Warum Desktop Firewalls nichts taugen

Begonnen von Rashka, 27. Januar 2004, 15:05:44 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

TMK

Hola,


@Hartwareguru
Hab gerade auf Deiner Site etwas gestöbert und Deine Artikel überflogen, sind ein paar interessante Dinge dabei.  :o

Warum ich aber eigentlich poste ist die "Java"-Navigation. Hab Java Runtime Environment SE 1.4.2_02 installiert, aber die Nav funktioniert bei mir dennoch nicht.


Gruß
TMK


Maria

ich fand den artikel gut und es gab nichs zum missverstehen... zum glück hab ich ein linux basierende firewall auf einen extra server   ;D
gruß maria
Wer bis zum Hals in sch***e steckt sollte den Kopf nicht hängen lassen! =)

Rashka

Oh... vielen Dank ;)

Freut mich das er dir gefallen hat.

Gruß
Rashka



skyline

30. Januar 2004, 23:17:33 Uhr #23 Letzte Bearbeitung: 30. Januar 2004, 23:28:13 Uhr von skyline
habe auch gerade den Arktikel gelesen

OB DFW was taugen ??
Destop-Firewalls nutzen zumindest denen, die sie vermarkten  ;)

Eine DFW kann auch schon mal nützlich gewesen sein - wie beim Blaster Wurm -wenn kein Patch installiert war u. ansonten alles auf Standart stand.

Zum deaktivieren einer Firewall soll ein 19-zeiliges Code geschrieben in VB-Skript reichen.

Ich bin der Meinung, zuerst sollte das  Betriebssystem - welches auch immer - gut (sicher) konfiguriert werden,
dann wenn noch nötig evtl. die firewall.

Ansonsten keine mail Anhänge u. Downloads die nicht auf Viren bzw. Trojaner geprüft wurden ausführen.

Das meiste wird doch vom User selbst  installiert. Nicht immer ist im Paket (nur) das drinn was drauf steht.

mfg Skyline


Hartwareguru

@TMK :
thx. Das selbe Phänomen habe ich schon ab und an mit den Runtimes festgestellt. Ist leider nicht die beste Navi. Wollte ich auch schon mal umstellen aber aus zeitmangel ist da leider nix draus geworden. So musste erstemal ne html navi als alternative herhalten (siehe text am ende der Navi). Aber danke für das stöbern und die Fehler-meldung! Sowas braucht man um sich zu verbessern!

@Rashka:
thx. Komme zwar selten dazu auf Foren zu posten (bin gerade DJ in Österreich)  aber wenn sich der Kommentar bzw der Artikel lohnt, bin ich gerne bereit mich einzuloggen und ein lob auszusprechen *g*

Weiter so!

greetz,
hg

lutzlustig

Hi Rashka!

Hier mel ein kleines Zitat aus deinem Artikel:
------
ieexplore.exe versucht eine Verbindung aufzubauen. Zulassen? (Hierbei handelt es sich nicht um den Internet Explorer, dieser heißt ieexplorer.exe)
------
Also das Dingends heißt schon ewig "iexplore.exe", habe gerade nochmal bei Win98 nachgesehen und bei XP auch.

Ansonsten kann ich dir nur sagen, gut gemacht!

Als Ergänzung könntest du noch empfehlen, die Virenschleudern Outlook und Internet Explorer nicht zu nutzen und als Begründung auf die aktuelle c't verweisen. Wer danach noch glaubt, das eine DFW irgendwas nutzt, dem ist nich mehr zu helfen. Besser ist es schon, über einen Router ins WWW zu gehen (die sind auch nicht fehlerfrei, aber es gibt rausend Modelle jedes mit einem anderen Fehler, so das es für die Angreifer kaum lohnenswert ist).

Ciao


http://strammermax.meinbrutalo.de
http://www.lordofultima.com/ref/2278509259

Frittenpause

@lutz

Das hab ich auch schon gesagt ^^ Nur irgendwer hat den screenschot rausgenommen weil der irgendwie dann doch zu groß war ^^



Aber der verweis auf die c't wär echt gut, der artikel ist als weitergehende lektüre geeignet. Naja, dann mal noch frohes schaffen ich hoffe auf weitere artikel ^^

Gruß Frittenpause

Rashka

Den Fehler im Artikel beheb ich gleich noch, und den verweis auf die c't bring ich auch rein, evtl mit ner kurzen Rezitierung. Mal schaun, hatte leider noch keine gelegenheit in die c't zu sehen, werd deshalb erstmal den Artikel lesen ;)

@ Fripi

Jetzt kommt erstmal noch'n Test (CNPS 7000A CU), dann werd ich mal schaun was nen Artikel werd is...

