Quelle siehe oben: "Mehr Sicherheit im Internet -Schluß mit Überfällen aus Netz."
Eine Firewall benötigt wird immer dann benötigt, wenn...
die Möglichkeit zur Verfügung stehen soll, das Dateien des lokalen Rechners über das Internet erreicht werden können.
ein WebServer betrieben wird
eine Remote-Access Software wie zum Beispiel PC-Anywhere, Laplink oder WinGate verwendet wird.
der Rechner vor Einbruchsversuchen dritter geschützt werden soll
der Rechner vor Trojanischen Pferden wie NetBus oder BackOrifice geschützt werden soll. Mit anderen Worten: Jede Person mit Internet-Zugang sollte auch eine FireWall betreiben.
Im Focus: ZoneAlarm
Sehr praktisch an ZoneAlarm ist, das das Programm praktisch direkt nach der Installation - und zwar ohne Konfigurationsaufwand - verwendet werden kann. In diesem Fall werden alle Verbindungsversuche zunächst unterdrückt: ZoneAlarm blendet in einem solchen Fall eine Dialogbox ein. Diese zeigt an, wer der Auslöser des Verbindungsversuches ist, in welche Richtung die Verbindung gehen soll (ein- oder ausgehend) und fragt dann nach, ob die Verbindung zugelassen werden soll.
Diese Meldungen werden bei einigen Programmen natürlich schnell lästig - ein Browser baut zum Beispiel ununterbrochen irgendwelche Verbindungen auf. Für diesen Fall hat die Dialogbox eine Option mit der ZoneAlarm mitgeteilt werden kann, das für das betroffene Programm und die betreffende Verbindungsrichtung die einmal vorgenommene Auswahl beibehalten werden soll. Wird die Option verwendet, so erfolgen in Zukunft keine Rückfragen mehr.
Man kann ZoneAlarm aber auch vollständig manuell konfigurieren. Dazu unterscheidet das Programm zwischen zwei \'Zonen\': Dem Lokalen Netzwerk (LAN) und dem Internet.
Welche Rechner, IP Adressen und Netzwerkadapter mit den zugehörigen Subnetzen zu welcher Zone gehören sollen legt ZoneAlarm per Default bereits einigermaßen sinnvoll fest - es ist aber auch möglich Veränderungen so vorzunehmen, das zum Beispiel ein privater Rechner der per Dial-In Verbindung mit dem lokalen Rechner aufnimmt, aber nicht Teil des lokalen Subnetzes ist, dennoch als Teil der \'LAN\' Zone betrachtet wird: Das führt dann logischerweise dazu, das die weniger strengen Sicherheitseinstellungen auch für nicht lokale Rechner verwendet werden können.
Außerdem kann mit ZoneAlarm für alle Programme festgelegt werden, ob diese Pakete ins Internet oder ins LAN schicken dürfen, ob sie solche Pakete annehmen dürfen, und ferner, ob die Programme selbst als Server fungieren können...."
Na, ich wünsche Dir, daß Du den nervus rerum in anderen Fällen schneller findest - überlege mal gaaanz intensiv 2 Minuten, was dieses 'uns' sagen soll.
Ist dir ein Einfall gekommen? Richtig - was der Betreiber dieses Forums, ein ziemlich erfahrener Webmaster und Autor zum Thema Netzwerke, der Dir diesen Webspace hier zur Verfügungs stellt, zum Thema Firewalls zu sagen hat.
Solltest Du auch, was ich selbstverständlich für undenkbar halte, aber einige auf dem Brett hier gerne machen, zu denen gehören, die gelegentlich die Kernaussage überlesen, hier noch einmal:
>>>Jede Person mit Internet-Zugang sollte auch eine FireWall betreiben.
Gruß
A4.
So hab' ich das auch verstanden. Allerdings ist der Text, auf den Du Dich beziehst, 3 Jahre alt.
In diesen 3 Jahren haben sich viele Leute Gedanken gemacht, wie man solch "lästige" Desktop-Firewalls austricksen kann (ein paar dieser Ergebnisse kannst Du dem Posting von Poly entnehmen).
...und in diesen 3 Jahren haben sich auch die Hersteller von Desktop-Firewalls Gedanken gemacht, wie man diese so verbessert, daß die 'Tricks' nicht funktionieren.
In diesem Fall werden alle Verbindungsversuche zunächst unterdrückt: ZoneAlarm blendet in einem solchen Fall eine Dialogbox ein. Diese zeigt an, wer der Auslöser des Verbindungsversuches ist, in welche Richtung die Verbindung gehen soll (ein- oder ausgehend) und fragt dann nach, ob die Verbindung zugelassen werden soll.
Diese Meldungen werden bei einigen Programmen natürlich schnell lästig - ein Browser baut zum Beispiel ununterbrochen irgendwelche Verbindungen auf. Für diesen Fall hat die Dialogbox eine Option mit der ZoneAlarm mitgeteilt werden kann, das für das betroffene Programm und die betreffende Verbindungsrichtung die einmal vorgenommene Auswahl beibehalten werden soll. Wird die Option verwendet, so erfolgen in Zukunft keine Rückfragen mehr.
hihi, hehe,
da kam die ironie nicht rüber (is ja aber auch schwer)
aber es geht ja schon wieder los.
ich halte mich da ab sofort raus.
ich habe meine meinung zu dem thema geäussert (mit den links) und gut is.
Jaja, der thread wird mir glaube ich noch lange lange nachhängen :|
>>>Jede Person mit Internet-Zugang sollte auch eine FireWall betreiben.
Das möchte ich noch einmal unterstreichen.
Wenn jemand ohne Firewall am Einzelplatz in das Internet geht, ist das sein Risiko, er muss jedoch damit rechnen, dass er mit einer höheren Wahrscheinlichkeit angegriffen wird, als ohne richtiger Firewalleinstellung.
Wer ein Netzwerk ohne richtiger Firewalleinstellung an das Intertnet koppelt, handelt grob fahrlässig.
Was ist das eine richtige Firewalleinstellung?
Am besten ist nach wie vor eine externe Firewall .
Wo man keine einsetzen kann, muss eben eine Onboard-Firewall ausreichen.
