firewall abzuschalten!
Ganz anders sieht die Sache aus, wenn man interne Sicherheitsprobleme hat oder einen Trojaner laufen hat, der von sich aus aktiv wird.
Warum dies?
Um selbst z.B. im Internet surfen zu können, müssen Sie Verbindungen von einem Ihrer Ports zum Port 80 des Gegenübers zulassen. Normalerweise wartet dort ein normaler HTTP-Server zur Übertragung von Webseiten auf Sie.
Da Sie allerdings keinen Zugriff auf die Server im Internet haben, kann auch ein übler Zeitgenosse seinen Server so konfiguriert haben, daß auf Port 80 ein Dienst darauf wartet, daß von einem Trojaner Paßwortdateien (beispielsweise) übertragen werden. Für Ihren Portfilter sieht das exakt genauso aus, wie eine HTTP-Verbindung, mit der Sie Webseiten für Ihren Browser anfordern. Ein reiner Portfilter kann keinen Unterschied zwischen einer gewollten und einer ungewollten Übertragung feststellen.
Es gibt zwar auch Programme, die z.B. prüfen, welches Programm eine Verbindung aufbauen will und diese Tatsache auch in die Zulassungsregeln einbauen, oder die die Gültigkeit einer Regel vom Laufen eines bestimmten Programmes abhängig machen. Dies kann die Sicherheit gegenüber Trojanischen Pferden deutlich erhöhen, wohl gehen diese Funktionen aber über einen reinen Portfilter deutlich hinaus.
Mittlerweile gibt es auch Portfilter-Firewalls, die eine Content-Überprüfung (also eine Prüfung der übertragenen Daten) beinhalten. Hiermit kann die Sicherheit nochmals deutlich erhöht werden.
Allerdings muß man einer beachten: diejenigen Portfilter, die Zugriffe auf das Internet nur für bestimmte Programme freigeben, fragen den Programmnamen bei den Programmen selbst nach. Ein Programm kann also recht einfach vortäuschen, eine berechtigte Anwendung zu sein. Es gibt zwar momentan keine Berichte über eine solche Vorgehensweise, das heißt jedoch nicht, daß es sowas nicht gibt. Es bedeutet nur, daß man bislang einem solchen Problem nicht auf die Schliche gekommen ist.
Allerdings kann ein Programm problemlos einen Firewalldienst beenden, wenn Sie als Administrator angemeldet sind und das Programm den Dienstnamen herausfindet (was kein Problem ist). Dann ist Ihre Firewall ausgeschaltet und das Programm kann frei kommunizieren. Ein Trojaner-Programmierer mit Weitblick geht möglicherweise auch nicht so plump vor, sondern fügt der Firewall eine Regel hinzu, die seinem Programm die freie Kommunikation ermöglicht. Wer überprüft schon täglich sein Regelwerk?


Hier nun die grundsätzlichsten Regeln, mit deren Hilfe Sie Ihre Portfilter-Firewall für Ihre Bedürfnisse optimal konfigurieren können:

DNS (Namensauflösung von Rechnernamen zu IP-Adressen)

DNS ist der mit Sicherheit im Internet am häufigsten genutzte Dienst, der sich allerdings weitgehend vom Benutzer unbemerkt im Hintergrund abspielt. DNS nimmt insofern eine Sonderstellung ein, als standardmäßig die Namensauflösung per UDP von einem Port >1023 auf den Port 53 des DNS-Servers erfolgt. Das Ergebnis kommt vom Port 53 auf den selben UDP Port zurück.
Sollten die UDP-Pakete allerdings verloren gehen, so wird die Namensauflösung per TCP nach dem gleichen Schema wiederholt.
Resultierende Regeln:
Ports 1024 - 65535 (UDP) intern <-> Port 53 (UDP) extern
Ports 1024 - 65535 (TCP) intern -> Port 53 (TCP) extern

HTTP (Übertragung von Webseiten und Dateien)
Ihr Rechner baut von einem unprivilegierten Port (1024 - 65535) eine TCP-Verbindung zu Port 80 des Zielrechners auf und fordert die entsprechenden Webseiten an, die dann gleich über diese Verbindung übertragen werden.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 80 (TCP) extern

SMTP (Versand von E-Mail)
Ihr Rechner baut von einem unprivilegierten Port (1024 - 65535) eine TCP-Verbindung zu Port 25 des Zielrechners auf und überträgt die entsprechenden Daten über die selbe Verbindung.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 25 (TCP) extern

POP3 (Abholung von E-Mail)
Ihr Rechner baut von einem unprivilegierten Port (1024 - 65535) eine Verbindung zu Port 110 des Zielrechners auf und fordert die Nachrichten an, die über die bestehende Verbindung zu Ihrem Rechner übertragen werden.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 110 (TCP) extern

IMAP4 (Abholung von E-Mail und Postfachverwaltung)
Ihr Rechner baut von einem unprivilegierten Port (1024 - 65535) eine Verbindung zu Port 143 des Zielrechners auf und fordert die Nachrichten an, die über die bestehende Verbindung zu Ihrem Rechner übertragen werden.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 143 (TCP) extern
Unterschied zu POP3:
Bei Verwendung des IMAP-Protokolls liegen die Mails auf dem Server und müssen nicht zwingend heruntergeladen werden. Damit ist der Zugriff von verschiedenen Arbeitsplätzen aus problemlos möglich. Außerdem können auch mehr oder weniger komplexe Ordnerstrukturen angelegt und verwaltet werden. Man ist nicht (wie bei POP3) auf den Posteingang beschränkt.

