Personal Firewalls: Sinnvoll oder sinnfrei ? (Teil 2)

3. Fundstücke aus dem Internet (Statements und Tests zum Thema bzw. praxisspezifische Probleme in Foren)

Zitat:

Generell gilt: Personal Firewalls sind kein Allheilmittel und können keine ernsthafte Sicherheitsstrategie ersetzen, sondern diese lediglich um einige sinnvolle Punkte ergänzen. Ein User, der mit administrativen Rechten surft, wird sich auch mit einer Personal Firewall in Gefahr begeben. Zudem sorgt nur ein sorgfältiger Umgang mit dem Werkzeug auch für entsprechenden Schutz. Wer bedenkenlos alle Dialoge bestätigt, kann auch gleich ohne surfen. Zusätzlicher Schutz durch Antivirus- und Antispyware-Produkte ist ebenfalls unabdingbar. (mha)

Quelle: tecchannel.de

Zitat:


Frage: Wie können Personal-Firewalls sinnvoll eingesetzt werden?

Antwort: Personal-Firewalls können in einem Netz zusätzlich zu einer zentralen Firewall auf den Endgeräten installiert werden. Es kann beispielsweise sinnvoll sein, die Browser in eine Sandbox (s. o.) zu sperren, wenn man aktive Inhalte im Netz zulassen möchte. Wird jetzt versucht eine Schwachstelle auszunutzen (um z. B. Daten von der Festplatte zu lesen), funktioniert das nicht, weil der Browser nicht die entsprechenden Rechte hat. Auch in Fällen, in denen in einem Netz Rechner mit stark unterschiedlichen Rechten und Schutzbedarf betrieben werden und eine Abschottung gegeneinander nicht durch Paketfilter oder Firewalls im Netz erfolgen kann, kann ein Einsatz von Personal Firewalls sinnvoll sein. In solchen Fällen sollten die Personal-Firewalls jedoch zentral administriert werden, um eine einheitliche, der Sicherheitspolitik der jeweiligen Institution entsprechende, Konfiguration zu gewährleisten. Das Haupteinsatzgebiet der Personal-Firewalls ist jedoch der PC des Privat-Anwender. Ihn soll die Firewall vor Angriffen aus dem Internet schützen.

Frage: Wie viel Sicherheit bietet mir eine Personal-Firewall?
Antwort:
Man sollte sich vor der Annahme hüten, dass die "einfache" Installation einer Personal-Firewall ausreicht, um den Rechner vor allen Gefahren des Internets zu schützen. Wichtig ist vor allen Dingen, dass das Betriebssystem, der Webbrowser, der E-Mail-Client und anderen Anwendungen so sicher wie möglich konfiguriert werden. Nicht benötigte Ports müssen geschlossen werden, um hier keine Angriffe zu provozieren. Der Einsatz eines aktuellen Virenscanners ist für die Sicherheit des Systems natürlich unerlässlich, ebenso wie die Durchführung regelmäßiger Datensicherungen und das Einspielen aktueller Software-Patches nach bekannt werden von relevanten Sicherheitslücken. Dies sollen nur einige Beispiele sein, die verdeutlichen, dass Sicherheit nicht durch den Einsatz einer einzelnen Software erreicht werden kann, sondern nur durch ein Zusammenspiel verschiedener Faktoren. Grundsätzlich gilt aber auch, je sicherer ein Rechner konfiguriert ist, desto kleiner ist der Sicherheitsgewinn durch den Einsatz einer Personal-Firewall.


Quelle: Bundesamt für Sicherheit und Informationstechnik

Zitat:



Frage: Ich bekomme dauernd Meldungen, dass ich gescannt werde. Oder: Meine Firewall meldet einen Verbindungsaufbau zum Trojanischen Pferd xyz auf meinem Rechner. Was ist zu tun?


Antwort: Wenn die Personal-Firewall einen Scan (oder einen Verbindungsaufbau) meldet kann das verschiedene Ursachen haben:
1) Die Provider teilen ihren Kunden in der Regel dynamisch vergebene IP-Adressen zu. Wenn sich ein Kunde abmeldet, wird die von ihm genutzte Adresse einem neuen Kunden zugeteilt, der sich danach (unter Umständen nur Sekunden später) einwählt. Wenn jetzt ein Internetrechner noch Daten an den alten Kunden sendet (z. B. aufgrund einer langsamen Leitung), wird dies von der Personal-Firewall des neuen Kunden als unerlaubte Verbindung gewertet.