Die richtige Einstellung wird bei vielen Firewalls gleich nach der Installation verwirklicht, es handelt sich bei diesen Einstellungen um die Standardvorgaben der Firewallsoftware.
z.B. bei XP:
Netzwerkeigenschaften für DFÜ-Verbindung bzw. Breitband > Erweitert >Haken im oberen Abschnitt bei Firewall setzen.
Wichtig dabei ist, dass die ICMP-Einstellungen so verwirklicht sind, dass "Zeitüberschreitung der Anforderung" bei einem Internet-Ping-Sender erscheint. Daraus ergibt sich für einen evtl. Angreifer meistens der Grund, nichts weiteres zu unternehmen.
Bei Windows sollte die Firewall immer als Dienst eingerichtet sein.
Die Firewallsoftware ist aber immer nur ein Teil eines stets existierenden Firewall-Sicherheits-Konzepts bestehend aus:
* der menschliche Faktor (nicht überall bei Klickmich klicken)
* Backupstrategie
* Virenschutz
* Malwareentfernungssoftware
* und andere Maßnahmen
>>Die richtige Einstellung wird bei vielen Firewalls gleich nach der Installation verwirklicht, es handelt sich bei diesen Einstellungen um die Standardvorgaben der Firewallsoftware. Sorry, aber solange jeder PC von Hardware, Software und den Bedürfnissen des Users verschieden ist, ist das schlicht und ergreifend Unfug.
>>die Protokolle TCP, UDP und ICMP sind doch überall gleich, Du kannst mich gerne korrigieren? Wenn ich von unterschiedlicher Softwareausstattung und unterschiedlichen Benutzerbedürfnissen rede, meine ich eigentlich nicht die Protokolle...
Und wenn Du "Zeitüberschreitung der Anforderung" mit Hilfe des Firewalls einstellt, so funktioniert das auf jeden Rechner, auf welchem sich die Firewall mit der gleichen Systemversion ordnungsgemäß installieren läßt.
Das liegt daran, dass das durch die ICMP-Einstellungen gemacht wird und das ICMP-Protokoll ist überall gleich.
Die Schlagzeilen:
-Genial: Paketfilter können auch noch mehr als Echo Reply blocken
-Überflüssig: Forumteilnehmer erzählt schon wieder einen vom ICMP und wie toll man das blocken kann, auch wenn es gar nicht darum ging
Wenn ein Paketfilter in der Standardkonfiguration Ports blockt, die du benötigst oder erwünschte Übertragungen blockiert, kann man dieses Problem nicht lösen, indem man Echo Reply deaktiviert...
PS:Ich warte immer noch auf deine Erklärung für meine Ethereal-Beobachtungen
...jeder softwareentwickler steht nunmal vor der aufgabe eine standardeinstellung (gerade für unerfahrene user...) zu implementieren - was bitte ist daran so schlimm? nichts - es ist sinnvoll und verhindert kein weiteres definieren von regeln.
Man kann ZoneAlarm aber auch vollständig manuell konfigurieren. Dazu unterscheidet das Programm zwischen zwei \'Zonen\': Dem Lokalen Netzwerk (LAN) und dem Internet.
Unterscheidet ZoneAlarm (oder ZoneAlarm Pro) auch zwischen ICMP Requests und Replies sowie zwischen allen ICMP-Typen?
Außerdem kann mit ZoneAlarm für alle Programme festgelegt werden, ob diese Pakete ins Internet oder ins LAN schicken dürfen, ob sie solche Pakete annehmen dürfen, und ferner, ob die Programme selbst als Server fungieren können...."
Kann ZA (oder ZA Pro) auch unterscheiden, ob der User selbst auf Buttons klickt oder ob das eine Malware für ihn erledigt?
Wenn jemand ohne Firewall am Einzelplatz in das Internet geht, ist das sein Risiko, er muss jedoch damit rechnen, dass er mit einer höheren Wahrscheinlichkeit angegriffen wird, als ohne richtiger Firewalleinstellung.
Bitte, bitte: Was bedeutet GENAU dieses "angegriffen"???
Wichtig dabei ist, dass die ICMP-Einstellungen so verwirklicht sind, dass "Zeitüberschreitung...
Geht DAS wieder los... lies endlich RFC 792. Du verbreitest entweder unwissentlich oder absichtlich Fehlinformationen. (nein, das ist kein persönlicher Angriff, sondern Fakt.)
>Wichtig dabei ist, dass die ICMP-Einstellungen so verwirklicht sind, dass "Zeitüberschreitung der Anforderung" bei einem Internet-Ping-Sender erscheint. Daraus ergibt sich für einen evtl. Angreifer meistens der Grund, nichts weiteres zu unternehmen.
UND
>Geht DAS wieder los... lies endlich RFC 792. Du verbreitest entweder unwissentlich oder absichtlich Fehlinformationen. (nein, das ist kein persönlicher Angriff, sondern Fakt.)
RFC 792 hab ich, wie gesagt, schon mehrfach gelesen und dazu noch RFC 950 und RFC 1256.
Ich glaube, dass Du in dieser Beziehung unrecht hast, weil Du diesen Sachverhalt falsch auffasst.
Na gut, also noch einmal und diesmal zum Nachdenken und Aufnehmen sowie zum Verarbeiten:
Es gibt sicherlich mehrere Lösungen, die "Zeitüberschreitung der Anforderung" als Fehlerausschrift im Internet für den Ping-Sender erscheinen lassen.
Ich denke, eine Lösung ist die laut Microsoft (XP-Firewall):
# Echo Request eingehend nicht zulassen RFC 792
# Timestamprequest eingehend nicht zulassen RFC 792
# Mask Request eingehend nicht zulassen RFC 950
# Routeranforderung eingehend nicht zulassen RFC 1256
# Destination unreachable ausgehend nicht zulassen RFC 792
# Source Quench ausgehend nicht zulassen RFC 792
# Parameter Problem ausgehend nicht zulassen RFC 792
# Zeitüberschreitung ausgehend nicht zulassen RFC 792
# Redirect (Umleiten) nicht zulassen RFC 792
Einen Sachverhalt wie RFC 792 oder 1122 (Unterpunkt 3.2.2) kann man schwerlich falsch auffassen. Man kann es höchstens ignorieren. Ich bin es nicht, der hier Standards ignoriert.
Warum beantwortest du (oder auch Amenophis, der ja hier ZA ins Spiel brachte) nicht einfach mal meine Fragen ganz ehrlich und offen?