FTP (Übertragung von Dateien)
Unterschied aktives und passives FTP
FTP ist einer der schwieriger zu konfigurierenden Dienste, vor allem da es zwei verschiedene Arten des FTP gibt, die verschiedene Portfiltereigenschaften haben: aktives und passives FTP. Grundsätzlich sollte man passivem FTP den Vorzug geben, da hier alle Verbindungen vom Client aus aufgebaut werden. Beide Arten des FTP laufen komplett im Bereich TCP ab.
Im aktiven Modus baut der Client eine Verbindung von einem Port >1023 zum Port 21 des Servers auf (Kommandokanal). Der Server bestätigt die Verbindung und baut eine Verbindung von seinem Port 20 zu einem Port >1023 des Client auf (Datenkanal).
Im passiven Modus baut der Client eine Verbindung zum Port 21 des Servers auf. Dieser antwortet auf das Kommando "PASV" des Client mit einer Portnummer (unprivilegiert). Zu diesem vom Server übermittelten Port baut der Client dann von einem unprivilegierten Port ausgehend eine Verbindung auf. Beim Einsatz einer reinen Portfilterfirewall ist dieser Version der Vorzug zu geben, da hier keine von außen initiierte Verbindung zugelassen werden muß.
Resultierende Regeln:
aktives FTP:
Ports 1024 - 65535 (TCP) intern -> Port 21 (TCP) extern
Ports 1024 - 65535 (TCP) intern <- Port 20 (TCP) extern (!!!)
passives FTP:
Ports 1024 - 65535 (TCP) intern -> Port 21 (TCP) extern
Ports 1024 - 65535 (TCP) intern -> Ports 1024 - 65535 (TCP) extern

NNTP (Newsübertragung)
Zur Übertragung von News baut der Client von einem unprivilegierten Port eine Verbindung zum Port 119 des Newsservers auf. Diese Verbindung wird auch zur eigentlichen Übertragung genutzt.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 119 (TCP) extern

Telnet (Terminalsitzung)
Eine Terminalsitzung wird üblicherweise von einem unprivilegierten Port zum Port 23 des Telnetservers aufgebaut. Über diese TCP-Verbindung werden auch die Telnet-Daten übermittelt.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 23 (TCP) extern

whois (Ermittlung von Domain-Registrierungsdaten)
Der whois-Client baut eine TCP-Verbindung von einem unprivilegierten Port zum Port 43 des whois-Servers auf, die auch für die Datenübermittlung genutzt wird.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 43 (TCP) extern

IRC (Internet Relay Chat)
Ein IRC-Client baut üblicherweise eine Verbindung von einem unprivilegierten Port zum Port 6667 des IRC-Servers auf.
Manche Clientprogramme bieten auch die Möglichkeit, eine 'Direct Client Connection' (DCC) aufzubauen, bei der die Clients direkt miteinander kommunizieren. Hier wird zum Verbindungsaufbau die gleiche Verbindung wie beim Server-Chat verwendet, anschließend bauen aber die Clients eine direkte Verbindung zwischen zwei unprivilegierten Ports auf. Dies sollten Sie jedoch nicht zulassen, da Sie sonst alle unprivilegierten Ports für Verbindungen von außen öffnen müssen.
Resultierende Regel:
Ports 1024 - 65535 (TCP) intern -> Port 6667 (TCP) extern
(DCC: Ports 1024 - 65535 (TCP) <-> Ports 1024 - 65535 (TCP))
Elron
Power-User

Beiträge: 179


 

Gesendet: 01:11 - 06.01.2006

Schön und gut, nur viele anderen (und ich auch) sitzen hinter 'nem Router und damit ist der PC von Außen überhaupt nicht direkt erreichbar.

