Ergebnis 1 bis 17 von 17

Thema: Problematik Firewall

  1. #1
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard Problematik Firewall

    Es haben sich sicher viele gewundert, was gestern mal wieder mit dem Internet los war. Ich hatte ja viel vermutet und heute auf heise.de extra nach News Ausschau gehalten, aber dass ausgerechnet eine "harmlose" Personal Firewall an den Problemen schuld war, hätte ich nun wirklich nicht gedacht.


    Am gestrigen Dienstag Abend berichteten Kunden vieler deutscher Zugangs-Provider übereinstimmend von massiven Problemen mit dem Domain Name System (DNS). Oftmals konnten URLs von den DNS-Servern der Provider nur sehr träge oder auch gar nicht aufgelöst werden. Im Browser erschien die Fehlermeldung "Server unknown". Betroffen waren offensichtlich insbesondere T-DSL-Nutzer.

    Anscheinend ist ausgerechnet eine Software Ursache des Problems, die dem Nutzer unbeschwertes Surfen im Internet ermöglichen soll, nämlich die Personal Firewall Zonealarm. Abertausende installierte Zonealarm-Clients versuchten gestern nahezu zeitgleich, ein Autoupdate durchzuführen. Dazu starteten sie eine Anfrage beim Server lockup.zonelabs.com des Zonealarm-Herstellers Zonelabs.

    Aufgrund eines Ausfalls des DNS-Servers, der für die Zuordnung dieses Hostnamen von zonelabs.com zu einer IP-Adresse zuständig ist, wiederholte Zonealarm mehrmals pro Minute diese Anfrage. Jedesmal versuchten die DNS-Server der Provider denn auch, beim DNS zu ermitteln, welche IP-Adresse hinter lockup.zonelabs.com steckt. Zusammengenommen wirkte sich dieser Prozess ähnlich einer Distributed-Denial-of-Service-Attacke auf die DNS-Server der Provider aus.

    Der Provider Netcologne etwa bekam das Problem in den Griff, in dem er alle DNS-Anfragen nach zonelabs.com auf eine eigene Adresse umleitete. Die Telekom bestätigte heute gegenüber heise online "Performanceeinbrüche bei unseren DNS-Servern, die aus massiven Client-Anfragen nach Auflösung einer bestimmten URL führten". Seit dem heutigen Mittwoch Morgen um etwa 8 Uhr sei das Phänomen nicht mehr zu beobachten, erklärte Telekom-Sprecher Willfried Seibel. Zwar sei die Quelle der Anfragen noch nicht abschließend ermittelt, aber auch die Telekom vermute "fehlerhafte, frei verfügbare Firewall-Software" als Verursacher.
    Quelle: http://www.heise.de/newsticker/data/hob-26.11.03-000/

    Ich finde die Ironie wunderbar. Ein Programm, das den User davor schützen soll, dass das eigene System u.a. für Distributed Denial of Service (DDoS)-Attacken mistbraucht wird, startet unbeabsichtigt selbst eine.
    Das muss man sich mal auf der Zunge zergehen lassen. Peinlich, peinlich.

  2. #2
    Dauerschreiber Avatar von Drago
    Dabei seit
    07.10.2002
    Ort
    Aachen
    Beiträge
    1.076

    Standard

    ja aber die absicht dahinter war ja keine DDoS Attacke, auch wenns albern ist das sie nicht selber darauf gekommen sind das das passieren wird.

  3. #3
    Warmgepostet
    Dabei seit
    23.02.2003
    Beiträge
    316

    Standard Problematik Firewall

    So, ab jetzt lass ich mich von einer Firewall beim surfen schützen. Und bevor hier einer anfängt über die Pf von Kerio zu meckern, das steht hier ned zur Diskussion. Mir gehts hier um praktische Tipps wie ich die Pf optimieren kann, damit sie mich auch langfristig schützt. Leider hab ich die englische Version, mit der Möglichkeit tschechisch oder holländisch als Sprache zu wählen. h34r: So, und nu her mit den Tipps.
    Alles ist wie immer
    Nur Schlimmer
    Mist.