Ich hab da noch eine:
Wie genau verhindert ZA (oder jede beliebige andere Desktopfirewall unter Windows) eigentlich genau, dass ein Prozess mit den gleichen Priviliegien (oder gar höheren) ZA im RAM manipuliert oder ausschaltet?
die Protokolle TCP, UDP und ICMP sind doch überall gleich, Du kannst mich gerne korrigieren?
Hier die Korrektur:
Du stellst eine falsche Frage. Die Protokolle sind "überall" gleich, da es kein "überall" gibt, sondern nur die Festlegungen für die Protokolle als solche. Was NICHT gleich ist - und das allein ist entscheidend: Die Implementierung dieser Protokolle in Internetsoftware bzw. im TCP/IP-Stack des Betriebssystems. Hier gibts immer wieder Fehler und die führen in der Folge zu ausnutzbaren Schwächen (ich erinnere an Win95 und OOB).
Wenn eine Desktopfirewall einen fehlerhaften TCP-Stack überwacht, dann kann folgendes passieren:
1. Der Fehler bleibt.
2. Der Fehler wird noch potenziert.
Dass eine beliebige Malware auch ihren eigenen Stack mitbringen kann, der dann NICHT von der Firewall überwacht wird, sei auch mal erwähnt. Ist genau wie mit den Mailwürmern, die ihre eigene SMTP-Routine mitbringen. Die sind dann vom Mailprogramm des Users völlig unabhängig.
1. Habe ich RFCs, wie ich mehrfach dargestellt habe, häufig gelesen und angewendet.
2. Sind die ICMP-Einstellungen RFC-konform:
Beispiel:
RFC 1122
A host MAY send a Source Quench message ( Ein Host kann eine Source Quench Nachricht senden ), mit anderen Worten er muss es nicht
ICMP-Einstellung
# Source Quench ausgehend nicht zulassen RFC 792
kein Widerspruch
RFC 1122
A host SHOULD generate Destination Unreachable messages...
( ein Host sollte Destination Unreachable generieren )
Ist eine Kann-Aussage, er muss es doch lange nicht.
ICMP-Einstellung
# Destination unreachable ausgehend nicht zulassen RFC 792
kein Widerspruch
usw.
Nimm einfach RFC 1122 und überprüf das.
RFCs sind darüber hinaus nur Richtlinien und keine Zwangsvorschriften.
Aber was soll das Theoretisieren, Fakten sind gefragt.
Firewalldienst richtig einstellen (bei der Installation z.B. die ICMP-Standardvorgaben übernehmen) und man bekommt keinen Spam mehr und ist darüber hinaus besser gegen einen Direktangriff wie DoS geschützt.
Das kannst Du drehen und wenden, wie Du willst, Du kannst Zitate und mehr oder weniger Trojaner-Links anbringen, das Ergebnis ist immer das Selbe, Onboard-Firewalls machen schon alleine wegen der ICMP-Einstellungen einen Sinn.
>Die Protokolle sind "überall" gleich, da es kein "überall" gibt, sondern nur die Festlegungen für die Protokolle als solche.
Es gibt aber immer ein Überall. Die Protokollpakete haben im Netzwerk immer den gleichen Aufbau und die gleiche Funktion.
Wieso werden Fehler durch eine Firewall noch potenziert, kann es nicht sein, dass Fehler reduziert werden?
>Dass eine beliebige Malware auch ihren eigenen Stack mitbringen kann
Zunächst muss aber die Möglichkeit bestehen, dass Malware sich installieren kann und diese Möglichkeit kann man durch das Entziehen der Installationsrechte abschaffen.
hallo a4, bin die woche doch da (nur so am rande)...
ich will ja dein posting nicht madig machen, aber mener vermutung nach steckt hinter dem artikel ein ganz einfacher gedanke: lieber zonealarm auf dem rechner als garnix und zu zeiten als win98 noch der standard auf heim-pcs war würde ich das auch so bedenkenlos stehen lassen.
aber mal so ganz nebenbei...ich habe mittlerweile ca. um die 20 hacks auf serversystemen und clustersystemen mehr oder weniger miterlebt, von banal bis katastrophal, was ich aber noch nie erlebt habe ist ein gehackter privatpc. was ich schon erlebt habe waren leute, deren kiste mit trojanern verseucht waren, mit viren, würmern oder die durch fehler im stack einfach mal aus dem internet geschmissen wurden. deswegen sträuben sich mir immer etwas die haare, wenn von hackerabwehr im privatbereich gesprochen wird.
>>was ich aber noch nie erlebt habe ist ein gehackter privatpc.
hallo xaff, das ist in der Tat ein sehr wichtiger Punkt. Ich will hier nur sehr begrenzt aus der Schule plaudern - natürlich ist dem Personenkreis, den man in der 'Branche' "Haxer" nennt, ein schneller Server von ITT lieber, auf dem man dann einen 'Stro' einrichten kann, wie die Abkürzung für 'Pubstro' lautet.
Aber: es gibt massenweise Privat-PC's, deren Besitzer sich über so manchen Traffic wundern würden, wenn sie ihn denn bemerkten.
Es gibt massenweise Privat-PC's, die im Rahmen des sog. 'FXPing' eine Rolle spielen.
Es gibt massenweise Privat-PC's, die mal kurz als Relaisstation übernommen werden.
Aber wenn es um den Sinn von Firewalls geht, MUß man garnicht so weit schauen, obwohl es sinnvoll ist, obwohl es ganze Listen mit gehackten Privat-PCs gibt. Schau Dir doch einfach dieses Post hier an, 2 oder 3 Tage alt, und den dazugehörigen Thread, Du hast mitgepostet:
Es geht NICHT um Theorie. Es geht nicht darum, hier den letzten Port zu diskutieren - sondern um die Praxis.
Wenn Du wüßtest, wie viele Leute täglich mit den Werkzeugen von 'Grims' NICHT zum Spaß, sondern auf der Suche nach Pubs unterwegs sind, und und wenn Du wüßtest, wie erfolgreich............
Das sind so ein paar Hintergründe. Die hier, versteckt mitten im Thread, unsere Dauerstreithammel natürlich nicht suchen, finden und lesen werden. Und wenn, dann wird leider aus Prinzip widersprochen. Aber es ist so.
Gruß
A4.
