Hi,
hier kommt meine nächste Frage:

Ich hab jetzt öfters gelesen, dass von der Firewall von Zonealarm abgeraten wird.

Ich selber nutze genau diese Firewall und ich hab bisher eigentlich keine Probleme damit. Mein EMule ist gut eingestellt und saugt bei ner 256 Kb/s-Flatrate konstant mit ca 20-30 Kb/s.

Welche Probleme soll Zonealarm denn eigentlich machen ? Warum rät man davon ab und was ist an der Firewall von Sygate besser?

Bisher tu ich mich mit einem Wechsel schwer, da Zonealarm bei mir läuft und auch so schön einfach ist.

Vielen Dank für eure Antwort.

Gruß

Solange es läuft ist doch alles prima.

Die Symptome wären eine ständige CPU-Auslastung, sowie Verbindungsabbrüche.

Aha.
Diese Verbindungsabbrüche, was bewirken die?

Ich hab festgestellt, dass ich die auch habe. Manchmal alle 10-20 Minuten, manchmal 10 Stunden keine. Es wird aber direkt wieder eine neue Verbindung aufgebaut.

Ich hab aber festegestellt, dass die Downloadmenge während eines Verbindungsabbruches oder auch direkt danach nicht gesunken ist.

Welche negativen Auswirkungen verursachen denn diese Verbindungsabbrüche?

Gruß

kann sein das dein router wegen überlastung, sich neustartet. vielleicht postest du mal aus dem Sticky thread, "so poste ich richtig" im sub forum "German support" den punkt 2

Personal Firewalls sind grundsätzlich Schrott, das kannste auf jeder vernünftige Page nachlesen.

hast Du mal ein Beispiel?

http://www.ntsvcfg.de/#_pfw

http://www.ccc.de/faq/security.xml#internet

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Dort steht jeweils, daß eine Firewall nicht so sicher ist, wie manche sie halten. Von "grundsätzlich Schrott" wird auch dort nicht sachlich gesprochen.

Mit einer Hardwarefirewall alleine kann ich schonmal grob bestimmen was rein darf und was nicht. Um jetzt noch zu regeln, daß etwas auch nicht raus darf, ist eine PFW mehr oder weniger unverzichtbar.

Das alles kann ein Socks Proxy Regeln. Dafür ist aber leider ein kleiner Server nötig (zumindest kenn ich kein Router der das kann).

Mein WRT54G hat IPFilter, damit gehts eigentlich, zusätzlich kann man den Traffic auch noch easy an nen transparenten Proxy weiterleiten...

dann lass doch einfach alle deine programme wahlos ins netz wenns dir besser gefällt, aber halt andere leute nicht davon ab ein mindestmass an sicherheit zu erhalten.

zu zone alarm : ich nutze zonealarm und emule seit ewig zusammen, noch nie probleme. ich würde diese FW sogar emfehlen, denn im gegensatz zu vielen anderen kann man da nicht viel falsch machen und sie biete den gleichen schutz wie andere PFW auch.

CU aMiGo

Wie richte ich meine Firewall so ein, dass sie denselben Schutz wie ein Router bringt:

(vertrauter Bereich alles zulassen, im Internetbereich nur ausgehende) + alle anderen Regeln löschen.




Jetzt mal ernsthaft, mir bietet eine Hardwarefirewall einfach viel zu wenig Möglichkeiten um sie alleine einzusetzen. Portbasierende Filterung ist schlicht ungenau...

Stimmt. Hatte ich ganz vergessen. Bin aber bis jetzt immer zu faul gewessen um die IP Filter einzustellen.



Das Schlimmste was "unerlaubt" deine INet Verbindungen nutzen dürfte, ist ein Wurm oder ein Trojaner und das sollte eigentlich jeder vernünftige Viren-Scanner aufspüren.

Diese PFW gefallen mir deswegen nicht, weil die soviele Ressourcen fressen. Man sieht ja vorallem im Zusammenhang mit eMule, das die PFW ziemlich schnell ausgelastet werden.

Aber es gibt auch andere als den schlimmsten Fall. JEDES Programm will heutzutage (meist) ungefragt ins Internet und das will und werde ich nicht aktzeptieren, schon aus Prinzip.