Am sinnvollsten ist es, beim Surfen im Internet folgendes einzuhalten:

1. Öffne grundsätzlich keine ausführbaren Dateien (nicht nur exe, sondern auch andere wie z.b. vbs, bat, scr usw), die du nicht kennst oder die ungewöhnlich vorkomen, klicke nicht einfach bei Dialogfeldern auf ja und lies dir alles genau durch. Wenn ein Download während des surfens unerwartet sich öffnet, wegklicken.
Man sollte darauf achten, dass Windows standardmäßig die Dateierweiterungen ausblendet, sprich eine ausführbare datei namens "bild.jpg.exe" würde als "bild.jpg" dargestellt und wenn die ausführbare Datei noch dasselbe Symbol verwendet, würde jeder unerfahrende PC-Benutzer vermuten, dass es sich um ein Bild handelt.
Anzeigen der Dateierweiterungen: Irgendeinen Ordner öffnen -> "Extras" -> "Ordneroptionen" -> "Ansicht" -> "Erweiterungen bei bekannten Dateitypen ausblenden" Häkchen weg.
2. Verwende einen immer aktuellen Virenschutz, wenn möglich immer wenn man Online geht aktualisieren.
3. Verwende eine Personal Firewall um alle Programme zu überprüfen, die Online gehen wollen.
4. Passwörter: Sichere Passwörter ausdenken, nicht einfach sowas wie 13061969 oder test oder test1980 oder 123test123, am besten einen Satz ausdenken, wo viele Nebensätze / und / Kommas vorkommen:
"Fritz geht in die Schule und sein Freund Bert, der zwölf Jahre alt ist, auch."
Danach Nur die Anfangsbuchstaben nehmen, Unds durch "&" ersetzen.:
"FgidS&sFB,d12Jai,a"
Danach dann noch nach Belieben zeichen austauschen:
I = 1
z = 2
E = 3
A = 4
S = 5
T = 7
B = 8
g = 9
o = 0
usw:
z.B: "F91d5&sFB,d12Ja1,a"
das ist dann sicher genug...

Dieses Passwort sollte man jedoch nicht überall (z.B. auf (unbekannten) Foren) verwenden, da man nicht weiß, ob der Seitenbetreiber die Passwörter verschlüsselt speichert und ob sie nicht veröffentlicht o.ä

Und noch was zur Netzwerksicherheit:
Da professionelle Hacker es wohl kaum auf Privatanwender vorgesehen haben (eher auf große Firmen), sondern eher sog. Script-Kiddies, ist es sehr hilfreich eine Personal Firewall zu verwenden, die es ihnen ungemein erschwert und nicht zuletzt um eine Internet-Zugriffskontrolle für Programme zu haben.
Denn schließlich wurde Sonys Rootkit XCP als erstes von ZoneAlarm geblockt (auch ohne vorheriges Update), alle Antivirenprogramme habe selbst nach dem Bekanntwerden nichts machen können.

Selbst mit einem aktuellen Virenscanner kann man infiziert werden, denn schließlich werden Viren ja erst nach zahlreichen Infektionen entdeckt und in die Suche eingebunden.

Password-Checkliste: http://www.microsoft.com/athome/security/privacy/password.mspx
Passwort-Prüfer:
http://www.microsoft.com/athome/security/privacy/password_checker.mspx
Liste aller ausführbaren Dateiendungen: http://antivirus.about.com/od/securitytips/a/fileextview.htm
Sonys Rootkit: http://www.heise.de/newsticker/meldung/65602

Aber wenn man in das Fadenkreuz eines "richtigen" Hackers kommen würde, hätte man meiner Meinung nach keine Chance, den Angriff zu blocken.

Gruss, elron
Elron
Power-User

Beiträge: 179


 

Gesendet: 01:40 - 06.01.2006

Ach ja und noch etwas sehr Wichtiges bei geteilten Netzwerken (Internetcafés, Schulrechner ect):
Keine einzige firewall blockt APR-Attacken:
http://www.oxid.it/downloads/apr-intro.swf
Aa ist alles genauestens erklärt.

Diese Attacke funktioniert zwar nur Intern, jedoch ist die Wirkung verheerend:
der Angreifer kann jedes und wirklich jedes Packet mit "abhören", selbst verschlüsselte Verbindungen via HTTPS können damit problemlos unverschlüsselt aufgezeichnet werden...

Und dagegen hat bisher noch niemand etwas getan, diese Sicherheitslücke klafft schon seit mindestens 1 Jahr...
das einige Programm, das ich kenne ist XArp (http://www.chrismc.de/developing/xarp/), welches freundlicherweise kostenlos ist.
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 13:25 - 06.01.2006

Hier mal ein Beitrag, der m. E. sehr gut und verständlich sich an die alle wendet, die wie ich, nicht zu den Experten gehören und dennoch das Sicherheitsbedürfnis haben, ihren PC so sicher wie möglich zu machen:

http://www.pc-experience.de/wbb2/thread.php?threadid=4688&boardid=20&sid=


Gotti
jasa
Premium-User

Beiträge: 585


 

Gesendet: 15:06 - 06.01.2006

Leute ich hatte doch die Frage gestellt das ihr mir helft und kein PC-Fachchinesich austaucht,wer kann mir helfen.Hier bin ich
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 19:13 - 06.01.2006

Zitat:
Leute ich hatte doch die Frage gestellt das ihr mir helft und kein PC-Fachchinesich austaucht,wer kann mir helfen

..sehe ich auch so, also ran Ihr Experten!

Gruß

Gotti

Seiten mit Postings: 1 2

- Maximum Protection Firewall 2006 ?? -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› Maximum Protection Firewall 2006 ??
 



Version 3.1 | Load: 0.003064 | S: 1_2