PS: Natürlich ist eine Desktop-Firewall keine Patentlösung gegen Einbrecher. Natürlich lässt sich eine Desktop-Firewall hacken - wenn sie gut konfiguriert ist, braucht das ein bißchen; sogar ziemlich. Deshalb wäre es sinnvoll, wenn hier Ratschläge zur Konfiguration gegeben würden: Das habe ich noch nicht einmal erlebt (!!!). Leider. Denn das wär's.
>>was ich aber noch nie erlebt habe ist ein gehackter privatpc.
hallo xaff, das ist in der Tat ein sehr wichtiger Punkt. Ich will hier nur sehr begrenzt aus der Schule plaudern - natürlich ist dem Personenkreis, den man in der 'Branche' "Haxer" nennt, ein schneller Server von ITT lieber, auf dem man dann einen 'Stro' einrichten kann, wie die Abkürzung für 'Pubstro' lautet.
Aber: es gibt massenweise Privat-PC's, deren Besitzer sich über so manchen Traffic wundern würden, wenn sie ihn denn bemerkten.
Es gibt massenweise Privat-PC's, die im Rahmen des sog. 'FXPing' eine Rolle spielen.
Es gibt massenweise Privat-PC's, die mal kurz als Relaisstation übernommen werden.
Aber wenn es um den Sinn von Firewalls geht, MUß man garnicht so weit schauen, obwohl es sinnvoll ist, obwohl es ganze Listen mit gehackten Privat-PCs gibt. Schau Dir doch einfach dieses Post hier an, 2 oder 3 Tage alt, und den dazugehörigen Thread, Du hast mitgepostet:
Es geht NICHT um Theorie. Es geht nicht darum, hier den letzten Port zu diskutieren - sondern um die Praxis.
Wenn Du wüßtest, wie viele Leute täglich mit den Werkzeugen von 'Grims' NICHT zum Spaß, sondern auf der Suche nach Pubs unterwegs sind, und und wenn Du wüßtest, wie erfolgreich............
Das sind so ein paar Hintergründe. Die hier, versteckt mitten im Thread, unsere Dauerstreithammel natürlich nicht suchen, finden und lesen werden. Und wenn, dann wird leider aus Prinzip widersprochen. Aber es ist so.
Gruß
A4.
PS: Natürlich ist eine Desktop-Firewall keine Patentlösung gegen Einbrecher. Natürlich lässt sich eine Desktop-Firewall hacken - wenn sie gut konfiguriert ist, braucht das ein bißchen; sogar ziemlich. Deshalb wäre es sinnvoll, wenn hier Ratschläge zur Konfiguration gegeben würden: Das habe ich noch nicht einmal erlebt (!!!). Leider. Denn das wär's.
hallo a4, ich wollte auch gar nciht in abrede stellen, daß massig einzelplatzpcs als zombies mißbraucht werden und über irc-kanäle gebündelt zu dDoS genutzt werden, also relays fungieren, als scanbots eingesetzt werden usw. worauf ich hinaus wollte ist, daß diese rechner in aller regeln nie gehackt wurden, dem user wurde einfach ein RAT untergejubelt. in diesen fällen ist dann also nicht etwa ein unsicheres betriebssystem schuld oder magelndes firewalling, es ist einfach unachtsamkeit und sorglosigkeit des users, wovor dann im endeffekt eine dtf auch nur bedingt bis gar nciht schützen kann. was jetzt nicht heißen soll, daß es blödsinn wäre, sie zu installieren. mit etwas glück hilft sie, überhaupt zu merken, daß man sich etwas eingefangen hat. einer der achso gut informierten hat unten einen auszug über liunx-rootkits gepostet, diese gibt es ebenso unter allen NT-derivaten, das grundsystem ist also egal. RATs gibt es sowohl für win, als auch für unix/linux/bsd...viren gibt es genauso für linux im stinknormalen ELF-format, für novell gibt es out of the box RATs, solaris ist nicht minder gefährdet. jeder admin wird sich hüten nur eine dicke firewall vor ein netz zu hängen und zu denken alles sei gut, selbst proxys der größten kategorie sind nur so viel wert, wie die user dahinter vertrauensvoll und vorsichtig sind. ich merke gerade, daß ich wieder in die theorie verfalle ;o)...
also kurz und gut: gehackt werdne ist übel, aber die meisten heimanwender erzählen lieber sie seien gehackt worden, als daß sie sich eingestehen so vertrauensselig oder dusselig gewesen zu sein software aus zweifelhafter quelle installiert zu haben, was wohl 99% der "hacks" ausmachen dürfte...ergo...eine firewall ersetzt nicht einen bewußten umgang, es wird auch niemand, nur weil er einen airbag hat, mit 200 die route napoleon bei nacht ohne licht entlang zu rasen.
>>eine firewall ersetzt nicht einen bewußten umgang, es wird auch niemand, nur weil er einen airbag hat, mit 200 die route napoleon bei nacht ohne licht entlang zu rasen.
Unterschreibe ich problemlos.
Nur wird hier auf dem Brett oft exakt anders herum und damit auch falsch argumentiert - so wie bei der Einführung der Sicherheitsgurte (passt zu Deinem Beispiel) oder von ABS: 'Gurte, ABS verführen zu Leichtsinn. Man verlässt sich dann blind auf technische Systeme.' War tausendfach zu lesen.
Fast so, als ob man wegen der Hydraulik-Unterstützung den Tritt aufs Bremspedal vergesse. Zurück in die Steinzeit?
Und genau das ist hier eines der Pseudo-Argumente: "Symantec mache die Leute glauben, daß sie sicher sind, DESHLAB verhalten sie sich risikobereiter."
Wer so argumentiert, muß Rolläden und Tresore, Sicherheitsgurte und Airbags, ABS etc. sofort abschaffen.
Und genau mit dieser 'Logik' arbeiten Iron und Co. Es ist erkennbar keine Logik, sondern das Gegenteil, ich denke, die Analogien haben es gezeigt.
Und die Wirklichkeit zeigt es auch, ich habe mit Absicht ein HIER GENANNTES Beispiel verwendet.
Deshalb wäre es eigentlich ganz einfach, wie fast immer: Die Wahrheit liegt in der Mitte. Das eine tun und das andere nicht lassen.
Dahin geht mein Plädoyer. Es verhallt ungehört.
Gruß
A4.