  4. #4
    Flinker Finger Avatar von Mouse
    Dabei seit
    24.10.2001
    Ort
    Dortmund - Hombruch
    Beiträge
    669

    Standard

    Niemand wird über Kerio meckern, wenn du sie pfleglich handhabst wird sie dich vor allem beschützen was da draussen rumrennt.
    Sie ist zwar nicht die einfachste Firewall, aber dennoch eine der hartnäckigsten wenn es um Abblocken von unerwünschten Angriffen von aussen und Verbindungen von innen geht.
    Welche Version hast du denn?
    Die neue 4er mit Programm überwachung?
    Naja das vorgehen ist ähnlich.
    Wenn Kerio neu installiert ist, erscheint sie erstmal sehr nervig bei jedem Pups den man macht. Das ist aber auch gut so, denn man muss sie erst mal "trainieren", d.h. ihr sagen wie sie in Zukunft mit diesem oder jenem Event umgehen soll.
    Das sieht meistens so aus das ein Fensterchen aufpoppt das dir erzählt was gerade passiert.
    Du musst genau hinschauen und lesen was sie dir meldet und wann sie dir etwas meldet.
    Ein kleines Beispiel:
    Du öffnest deinen Browser und willst zum Forum, sie meldet das "Browser.exe" eine Verbindung öffnen möchte, und zwar auf "Port 80" zu "spacepub.net", jetzt hast du ein paar Optionen du kannst auf "Permit" klicken, was diese Verbindung einmalig erlaubt oder "Deny" das gegenteil halt. Wenn du jedoch ein Häckchen bei "create Rule" machst so erstellt das Programm automatisch eine Regel die "Browser.exe" bei "permit" automatisch das nächste mal Verbindungen zu Port 80 erlaubt oder verbietet, jeh nachdem. Das ist noch relativ unspektakulär.
    Witzig wird es wenn du z.B. grade am zocken bist oder sowas und plötzlich taucht "sldjbng.exe" wird auf "Port 27374" angesprochen von "217.456.08.15" angesprochen. Diesen Port kannste dann getrost gleich ma dichtmachen, ist erstens merkwürdig weil du kannst dich nicht erinnern ein Programm namens sldjbng.exe installiert zu haben, ausserdem ist der Port komisch. Nebenbei ist das der Standard Port für den allseits beliebten Sub Seven Trojaner.

    Soviel zur Standard vorgehensweise. Es geht natürlich auch noch tiefer in die Materie, aber schreib einfach wenndste ne Frage hast, schwupp de wupp versuch ichs zu beantworten.


    Jaja, widerstehen ich weiss...

    skypeID: reprozessor2

  5. #5
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard

    Schöne Erklärung Mouse.

    Die Regeln kannst du in der pf nachträglich einsehen und editieren, als Faustregel sollte gelten: Jeder Zugriff aufs Netz, den du nicht selbst wissentlich durchgeführt hast, sollte erstmal verboten werden. Wenn dadurch Komplikationen entstehen, kann man das im Admin Panel wieder rückgängig machen.

  6. #6
    Warmgepostet
    Dabei seit
    23.02.2003
    Beiträge
    316

    Standard

    Jopp, hab die 4er Version installiert, die 2er hätt ich auch noch gehabt, aber die ist doof. Was mir bisher aufgefallen ist das die pf sich ständig wegen irgendwas meldet, vor allem beim surfen. Da ist jedoch das Problem das ich keine Ahnung habe was ich erlauben sollte und was net, weil alles so'n Fachchinesisch ist. Woher soll ich denn wissen was ein generic host dingens macht, oder welche Ports verdächtig sind? Da gibts doch bestimmt Seiten dafür. Dazu kommen eben noch die zahlreichen Einstellungsmöglichkeiten, und alles in Englisch. Soll ich so'ne low priority intrusions durchlassen? Welche Webinhalte(na hier Javascripts und so) sollten abgeblockt werden? Da gibts doch bestimmt Seiten wo ich mich mal ein bisschen einlesen kann?
    Alles ist wie immer
    Nur Schlimmer
    Mist.

