Hi!
Ich möchte auf meinem PC (WinXP) eine Firewall installieren (die besser ist als die in WinXP Integrierte), habe aber leider so gut wie keinen Schimmer, was man bei Firewalls beachten muß.
Habe was von ZoneAlarm, Norton Internet Security und BlackIce Defender gehört.
Was ist am besten? Welche Anderen gibt es?
Vielen Dank,
Wiggum
Viren, Spyware, Datenschutz 11.213 Themen, 94.182 Beiträge
hi,
ich habe hier eine antwort auf ein ähnliches posting, die vor einiger zeit von uwe richter getippt wurde:
Hallo,
Netzwerktechnik ist kein triviales Thema und es ist keine Schande, wenn man sich auf diesem Gebiet nicht auskennt. Allerdings sollte man dann nicht versuchen zu einem technischen Ereignis, welches man aufgrund fehlender fachlicher Kenntnisse falsch interpretiert, einen moralischen Zusammenhang herzustellen.
Ich kann, darf und fahre ein Auto obwohl ich keine Ahnung von Kfz-Mechanik und -Elektrik habe. Weil ich es in einem verkehrssicheren Zustand halten möchte, bringe ich den Wagen regelmäßig in die Werkstatt, wo er durchgecheckt wird. Ich würde niemals auf die Idee kommen, z.B. Reparaturen selbst durchzuführen. Womöglich noch mit der kindischen Begründung: Ich habe ja einen Airbag und es ist deshalb nicht so schlimm, wenn einen kleinen Unfall habe.
Bei Computern ist das leider nicht so. Jeder ist offenbar sein eigener Experte. Möglicherweise weil man Angst hat, sich bei Frau/Freundin/Kumpels zu blamieren, wenn man einen Experten zu Rate zieht und ihn dafür vielleicht noch dafür bezahlt, wie in einer KFZ - Werkstatt.
Stattdessen versucht man es so gut zu machen wie man es eben kann und begeht dabei den Fehler zu glauben, man wüsste im großen Ganzen womit man es zu tun hat. Wann eine Gefahr besteht und von wem sie ausgeht.
Für die kleine Unsicherheit wird sich dann ein Programm installiert, dem man blind vertraut und jede Meldung glaubt. Das ist dann meist eine Personal Desktop Firewall (im folgenden PDF genannt) wie Zonealarm, Lockdown, Norton Internet Security usw..
Das dem so ist, zeigen sehr viel Postings in diversen Newsgroups und Foren, wie hier.
Ein Beispiel:
1. Man hat die IP-Adresse eines Netzwerkadapters, nicht die eines Users.
2. Ein vermeintlicher Scan kann von jedem TCP/IP Client ausgelöst werden, es muss kein User gewesen sein.
3. Man wurde nicht angegriffen. Man kann durch einen Scan alleine, unter keinen Umständen Schaden nehmen.
Zu 1.
Es ist zu keinem Zeitpunkt klar ob die IP Adresse wirklich zu einem einzelnen User gehört. Es kann ein Multiusersystem sein, welches von mehreren User gleichzeitig benutzt wird. Es kann auch ein NAT Router sein, der von niemanden interaktiv benutzt wird, sondern nur Pakete aus einem anderen Netz weiterleitet. Selbst wenn diese IP Adresse von einem einzelnen User benutzt wird, besteht die Möglichkeit, dass dieser User selbst Opfer eines Angriffs geworden ist und sein PC, ohne sein Wissen, für weitere Aktionen missbraucht wird. Die IP Adresse kann auch gefälscht sein. In diesem Falle könnte gar kein Angriff stattfinden. Möglicherweise möchte man den wirklichen Besitzer dieser IP Adresse eins auswischen indem man viele Alarmprogramme zum klingeln bringt und damit Beschwerden provoziert. Aus diesen Gründen verbieten sich übrigens alle Gedanken an jede Form von Gegenattacke von selbst. Denn es könnte einen Unschuldigen treffen. Oder man macht sich selbst strafbar. Wenn man z.B. einen Router abschießt" darf man dafür bezahlen.
Zu 2.