Daß die Rechner 'in aller Regel nie gehackt.....' widerspricht dem Bild, das ich gewonnen habe; aber das ist nicht sooo entscheidend.
naja...ich denke wir argumentieren beide eigentlich auf ein ziel irgendwo in der mitte, insofern kann ich das von dir geschriebene problemlos so stehen lassen.
Und genau das ist hier eines der Pseudo-Argumente: "Symantec mache die Leute glauben, daß sie sicher sind, DESHLAB verhalten sie sich risikobereiter." Wer so argumentiert, muß Rolläden und Tresore, Sicherheitsgurte und Airbags, ABS etc. sofort abschaffen. Und genau mit dieser 'Logik' arbeiten Iron und Co.
Nein, das stimmt so nicht. Es wird ja nicht damit argumentiert, dass die Leute leichtsinnig werden, weil sie sich in Sicherheit wiegen - sondern: dass sie sich sicher fühlen, obwohl sie es gar nicht sind. ABS, Gurte, Schlösser & Co. hingegen bewirken nicht nur ein Gefühl von Sicherheit, sondern einen tatsächlichen Gewinn an Sicherheit.
was Olaf (den ich schätze), schreibt, kann ich nicht nachvollziehen. Sicher wird Zaphod das zitierte gesagt haben.
Aber andere haben eben genauso so widersinnig argumentiert, wie ich es zitiert habe: 'Firewalls verschlechtern im Prinzip die Sicherheit wegen der user.' Fals Du mal Zeit hast und danach schaust - ich hab schon angefangen, aber sich da durchzuwühlen, macht ja keine Freude. Aber es war einer der 'Hardliner', die nur sich selbst gelten lassen.
Gruß
A4.
PS: Im übrigen bin ich der Meinung, wie oben geschrieben, daß es ein Streit um des Kaisers Bart ist. Es geht nicht um ein "entweder-oder". Sondern allgemein um mehr Computersicherheit:
- gegen Hacker
- gegen Kiddies (von denen ich auch unangenehme kenne)
- gegen Spyware
- (gegen Malware)
Dafür braucht man ein Paket aus allem möglichen mit KONKRTEN Schemata, die ganz schön komplex sind. Daß man dabei dann im Detail anderer Auffassung ist, ist okay. Aber doch nicht so extrem.
Es hofft der Mensch, so lange er lebt...
Auf das Zaphod-Zitat hatte ich einen Link gelegt zu seinem Post vom 25.1. auf diesem Board. Den Vergleich mit dem Voodoo-Priester fand ich ebenso einleuchtend wie originell, deswegen hatte ich mir das gemerkt.
Vielleicht haben wir die Argumentation von -IRON-, Tyrfing u.a. einfach nur unterschiedlich interpretiert.
Wenn mir jemand sagen würde, "DTFWs sind deswegen schlecht, weil sie Dich zur Leichtsinnigkeit verleiten", würde ich mich erstmal ärgern, weil derjenige mir damit eine Charakterschwäche unterstellt, von der er gar nicht weiß, ob es wirklich die meine ist.
Was heißt überhaupt "Leichtsinn"? Selbst wenn ich eine professionelle Hardwarefirewall mein eigen nennen könnte, würde ich deswegen nicht mein Surfverhalten ändern und plötzlich jeden Bullshit anklicken, der mich bunt anzwinkert.
Kurz und gut: Das wäre keine tragfähige Argumentation. In diesem Punkt sind wir uns absolut einig. Wie gesagt: Ich hatte Zaphod, -IRON- und alle anderen dahingehend verstanden, dass die Wirksamkeit von DTFWs Firewalls angezweifelt wird, insbesondere im Verhältnis zur Belastung des Systems: Neue Software - neue Bugs - neue Konflikte etc.
Hallo Olaf: ..Und das Argument mit der Systembelastung finde ich immer am komischsten.
Ich gehe mal davon aus - nach der Alteresstruktur, nach den Postings, nach den Gesprächen im chat etc- daß vielleicht die Hälfte der unser hier (sicher nicht weniger....!) zu den zocken zählt, die sich gegebenenfalls nicht scheuen, mal wieder 400.- für die neueste Radeon hinzulegen; die CPU alleine wäre sowieso überfordert. Und die HDD soll ordentlich schnell sein.
Und dann 'Systembelastung' durch ein Sicherheitstool? Je nun. Die Ressourcenbelastung durch alles mögliche: emule (!) bei den einen, Grafik, CAD oder AV (!) bei den anderen dürfte mehr ins Gewicht fallen.
Was auch bekannt ist: Die irrsinns-ressourcen, die durch den permanenten Aufrüstungs-Wahn geschaffen werden, sind im Durschnitt zu wenigen Prozent ausgelastet. Wir reden hier ja nicht von kommerziellen Servern, sondern von Privatrechnern. Also ganz sicher kein Problem. Aber auch diese Windmühlen werden dennoch weiter mahlen....
Was zählt, es wurde schon oft gesagt, ist die Praxis: Und da schaue man sich mal die recht realistischen Intrusion-Versuche diverser Zeitschriften an. Die Ergebnisse sind eigentlich erstaunlich gut. "Eigentlich" müßte ich micht noch viel deutlicher FÜR DTFW aussprechen. Aber mit Rücksicht auf vielerlei Faktoren
Wobei man nie vergessen darf: Die MEHRHEIT der user hat weder Lust noch ist sie IN DER LAGE, einen PC auch nur ansatzweise sicher zu konfigurieren. Soll man dieser Mehrheit den PC verbieten? Sie beschimpfen?
Was macht es für einen Sinn, dieser Gruppe permanent zu erzählen, wie viel Brain man doch selber hat? Das ist eben nur arrogant, auch wenn es die Betroffnen nie begreifen werden. Ein Arroganter kann nicht begreifen, daß er arrogant ist, weil er arrogant ist.
Gruß
A4.