  7. #7
    Flinker Finger Avatar von Mouse
    Dabei seit
    24.10.2001
    Ort
    Dortmund - Hombruch
    Beiträge
    669

    Standard

    Joa gibt es, nennt sich www.google.de
    ernsthaft wenn du nicht weißt was es ist gib es bei google ein und du bekommst den totalen AHA Effekt weil du dann sagen kannst,
    hey ho let's go, das is gut und das is weniger gut.
    Deswegen solltest du versuchen Kerio Stöckchen bringen zu trainieren, also für gute einiges die Create Rule Option in erwägung ziehen.
    Nach und nach werden die Anfragen immer weniger und nach einiger Zeit kannst du sicher sein das dein System sicher ist.
    Google ist im Internet sozusagen ein Allheilmittel. Auch wenn es mittlerweile einige Probleme gibt mit Googlerankingspam von diversen Verkaufsveranstaltern,
    aber das ist ein anderes Thema.
    Könnte man unter einem Thread "Googlen - aber richtig" anführen.


    Jaja, widerstehen ich weiss...

    skypeID: reprozessor2

  8. #8
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard

    Ich habe jetzt doch einmal das Update von der liebgewonnenen 2er Version der Kerio Personal Firewall auf die aktuelle 4.0.13 durchgeführt - und bin begeistert. Was im ersten Moment etwas schwieriger zu handeln aussieht, entpuppt sich im Nachhinein als gut und logisch strukturierte Menu-Führung.

    Gute Strukturierung tut auch Not, denn die Kerio PF hat viel dazugelernt. Sofort aufgefallen ist mir die stark verbesserte Übersicht über die aktiven Verbindungen, die jetzt den jeweiligen Programmen zugeordnet und einklappbar sind (so dass der Esel nicht mehr die ganze Anzeige mit seinen bis zu über 100 gleichzeitigen Verbindungen zumüllt und alle anderen daneben untergehen).

    Das Log-System, das Ereignisse und Alarme in 4 verschiedenen Kategorien aufzeichnet (Network, System, Intrusion, Web) und verschiedene Angriffsklassen und Prioritätslevel kennt, ist ausgezeichnet und übersichtlich.

    Die grösste Neuerung ist sicher das Webfiltering. Zu meiner nicht geringen Überaschung fing die Kerio PF sofort nach Installation damit an, beim Surfen mit Opera Ads, 3rd-party-cookies und http-referrer zu blocken - und zwar konsequent. Anstelle lustiger Werbebanner sehe ich dann nur noch "Ad blocked by KPF". Gefällt mir. Die Bannerblockerei habe ich inzwischen aber etwas eingeschränkt, denn das übereifrige tool hat auch alle Signatur-Bildchen, die irgendwo das Wort "Banner" oder "Ad" im Namen hatten abgewiesen.

    Nicht zuletzt überzeugt die Kerio mit ihren alten Stärken - den detailliert einstellbaren Regeln dafür, welches Programm auf welchem port raus- oder reinverbinden darf, der Schlankheit und Speicherschonung, ausführlichen und nicht übertrieben panischen Alarmmeldungen (nicht wie ZoneAlarm, was zumindest früher bei jedem harmlosen Portscan einen ANGRIFF gemeldet hat) und einer guten Bedienbarkeit in übersichtlichen und nicht auf bunt getrimmten Menus.

    Wer mit den ausführlichen Alarmmeldungen noch etwas überfordert ist, kann sich auf der Kerio-Homepage auch ein kleines Manual zur PF runterladen.