Ansonsten kann ich nur sagen das ich nicht mit so einer resonanz gerechnet hab.
Freut uns wenns euch gefällt, dafür machen wirs ja ;)

Gruß
Rashka



American

Zitat von: American am 28. Januar 2004, 23:35:50 Uhr


ich einen PC neustart gemacht habe, mir eine Warnung angezeigt wurde das von aussen versucht wurde die Einstellungen der DFW / AV zu verändern, ich nochmal einen neustart machen müsste, damit dieses rückgängig gemacht werden kann



Dazu mal, heute das Gleiche. Hab nur nen Neustart gemacht weil der USb anschluss streikte, dann kam nach dem Neustart wieder die Meldung wie Sie aufm Bild zu sehen ist.

Und Rashka, deine Kunden kommen jetzt bestimmt alle an wegen dem Hacker Report in einem Magazin und einem DFW test aus einem anderem Magazin  ???  :P  ;D

Aber wenn man schon nicht übers DVD Kopieren schreiben darf, muss man halt ebend solche Themen aufnehmen, und es gibt noch Genug Leute die glauben was da alles steht.
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

Rashka

ZitierenUnd Rashka, deine Kunden kommen jetzt bestimmt alle an wegen dem Hacker Report in einem Magazin und einem DFW test aus einem anderem Magazin

hm... morgen ist Montag...

Da fang ich am besten gleich mal an mich warm zu machen ;)

Das Thema ist ein ewiger Teufelskreis... einer Erzählt mist, alle glauben es und erzählen es weiter...
Und wehe einer behauptet was anderes, das is dann automatisch ein böser "Hacker" der auf den PC will, und deshalb was anderes erzählt...und das obwohl 90% der Menschheit die bedeutung des Wortes Hacker nicht kennt...

Ist fast genauso wie die deutsche Politik... naja eins von beidem wurde beim andren abgeguckt, fragt mich aber nicht wer von wem... ;D

Gruß
Rashka



urkel

Rashka: Netter Bericht, gute Erklärungen.

Ich kannte Firewalls bis vor etwa zwei Jahren auch nur aus dem Netzwerktechnik-bereich meines Providers (Die haben da zwischen dem Rechner mit dem fetten Backbone und dem Subnetz-Router einzelne Ports rausgefiltert (Port 135-139 -- Windows halt). Das war damals eine Firewall... da ist beim Surfer erst gar kein Paket angekommen. - Und weil das transparent lief, haben Windows-Benutzer von ihrem Schutz erst gar nichts mitbekommen.
Scheinbar welzen die großen Internet-Provider (T-Online & Co) das Thema Sicherheit auf die Kunden ab, damit sie für 5 EUR pro Monat Virenscanner und Firewalls kaufen...

Die aktuelle Situation, daß man mit nem frisch installierten Rechner nicht einmal ins Internet kommt, ohne sich nen Virus einzufangen (Blaster, ...), total oberpeinlich.

Wenn die Provider endlich mal Ports 135-140 sperren würden, gäbe es definitiv weniger Probleme... aber dann kauft keiner mehr die Firewall-Software.

- Wenn es um Bandbreite (für eMule, Napster, Kazaa & Co.) geht, haben die SOFORT ne Firewall am laufen.

In diesem Sinne... besorgt Euch alle einen (DSL-)Router, der ins Internet geht ... dann braucht Ihr keine Firewall!!!

Grüsse
Sebastian

Rashka

Holla,

erstmal danke fürs Lob Urkel.

Router ist schon ne sehr gute Idee, allerdings ist das Problem hier, das die Software im prinzip nicht upzudaten ist...

(upzudaten.... das is aber kein deutsch oder?)

besser ist da ne Proxy. Ich bau mir heute nachmittag meinen P3 500MHz wieder auf, Linux Debian drauf, und was ich noch so brauche...

Hier ist der Vorteil das ich den Kram immer wieder updaten kann, und an meinen "Benutzer-PC's" trotzdem nichts "böses" ankommt.

Da ich das aber zum ersten mal mache bin ich mal gespannt ob ich das teil ans laufen kriege, da ich 0 peil von Linux hab ;)

Naja, wenns hinhaut schreib ich vielleicht als Ergänzung zum Artikel noch ein How2 für ne Proxy... dürfte ja einige interessieren, die Ausser DFW's nichts kennen. ;)

Gruß
Rashka



urkel

Klar kannst Du die Software (Firmware) der Router updaten...