2) Ein anderer Internet-User hat seinen Rechner oder ein Programm falsch konfiguriert, sodass dieser Rechner versucht Verbindungen aufzubauen. Relativ häufig treten diese Probleme bei Filesharing-Programmen auf. Ein Indiz sind Verbindungsversuche von der selben IP-Adresse auf den selben Port. Es werden ganze Adressbereiche nach bestimmten Programmen abgesucht, die eine Hintertür auf dem Rechner (z. B. Back Orifice, Netbus) öffnen würden, oder nach Filesharing-Diensten o. ä.. Hier ist meist ein einzelner Verbindungsaufbau zu einem einzelnen Port zu beobachten.

3) Häufig meldet eine Personal-Firewall auch, dass versucht wurde, ein konkretes Hintertürprogramm zu kontaktieren. Diese Meldung kann in 95% der Fälle vernachlässigt werden, denn wenn dieses Programm nicht vorhanden ist (genauer, wenn auf dem entsprechenden Port kein Dienst lauscht), meldet der "angegriffene" Rechner dem Angreifer zurück, dass kein Dienst verfügbar ist, und der Angreifer wendet sich der nächsten IP-Adresse zu. Auch ein Rechner ohne Personal Firewall würde sich so verhalten. Wenn ein Angreifer einen Rechner genauer untersuchen möchte, versucht er zunächst alle Ports seines Ziels zu kontaktieren. Die Personal-Firewall würde also zahlreiche Verbindungsversuche auf verschiedene Ports melden. Derartige Angriffe sind gegen Privat-Anwender selten. Aufgrund der dynamischen IP-Vergabe der Provider ist ein gezielter Angriff nahezu auszuschließen. Bei einigen Internet-Diensten (z. B. IRC - "Internet Relay Chat") ist es aber für beliebige Kommnikationspartner durchaus möglich, die aktuelle IP-Adresse zu erfahren, sodass dann derartige Angriffe auch gezielt erfolgen könnten.

Die Szenarien 1) und 2) sind nicht als Angriff zu bewerten. Auch Szenenario 3) ist unkritisch, wenn kein entsprechendes Schadprogramm installiert wurde (das wiederum könnte ein Virenscanner feststellen).

Fundstück von der techn. Universität Darmstadt

Zitat:

Von ,,Fachleuten`` hört man oft die Kritik, eine Personal Firewall sei unsinnig, denn wenn der Rechner erst einmal mit Viren verseucht ist, kann der Virus die Personal Firewall evtl. abschalten. Einige Viren sind inzwischen darauf programmiert worden. Aber dazu muss es erst einmal kommen - und das kann auch eine Personal Firewall verhindern. Ein anderes Gegenargument ist, dass eine Firewall nur in einem Netzwerk als globales Konzept wirklich zu mehr Sicherheit verhilft. Das stimmt natürlich, aber zum einen gibt es an der TUD bislang ziemlich wenig solcher geschützter Inseln, zum anderen hilft auch eine Firewall am Gateway wenig, wenn der Kommilitone oder Kollege seinen Laptop an die nächste Netzwerk-Dose anschließt und Viren von außen mitbringt. Auch hier die Analogie zur Brandschutzmauer: das Feuer breitet sich innerhalb des Brandabschnittes munter aus.
Zitat:

Seit langem verwende ich die gratis Firewall von Zone Alarm, doch seit dem Letzten Update hatte ich immer wieder Probleme mit dieser. Als erstes hatte ich einen Trojaner auf dem Rechner (Name hab ich verdrängt, das Neuinstallieren tut heut noch weh... )
Nunja, nachdem Windows wieder komplett war und ZA auch funktionierte das Gespann wie vorher...
Doch dann kamen vollkommen sinnlose Abstürze der vsmon.exe, die für mich zumindest völlig zusammenhangslos waren (teilweise ohne das ich im Internet war) was zu mehrmaligem Neuinstallieren der Firewall geführt haben...
Ich habe auch die Registry von Zone Alarm befreit, das Program auf einem anderen Rechner herunter geladen und das Problem trat noch immer auf...
Hat damit auch jemand erfahrungen gemacht und kennt eine Lösung? Leider kommt keine genaue Fehlerangabe... nur Vsmon.exe hat einen Fehler verursacht und wird geschlossen... nach einem Neustart funktioniert es dann wieder eine Weile...

Quelle: PCFreunde Forum

Zitat:
Ich habe das Problem mittlerweile gelöst...
Die Firewall von Ashampoo gefällt mir auch besser weil man die ports einzeln zulassen kann^^
Zitat:

Guten Abend,

ich verwende seit längeren die Norton Internet Security 2004 Prof. und hatte bisher damit auch keinerlei Probleme.
Wenn ich wg. Netzwerkverbindungen oder Ähnlichem die Firewall nicht gebrauchen konnte, habe ich sie eben einfach per rechte Maustaste auf das Icon und dann "Deaktivieren" deaktiviert. Der AntiVirus ist dann noch ganz normal aktiviert.
So, nun genau seit heute gibt's jedoch ein Problem, wenn ich die Firewall / Internet Security deaktiviere. Ich bekomme dann in regelmäßigen Abständen ein Fenster "Sicherheitswarnung" mit folgendem Text: Ihr Computer ist in den folgenden Bereichen einem Risiko ausgesetzt:

- Firewall-Schutz ist ausgeschaltet
Öffnen Sie Ihr Norton-Produkt, um diese Probleme zu beheben.
"checkbox" - Um duplizierte Warnmeldungen zum Sicherheitsstatus zu vermeiden, Norton-Meldungen verwenden und redundante Warnmeldungen von Windows Security Center deaktivieren.