    Die Kerio PF 4.x sei hiermit wärmstens empfohlen.

    Tip zum Schluss: Wer darauf Wert legt, möglichst wenig Spuren im Web zu hinterlassen und http-referer deaktiviert hat, sollte für spacepub.net eine Ausnahmeregel erstellen - sonst zählt der Space-Hits-Counter nicht mit, weil er geblockt wird.

  9. #9
    Moderator Avatar von Last_Gunslinger
    Dabei seit
    08.10.2002
    Beiträge
    1.734

    Standard

    Ich denke für mich ist es an der Zeut auch so nen Firedings zu benutzen.
    Aber reicht von Kerio auch die Free-Variante?
    Da steht ja das man erst 30 Tage den vollen Schutz hat und wenn man sich dann nicht registriert wird daraus eine abgespeckte Version?
    Die haben zwar hier ne Vergleichstabelle, aber ich raffs nicht.
    Nen Teil versteh ich ja z.B das die Free keine Pop-Ups blockt, kann ich auch gut drauf verzichten. Aber was sagt mir z.B: Runs as internet gateway?
    Und "Control of Private information send to the internet" hört sich ja doch erstrebenswert an oder kann ich darauf verzichten? Was für private Information schützt die denn?

    Also bin ich mit der Free auch ausreichend geschützt oder nicht?

  10. #10
    Plaudertasche Avatar von Haplo
    Dabei seit
    10.02.2003
    Beiträge
    508

    Standard

    @Last_Gunslinger

    Mit der free bist du ausreichend geschützt, keine Sorge.

    "Runs as Internet Gateway" bedeutet:
    Du hast einen Rechner mit 2 Netzwerkkarten (oder mehr). An der einen Netzwerkkarte hängt das DSL-Modem (Internet) und an der anderen z.B. ein Hub oder Switch an den weitere Rechner angeschlossen sind. Auf dem Rechner mit den 2 Netzwerkkarten läuft die Kerio PF und verbindet die anderen Rechner im Netzwerk mit dem Internet (es leitet z.B. die http-Anfragen weiter). Es wirkt also wie ein Tor (Gateway) zum Internet.

    Edit:
    Control of private information sent to the Internet bedeutet:
    Kerio PF kann das (unbeabsichtigte) senden von z.B. Kreditkartennummern, e-mail Adressen, Telephonnummern oder Sozialversicherungsnummern verhindern.

  11. #11
    Tastaturruinierer Avatar von Ghettomaster
    Dabei seit
    16.04.2005
    Ort
    Neuenbürg
    Beiträge
    1.824

    Standard

    Btw. hier gibts nenn interesanten Artikel zum Thema "Warum keine Personall Firewall?": http://jenner.rz.tu-ilmenau.de/~trae...m.htm#Firewall

    CU
    Ghettomaster
    Unmögliches wird sofort erledigt, Wunder dauern etwas länger.

  12. #12
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard

    Ghettomaster: Interessant - weil herrlich lächerlich. Das sticht selbst mir als jemandem, der absolut kein Krösus in Netzwerkdingen ist, ins Auge.