PS: Zaphod-Link war schon klar. Eine ähnliche Formulierung findet sich in den Selbstbespiegelungen von I.
hallo a4, nochmal zurück zu der geschichte mit dem leichtsinnigeren verhalten (ja, ich kann´s nicht lassen) ;o)...mir fiel vorhin ein wohl etwas passenderer vergleich ein...
ich hab einige jahre freeclimbing gemacht. wenn man solo klettert, also ohne seil, etwa beim vorstieg oder beim bouldern, ist man extrem vorsichtig, bedenkt jeden schritt und nimmt nur griffe und tritte, die einem sicher erscheinen. klettert man jedoch im nachstieg mit dem seil über sich, so ist man immer wieder versucht auch einmal einen etwas unsichereren griff oder tritt zu aktzieptieren, da man ja ohnehin davon ausgeht, daß einen das seil fängt. es hat nichts mit einer charakterschwäche zu tun, es ist wohl einfach menschlich.
übertragen auf pc-sicherheit könnte man wohl folgendes konstruieren: ohne zusätzlichen schutz wrid wohl niemand in einen irc-kanal gehen und irgendwelche kiddies ärgern. hat er jedoch einen schutzmechanismus, von dem er ausgeht er sei sicher, so könnte er sich durchaus denken "ach was, kann ja nix passieren".
im übrigen gibt es dieses verhalten häufig im zusammenhang mit virenscannern zu beobachten: leute ohne scanner (wenn sie nicht ganz bescheuert sind) installieren wesentlich vorsichtger, user auf deren rechner ein scanner installiert ist installieren oft ins blaue, da sie davon ausgehen, wenn das programm malware enthält, so wird der scanner es schon richten. ist mir zumindest relativ häufig in firmennetzen begegnet.
ist doch prima - ich kanns auch nicht lassen, und wir beschimpfen uns ja nicht, sondern tauschen Argumente aus und gehen auch aufeinander ein. Gespräch darf schließlich nie mit dem "Ziel" geführt werden, "zu gewinnen." (-:
So, wie Du das formulierst, ist es nachvollziehbar, ich bin auf dem Gletscher auch schon einfach hinterher gedappt. Also gilt es, noch etwas 'aufmerksamer' zu werden. Im Zen ist übrigens "Aufmerksamkeit" eines der wichtigsten Ziele. Diejenigen, die da sitzen und meditieren und zu schlafen scheinen, üben in Wirklichkeit Aufmerksamkeit - fällt mir so dazu ein.
Ich selber bin übrigens keineswegs der 'idealuser', als den sich manche anderen darstellen. Ich installiere viel, auch 'unnötiges', aus Spaß. Man lernt dabei Neues kennen. Ich surfe jede Seite an.
Aber nicht, weil ich eine DTF hätte - ist, wie schon gesagt, zzt.nicht drauf.
Und ein bißchen ist das Verhalten, das Du oben schilderst, ja sogar berechtigt: Warum sollte sich jemand, der mit DSL unterwegs ist und kein Modem parallel laufen hat, mit Dialern näher auseinandersetzen?
Ein bißchen hinkt der Vergleich, ich weiß, aber das tun alle.
naja, ich denke mal, daß unter anderem die neugier dafür verantwortlich ist, daß wir heute nicht mehr vor höhlen sitzen und die selbst erlegten rehe vernaschen. insofern empfinde ich daran auch nichts schlechtes. aufmerksamkeit ist aber leider etwas, das sehr schnell abstumpft, wenn eine zeit lang nichts passiert, das musste ich leider selbst auch schon schmerzlich feststellen, was einen guten freund von mir beinahe das leben gekostet hätte.
das einzige, was ich bei manchen usern verurteilen würde ist das reflexartige: "hoppla, da gibt es was neues das nix kostet, also erst mal holen". viel und gern rumprobieren tun die meisten, aber man sollte vor dem klick wenigstens nochmal das gehirn einschalten und überlegen, ob der potentielle nutzert den wahrscheinlichen gefährdungsgrad zumindest kompensiert.
ps: einem meinungsaustausch kann ich nur schwer widerstehen ;)..
Meinungsaustausch [1]: Zwei Menschen legen in argumentativer Weise ihre Standpunkte dar und untermauern sie mit Fakten und Quellen, mit dem Ziel einen Konsens zu finden und einen Informations- und Wissenszuwachs auf beiden Seiten zu erreichen.
Meinungsaustausch [2]: Eine Person versucht in einer hitzigen und unsachlichen Diskussion die Meinung eines anderen durch seine eigene auszutauschen, ohne auf dessen Argumente ein zu gehen.
Mit der Systembelastung meinte ich weniger den Arbeitsspeicher oder die CPU, sondern was ich im letzten Satz meines Posts angesprochen habe: Neue Software => neue Bugs => neue Konflikte etc. Z.B. auf dem Windows-XP-Board klagen immer wieder User darüber, dass Ihr System eine Ewigkeit braucht um zu starten bzw. herunterzufahren - von den Unannehmlichkeiten zwischen Start und Shutdown mal ganz zu schweigen. Oft liegt es an der Sicherheitssoftware...
...und natürlich am User, der sie nicht gerade perfekt konfiguriert hat - das will ich gar nicht verschweigen.
Der Königsweg ist vielleicht ein Dualboot-System, speziell dann, wenn man eine zweite Festplatte zur Verfügung hat. Ich habe meine Maxtor-Platte zur Arbeitsplattform und meine Seagate-Platte zur Spielwiese erklärt, u.a. zum Austesten neuer Software; für beide Systeme habe ich je ein Image gesichert, das ich jederzeit zurückspielen könnte.
Mal sehen, wenn ich Zeit und Lust habe, probiere ich mal die Agnitum Outpost Firewall aus - und sei es nur, um "besser mitreden" zu können (-:
>>warum ist denn jetzt ein FlameThread von einem VIP gestartet worden?
Die alten Threads sind noch nicht beendet, aber man muß jeden Tag extra einen anheizen??
Hallo Gurus,
ich kann nicht sehen, woher Du die Berechtigung vor solche Beleidigungen nimmst, die nach der Satzung des Boards zweifelsfrei zur Löschung führen müsste. Ich will stattdessen aber lieber ein paar Zeilen schreiben.
Dieser von mit gestartete Thread hat jedenfalls eine bessere Diskussion gebracht als die Beharkerei in manchen anderen. Daß das zitieren eines auf diesem Board befindlichen Textes des Webmasters ein Flame sein soll, ist eine sehr merkwürdige Behauptung.
Gute Diskussionen - lies es bei Xafford nach - streben nach Konsens. Daß Du das leider nicht verstehst und sogar diffamiert, ist schade. Stört Dich etwa ein Konsens?