Du kannst das Ding auch leichter konfigurieren, als eine Linux-Kiste!  ;D

Außerdem sind Linux-Rechner LAUT!!! Router sind lautlos!

Viel Spaß bei der Install-Party!  :)

Grüsse
Sebastian

American

Zitat von: Rashka am 15. Februar 2004, 23:07:51 Uhr
und das obwohl 90% der Menschheit die bedeutung des Wortes Hacker nicht kennt...


Passt. Ich wurde letzte Woche Montag als Hacker bezeichnet, nur weil ich mal erklärt hab was ich so alles am PC mache... und das mich dafür gleich einer als Hacker bezeichnet, finde Ich nur zum Lachen.
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

urkel

@American: Sei froh, daß sie Dich nicht als Terroristen beschimpft und nach Kuba verschleppt haben!  ;D ;D ;D

Grüsse
Sebastian

Rashka

Zitat von: urkel am 16. Februar 2004, 11:58:52 Uhr
Klar kannst Du die Software (Firmware) der Router updaten...

Du kannst das Ding auch leichter konfigurieren, als eine Linux-Kiste!  ;D

Außerdem sind Linux-Rechner LAUT!!! Router sind lautlos!

Viel Spaß bei der Install-Party!  :)

Grüsse
Sebastian


Wieso laut? der Lüfter auf meinem P3 ist in dem Gehäuse nicht hörbar. OK ich gebe zu, das die Kiste mehr Platz verbraucht als ein Router.... aber naja, mir gehts eher darum zu lernen... sonst würde ich mir auch einfach nen Router hier anschrauben.

Firmwareupdates kann man durchziehen, stimmt. Allerdings sind diese ne ecke seltener als Softwareupdates, und meiner meinung nach nicht immer ganz aktuell, da die Firmware nach jeder weiterentwicklung ja erstmal getestet werden muss... ist zwar kein allzu großer zeitraum, aber ich denke du weißt was ich meine.

Gruß
Rashka



Maria

@ rashka vllt hättest du das auch in den artikel reinschreiben sollen... wie zum beispiel:> Ausweichsmöglichkeiten und ihre Vor- und Nachteile<
Wer bis zum Hals in sch***e steckt sollte den Kopf nicht hängen lassen! =)

Perfect Pascha

Die Grenzen des Möglichen lassen sich nur dadurch bestimmen,
dass man sich ein wenig über sie hinaus ins Unmögliche wagt.

!!! Mein System !!!

Microsoft is not the answer, it's the question and the answer is NO

matfrat

Hallo Rashka

Netter Bericht, gute Erklärungen

Ich hab Win XP, Kaspersky Antihacker und AntiVirXP und Kaspersky blockt 4 Lovesan Angriffe in der Minute!!!!

was kann da sein?

und alle paar Tage hab ich einen Korgo Wurm ( ich glaub von A bis Z immer einen anderen) oben und ein paar trojanische Pferde aja Browser hab ich Mozilla Firefox und meine Eltern benutzen Mozilla Thunderbird (für mails).

aja mein Heimnetz funkt auch nicht mehr!

soll ich zu einem Router greifen ?
und was kostet mich der spaß?

Danke für jede Hilfe bin echt schon am verzweifeln

gandal

16. November 2004, 23:21:38 Uhr #39 Letzte Bearbeitung: 16. November 2004, 23:35:50 Uhr von gandal
Es ist ein wirklich schönes Thema. Echt. Recht hat sicher jeder auf die eine oder andere Art.

1. Viele haben einen PC und ein Modem.
Nicht jeder hat Lust und Laune sich seine Wohnung mit PC's zuzumüllen !
Ich habe jetzt also ein Gerät, daß irgendwie alles können muß.
Und ich kenne einen Haufen Leute, die sich zu Hause nicht mit ihrer Kiste rumärgern wollen. Die wissen wie man sie einschaltet, wie man eine eMail schreibt und wie man ins Internet kommt. Mehr interessiert sie auch nicht ! Dieser Kasten ist nicht ihr Lebensmittelpunkt und läuft höchstens 30 min am Tag. eMails abholen, schreiben oder antworten, Kinokarten übers Internet reservieren, AUSSCHALTEN. Zur Freundin kuscheln (oder irgendwas anderes).

2. Gehen wir mal von einem Blaster aus. Selbst mit der windigen XP-Firewall hätte man dem beikommen können.
Das ist auf jeden Fall ein Grund, warum es nicht unsinnig ist.