    Man mache sich nur einmal das Vergnügen, den Artikel ganz durchzulesen. Als taugliche Schutzmassnahmen werden einem da alternativ zur verpönten PF tatsächlich kryptische Netzwerktools (leet&#33- am besten noch ausschliesslich per Kommandozeile bedienbar (extra-leet mit Bonus&#33 - unter die Nase gehalten. Und das in einem Dokument, was ausdrücklich den Anspruch erhebt, (Vorsicht, beim Weiterlesen bitte nichts essen/trinken - Spuckgefahr) "auch dem weniger versierten Computernutzer den Einstieg in das Gebiet der Computer- und Datensicherheit zu ermoeglichen". Das ist nichts als blanker Hohn. Nichtmal das. Und als ob das allein nicht schon lächerlich genug wäre, wird dem gleichen weniger versierten Nutzer allen Ernstes weiterhin empfohlen, sich - statt sein System einfach an den Zugangspunkten abzusichern - "per Buqtrack und co. über aktuelle Sicherheitslücken ihrer Software auf dem Laufenden zu halten". Das ist zwar der totale Overkill für jemanden, der einfach nur mit seiner Software in Ruhe arbeiten will - oder für jemanden, der mit dem ganzen Technikkauderwelsch in 50-Seitigen Proof-of-Concept-Exploits mit detaillierter Code-Anleitung zur Ausnützung der aktuellsten IE-Sicherheitslücke (oder zu Pepsi-Sicherheitslecks ) *etwas* überfordert ist, aber dafür ist es halt leet. Halleluja.

    Und wer l33t ist, braucht keine Personal Firewall. Eine Personal Firewall hat sowieso nicht das Recht, sich Firewall nennen zu dürfen.
    Eine echte Firewall ist grundsätzlich ein auf einem Extrarechner dediziert laufendes Profi-Programm mit kryptisch zu bedienenden Menus im flimmernden 80-Zeilen-Ascii-Charme (stilecht nur über 12"-Schwarzweissmonitor, Baujahr 1987 zu bedienen), in denen kein Eintrag ohne unverständliche Fachterminologie auskommt, die auch in den 3000 Seiten starken Man Pages nicht erklärt wird - dafür aber ausführlich, dass Klickibunti Personal Firewalls grundsätzlich was für Lamer sind. Und nur das.

    Jemand mit dem Leetness-Quotienten des Autors sitzt selbstredend den ganzen Tag über höchstpersönlich am Rechner und überwacht jeden Zugriff, jede Übertragung, lässt die einkommenden Datenpakete in Reihe antreten und abzählen. Und falls den immer wachen Augen des Netzwerkgurus doch mal eine Attacke durch den Lappen geht und das System in der Folge kompromittiert ist, "muss in diesem Fall das System neu aufgesetzt werden!". Herr, lass Hirn regnen...

    Übrigens, nur einmal ein kleines Beispiel aus jüngster Zeit: Auch ein noch so aufmerksames Abschnüffeln der ankommenden Daten hätte nicht verhindern können, dass ein XP/2K-Rechner W32.Blaster zum Opfer gefallen wäre (Scheunentor-Sicherheitslücke im RPC-Dienst eines ungepatchten Systemes). Jede noch so simpel gestrickte PF (ja, sogar die XP-eigene) hätte jeden Zugriff auf den verwundbaren Ports einfach abgeblockt und eine ultimativ nötige Neuinstallation des Systems (*prust*) unnötig gemacht.

    Eine Abschlussweisheit noch zum Schluss (Zitat) die in ihrer Tiefe und Aussagekraft am besten stellvertretend für die restlichen ausgeklügelten Argumente speziell gegen PFs in ihrer ganzen Pracht unkommentiert stehenbleibt:

    "Der einzig effektive Weg, sich gegen boesartige Software zu schuetzen, ist, sie nicht zu installieren."

    Noch Fragen?

    P.S.: Für den zusätzlichen Lacher: http://www.fefe.de/pffaq/

  13. #13
    Tastaturruinierer Avatar von Ghettomaster
    Dabei seit
    16.04.2005
    Ort
    Neuenbürg
    Beiträge
    1.824

    Standard

    Naja, was ich damit sagen wollte ist das eine Aplication Firewall unnötig ist. Ist das System sauber brauch man eh keine, ist das System bereits kompromitiert bringt sie nichts mehr.
    Am effektivsten ist immer noch eine kleine IPChains die lediglich Zugriffe von außen blockt. Am besten in Form eines kleinen Zigarrenschachtelgroßen Routers mit integrierter Firewall (HPD, IDS, SPI etc.) gibts für das gleiche Geld wie die registrierte Kerio und bringt im Endeffekt mehr.