Ich schließe mich Olaf an - es möge am Wetter liegen.
Übrigens: Mir wurde auch schon von anderen gesagt - und das nicht nur bei Nickles - dass ich manchmal... na, nennen wir es einfach: "etwas zu diplomatisch" auftrete. Bin eben von Natur aus ein freundlicher Mensch. Hat mitunter auch seine Schattenseiten.
Eine Firewall ist unverzichtbar. Genau wie ein immer mitlaufender Virenscanner. Punkt. ABER: Eine Firewall ist nur so gut wie die Firma, die sie herstellt und pflegt UND wie der User, der zwar eine Firewall sein Eigen nennt, aber blindlings alles zulässt.
Keine Software-Lösung kann einen hundertprozentigen Schutz für den Computer bieten. Dennoch wird es Eindringlingen deutlich erschwert, Unheil anzurichten. So sorgfältig die präventiven Bausteine gängiger Sicherheitstechnik (z.B. Firewalls, Intrusion Detection) auch ausgewählt und eingerichtet sind, kann erst ein aktiver Test der Infrastruktur mit den Mitteln potentieller Angreifer einen Eindruck über die Wirksamkeit der Maßnahmen vermitteln.
Nun gelang es der c't im Test nicht, Firwalls mit den dazu angeblich befähigten Würmern oder Trojanern auszuschalten. Wohl gelang dies aber der PC-Welt. Dazu muss man den Artikel aber, so schwer es einem fällt, auch tatsächlich mal gelesen haben. Die PC-Welt hat nicht nur per Registry die Sicherheitsstufen der Firewalls manipuliert, nein, die Firewalls, die das angemoppert haben, wurden per Hex-Editor im RAM zerspielt. Es wurde solange gebastelt, bis die Firewall nicht mehr lief. Selbst wenn das ein Programm könnte (und die von dr PC-Welt haben das in Handarbeit gemacht, warum wohl?), sollte auch dem dümmsten auffallen, Hey Moment mal, eben war doch noch ein Icon der Firewall in der Taskleiste.
Ach so, es werden ja laufend Sicherheitslecks in Programmen entdeckt, sowohl Windows als auch Linux und, ja, tatsächlich, auch MacOS, sind betroffen. Vor einigen Jahren konnte man Windows-PCs nuken, einfaches ausnutzen einer Sicherheitslücke führte zum Absturz.
Aber kann man sich nicht so einigen: Jeder lässt den anderen glücklich werden, die per Firewall und Virenscanner geschützten lächeln über die armen Irren, die völlig sorglos surfen und jedem Möchtegern-Hacker einladen, den PC zu entern und die ohne Firewall und Virenscanner lächeln über die armen Irren, die sich vor allem sicher fühlen und dabei noch Systemressourcen ohne Ende verbraten?
Zu Deinem letzten Absatz: Eigentlich eine hübsche Idee ;-)
Aber fast jeder, oder doch wenigstens die meisten von uns, möchten eine möglichst objektiv richtige Entscheidung treffen und die möglichst ganze Wahrheit zu dem Thema erfahren. Da selbst erfahrene und versierte Nickles-User mit hohen IT-Fachkenntnissen (möchte hier keine Namen nennen) sich diesbezüglich nicht einig sind, kommen die Diskussionen zu keinem Ende.
Ich habe für mich die Entscheidung getroffen, ohne Firewall und ohne Virenscanner ins Netz zu gehen, da mich die Argumente für die Nutzung solcher Programme bislang nicht zu überzeugen vermochten. Generell installiere ich äußerst ungern neue Software auf meinem PC; ich möchte die Übersicht behalten und lieber mit wenig Programmen viel machen als mit vielen Programmen wenig.
Windows XP Home, ein paar Treiber und kleinere Utilities, Browser und Mail-Client, Logic Audio, Open Office, PhotoImpact - das muss reichen.
Außerdem bin ich überzeugt davon, dass umsichtiges Onlineverhalten am effektivsten schützen kann. Das Repertoire der Webseiten, auf denen ich herumsurfe, ist relativ begrenzt: gmx.net, n-tv.de, ein paar Firmenhomepages, gelegentlich wissenschaftliche oder Literatur-Seiten (meistens durch Google-Suchergebnisse angesteuert), zwei englische Musikseiten und last not least natürlich Nickles.de - das war es im wesentlichen schon.
Warum sollte ich mir von einer dieser Seiten plötzlich einen Trojaner einfangen? Oder warum sollte der neueste Download vom Acrobat Reader auf einmal durch einen Virus verseucht sein? Gewiss, theoretisch ist alles möglich, aber praktisch schätze ich die Gefahr nicht so hoch ein, dass ich durch geeignete Abwehrprogramme Systemressourcen verbraten möchte - und das scheint noch das Harmloseste zu sein, wenn ich mir die Problembeschreibungen mancher User so anschaue.
Zu Deiner Bemerkung zu den Sicherheitslücken bei MacOS: Nichts, was Menschen machen, ist unfehlbar, auch MacOS nicht. Es kommt aber bei diesem System wesentlich seltener zu Sicherheitslücken, und wenn doch einmal eine vorkommt, dann gibt es kaum Exploits dazu. Das kann ich jetzt nicht mit einem Statistik-Link belegen, das zeigt aber die langjährige Erfahrung. Ich selbst habe fast 10 Jahre lang MacOS benutzt.
Es hat eben keinen allzu großen Reiz für Malware-Entwickler, sich an einem System zu vergreifen, das von kaum 5% der Computeranwender genutzt wird. So gesehen sind die Sicherheitslücken bei Microsoft, namentlich IE und ganz schlimm OE, letztlich so etwas wie der "Fluch des Erfolges" und der daraus resultierenden flächendeckenden Verbreitung der MS-Produkte.
...ich weiß es besser - nein ich - NEIN ich - oder ich - ätsch, dafür habe ich noch rfthsf55855654 gelesen... und ich habe 3 handy´s - und mein handy ist stärker als dein handy...
...merkt ihr eigentlich gar nicht, wie albern das hier schon wieder geworden ist? musiklehrer gegen alle - oder was?
seit iron hier auf diesem board postet ist es einfach nur noch SCHEISSE und es nervt ohne ende.
Wieso regst du dich auf über den Musiklehrer? Dieser Mensch macht sich doch hier selber lächerlich, nur er merkt es nicht. Ich kann über ihn und seine Besserwisserei nur noch herzhaft lachen....