Gebt mal, falls ihre eine PF installiert habt, in eurem Browser, folgende URL ein:
http://deine.ip.addr.esse:1234
Wenn eure IP Adresse z.B. 111.111.111.111 ist dann gebt
http://111.111.111.111:1234
ein. Wenn ihr das richtig gemacht habt bekommst ihr jetzt den selben Alarm, als wenn nach z.B. SubSeven gescant wird. Das eine PDF einen SubSeven Angriff meldet obwohl ihr nur eine URL in den Browser eingegeben habt, sollte euch zeigen, dass das Programm sich nur wichtig machen will und irgendwelche Vermutungen zu Tatsachen erklärt um euch zu verunsichern. Es gibt in der Tat private Homepages oder FTP Server die auf diesem Port laufen. Möglicherweise hat jemand seine IP Adresse bei einem Dynamischen-DNS-Dienst registriert und z.B. einen Warez-FTP auf diesem Port laufen gehabt. Er ist offline gegangen, jemand hat die IP Adresse bekommen und versucht mit seinem FTP-Client bei diesem Warez-FTP zu connecten. Man kann nicht behaupten das so was öfters vorkommt, sondern nur das es nicht ausgeschlossen werden kann. Man kann es sogar tatsächlich selbst gewesen sein, der diesen Alarm ausgelöst hat. Wenn ihr z.B. im WWW surft, dann gibt euer Browser nur eine Bestellung bei dem WWW Server auf und teilt ihm mit, an welchem Port er die Daten bei euch abliefern soll. Dieser Port kann ohne weiteres derselbe sein der standardmäßig von einem dieser Fernwartungsserver benutzt wird. Wenn ihr eure PDF nicht sachgemäß konfiguriert habt, wird sie in dem Moment ein Angriff melden wenn der Webserver versucht, euch die angeforderten Daten zuzustellen.
Bildlich gesprochen hält sie dann den Postboten für einen Einbrecher. Mit anderen Internetdiensten wie Mail, News ,FTP verhält es sich genauso. Der Client connectet und gibt eine Bestellung auf. Der Server prüft ob ihr befugt seit, den Dienst zu nutzen, und weist die Verbindung ab oder liefert die Daten.
Eine PDF weiß übrigens nicht, ob ein Dienst auf einem bestimmten Port angeboten wird oder nicht. Das sie eine Alarmmeldung gibt, auch wenn kein Dienst angeboten wird und ein Connect auch ohne die PDF abgewiesen worden wäre, ist schlicht und einfach unseriös. Aus diesem Grund macht es auch überhaupt keinen Sinn sich irgendwelche Alarmmeldungen ausgeben zu lassen. Denn wenn es wirklich ernst wird bleibt sie stumm. Wenn ihr z.B. eurem IE jeden Traffic erlaubt und ein ActiveX-Control einen solchen Dienst anbietet, dann seit ihr ziemlich in den Hintern gekniffen. Eine PDF ist wie ein Beifahrer der ständig "Vorsicht" schreit, aber wenn es mal kritisch wird vor Angst die Stimme verliert. Ihr solltet zumindest die nichtssagenden Warnungen ausschalten, wenn ihr das Teil trotzdem behalten möchtet. Meiner Meinung nach macht es mehr Sinn auf einem Ich-surfe-doch-nur-PC" alle Dienste abzuschalten. Aber wirklich alle und komplett. Denn wer gleichzeitig LAN und Internetzugriffe haben möchte, muss wissen was er tut und darf sich nicht auf irgendwelche Programme verlassen, die behaupten sie können den PC schützen.
Ich brauche übrigens maximal 26 Versuche um auf eine passwortgeschützte Netbios-Freigabe zuzugreifen. Den Patch, der diesen Bug repariert, hat kaum ja jemand installiert. http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
Eine PDF kann nur dann noch zusätzlichen Schutz geben, wenn ihr während einer Onlinesitzung unbewusst einen Serverdienst startet. Gegen andere Bedrohungen, mit denen ein Online-PC konfrontiert wird, z.B. ein böses Programm welches gesammelte Informationen an einen Hackeraccount mailen will, kann eine PDF nur sehr beschränkt schützen. Wenn das Programm einigermaßen schlau ist, kann es unbemerkt von der PDF agieren. Deshalb ist auch ein aktueller Virenscanner das oberste Gebot.
Zu 3.
Es wurde nur gescant. D.h. ein Rechner im Internet hat euren Rechner gefragt, ob ihr von eurem Recht Gebrauch gemacht habt, auf dem Port 1234 einen Netzdienst anzubieten. Das ist eigentlich alles was passiert ist. Eine solche Anfrage kann/darf keinen Schaden verursachen und ist in der Tat nur eine höfliche Anfrage. Unhöflich wäre ein sogenannter Stealth-scan", der aber ebenfalls nicht illegal ist. Klingt im ersten Moment etwas hochtrabend.Aber was ist gemeint?
Jeder Rechner im Internet, sei es der Superserver einer Megasite oder eine kleine Privatkiste an einem Modem, hat das Recht, Dienste anzubieten und/oder die angebotenen Dienste anderer zu nutzen. Jeder Rechner darf einen anderen Rechner fragen ob er einen Dienst anbietet.
Es ist eure administrative Aufgabe sicher zu stellen, dass nur autorisierte Personen einen, auf eurem Rechner laufenden Dienst benutzen dürfen.
Nur unter ganz bestimmten Voraussetzungen kann euer Rechner Schaden nehmen. Das wäre dann der Fall, wenn alle folgenden 3 Bedingungen erfüllt wären.
1. Man muss bereits vor diesem Connect-Versuch ein Server-Programm installiert und gestartet haben.
2. Der Mensch, der für diese Anfrage verantwortlich ist, hätte nach positiver Antwort mit einem Server-Client connecten müssen.