OK-Button

- - -

Tja, egal ob ich das Kästchen anhake oder nicht und dann auf OK drücke, kurze Zeit später erscheint das Sicherheitswarnung-Fenster wieder. Erst wenn ich die Firewall / Internet Security wieder aktiviere, kommt das Fenster nicht mehr. Vom Windows Security Center (wo Firewall sowieso deaktiviert ist) kommen keinerlei Meldungen und die ganze lange Zeit über, kam dieses komische Fenster mit Sicherheitswarnung auch nicht - erst seit heute, obwohl ich keine Veränderungen an der Norton-Software oder am Windows Security Center vorgenommen habe.

Kann mir da vielleicht jemand weiterhelfen oder hatte dieses Problem auch schon (mal) ?

Quelle: Protectus Security Forum

Zitat:

Hallo zusammen ,
ich habe mir eine Firewall zugelegt ( Norton
Personal Firewall 2004) und (heute) installiert.
Ist das Normal, daß nun ständig Fenster aufgehen
und gefragt wird, ob man dieses oder jenes zulassen möchte= was besonders nervt, alles geht nur noch
ganz langsam. Seiten wie t-online.de oder
www.ebay.de
öffnen sich nicht, Mails konnte ich nicht abrufen.
habe jetzt erstmal die Firewall abgeschaltet
und hoffe, jemand kann mir weiterhelfen,
danke im voraus für die Info
viele Grüsse

Quelle: Computerhilfen.de Forum

Zitat:

Hi,
ich habe ein merkwürdiges Problem mit der Firewall. Ich hatte Zone Alarm,funktionierte ausgezeichnet 1/2 Jahr,dann vor etwa einer Woche kam ein neues Update,das ich auch installierte.Ab da,wenn ich mich in AOL einwählen wollte initialisieren,dann absturtz. An dem System habe ich nichts verändert gehabt.Warum kam ich nicht mehr in´s Internet? Nach Deinstallation von Zone Alarm lief alles reibungslos,auch das Internet. Habe dann Sygate probiert,Internet lief nur mit der Firewall von SP2.Habe aol neu installiert,das selbe. Dann dachte ich an einen Fehler,Da mir das System nach jedem Absturtz System wird nach schwerem Fehler wieder ausgeführt anzeigte. kurzentschlossen habe ich die Festplatte formatiert und das betriebssystem neu installiert.
"Dabei habe ich folgendes festgelegt a,wo die IP eingetragen werden soll habe ich einen Haken gemacht IP automatisch beziehen"Rechts daneben war noch etwas gefragt,das habe ich ignoriert,weil ich nicht wußte was tun. Soweit alles Klar,Ich kann Zone Alarm immer noch nicht nutzen,da der PC immer noch beim einwählen in´s Internet zu aol abstürzt.Mc Afee funktioniert. Überigens habe ich DSL/Lan Hochgeschwindigkeitsinternet,nennt sich die Karte
mit zwei Verbindungen:Lan-Verbindung hergestellt mit Realtek RTL 8139/810x Family.......
Und dem Anschluß 1394 verbindung deaktiviert
1394 netzwerkadapter.
Ich habe kein Netzwerk sondern Einzel PC.
Kann mir jemand weiterhelfen?

Quelle: Hilf-los.de Forum

Zitat:
Hallo Leute!
Ich habe folgende Frage: Woran liegt es, dass mein Firefox bei bestimmten WebSites nicht alle Inhalte (insbes. Bilder) vollständig anzeigt, sondern anstelle der Bilder oder Anzeigen immer das Symbol "AD" steht? Wie kann ich das ändern?
Danke und freundliche Grüße