Jaja, streu noch weiter Salz in meine Kerio-Wunde

Wie schön, dass hier PFWs bei der stets als Admin arbeitenden Allgemeinheit ganz offensichtlich sehr beliebt sind. Wird hier zufällig vorbeisurfende Trojanerprogrammierer sicher freuen.
Ein brauchbarer Schutz gegen eine Bedrohung von INNEN kann gerade eine PFW bei euch Admin-Usern nämlich sicher nicht sein. Das sollte jeder erkennen, der 1+1 zusammenzählen kann. In diesem Sinne: Angenehme Träume.

zonealarm ist nicht nur ein ressourcenfresser sondern auch noch löcherig
Kommunikations-Überwachung von ZoneAlarm ausgehebelt (heise.de)

Ich woll ich hätte jetzt den Link zur Hand, in dem ein ZoneLabs Supporter äußert, ZA sei für den Dauerbetrieb ungeeignet und man würde nen Windows Rechner ja sowieso wenigstens alle 2 Tage neustarten...

Jede Firewall die ich in letzter Zeit getestet habe (und das waren in letzter Zeit nciht wenige), ermöglicht es mir, einen Passwortschutz zu setzen.
Und nochmal: Bitte schick mir einen Link zu einem Router, der einen Trojaner stoppt, wenn er mal installiert ist und wenn er sich NOCH so dumm anstellt.



Die scheinen die Seite umgebaut zu haben. Mein Link zur Deinstallationsanleitung geht auch nciht mehr. Die war so aufwendig, dass ich mich gewundert habe, warum es überhaupt einen Uninstaller gibt...

Also:

1. Virenscanner sollte eigentlich jeden Trojaner +/- killen.
2. Trojaner öffnen ports, sind diese nicht geöffnet läuft der trojaner zwar, aber keiner kann connecten. problem: trojaner der keine ports öffnet sondern selbstständig zu nem host verbindet (z.b. über irc oda so).
3. Kann man wie gesagt mit dem WRT54G den Traffic an nen transparenten Proxy weiterleiten, dieser kann als content-filter fungieren und böse packete kicken (setzt aber aktuelle siganturen voraus)
4. wer ist so dumm und hält sich net an 1.?

last but not least:

Gerade gegenüber bösartiger Software nützt ne PFW genau nix, jedenfalls falls man als Administrator unterwegs ist oder es dem Teil gelingt sonstwie zu Administratorrechten zu kommen.

Solange man auf dem gleichem Level wie der Schädling kämpft (bzw. auf der gleichen Kiste), kämpft man sobald sich das ding mal eingenistet hat eh auf verlorenem posten...

Deswegen meinte ich das ein Socks Proxy im Router das beste wäre. Richtig konfiguriert lässt er keinen ohne Passwort ins WAN. Wenn sowas mal auf den Markt käme, könnte man wirkliche jede PFW kicken.

Mir ist zumindest kein Router bekannt, der beim routen ins INet ein PW verlangt. Wäre echt mal eine Marktlücke...

Na ist das nicht supppaduppa? it`sme zettelt ne Diskussion an und behauptet - nöööh überhaupt keine Probs mit ZA.

Nee keine Probs bekannt !!! aber vorsgesichthalber doch schon mal nachfragen welche Probs gibt es überhaupt mit dem Teil.
Danach kurz mal wieder beschwichtigen und nee nee bei mir läuft alles prima und ich habe die Fehler die ZA macht ja schließlich gelesen (*g* wirklich?)

Dann kommt Socke und sagt: Na prima dann lass uns fröhlich sein wenn du keine Verbindungsabbrüche hast und schon klingelling werden die Probleme die man hat oder gar nicht hat doch nachgefragt aber das ist ja kein Prob im Forum steht ja nur das ZA Mist ist sonst nix und falls doch muß es wohl sehr kleingedruckt sein.


Prima gelaufen, jetzt kommen die gesammelten Antworten über das Thema und keine Sucharbeit mehr toll. Oops - hat evtl. doch noch jemand etwas gemerkt?


Bingo und Hoppela, na dann erstmal Sendepause und mal sehen was da noch so kommt, vieleicht brauch man ja auf das Prototeil nicht einzugehen.