3. Es gibt dann noch einen Haufen Script-Idioten, die auch an der ganz einfachen Variante der Firewall scheitern.
Das ist auf jeden Fall ein Grund, warum es nicht unsinnig ist.

4. Der Firewall-Router. Viele Herstellen wissen noch gar nicht, daß man den in der Grundkonfiguration mit eingeschalteter Firewall ausliefern könnte. Vermittelt eine absolut trügerische Sicherheit, da ja auch WLAN eingeschaltet ist.
Kein Problem für Profis, viele sind es nicht. Klar kann man alles konfigurieren, wenn man mit den Begriffen was anfangen könnte.

5. Es gibt doch so manche Programme, welche den IE als Transporter benutzen. Der ist verboten, weil wir ja einen anderen Browser benutzen. Die DTF erkennt das, die unabhängige Firewall nicht, weil die den Port 80 ja erlaubt.

6. Wenn ich zu Hause mehr als einen Rechner habe, nehme ich nur einen zum Surfen und den anderen zum Arbeiten.
Vom Surf-PC mache ich ein Image. Ende. Wenn der die Seuche kriegt, image ich ihn einfach zurück. Warum umständlich ein Netzwerk aufbauen, von dem ich eigentlich keine Ahnung habe.

7. IPCOP ist z.B. eine Firewall-Distribution, die auch auf einem Zigarrenkasten-PC ohne Harddisk läuft. Flashcard sei Dank.
Absolut leise.

8. Die DTF muß die Sprache des Anwenders sprechen. DEUTSCH.


Wer absolute Sicherheit will muß den Stecker ziehen. Und auch nur so hat er sie !


Es geht im Grunde auch nicht darum jeden Hacker zu vertreiben, die finden Mittel und Wege. Die schreiben sich ihre Programme selbst und wissen vor allem was sie machen.
Man kann sich aber einen Haufen Vollidioten vom Hals halten, die hier oder dort ein Programm aufgetrieben haben um ein bischen rumzuspielen. Die scheitern an jeder noch so kleinen Hürde. Hier im Forum gibt es so einen Betrag über einen Mailbomber. Der richtige Hacker schreibt sich das Teil selbst in max 60 Min.
Genau aus diesem Grunde sperren wir die Haustüre oder unser Auto ab. In beiden Fällen muß man ja nur eine Scheibe einschlagen.

Es gehört natürlich auch ein bischen Diziplin dazu, nicht auf alles zu klicken was irgendwie als Mail ins Haus kommt.
Manchmal wäre es toll, wenn die Provider mehr unternehmen würde, aber im Grunde ist es nicht unbedingt ihre Aufgabe.
Jeder Eingriff ist schließlich auch ein Eingriff in unsere Freiheit. Manche wollen die offenen Ports, wollen alles ohne Einschränkungen.

Der Erfolg von MS war/ist so groß, weil der PC für eine breite Masse benutzbar geworden ist. (Jaja, Stoff für Diskussion)
Einstecken geht, ...
Deshalb ist in XP-Home auch jeder Administrator. Es muß alles funktionieren, ohne daß ich ein Fachmann bin oder mich ständig an und abmelden muß.
Wenn es anders wäre, würde ein neuer PC 8000,00 Euros kosten und wäre heute so schnell wie die ersten Pentium. Dafür gäb es nicht so viel Viren und Spam, Provider aber auch nicht.

Es ist sicherlich verkehrt, wenn man behauptet, eine DTF sei absolut sicher. Es ist auch verkehrt das Gegenteil zu behaupten, weil Sicherheit dann vollkommen unwichtig wird.

Vielmehr sollte man schreiben, wie die DTF's sinnvoll konfiguriert werden können (Laiendeutsch) und somit eine sinnvolle Ergänzung zu ihrem System sind. Diese Erklärung muß einfach und kurz sein. Wer liest sie sonst.
Firewalls mit ausgefeilten Regeln sind für den Profi super, der Laie klatscht sie in die Ecke. Hey, was ist eine Echoanforderung, wofür brauche ich Port 25. Das will nicht jeder wissen.
Wenn da aber steht, "Dein Mail-Programm möchte ins Internet" ist das schon besser.


Hab ich noch vergessen:
@Rashka
Einige Deiner Gründe, warum eine DTF nicht sicher ist, kann man unverändert übernehmen, wenn man schreibt "Warum eine Hardware-Firewall nicht sicher ist".
         
Real Programmers code in binary