Quelle: BigBoardZz- Forum

Zitat:
Hi!
Ich habe das Problem gefunden: Es ist tatsächlich meine Firewall. Ich nutze Outpost Pro 3. Vorhin hatte ich sie ausgeschaltet, und schwupps waren alle Bilder da, wo sie sein sollten. Hat jemand ne Ahnung, wo ich in Outpost das entsprechende Häckchen wegmachen kann, das zu der Blockierung führt?
Danke!
Zitat:
Hallo mein Browser öffnet sich immer automatisch und dann erscheint eine komische poker Seite! Habe schon mit den Virensoftware und sowie AD-Aware und Spybot darübergescannt und nichts gefunden. Helft mir gibt es ein Programm welches mein IE wieder repariert? Mit dem Firefox ist mir das noch nie passiert.
PS.: Hijackthis hat auch nichts angezeigt außer
O20 - Winlogon Notify: ytsvhvsurjydi - C:\WINDOWS\
O20 - Winlogon Notify: stigr - C:\WINDOWS\
Welche mit Fragezeichen versehen waren! Da sie aber auf das Windows Verzeichnis verweisen, dürften sie nicht die Übeltäter sein. Habe sie aber trotzdem mal gefixt.

 

Zonealarm telefoniert nach Hause

Personal Firewalls können eben alles

In der Version 6 der Zonelabs Security Suite beinhaltet die Personal Firewall Zonealarm eine Phonehome-Funktion, die Kontakt zu vier Servern von ZoneLabs aufnimmt, selbst wenn der User angewiesen hat, dies zu unterlassen. Seitens ZoneLabs wurde dies bestritten - über zwei Monate hinweg. Nun gibt man sich einsichtig: ein Fix würde demnächst zur Verfügung gestellt.

Zwischenzeitlich behauptete ZoneLabs, es handele sich um einen "Bug" - ungeachtet dessen, dass die Phonehome-Funktion ganz regulär in den XML-Code der Softwarefirewall eincodiert war. Nun will man das "Feature" ganz abstellen. Bis dahin kann sich der User mit einem Workaround behelfen : mit dem Eintrag
# Block access to ZoneLabs Server
127.0.0.1 zonelabs.com
in das Windows-Hosts-File kann die Funktion abgestellt werden.

Zonelabs reiht sich damit ein in die Reihe der glanzlosen Sicherheitstools, die dem User Maßgebliches verschweigen: auch im Fall des Sony-Rootkits bekleckerten sich die Securityspezialisten nicht mit Ruhm, die Malware war zwar bekannt, anders als bei Schadcode "normaler" Virenprogrammierer ließ man sich beim Veröffentlichen von Malwaredefinitionen gegen die Schadroutinen eines Großkonzerns erstaunlich viel Zeit.

Quelle: gulli.com

Zitat:

ZoneAlarm hat schon bei mehreren Tests Spitzenplätze bei der Bewertung bekommen.
Ich habe lediglich das Problem mit dem o.a. "Monitoring" Detail. Dabei hängt sich mein PC 2 Minuten auf. Weiß jemand, wie diese Monitoring-Prozedur abgekürzt werden kann, ohne ZA insgesamt in Frage zu stellen ? Ich nutze die Pro-Version. Diese ist kostenpflichtig, daher will ich (noch) nicht wechseln.

Quelle: PC- Welt Forum

Zitat:

Hallo!
Habe heute den rechner hochgefahren und da war dieses Spycrush Virus drauf.
habe mich schon mal vorab informiert und herausgefunden, dass es eine Meldung hervorruft die einer Windows Fehlermeldung (als Ballon) ähnelt und in der steht man sollte doch Spyware runterladen. Sie versuch also, die leute dazu zu bringen ihre software zu kaufen. Aber hier kommt das eigentliche problem:
Da es sich nicht wie alles andere manuel entfernen lies hab ich auf empfelung anderer leute das kostenlose program SpyHunter runtergeladen. Doch SpyHunter tut nichts anderes als scannen und mir die trojaner und spyware zu zeigen. Um sie zu löschen müsste ich die kostenpflichtige vollversion runterladen.
Meine Frage: Ist dies notwendig oder gibt es noch einen anderen weg den ich nehmen könnte als SpyHunter zu kaufen?

habe AVG Anti Virus Free Edition ( laufend aktualiesiert )
Ashampoo Firewall (kein Update aber pc ist nicht sehr alt )

Quelle: PC- Hilfe Forum

Zitat: pcfreak hat folgendes geschrieben:

Intrusion.Win.MSSQL.worm.Helkern. Muss ich mir da jetzt Sorgen machen oder nicht?

Gruss
Pcfreak


Nein deine Firewall blockiert es ja!

Quelle: Paule's PC Forum

Zitat:

So ein ... ich könnte mich so aufregen.
gibt es irgend ein weg wie ich das Virus das nächste Mal abhalten kann, ich hab ja schon zonelabs Firewall und antivir? kann man mehr machen?

Quelle: Chip.de

Personal Firewall: Sinnvoll oder sinnfrei! Forum

Seit Oktober 2008 geht's mit diesem Artikel hier weiter (bitte dem Link folgen!).

 

oberthal-online