Gewitztes Kerlchen amüssant

Salue vum Saarbot

Dieser Thread gibt mir nun natürlich zu denken, ob hier jemand nicht den Schiedunter zwischen Support und General kennt. Kann es sein dass, hier jemand mal die Stickys gelesen hat und auch mal die Suchfunktion benutzt hat aber nix verstanden hat von dem was da stand? Ich gehe mal auch davon aus, dass hier ein Update auf 2000er nach dem ersten Thread gemacht wurde und ZA nicht so lange und mit der genanten Leistung läuft. Sehe ich das falsch? Kann mich nur wiederholen, gewitztes Kerlchen

Du widersprichst dir ja selbst. Wenn jeder Trojaner von deinem Virenscanner gekillt wird (ps: DAS Wunderding hätte ich gerne... Nur Programme von einer Whitelist dürfen laufen?), kann der auch nicht die Firewall schießen.
Wenn er NICHT gekillt wird, KANN eine Firewall was verhindern, ein Router alleine NICHT.

Zu dem Proxy: Seh ich das richtig, dass der Proxy die Pakete analysiert und wenn die zu einer Regel passen, werden die verworfen?

Nein, der Proxy analysiert nichts. Funktioniert grob gesagt wie bei einem normalen NAT-Router, nur wenn eine Verbindung ins Internet angeforfert wird. muß ein Passwort eingegeben werden. Das was du wahrscheinlich meinst sind die Packet Filter.

Packet Filter lässt sich aber AFAIK auch als Transparenten Proxy realisieren...


Also, angenommen Trojaner ist bekannt (dürfte für mehr als 99.9% aller Fälle zutreffen): Virenscanner killt das Teil bevor es startet/in den Speicher kommt. Firewall merkt nix.
Trojaner nicht bekannt: Trojaner schlüpft am AntiVir vorbei und killt die Firewall.

Super ^^

hier nochmal was dazu: http://www.ulm.ccc.de/chaos-seminar/person.../recording.html

Wo muss ich das Passwort eingeben und wie erkennt der Router welche Verbindung zu welchen Programm gehört?



Trojaner nicht bekannt: Trojaner schlüpft am Antivir vorbei und geht ins Internet.

Super ^^

Du argumentierst völlig an mir vorbei! Nochmal: Benötigtes Wissen um an einem normalen Router (ausgehend!) vorbei zu kommen: NULL.
Benötigtes Wissen um an einer Firewall vorbei zu kommen: Hoch bis nahezu unmöglich(z.B. bei unprevigilierten Usern).

@heinz-becker: hmm, das zu saugen wird etwas dauern, könntest mal kurz den Inhalt zusammenfassen bitte?

nett
vermutlich scheitert der gemeine pfw nutzer jedoch schon beim abspielen : /

hmm, kein DSL?

die haben diverse PFW getestet und zeigen wie leicht man diese mit relativ einfachen Mitteln umgehen kann und dass sie teilweise die Sicherheit nur noch verschlechtern.
€dit: kannst dir ja das hier durchlesen: http://copton.net/vortraege/pfw/index.html ist die beschreibung dazu.

@kreegee
steht doch unten dran mit was man die abspielen kann.

hab ich was gesagt?

So, habs mir jetzt angeschaut.

1. Das Firewallkonzept an Norton zu testen ist, als als würde man gute Software mit eMCrypt zu testen.
2. Wo krieg ich das Video zu dem angesprochen Vortrag mit den Alternativen? Firewalls mögen nicht perfekt sein, aber bei einigen Bereichen - z.B. ausgehenden Verbindungen, filtern nach Anwendungen (das mit dem Proxy hat mir bis jetzt niemand erklärt) - sind sie die einzigen, daher würde mich der extrem interessieren...

1. Ich glaub du hast es nicht verstanden!
Der Witz ist, dass PFW kein Firewallkonzept sind! Ein Firewallkonzept ist deutlich aufwendiger, und muss dem zu schützenden Rechner bzw. Netz vorgeschaltet werden, darf also nicht auf dem zu schützenden Rechner selbst laufen.
Außerdem wurde nicht nur Norton, sondern diverse PFWs getestet (werden doch am Anfang aufgeführt). Es werden lediglich ein paar Beispiele an der Norton gezeigt.

2. meinst du vielleicht das hier: http://archiv.ulm.ccc.de/chaosseminar/200506-websec/

hab ich aber selbst noch nicht ganz angeschaut.