Hartge's Second Law:
Wer mit den Lebensumständen einer anderen Person argumentiert, um diese Person dadurch anzugreifen oder in ein schlechtes Licht zu rücken, hat keine Argumente mehr und damit automatisch verloren.
Hypsch gekontert... es ließe sich noch anfügen: "Im Sommer fährt die Straßenbahn schneller als auf Schienen".
Und doch: An genau dieses, von Tyrfing zitierte Usenet-Law musste ich spontan denken, als ich diese Tage die Herumreiterei auf den Irrungen und Wirrungen in -IRON-s Berufslaufbahn las, sowohl hier als auch Off-Topic. Macht doch so etwas nicht!
Man kann zu -IRON-s Umgangston stehen wie mal will - sicherlich hat er sich mit seiner Art auf diesen Brettern nicht allzu viele Freunde gemacht, zumal Nickles ein ausgesprochen liberales Forum ist und nicht das Usenet, in dem allgemein ein wensentlich rauherer Wind weht.
Das sollte seine Gegner aber nicht dazu verleiten, die sachliche Ebene endgültig zu verlassen, und "belastendes Material" gegen den Diskussionsgegner im privaten Bereich zu suchen. Sonst endet das Ganze irgendwann in einer verbalen Schlammschlacht, die außer ein paar unverbesserlichen Trollen niemand mehr mitverfolgen mag.
Ich kann mir bei Dir nicht vorstellen, dass Du Dir so etwas wünschst. Deswegen mein Appell: Lasst uns bald wieder zur Sachlichkeit zurück kehren; das gilt für beide Seiten und selbstverständlich auch für mich. Die Posts von Xafford und Amenophis IV von gestern abend weisen schon in diese Richtung. Wäre schön, wenn dieses Board bald wieder genau so viel Spaß machen würde, wie die anderen auch.
Wenn hier aber jemand mit "Laws" kommt, dann sollte er diese aber konsequent anwenden und alle Leute danach "beurteilen". Nicht gerade so, wie es ihm passt! An dieser Stelle möchte ich mal auf folgenden Passus aus -IRON-´s Tagebuch verweisen (per Copy&Paste hierhergeholt):
>>Zitat Anfang:>>
In letzter Zeit fällt mir besonders auf, dass ausgerechnet die Leute, die Hilfe nicht annehmen wollen, Kritik nicht vertragen und sich beleidigt fühlen, wenn man nicht ihrer Meinung ist, mit Totschlag-Argumenten wie "sozialer Kompetenz" kommen, ohne die selbst zu besitzen.
An dieser Stelle mal ein paar nette orthografische und argumentative Schnitzer dieser Spezies:
Schnautze voll
Meinung kundtun zu müßen
Verständniß
Manche von euch sind wie kleine,winselnde Hündchen
die auch eine soziale Kompetenz vorweißen können
Klingt irgendwie nach Sprachfehler
>>Zitat Ende>>
Meine Frage an dich: Gelten für -IRON- denn diese "Laws" nicht. Ich verweise auf dieses Law:
Herrmann's Law: Wer mit Rechtschreib- und Tippfehlern eines Diskussionsteilnehmers argumentiert, hat verloren.
Schreib doch mal in -IRON-s Gästebuch eine kritische Bemerkung diesbezüglich hinein. Wirst sehen, die wird dort nie erscheinen, da er dort nur Lobhudeleien gestattet, aber keine Kritik. Kritisieren darf gefälligst nur er, und in welchem Ton dieses geschieht, darüber kannst du dir am besten selbst ein Bild machen, wenn du mal seine Seite besuchst und dort speziell sein "Tagebuch" begutachtest. Ich denke, dass du die Website kennst. Falls nicht, hier die Adresse:
www.eisenheim.de
Viel Spass. Ich hoffe, du liest dieses noch, bevor der Thread in der Versenkung verschwindet...
Noch was: Es ist einfach lächerlich, wenn man diesen Mann nicht auch mal kritisieren darf, wo er sich doch das Recht - wohlgemerkt: Auf seiner Homepage - herausnimmt, andere Leute nicht nur zu kritisieren, sondern aufs übelste zu beschimpfen. Die dafür von ihm gebrauchten Schimpfwörter findest du, ohne lange suchen zu müssen, ebenfalls auf der o.a. Seite in seinem Tagebuch...
Du hast völlig recht. Drum war ich gestern so umsichtig zu schreiben: ...gilt für beide Seiten und selbstverständlich auch für mich ;-)
Klar kenn ich Herrmann's Law. Und wenn jemand hier tatsächlich mit Rächtschraipveelern seines Gegners argumentierte, dann hätte er in der Tat verloren. Was er auf seiner privaten Homepage treibt, ist dagegen seine Angelegenheit (ich kannte das fragliche Zitat übrigens schon, so wie vieles andere von der Eisenheim-Seite).
Ansonsten: Stimmt schon, ob jemand nun "Schnauze" mit "tz" schreibt, oder es platzt der legendäre Sack Reis...
Eins muss man -IRON- aber lassen: Es gibt kein Post von ihm, in dem er nicht irgendetwas Zweckdienliches zur Sache schreibt. Dass er eine Antwort aushängt, die sich ganz darauf beschränkt, in einem nichts-sagenden Halbsatz um jeden Preis seinen Lieblings-Gegner aus der Reserve locken zu wollen oder allgemein über das Kindergarten-Niveau der Diskussionen zu lamentieren, das habe ich hier noch nicht erlebt.
jeder anständige router bringt mittlerweile einen integrierten portfilter mit, 3Com bietet günstige firewalls für den SoHo bereich an, welche sogar eine reihe VPNs bieten, die preise für kleine hardwarefirewalls sind mittlerweile durchaus erträglich. ich denke es sprach hier niemand von einer raptor oder firewall1 auf einer sun-kiste.
Einen alten Rechner (haben ja viele noch zu Hause herumstehen)
+ 2 Netzwerkkarten (bzw. 1 Netzwerk-, 1 ISDN-Karte)
+ IPCop
+ ein vernünftiges Regelwerk definieren ("nur freigeben, was unbedingt nötig ist")
Max Payne
Amenophis IV
mmk
polytaen
xafford
Olaf19
gelöscht_84526