3. Der Mensch der diesen Connect-Versuch ausgelöst hat, muss den Vorsatz gehabt haben bei einem erfolgreichen Connect, Schaden zu verursachen.
Zu 2.
Es ist gut möglich das gar kein z.B. SubSeven Client eingesetzt wurde, sondern nur jemand an statistischen Informationen interessiert war, wie viele User einen Dienst auf diesem Port anbieten.
So was ist z.B. den Tittenjournalisten zuzutrauen, die in der nächsten Ausgabe ihres TV-Magazins den Zuschauern erzählen wollen wie böse das Internet ist. Aber auch der z.B. Subseven Client trennt eine Verbindung sofort nach einem erfolgreichen Scan. Der User bzw. das Script-Kiddy muss explizit noch mal connecten um den Dienst nutzen zu können.
Zu 3.
Das ist eigentlich das wichtigste. Es besteht auch die Möglichkeit das versehentlich auf euren Rechner zugegriffen wurde. Wie oben schon erwähnt, kann jemand einen FTP Server gesucht haben.
Es gibt auch Leute die solche Programme ganz bewusst zu Fernwartung ihrer Rechner einsetzen. Ich persönlich finde das zwar auch albern, aber es ändert nichts an der Tatsache das es gemacht wird. Das Fernwartungsprogramm "Netbus" wird aus diesem Grund von vielen Virenscannern nicht mehr angemeckert. Es geht also jemand Online und startet seinen Fernwartungsdienst, danach begibt er sich zu einem anderen PC, und mochte auf den ersten Zugreifen. Wenn er sich bei der IP Adresse vertippt, landet er möglicherweise bei euch und löst Alarm aus. Oder sein PC ist abgestürzt, ihr habt euch eingewählt und die freigewordene IP Adresse bekommen. Auch dann wird er ohne böse Absicht auf eurem PC landen. Mit andern Worten. Nur weil eure PDF Alarm gibt, heißt das noch lange nicht das irgend jemand mit bösen Absichten unterwegs ist.
Und nun zu juristischen Möglichkeiten gegen den vermeintlichen Angreifer.
ES GIBT KEINE.
Es kann ja nicht einmal nachgewiesen werden ob dieser Connect-Versuch überhaupt auch nur die Vorbereitung eines evtl. geplanten Angriffes gewesen war.
Das Problem der Leute die nach juristischen Maßnahmen rufen, sind nicht die Port-Scans, sondern die Wut die sie verursachen, weil sie sich trotz ihrer PDF irgendwo hilflos fühlen, da sie nicht wissen was wirklich passiert ist und ob man nicht doch irgendwo eine Lücke hat. Alleine die Tatsache das jemand da draußen die Frechheit besitzt, nachzusehen ob er jemand anderen in den Hintern treten könnte, wenn er wollte, erzeugt eine ziemliche Wut. Das es immer mehr werden die nachsehen und keiner was unternimmt, macht die ganze Sache dann noch schlimmer. Aber ich hoffe das jetzt klar geworden ist warum keiner etwas unternehmen kann. Erst wenn wirklich was passiert ist kann man etwas tun. Man kann auch niemanden verhaften lassen, nur weil er ein Gefühl der Bedrohung bei euch erzeugt.
Das die meisten dieser Connect-Versuche tatsächlich von den Script-Kiddys kommen, die sich ein Opfer suchen, bestreitet niemand. Aber das ist reine Statistik. Im Einzelfall kann man keine Aussage darüber machen, was die moralische Ursache für den abgewiesenen Connect-Versuch war.
Ihr solltet euren Verpflichtungen nachkommen und dafür sorgen das ihr keine Dienste anbietet, die von anderen zu eurem Nachteil missbraucht werden können, anstatt andere zu denunzieren oder für euren Schutz verantwortlich machen zu wollen. Denn von außen ist es nicht ersichtlich ob ein Dienst bewusst der Internetgemeinde zur Verfügung gestellt werden soll oder ob der verantwortliche User einfach nur zu dumm ist, diesen Dienst abzuschalten.
Wenn man bei einem frisch gebooteten PC, in der Dos-Box netstat –a" eingibt und es wird etwas angezeigt, dann sind das Dienste die von diesem Rechner angeboten und evtl. von Hackern/Crackern missbraucht werden können. Diese Dienste muss man, wenn sie bewusst angeboten werden, so konfigurieren das nur autorisierte User sie benutzen können. Wenn man sie nicht braucht müssen sie abgeschaltet werden.
Und wem das nicht reicht, kann hier noch weiterlesen:
Die FAQ von de.comp.security.firewall
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Eine Liste bekannter Bugs von Windowsprogrammen
http://www.securityfocus.com/focus/common/middle.html?vendor=Microsoft
Sicherheitsbugfixes von Microsoft
http://www.microsoft.com/technet/security/current.asp
Quelle: PCDRonny, alias Roland Pache
mfg
Uwe
das ist glaube ich deutlich genug.
gruß
markus