Sie haben gezeigt wie leicht man eine Firewall umgehen/ausnutzen kann, an Norton! Zu den anderen Firewalls haben sie nur die Registryeinträgeanzahl gezeigt.

Und mein Hauptargument ist immer noch unbeantwortet: Schön und gut, eine Firewall kann umgangen werden, aber bei jedem anderen mir bekannten Konzept werden ausgehende gar nicht und eingehende höchstens nach Ports gefiltert, sprich das Konzept muss gar nicht erst umgangen werden.
Sprich: Mag sein, dass dieses wwwsh mit nur 25 Zeilen Code an der Firewall vorbei kommt, aber bei einem Router braucht man nichtmal das, da kann man einfach die Daten hin- und herschicken.

Kleine Randnotiz: Programmieraufwand in Zeilen anzugeben ist ungenau.



funktioniert genauso wie



Zugegebenermaßen ein Extrembeispiel.

Hm noch nie ein Passwortgeschützen Proxy verwendet? Sieht man meistens in Uni's, Firmen, bei Behörden, etc. Diese verlangen vor dem Verbindungsaufbau ins Internet ein Benutzername und Passwort ohne kommt man nicht durch, da der Proxy gleichzeitig als Gateway ins INet fungiert.

Jetzt sind normale Proxies nur für HTTP(S)-Verbindungen gedacht. Deswegen gibts da auch noch Socks-Proxies. Über die kannst du auch Verbindungen (wenn konfiguriert nur per PW) auch auf anderen Ports durchführen. Mein letzter Wissensstand ist, das es für TCP auf jedenfall geht, bei UDP bin ich mir nicht sicher.

D.h. z.B. Programm X will nach Hause telefonieren. X muß über dein Proxy raus ins INet, da es das einzigste Gateway ins WAN ist. Beim Verbindungsaufbau verlangt dein Proxy aber ein Passwort. Ohne Rückfrage an den Benutzer bekommt das Programm X dieses Passwort aber nicht. Damit hast du alle Funktionen wie bei einer normalen Firewall zentral im LAN:

1. Programme kommen ohne Erlaubnis (d.h. mit Benutzername und PW) nicht ins Internet
2. Du bekommst mit wenn ein Programm versucht raus zu telefonieren, da dieser ja dein Passwort benötigt und dich fragen muß
2. Zum Internet hin bis du abgeschottet, bis auf die Ports wo du die Services laufen lässt (z.B. eMule), also genauso geschützt

Das ganze frisst dann bei dir keine Ressourcen, sondern läuft auf der Kiste die bei dir der Server/Router ist.

@ShadowOTD: Nun ja - das wird aber pro User (d.h .Pro Rechner/IP) ablaufen. D.h. sobald du einmal mit dem Browser unterwegs warst und die am Proxy authentifiziert hast kann ab dem Zeitpunkt auch jedes andere Programm auf deinem Rechner ins Netz.

Der Proxy kann nämlich gar nicht unterscheiden welches Programm da senden will, außer er läuft auf dem Client selbst. Dann ist er aber ebenso leicht angreifbar, wie eine PFW.

Der Client muß sich immer pro Verbindungs-Anfrage authentifizieren.



Quelle: http://www.ietf.org/rfc/rfc1928.txt

Zumindest ist es so spezifiziert. Ob das der jeweilige Socks-Proxy so macht, ist die andere Frage... so genau hab ich mir das nicht angeschaut. Wäre aber interessant zu wissen wie die "handelsüblichen" Socks-Proxies das handhaben.

Sowas muss dann direkt in die Software integriert sein (ICQ hat soweit ich weiss z.b. ein Feld für den SOCKS Proxy und ein Passwort). Aber wenn die Software das nicht unterstützt kommt sie gar nicht raus, denn es kann ja nicht aus dem Nichts ein Fenster aufgehen, welches um ein PW bittet.

Der Nutzen von so einem System geht daher für den Otto-normalanwender gegen Null.

Dafür gibts z.B. das Prog SocksCap. Das ist genau für solche Programme gedacht. Einzigster Nachteil bleibt (wie bei den PFW), falls die Software irgendwelche Fehler hat, ist der Server/Router natürlich auch angreifbar.