    CU
    Ghettomaster
    Unmögliches wird sofort erledigt, Wunder dauern etwas länger.

  14. #14
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard

    Totschlagargumente.

    Wenn das System kompromittiert ist, nützt die PF nichts mehr.

    Wieso das? Nur weil eine andere Software die Firewall abschiessen *kann*? (Dass das relativ einfach möglich ist, bedeutet bei weitem nicht automatisch, dass jeder Schädling das auch tut&#33 Ich glaube nicht, dass es auch nur einen einzigen Trojaner im Umlauf gibt, der gezielt die Kerio PF ausknipst - es gibt einfach zu viele PFs in zu vielen Versionen - und selbst wenn, als wacher Benutzer sehe ich spätestens dann, dass etwas mit meinem System nicht stimmt während ich sonst von dem Trojaner womöglich nichts mitbekomme und ihn unbemerkt seine Arbeit erledigen und gelegentlich nach Hause telefonieren lasse!

    Und es ist ja nicht nur die reine Sicherheit allein, ich habe einfach gern die Kontrolle darüber, welche Programme "nach Hause telefonieren" dürfen. Im Falle bestimmter Mediaplayer und Installationsprogramme etc. mache ich da schonmal die Schranken dicht. Hier gehts jetzt mal nur um die "Application Control". Dass eine moderne Desktop Firewall mehr (und wichtigere) Features mitbringt, sollte dir klar sein - siehe auch weiter oben mein Geschwafel über die Kerio.

    Ich persönlich habe einen Router mit Firewall - trotzdem hat meine Kerio immer noch mehr als genug zu tun.

  15. #15
    Wiederholungstäter
    Dabei seit
    08.10.2002
    Beiträge
    37

    Standard

    Passt nicht ganz aber ich hab ne firewall installiert und hab aber seitdem das problem das ich nicht mehr übers i-net zocken kann browser basierte chats nicht funktionieren usw

    was mus ich tun damit das wieder funktioniert oder steh ich hier vor der wahl schutz oder spiel???
    Cu Helly

  16. #16
    Wühlmaus Avatar von Nager
    Dabei seit
    07.10.2002
    Ort
    Down Under
    Beiträge
    1.666

    Standard

    Passt nicht ganz aber (...)
    Jup, passt hier nicht. Poste das bitte woanders hin. Threads zu Firewalls gibts genug.

    Und wenn du irgendeine Hilfe möchtest, solltest du noch ein paar mehr Details liefern (zumindest darüber, welche Firewall du verwendest...).

  17. #17
    Dauerschreiber Avatar von Litchi
    Dabei seit
    10.10.2002
    Ort
    Österreich
    Beiträge
    927

    Standard

    hi,

    ehm ich habe jetzt die Keiro perosnal firewall und das problem ist, dass ich von meinem notebook jetzt nimma ins internet kann.

    also ich habe chello, kein router, sondern mein notebook ist durch so ne kabel an dem compi meiner mom angeschlossen (kA wie man das richtig ausdrückt).

    jedenfalls habe ich bei Netzwerksicherheit dieses Ethernet dingsda als vertraut mit allen adressen angegeben, kann ich sonst noch etwas machen oder liegt das problem ganz woanders?
    "Those that would give up essential liberty in pursuit of a little temporary security deserve neither liberty nor security." - Benjamin Franklin

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Upgrade Problematik
    Von Armitage im Forum Games, Software & Technik
    Antworten: 6
    Letzter Beitrag: 23.03.2004, 11:21
  2. Hardware Firewall/Router gesucht
    Von Ghettomaster im Forum Games, Software & Technik
    Antworten: 5
    Letzter Beitrag: 21.09.2003, 14:33

Als Lesezeichen weiterleiten

Als Lesezeichen weiterleiten

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •