23.01.2008, 19:36
| # 1 |
| Gastposter | Hallöchen ihr fließigen Poster! Ich wollte eigentlich nur Fragen ob es sich für mich bzw. mein System lohnen würde, wenn ich mir eine Desktop-Firewall anschaffen würde. Mein Computer ist über W-Lan (WPA2 mit PreShared-Key, unsichtbare SSID) mit unserem Router verbunden. Auf meinem PC läuft Antivir und die Windows Firewall. Zusätzlich mache ich regelmäßig Spy-, Ad- und Malware- Überprüfungen mit Ad-Aware und Spybot. Ist mein System so gut geschützt? Oder brauche ich eine Firewall bzw. ein zusätzliches Antivirenprogramm? Vielen Dank schon einmal im Vorraus, PChelper29081992 |
 |
|
25.01.2008, 06:52
| # 2 |
| Moderator  Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Moin, die übliche Expertenmeinung dazu ist, dass die Windows-eigene (seit XP SP2) Firewall als Schutz völlig ausreicht. Wenn Du anders herum kontrollieren willst, welche Deiner Anwendungen nach draußen kommuniziert, dann ist das ein Grund für eine zusätzliche Personal Firewall. Ansonsten rüsten diese Produkte zumeist auf durch zusätzlich Spyware-Erkennung usw. Grüße, Thorsten
__________________ Wieder da: FreewareGuide.de ...bin letztens durch die Aufnahmeprüfung zur Hellseherschule gekracht!  |
| |
|
06.02.2008, 16:02
| # 3 | |
| Registriert seit: 23.05.2007
Beiträge: 26
| Hallo FreewareGuide, Zitat:
Unter Berücksichtigung der nachweislichen Tatsache, dass die meisten User mit der Konfiguration bzw. den Warnmeldungen von Desktopfirewalls restlos überfordert sind, wäre die Installation einer solchen an anderer Stelle eher verwirrend und kontraproduktiv. Dazu kommt noch die weitere Tatsache, dass auf weniger performanten Systemen ein deutlicher Leistungseinbruch zu verzeichnen sein kann und nicht selten Probleme anderer Art auftreten können. Die Begründung der Kontrolle des ausgehenden Traffics ist ein alter Hut und eigentlich nicht tragbar. Wer bei der Installation seiner Software entsprechend achtsam ist, kann bereits im Vorfeld vieles ausschließen. Im Übrigen ist ein Updateprozess durchaus sinnvoll und es erübrigt sich, diesen Datenstrom kontrollieren zu wollen, da man ja bereits bei dem Vorhaben der Nutzung einer Software sich darüber im Klaren sein sollte. Desweiteren kann man bei vielen Programmen die Updatefunktion auf Nachfrage einstellen. Wenn es dann, abgesehen vom Betriebssystem, immer noch Programme gibt, deren "PhoneHome" Verhalten nicht kontrollierbar ist, sollte man bei entsprechender Paranoia lieber völlig auf diese verzichten, als eine Kontrolle über eine zusätzliche Software anstreben, bei der natürlich auch gleicher Argwohn angebracht sein sollte. Im Gegensatz zu "normalen" Programmen kann nämlich eine Desktopfirewall bzw. eine Security Suite ebenfalls solche ungewollten Nebeneffekte mit sich bringen, die dann allerdings nicht dokumentiert werden. Im Falle ZoneLabs mit deren beliebt berüchtigter Suite Zonealarm wurden solche Machenschaften bereits mehrfach nachgewiesen. Unter diesen Aspekten sollte man dieses vermeintliche Pro- Argument für Desktopfirewalls und Security Suites nochmals überlegen. Microsoft bietet übrigens Tools (Bordmittel) an, die ebenfalls den Traffic überwachen können. Man braucht also nicht zwingend eine Personalfirewall für sowas: TCPView & ProcessExplorer (alternativ ProcessMonitor). Diese Tools können zwar keinen Traffic blocken, aber wenn der PC entsprechend ordentlich konfiguriert ist und unbenutze Dienste deaktiviert sind, ist eine Blockade von ausgehendem Traffic sowieso nicht notwendig. Dann möchte ich noch ein 2. unsinniges Argument für den Einsatz einer Desktopfirewall entkräften: Gerade die Hersteller werben gerne damit, dass man mit ihren tollen Security Suiten Malware, die sich auf dem Computer befindet, daran zu hindern, ins Internet zu kommen und Schadcode nachzuladen oder Informationen herauszuschleusen. Zum einen ist ein System, auf dem sich nachweislich Malware befindet mit und ohne Sicherheitssoftware nicht mehr vertrauenswürdig. Zum anderen ist es nicht ausgeschlossen, dass das Schutzprogramm auch wirklich hält, was es verspricht. Womöglich kommt trotzdem noch was rein oder raus oder zumindest hat man nicht mehr viel Spass mit dem PC. Das habe ich sogar in der Praxis getestet und das Ergebnis ist verblüffend: Malware: intelligente Schadsoftware als virtueller Trickbetrüger Noch Fragen ? Gruß, TB | |
| |
|
06.02.2008, 16:54
| # 4 |
| Registriert seit: 30.07.2007 Ort: Deutschlands größter Golfplatz
Beiträge: 920
| Danke das du geantwortet hast. Bei der Formulierung "die übliche Expertenmeinung" juckte es mächtig in den Fingern.  Das wichtigste Argument hast du allerdings vergessen. Da er über einen Router ins Internet geht und diese üblicherweise eine Firewall eingebaut haben, ist jegliche Desktopfirewall aus Sicherheitsgründen sinnlos. ciao, andreas |
| |
|
07.02.2008, 07:07
| # 5 | ||
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Zitat:
Zitat:
Grüße, Thorsten
__________________ Wieder da: FreewareGuide.de ...bin letztens durch die Aufnahmeprüfung zur Hellseherschule gekracht! | ||
| |
|
07.02.2008, 09:29
| # 6 | ||||
| Registriert seit: 23.05.2007
Beiträge: 26
| Interessante Argumente gegen Hardware- Router aus dem Heise- Newsticker, die du hier aufführst, FreewareGuide! (Mir ist schon aufgefallen, dass du kein uneingeschränkter PFW- Proaktivist bist  )Der erste Beitrag stammt aus einem Symantec- Blog  Dass Symantec nach jedem Strohhalm greift, um dennoch eine Daseinsberechtigung für die eigenen Produkte zu schaffen, ist unlängst bekannt. Der Bericht ist übrigens nicht verifiziert: Zitat:
Zitat:
Zitat:
Zitat:
 Eine unbedeutende Ausnahme will ich nicht verschweigen: Ein Symantec- Fan beanstandete, dass ich die Größe des Speicherbedarfes von NIS falsch angegeben habe. Dies habe ich dann auch prompt korrigiert und meinen Fehler öffentlich eingestanden, doch der Symantec- Prophet erachtete die falsche Angabe des Speicherbedarfes als ausschlaggebendes Indiz dafür, dass deswegen auch der gesamte Test falsch sei. Begründen oder gar widerlegen konnte er es aber nicht... Möglicherweise gibt es tatsächlich in Ausnahmefällen ein sinnvolles Einsatzgebiet für PFW's, jedoch konnte ich noch keines finden, wo nicht andere Maßnahmen ergebnisorientiert zum gleichen Ziel gelangen würden... Gruß, TB P.S. und bitte keine Streitigkeiten in einer kontroversen Diskussion! Wäre schade, wenn dadurch die Qualität leiden würde... | ||||
| |
|
07.02.2008, 10:53
| # 7 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Moin, warum streiten? Im Prinzip sind wir uns doch relativ einig, außer vielleicht, dass es auch kein Beweis für die Richtigkeit Deines Artikels ist, dass ihn keiner angefochten hat. Das hängt halt damit zusammen, ob die Leute ihn gelesen und ernst genommen haben, die ihn im Zweifelsfall anfechten könnten. Ich will das auch nicht tun, ich bin erstens auch kein Experte und zweitens habe ich deinen Artikel zugegebenermaßen nicht vollständig verschlungen. Wir haben doch keine Zeit...  Die einzige Haltung, der gegenüber ich etwas skeptisch bin ist die, dass man doch mit eingeschaltetem Hirn auf Sicherheitssoftware völlig verzichten könne, auch auf Anti-Virus und Anti-Spyware. In diesem Thema hier sind wir uns in dem Tenor hoffentlich einig, dass irgendeine Firewall schon Sinn macht, insbesondere für Windows. Sei es Hardware, und wenn die nicht da ist die von Microsoft aus XP-SP2 bzw. Vista. Software hat Fehler und man kann halt nicht auf jede erdenkliche Situation gefasst sein, alles so aktuell halten (grade MS selbst hat ja auch immer sehr viel Zeit für seine Fixes), es wird immer passieren, dass solche Fehler auch genutzt werden. Windows 2000 z.B. war und ist ohne irgendeine Firewall nicht mehr online benutzbar. Der Verweis auf den Heise-Artikel war nur, dass ich sowas im Gedächtnis hatte und das der erste passende Artikel war, der mir in die Finger kam. Offensichtlich ein Griff ins Klo, dass das so passiert ist tatsächlich eher unglaubwürdig. Trotzdem ist es nicht auszuschließen, dass auch Hardware angreifbar ist, mindestens wenn sie über Netzwerk konfigurierbar ist. Ich wollte auch gar nicht sagen, dass das ein Argument für eine Personal Firewall wäre, aber schon ein Argument dafür, dass es keine vollständige Sicherheit gibt. Ein Dummy-taugliches Internet ist fern (ich sage nur MSN-Virus)... Grüße, Thorsten
__________________ Wieder da: FreewareGuide.de ...bin letztens durch die Aufnahmeprüfung zur Hellseherschule gekracht! |
| |
|
07.02.2008, 13:33
| # 8 | |||
| Registriert seit: 23.05.2007
Beiträge: 26
| Zitat:
Es gibt sogar ein Szenario, wo eine Personalfirewall wirklich sinnvoll ist: Laptop's mit sensiblen Daten, die sich häufig und regelmäßig in Fremdnetzen befinden, haben (zumindest bei uns) eine spezielle Desktopfirewall erhalten, die aber (darauf wird höchsten Wert gelegt) serverseitig administriebar ist und dies ausschließlich von Netzwerkadmins gemacht wird. Was im Artikel steht, darf ruhig als richtig in der Weise akzeptiert werden, da größtenteils alles nachvollziehbar ist und immer annähernd das gleiche Ergebnis herauskommen wird. Dass Spezialisten für die jeweiligen PFW's da entsprechend gegensteuern könnten, ist mir klar und war auch so beabsichtigt, dennoch fanden sich keine, obwohl der Link bisweilen ziemlich umhergereicht wurde. Das wiederum bringt nicht nur mich zu der Überzeugung, dass in der Forenlandschaft unter den Verfechtern von PFW's doch weniger wirkliche Experten anzutreffen sind als sog. "Fans", die gerne mit Halbwissen die Szene nach dem Motto "Unter den Blinden ist der Einäugige der König" bereichern wollen. Und genau diese Leute sind dann an ihre Grenzen gestoßen... Wenn man sich so intensiv mit Netzwerktechnik und IT- Security (beruflich) beschäftigt, habe ich eine Scheu davor, mich mit Leuten darüber auseinander zu setzen... Zitat:
Ein aktueller Virenscanner oder ein Antimalewaretool zur Berühigung darf schon an Bord sein  Zitat:
Gruß, TB | |||
| |
|
23.02.2008, 15:50
| # 9 | |
| Gastposter | Zitat:
Hallo @ll - zum Thema möchte ich eigentlich allen antworten und merke mal Folgendes an: Hier wird auch mehr mit dem Recourcenverbrauch gehadert als um Sicherheit, und zudem werden die eigentlichen Aufgaben einer Firewall außer Acht gelassen. Nämlich die Filterung der ein-und ausgehenden Daten zwischen dem PC und dem angeschlossenem Netz (Heim-Netzwerk oder Internet), mehr nicht. Die Aussage, dass eine Desktop-Firewall nicht notwendig ist kann mit folgender Aussage eines Autofahres verglichen werden Eigentlich brauche ich keine Bremsen, lass das Auto immer ausrollen. Ist zudem Sprit sparend. Ausnahme: Ein anderes Auto oder ein Fußgänger kreuzen meinen Weg ... Maßnahme: Fahre immer mit Licht und Warnblinker ((( Das zum Vegleich: Hardware-Firewall, AV-und Spyware-Scanner statt Desktop-Firewall ))) Hierzu würde mich folgendes interessieren: Es ist bekannt, dass die meisten Low-Cost-Router auf der Layer 3 Ebene, also am IP Protokoll arbeiten. Also können diese mit Layer 4 Paketen (TCP/UDP) wenig anfangen. - Was dann ? ### Problem: Ein abgehendes UDP/IP Packet kann eine Antwort in Form eines ICMP, UDP oder TCP Packets erhalten, aber ### dieses Packet geht ungehindert durch den NAT Router durch, da der die entsprechende Schicht nicht unterstützt wird. ### ### Auch wenn sich Schäden hierdurch bspw. via Denial of Service Attacken in Grenzen halten, was die Zerstörung von Daten betrifft, ### weil der PC bspw. einfriert, wird diese Technik u.a. auch gezielt zur versuchten Unterbringung von Schadsoftware genutzt. Wie werden die vielen Funktionaliäten inkl. Ports und Protokolle bspw. der "Svchost.exe" gesteuert ? ### Die "Svchost.exe" regelt unter anderem Dienste, die für die Netz-Funktionalität notwendig sind und benutzt hierbei teils auch ### Dienste, die unter Umständen von potentiellen Angreifern missbraucht werden können. ### Diese Funktionen lassen sich nicht komplett üder die System-Dienste steuern, ebensowenig kann derart Einfluß auf die zu ### verwendenden TCP-und UDP-Ports genommen werden. Weitere Schwachstellen in Protokolldiensten ICMP, SMB, NetBios, RawSockets etc. werden auch nicht berücksichtigt Einzigste Lösung: Ein Desktop-Firewallsystem mit dem sämtliche Protokollschichten überwacht, reglementiert und individuell konfiguriert werden können. Speziell zu den in Low-Cost-Routern (Heim-Routern) zwei Anmerkungen: a) ist die Einrichtung von Firewall-Regeln sehr begrenzt, und erfordert auch Fachwissen. b) TR-069 - Schnittstelle in Routern Die TR-069 Schnittstelle erlaubt u.a. dem Provider automatische Aktualisierungen unbemerkt und ohne explizite Zustimmung vom Benutzer für Heim-Router einzuspielen, die sogar zielgerichtet für bestimmte Benutzer sein können. Insbesondere vor dem Hintergrund der "Online-Durchsuchungen", Abhör-Befugnissen und ähnlichem ist dies als gefährlich für den Benutzer anzusehen. Aber natürlemont weiß das ein jeder Anwender ... und weil auch alle auskunftsfreudig sind brauchen wir keine Desktop-Firewall. Wer sich wirklich ernsthaft mit der Thematik Computer,-Informationssicherheit, Firewall usw. auseinandersetzen will, um nicht immer auf sog. Experten-Meinungen angewiesen zu sein, der sollte sich schon mal selbst um Wissen bemühen, das eröfnnet auch ganz neue Diskussionsgrundlagen. Leitfaden für sichere Gateways und Firewalls gibt es bspw. hier: BSI-Faltblatt: Kurzinformationen zu Sicherheit im Internet Das sollte Mann/Frau berücksichtigen: Der Aufbau einer eigenen und sehr individuellen Sicherheitsstrategie, die korrekte Auswahl eines geeigneten Firewallsystems, die Installation, Konfiguration und regelmäßige Pflege eines Firewallsystems erfordert tiefgreifendes Fachwissen über das benutzte Betriebssystem, über Firewallsysteme, Netzwerktechnik, über die verschiedenen Protokolle, Dienste und Ports und über die Art und Weise, wie und warum Regeln benutzt werden und wie sie erstellt werden. Anzuratende Grundlagen wären da: * Sinn und Zweck von Firewallsystemen * Das OSI Modell * Netz-Klassen * Ports * Wichtige Protokolle * Network Adress Translation * Port Forwarding * ICS * Router Alles auch bei Wikipedia zu finden. Eine gute Desktop-Firewall beinhaltet eigentlich auch eine Hilfe zu den og. Punkten. Abschließend noch das: Nicht alle nun folgenden Funktionaltäten gehören zu den Standard-Desktop-Firewall Aufgaben, aber mit einer wirklich guten Desktop-Firewall kann man auch das administrieren und reglementieren. Windows-Hooks, DDE-interkommunikation, Active Desktop Änderungen, DNS API Anforderungen, Anwendungsstart mit URL oder Parametern, Kritische Registrierungseinträge, Prozessspeicher-injektion, Öffnen von Netzwerktreibern. Einstellungen und Regeln für: DCOM / RPC / GRE ARP Filterung Erkennung: Spoofing von IP-Adressen Erkennung: MAC-Spoofing (des Gateway Netzwerk-Adapters) Erkennung: Fragmentierter ICMP Pakete Erkennung: Diverser Nuke-Angriffe Erkennung: Ports-Scans Erkennung: Ausgehender Kommunikationsanfragen und somit Erkennung von Schadsoftware ( Malware, Trojaner)) Gezieltes Erlauben/Blockieren von: JavaScript, VBScript, Referrer, Cookies, Java-Applets, ActiveX, Flash usw. für eine Domain, Subdomain, IP-Adresse und/oder externer aktiver Inhalte. Behandlung versteckter Frames usw. Resümee: Keine der Firewalls, ob Desktop oder Hardware-Firewall bietet einen absoluten Schutz, dafür bestehen zu viele Abhängigkeiten und Szenarien, aber es ist eine sich ergänzende Mischung aus beiden Produkten, die für eine höhe Sicherheit sorgen können (Wissen vorausgesetzt). Die integrierte XP-Firewall ist zwar nur eine Einweg-Firewall und leistet im Vergleich zu anderen Produkten recht wenig, aber in Ergänzung zu einer Hardware-Firewall ist die Lösung besser als keine Firewall. | |
| |
|
23.02.2008, 16:24
| # 10 |
 Registriert seit: 08.01.2007 Ort: Sin-City
Beiträge: 16
| Ich bin begeistert, das du mit deinem Beitrag erstens das richtige gesagt und zweitens den Streit der beiden Superexperten hoffentlich beendet hast. Die Frage war, ob eine Firewall nötig ist-nicht wie die Hersteller ihre Produkte bewerben. Das Bild vom Auto dürfte die Frage abschließend und viel weniger ausladend beantwortet haben. Danke dafür...http://www.netzwelt.de/forum/images/...con_brille.gif  |
| |
|
23.02.2008, 19:39
| # 11 |
| Gesperrt Registriert seit: 23.02.2008
Beiträge: 3
| Ich komme über Router und habe die SP2 Firewall. Ich sperre alle Ports, die meine reguläre Software nicht benötigt. Ausserdem gucke ich einmal am Tag bei meinen Firewalls nach, welches Programm Zugriffsrechte verlangt. Avira bekommt freie Bahn fürs Update, Adobereader wird gesperrt, beinhaltet Adware, usw. usw. Jeder ist für die Sicherheit seines Compi selber verantwortlich. Grüsse Lord Hastur |
| |
|
24.02.2008, 11:54
| # 12 | |||||||||
| Registriert seit: 23.05.2007
Beiträge: 26
| Lieber AAHJA, Zitat:
Nebenbei bemerkt, unterstelle ich keiner dieser Softwarelösungen, dass sie ihre Aufgabe in gewissem Rahmen nicht erfüllen würden, jedoch drücken die Werbeversprechungen der Hersteller was völlig anderes aus. Mich stört die maßlose Überbewertung und ein dadurch resultierendes Vernachlässigen anderer wirkungsvoller Schutzmechanismen (z.B. eingeschränkter Useraccount). Warum nicht erst sinnvolle Maßnahmen ergreifen, die per Boardmittel & Brain.exe schon zur Verfügung stehen und danach schauen, ob vielleicht noch was sicherheitstechnisch nicht abgedeckt ist... @Merlinsteffen Zitat:
 Übrigens der "Autovergleich" ist ein alter Hut und solche Vergleiche gibt es in alle Richtungen, die dann in sich auch immer schlüssig erscheinen. Ich will auch gar nicht mit weiteren Vergleichen anfangen, denn Fakten beeindrucken mich durchaus mehr... Und doch ist es wichtig, das der User erkennt, dass das Bewerben Ihrer Produkte durch die Hersteller weit an der Realität vorbei geht. Glaubst du wirklich, dass Persil & Co. alle Textilien rückstandlos sauber bekommen ? Die angesprochene TR-069 Spezifikation kann in Zukunft sowohl eine Gefahr als auch ein Segen darstellen, kommt eben darauf an, aus welcher Perspektive man es betrachtet. Hier ein etwas verständlicher Artikel zum Thema: heise Netze - DSL fernkonfiguriert Zitat:
Die Diskussion über TR-069 ist noch nicht zu Ende und sollte nicht Gegenstand dieses Beitrages werden. Derzeit (und ich spreche hierbei allein von meiner Situation) kann ich in der FritzBox die Zugriffsmöglichkeiten des Providers auf den Router "noch" unterbinden. Bestünden dennoch Zugriffsmöglichkeiten auf meinen Router (mit oder ohne TR-069) von denen ich nicht in Kenntnis gesetzt wäre, würde sich mein Provider in mehreren Fällen strafbar machen. Holzauge sei wachsam ! Übrigens , falls mit "auskunftsfreudig" das unbedachte Versenden von Daten, umgangssprachlich und neudeutsch auch "PhoneHome" Aktivität bezeichnet, gemeint sein soll, dann sind die sog. Personalfirewalls nachweislich auch keine Kinder von Traurigkeit. Zonealarm wurde schon mehrfach dessen überführt und die Dunkelziffer liegt bekanntlich immer deutlich höher. Entsprechende "Flags" (, die natürlich per default in entsprechender CheckBox gesetzt sind) finden sich in Installationsroutinen der Security Suiten immer öfter... Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Gustav löst am Computer alle Probleme, die er noch nicht hatte, als er noch keinen Computer hatte ist in ähnlicher Form ein lustiger Cartoon von Ulli Stein, welchen ich noch etwas ergänzen würde: Denkt Gustav, er hätte alle Probleme gelöst, erzählt ihm seine Personalfirewall, dass ein Angriff auf IP 127.0.0.1 stattfinden würde, weshalb Gustav flugs sich der neuen Problematik widmet... Es mag ja sein, AAHJA, dass du das nötige KnowHow mitbringst (das entnehme ich deinen Forenbeiträgen) eine PFW sinnvoll einsetzen zu können, dennoch bleibe ich der Meinung, dass der Großteil der User mit der richtigen Konfiguration restlos überfordert sein wird und eine PFW lediglich als Alibifunktion bzw. Scheinsicherheitsinstrument installiert, um bewußt sich in dunkle Ecken des WWW begeben zu können. Wie könnte es sonst möglich sein, dass die Viren- und Malwareforen vor Hilferufen (trotz diverser Security Software) überquellen ? Wie ist es auf der anderen Seite möglich, dass meine Familie mit insgesamt 8 Clients ohne PFW und Security Suite keine Probleme mit Viren und Malware hat ? Wie kannst du das erklären ? Noch was zum Nachdenken diesbezüglich: Malware: intelligente Schadsoftware als virtueller Trickbetrüger Zitat:
Gruß, TB | |||||||||
| |
|
24.02.2008, 14:26
| # 13 |
| Gastposter | Hi TB, also: Zitat: Danke, dass du uns an die "eigentlichen" Aufgaben einer Firewall erinnert hast. > Dieser Hinweis war meines Erachtens notwendig, weil heutige Desktop-Firewall-Systeme so enorm mit weiteren Funktionen aufgebläht > sind, die nicht wirklich zu den Funktionen einer DFW gehören. Zitat: ... resultierendes Vernachlässigen anderer wirkungsvoller Schutzmechanismen (z.B. eingeschränkter Useraccount). Warum nicht erst sinnvolle Maßnahmen ergreifen, die per Boardmittel & *Brain.exe *schon zur Verfügung stehen und danach schauen, ob vielleicht noch was sicherheitstechnisch nicht abgedeckt ist... > Eingeschränkte User-Account sind eine feine Sache, doch leider gibt es immer noch eine vielzahl von Software-Produkten, die > Administratorenrechte voraussetzen. Selbst mit Su für Windows ist ein sinnvolles und komfortables Handling kaum möglich. - > Zum Punkt Brain.exe widersprichst du dir selbst, da du jetzt auf Wissen und analytisches Denken verweist, was du dem Benutzer > bei anderen Gelegenheiten absprichst. Zitat: Die angesprochene *TR-069* Spezifikation kann in Zukunft sowohl eine Gefahr als auch ein Segen darstellen > Wieviele Anwender wissen denn überhaupt von dieser Schnittstelle ? > Für weniger versierte Anwender bietet TR-069 vorab erst einmal Komfort > Wer an Vorratsdatenspeicherung, Online-Durchsuchungen, mögliche Router-Hacks denkt ist diese Schnittstelle eine Katastrophe. > (Falls werksseitig aktiviert, kann auch hier eine DFW zusätzlichen Schutz bieten) (Unautorisierter / Remote-Zugriff) Zitat: Beinahe alle "SOHO" DSL- Router verhindern keinen ausgehenden Traffic anhand ihrer eingebauten Firewall, weil diese Firewall (besser "Paketfilter") nur in eingehende Richtung arbeitet. Das ist aber hinlänglich bekannt und wird gerne von PFW- Proaktivisten als Argument zum Einsatz einer solchen verwendet. Das wäre ja auch soweit tragbar, wenn diese Softwarelösungen den Anwender nicht vor schier unlösbare Konfigurationsprobleme stellen würden. > Schon wieder ein Hinweis auf mangelnde Kenntnis des Anwenders, aber nicht die Akzeptanz, dass eben eine DFW diesen Bereich abdeckt. Zitat: Schön, dass du gerade die *SVCHOST.EXE* ansprichst. Vielleicht bist du in der Lage, diesen Prozess in all seiner Vielfalt über eine PFW entsprechend zu kontrollieren, aber 99,5% der Anwender einer PFW können das nicht. Hierzu ist überdurchschnittliches Wissen in Spezialgebieten notwendig, das in der breiten Masse nachweislich fehlt. Du hast das selbst gesagt: > Nun werden deine Hinweise auf die mangelnden Kenntnisse des Anwenders, für die Anwender langsam peinlich. Zitat: Jetzt sortiere mal bitte alle Leute aus, die entweder über dieses Wissen bereits verfügen oder es sich vor der Installation einer PFW aneignen würden - wer bleibt dann noch übrig ? > Langsam find ich es merkwürdig, dass du den Anwendern alles Wissen absprichst und gleichzeitig darauf beharren willst, dass eine > DFW keine vernünftige Ergänzung zum Schutz des Anwenders darstellen kann. Zitat: Es mag ja sein, *AAHJA*, dass du das nötige KnowHow mitbringst (das entnehme ich deinen Forenbeiträgen) eine PFW sinnvoll einsetzen zu können, dennoch bleibe ich der Meinung, dass der Großteil der User mit der *richtigen* Konfiguration restlos überfordert sein wird und eine PFW lediglich als Alibifunktion bzw. Scheinsicherheitsinstrument installiert, um bewußt sich in dunkle Ecken des WWW begeben zu können. Wie könnte es sonst möglich sein, dass die Viren- und Malwareforen vor Hilferufen (trotz diverser Security Software) überquellen ? Wie ist es auf der anderen Seite möglich, dass meine Familie mit insgesamt 8 Clients ohne PFW und Security Suite keine Probleme mit Viren und Malware hat ? Wie kannst du das erklären ? > Wie stellen du und deine Familie denn fest, ob vielleicht eine Schadsoftware nach Hause telefonieren will ? > Das funzt doch nur bei Prozess und Portüberwachung - Wer hat das Wissen ? > Prozessüberwachung, Prozess-Injektion und Portüberwachung kann komfortabel (weil automatisch) mit einer DFW durchgeführt werden. > Aktuell gibt es dann ein Hinweis von der DFW, und zusätzlich die Log-Dateien. Grundsätzliches: 1) Desktop-Firewalls und deren Voreinstellungen können dem Anwender zusätzlichen Schutz bieten. 2) Desktop-Firewalls, insbesondere Application-Layer-Firewall decken die Bereiche bis Layer 7 des OSI-Modells ab, was Hardware-Firewalls, explizit aber die integrierten Heim-Router-Firewalls nicht leisten. 3) Die Erkennung von Anwendungen die eine Verbindung ins Netz aufbauen wollen ist nur mit einer DFW (als simpelste Methode) möglich. >> Andere Punkte spare ich jetzt mal aus, denn wenn du die 3 Punkte akzeptieren kannst, dann stellt eine DFW somit schon einen >> zusätzlichen Schutz des Anwenders und seines Rechners da. 4) Aufgrund mangelnden Wissens, kann ich einem Anwender nicht von einer DFW und zusätzlichen Schutz abraten, zumal beim praktischen Einsatz ein jeder Anwender auch hinzulernen kann und sollte und es letztlich auch macht. 5) Computer sind nun einmal Systeme (Verbundene aufeinander bezogene Elemente mit Wechselwirkung, die organisiert und Strukturiert werden müssen, um eine Funktionalität herzustellen und zu gewährleisten.) die nur mit dem nötigen Wissen bedient und administriert werden können. Das diese Materie umfangreich und kompliziert ist dürfte mittlerweile jedem klar sein. Die Menschen die Schwierigkeiten mit Computer und Internet haben, sind eben aus diesem Grund hier. Und denen soll ich von der Nutzung einer Desktop-Firewall abraten, weil die deiner Meinung nach nicht genügend Wissen aufbringen. Bemerkst du deinen Widerspruch nicht selbst ? Du reitest auf Details herum ohne die Dinge in dem Kontext zu sehen, in dem sie sich darstellen. Ohne notwendiges Hintergrundwissen kann keine Entscheidung für oder gegen eine Desktop-Firewall getroffen werden, aber das eine DFW einen zusätzlichen Schutz darstellen kann, ist nicht in Abrede zu stellen. Und nun kann sich ein jeder selbst entscheiden, ob er/sie einen zusätzlichen Schutz will oder nicht. In diesem Sinne Zusatz zu: Regis Hastur hat's auf den Punkt gebracht. Wer es schafft, ohne zusätzliche Security Suite die eigene Internetsicherheit einschätzen und umsetzen zu können, hat eine Menge Zeit gespart, wenn man sich nicht mit aufwändiger Konfiguration von Sicherheitssoftware befassen muss oder gar sich mit den ständig dadurch erzeugten Fehlern rumärgern muss! Einschätzen kann ich nur etwas, was ich auch kontrollieren kann. Ohne Werkzeuge für Kontrolle und Wissen steigen die Fehleinschätzungen. Rumärgern müssen sich nur die, die nur den roten und grünen Knopf kennen. Lernende und wissende ärgern sich nicht und lassen sich nicht beherrschen, die herrschen aufgrund ihres Wissens. |
| |
|
25.02.2008, 14:14
| # 14 | ||||||||||||||||
| Registriert seit: 23.05.2007
Beiträge: 26
| Hallo AAHJA, Zitat:
Zitat:
Im Gegensatz dazu, verleitet der Einsatz von Security Suites oder PFW's manche User dazu, Brain.exe doch etwas zu vernachlässigen... Zitat:
Wenn du von völlig anderen Remotezugriffen als TR-069 sprichst, dann weiß ich nicht, warum du diese Sache so vehement in diesem Zusammenhang ins Gespräch gebracht hast. Klar verhindert in solchen Fällen eine DFW Remotezugriffe auf Clients, doch die Routerfirewall macht das trotz TR-069 ebenfalls. Nun müßte man schon annehmen, dass die Router- Firewall fehlkonfiguriert sei und dieses Problem fängt man dann hinterher quasi in 2. Linie mit einer PFW/DFW ab. Warum stellt man dann nicht einfach die Routerfirewall richtig ein, anstatt diese zu belassen und sich eine zusätzliche Software anzuschaffen, die natürlich auch wiederum richtig konfiguriert werden muss ? Entschuldige meine Skepsis, aber hierin sehe ich schon ein kleines Paradoxum. (Wenn ein Loch in der Hose ist, sollte man es stopfen, anstatt eine andere darunter anzuziehen...) Zitat:
Zitat:
Zitat:
Deine Argumentation leidet erheblich darunter, dass du mitlesende User auf deine Seite ziehen willst, indem du versuchst, ständig darauf hinzuweisen, dass ich angeblich mit meinen Aussagen den Kenntnisstand der User in Frage stellen wolle. Beantworte lieber meine Fragen, anstatt auf diese Weise abzulenken! Ich habe "alles" in deiner Antwort hervorgehoben, weil ich dies so gar nicht behauptet habe, du es aber zu deinem Vorteil entsprechend auslegen möchtest. Nochmal: Eine PFW kann eine vernünftige Ergänzung zu einem Sicherheitskonzept sein, aber eben nicht das Sicherheitskonzept schlechthin. Ist die PFW, aufgrund welcher Umstände auch immer, nicht richtig konfiguriert oder bereitet andererorts Probleme, sehe ich darin keine vernünftige Ergänzung mehr. Nicht mehr und nicht weniger! Zitat:
Zitat:
 Zitat:
Zitat:
Zitat:
Zitat:
Aufgrund mangelnden Wissens, kann ich einem Anwender daher von einer DFW und angeblicher Sicherheit abraten, zumal jeder Anwender auch hinzulernen kann und sollte, ohne sowie mit PFW. Meine Erfahrung aus vielen praktischen Fällen hat mir allerdings gezeigt, dass User "ohne" in der Regel eine weitaus höhere Lernbereitschaft zeigen als User "mit", weil gerade Letztere diese Zeit nicht investieren wollen, weil es ja nach Angaben der Hersteller (und von dir) mit der Installation eines solchen Sicherheitstools sich erübrigt, weil die Installation einer Software deutlich einfacher geht, als sich beispielsweise mit dem OSI- Modell auseinander zu setzen... Zitat:
Ich komme deshalb mal wieder auf den "eingeschränkten Useraccount" zurück. Wer damit arbeitet, wird feststellen, dass die Infizierung durch Schadsoftware geringer ist, als beim Einsatz einer PFW bzw. Security Suite. Die Konfiguration desselben dürfte auch wesentlich einfacher sein, als die einer PFW. Natürlich sind die User etwas eingschränkt, wenn sie solche Software wie du verwenden, die permanent Admin- Rechte benötigt, um zu funktionieren. Das ist natürlich nur ein kleiner Teil eines Sicherheitskonzeptes, aber bereits sehr effektiv. Warum sollte ich dies den Anwendern vorenthalten und sie dazu auffordern eine PFW zu installieren (zumal dafür die Kenntnisse nicht soooo weitreichend sein müssen) ? OK, wer sich dann zusätzlich noch eine PFW installiert, den halte ich nicht davon ab. Bevor man Motorrad fahren möchte, sollte man zuerst mal Fahrradfahren lernen ! Zitat:
Hintergrundwissen --> plötzlich ist es notwendig, die Frage, wie weitreichend dieses Wissen sein muss, um sich für den Einsatz einer Desktopfirewall zu entscheiden, bleibt typischerweise offen. 1. kann --> richtig, "kann" nicht zwangsläufig "muss" - die Gründe dafür wurden bereits erörtert... 2. kann --> es würde mir im Traum nicht einfallen, einem User dieses Recht zu nehmen und das wäre mir auch nicht möglich. Es gibt jedoch Anwender, die mich um Rat gefragt haben oder deren System ich neu aufsetzen musste, die seither keine Probleme mehr mit Malware & Co. hatten, obwohl sie keine PFW verwenden. Natürlich gibt es auch User, die mit PFW keine Probleme haben, das will ich gar nicht leugnen, aber diese benutzen trozdem zusätzlich Brain.exe - da bin ich mir sicher... Zitat:
Zitat:
Mein Fazit: Ich kann dich nicht überzeugen und du mich nicht, also belassen wir es dabei. Die Anwender sind ebenso frei in ihrer Entscheidung und sollen das tun, was sie für richtig erachten... Gruß thbrueck | ||||||||||||||||
| |
|
25.02.2008, 21:08
| # 15 |
| Gastposter | Hallo TB, ( Du schon wieder  Einleitung: (Pferd anders aufgezäumt! Dein Einverständnis mal vorausgesetzt, ansonsten werde ich später auf die einzelnen Punkte eingehen ) Setzen die folgenden Punkte eigentlich weniger Kenntnisse als die Bedienung einer DFW voraus ? 1.Überprüfung der Bios Einstellungen bspw. zu TPM und Raid-Controllern, Bootreihenfolge etc. 2.Installation eines Betriebssystems wie Windows-XP inkl. Partitionierung und Konfiguration der System- Dienste (Systemverhalten wie bspw. Prefetching, Einrichten der Systemwiederherstellung) 3.Installationsreihenfolge von Treibern 4.Anlegen und verwalten von Accounts und Sicherheitsrichtlinien 5.Installation und Konfiguration (Router, ((W)LAN[Privater IP-Bereich], Browser, Email-Client, Freigaben etc) 6.Überwachungseinstellungen (Protokollierung: System, Sicherheit, Anwendung, IE, AV-Programme) 7.Anpassung Internetoptionen (Zonen, Datenschutz, Inhaltsfilter, Erweiterte Einstellungen (Scripting etc.) 8.Programm-Installationen mit Optionen und Erweiterungen wie Dot.Net mit zusätzlichen Accounts, Java 9.Deinstallation nicht benötigter Windows-Komponenten (Sysoc.*) 10.SSL Zugänge für Email-Client-Programme einrichten 11.Einrichtung von Bluetooth, DFÜ, ISDN Ich denke mal nicht. Aus eben diesem Grund haben die meisten Anwender ein Standard-System (mit Schwachstellen) und bauen sich zusätzlich mit Anwendungen wie: Chat-Programmen, Skype, Filesharing-Progs (bei denen sogar Standard Anwender über sich hinaus wachsen und die erforderlichen Router-Einstellungen vornehmen) Multimedia-Erweiterungen, Playern mit Internetzugang, Browser-PlugIns, Download-Managern, Virtualisierungstools usw. weitere Schwachstellen ein, Installation von Programmen die teilweise schon Adware enthalten eingeschlossen. Deshalb bietet meiner Meinung nach ein halbwegs vernünftiges Desktop-Firewall-System einen zusätzlichen Schutz, wie ich ihn verstanden haben möchte. Mit den Features:
Neuere und gute Desktop-Firewalls laufen oder bringen den sog.
Ein weiterer Vorteil einer Desktop-Firewall: Schutz vor Zugriffen von außen und innen Selbstverständlich Brain.exe und richtige Bedienung eingeschlossen. Und nun zur Kommunikation DFW / Anwender (stark vereinfacht) DFW: Anwendung: xxxxx fordert eine ausgehende Verbindung, willst du das erlauben, verbieten, verwerfen, einmal erlauben, einmal blockieren, Regel erstellen ?" Anwender: Brain, was soll ich machen? Brain: Keine Ahnung, aber Tips: a) Fachmann fragen b) googlen, Online-Hilfe durchkämmen c) warte auf Reflex ... d) mach einmal in emotional ... Bei obigen Optionen hat der Anwender nun wirklich alle Möglichkeiten zur richtigen Entscheidungsfindung, bezogen auf die Anwendung xxxxx, sehe ich nicht die Verleitung Brain.exe abzustellen. (denke positiv) [Spöttel]: die Optionen sind natürlich nur DFW-Nutzern bekannt:baeh: Eine sinnvolle Firewall-Regel (vordefiniert oder vom Fachmann), kann selbstverständlich jederzeit vom Anwender zunichte gemacht werden. Aber deswegen bieten die anderen Regeln immer noch den vorkonfigurierten (zusätzlichen) Schutz. Was nützt ein richtig konfigurierter Dienst, wenn dieser eine Schwachstelle aufweist ? Gleiches betrifft Browser-Schwachstellen und PlugIns Bei der Sasser-Epidemie haben beispielsweise die DFWs, gerade ungepatchte Win2000 und XP-Systeme wirkungsvoll geschützt. (* konnte mir den antiken Hinweis nicht verkneifen) Frage: Wer oder was schützt vor Schwachstellen im Router und der integrierten Firewall selbst ? Antwort: Eine zusätzlich DFW Bevor ich die rhetorische Frage: Wie viele Trojaner gibt es ?, stelle, muss ich wohl fragen, wie die überhaupt auf die Systeme gelangen können. Und auch da kann eine DFW mit den o.g. Features wirksame Arbeit verrichten. (Nicht nur wenn eine unbekannte Anwendung nach Hause telefonieren will) Wenn ich regelmäßig Schreckensmeldungen und Schlagzeilen wie: * Täglich 6.000 neue infizierte Webseiten. * Täglich 10.000 neue Schädlinge * Täglich 500.000 durch Bots infizierte Rechner * Wieder groß angelegte Angriffe auf Web-Anwender im Gange * Neue Wurm-Welle schwappt durchs Netz * Schwachstelle im Internet-Explorer, Firefox, Opera und Co * Sicherheitslücken in Flash-Applets * Schädliche Werbebanner auf populären Webseiten * Ungewollte Fernkonfiguration für Heim-Router, lese, kann ich leicht abschätzen was dem Anwender mit seinem Standard-System blühen kann. Deshalb kann jeder zusätzliche Schutz, selbst wenn er irgendwann wieder durch unsachgemäße Bedienung zunichte gemacht wird, erstmal Nutzbringend sein. Nebenbei vielleicht noch zum besseren Verständnis. Ich habe immer von Desktop-Firewall-Systemen geschrieben und nicht von Security-Suites, von denen ich auch nichts halte. Zumal dann nicht wenn diese zusätzlich nach ActiveX usw. verlangen. Außerdem habe ich nie ein spezielles Produkt genannt oder empfohlen. Dies ist nur einem ausgesuchten Personenkreis vorbehalten. Interessierte Anwender holen sich meist vor Download/Erwerb einer Software notwendige Informationen, und wirklich Interessierte finden bestimmt in unseren Beiträgen Infos zu dem was eine Firewall leisten sollte. Auch habe ich nicht vor dich zu überzeugen, doch haben wir allein schon mit unseren Beiträgen einige Wenige zum Einsatz der Brain.exe gebracht und vielleicht weitere neugierig gemacht. Eine DFW ist, und kann auch nicht das Allheilmittel oder der Systemschutz schlechthin sein, was ich auch nie behauptet habe, sondern kann immer nur als Teil einer Lösung zum Schutz des Systems und der Daten angesehen werden. Deswegen auch immer die Buchstabenreihenfolge: zusätzlicher Schutz. Zu deiner Skepsis bezüglich der TR-069 Schnittstelle: Wenn es zum Bundestrojaner und der Online-Durchsuchung kommen wird, werden die sog. Sicherheitsbehörden und Provider zusammenarbeiten. Eine aktive TR-069 Schnittstelle bietet aufgrund der Fernkonfiguration alle Optionen, ein Eindringen in das dahinter liegende System zu erleichtern. Du schreibst manchmal sehr bestimmt von manchen Usern die Brain.exe ausschalten, aber trotz deiner negativen Einschätzung und/oder Erfahrung, schalten eben diese User auch bei anderen Gelegenheiten Brain.exe ab. Ist das ohne DFW ungefährlicher ? Also die Aussage das Menschen ohne Desktop-Firewall sensibler im Umgang mit dem Medium Internet sind ,und Brain.exe im Dauerbetrieb laufen lassen, glaube ich dir nicht. Die Ursachen liegen doch häufig darin, dass der Anwender im Unternehmen auf eine recht Umfangreiche Infrastruktur trifft, die ihn schützt, und nur wenige Rechte innerhalb dieses Netzes (Segments) hat. Daheim ist der Anwender Administrator mit minimaler Infrastruktur, aber allen Rechten. Bei der Standard-Mentalität eines von der Arbeit kommenden und Rechte-Beschnittenen Anwenders ist jetzt ausprobieren angesagt, und nicht Hirn ausschalten. Erweiterte Kategorie: ANWENDER ALLEIN DAHEIM Jetzt packen wir noch die Geiz-ist-Geil-Mentalität bei, und schon hast du einen Dauergast von File-Sharing Netzwerken inklusive Dateiversand via Messenger , Downloadern von Rapidshare, Megaupload, Usenet-Nutzern usw. Kategorie Schmuddelfilmchen und Adressen: Ramsch Spiele Münzen und vieles mehr (ätsch) zensiert. Mach doch bitte einen Vorschlag, wie wir uns ohne in weitere Details, mögliche Wenn ... dann ... könnte Szenarien und fiktive Angriffs und Verteidigungsstrategien zu verfallen, geschickt aus der Affäre ziehen können, um eine Endlosdiskussion zu der ich weder Zeit noch Lust habe, zu vermeiden. Denn letztlich geht es nicht darum wer von uns Recht hat, welche Firewall einzusetzen ist (externe) Router-Firewall, Desktop-Firewall, sonstige ... Sondern um gegenteilige Meinungen zu: theoretischem und auf Erfahrung basierendem Nutzerverhalten, und Voraussetzungen eine ergänzende Schutzlösung wie eine DFW einzusetzen. |
| |
|
26.02.2008, 10:33
| # 16 | |
| Registriert seit: 23.05.2007
Beiträge: 26
| Zitat:
Gut ist, dass du explizit auf eine Unterscheidung zwischen PFW/DFW hingewiesen hast, denn hier kommen neue Probleme auf Personalfirewalluser zu. Installiere dir mal auf einem Testsystem die Freewareversion der aktuellen Outpost Firewall! Du wirst sehr schnell zu einem Update aufgefordert werden, was du natürlich auch verweigern könntest, aber sicherlich nicht ins vorgelebte Sicherheitskonzept passt. Nach dem Update und (natürlich) einem Reboot werkelt fortan die Outpost Pro Version auf dem System und entpuppt sich als waschechte Security Suite. Nicht genug damit, auch ab diesem Zeitpunkt wurde aus der Freeware eine 30- Tage Trial Version. Solche marketingstrategische Machenschaften der Hersteller sind die Dinge, die ich in erster Linie kritisiere (natürlich auch die Werbeversprechen, die verschlüsselt dem User mitteilen, dass sie fortan Brain.exe an der Gardarobe abgeben können) . Nochmal - eine PFW/DFW "kann" eine Erhöhung der Sicherheit bedeuten, muss aber nicht zwangsläufig und hängt nach wie vor entscheidend vom Wissen und Verhalten des Users ab. Meintwegen darf sich jeder eine solche Software installieren, wenn er es für notwendig hält. "Ich" (und viele andere auch) brauche sowas nicht. Der Grund ist simpel: "Ich" habe "ohne" keine Probleme mit Malware & Co. und hätte sie natürlich auch "mit" nicht. Alle User, die ohne PFW/DFW oder Security Suite malwarefreie Systeme besitzen, beweisen, dass die suggerierte Notwendigkeit nach Schutzmaßnahmen dieser Art, übertrieben ist. Übrigens finde ich das (techn.) Sicherheitskonzept von Vista (UAC, Protected Mode und Vista Firewall) als sehr gelungen und eine Infizierung mit Malware nach folgendem Muster (Malware: intelligente Schadsoftware als virtueller Trickbetrüger) gelang mir auf einem Testsystem nicht. Der Einsatz einer Third Party Lösung (PFW oder Security Suite) auf einem richtig eingestelltem Vista System erachte ich als absolut überflüssig. Der Vorteil der Vista- Firewall besteht übrigens auch darin, dass sie Teil des OS ist, auch über GPO's gemanaget werden kann und die Settings übertragen werden können. So lasse ich mir das gefallen... Bei XP erachte ich nach wie vor die Nutzung eines eingeschränkten Useraccounts als wichtige und effektive Methode gegen Malwareinfektionen und kommt (bei mir) deutlich vor einer PFW oder gar Security Suite. Warum wird dieses effiziente Sicherheitskriterium, das eigentlich nicht schwer und auch kostenlos einzurichten ist, so gerne von Lobbyisten der Sicherheitssoftwareindustrie verschwiegen ? Ganz logisch, weil dieses kleine unscheinbare Feature einen Großteil der Features von den zu vermarkteten Security Softwareprodukten uninteressant machen würde... Ich denke, in weiten Teilen sind wir uns einig... Gruß, TB | |
| |
|
26.02.2008, 12:19
| # 17 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Mal so als kleine Nachfrage (ich habe ja lange kapituliert hier): Meint ihr wirklich, dass das noch jemand lesen kann und tut, dass damit wirklich wem geholfen wird? Insbesondere den Nutzern, die sich die ursprüngliche Frage noch stellen? Nein, bitte antwortet nicht! In meinen Augen sind der Worte mehr als genug gewechselt. |
| |
|
26.02.2008, 13:07
| # 18 |
| Gastposter | Hallo TB, ---Zitat--- Gut ist, dass du explizit auf eine Unterscheidung zwischen PFW/DFW hingewiesen hast, denn hier kommen neue Probleme auf Personalfirewalluser zu. Installiere dir mal auf einem Testsystem die Freewareversion der aktuellen Outpost Firewall! Du wirst sehr schnell zu einem Update aufgefordert werden, was du natürlich auch verweigern könntest, aber sicherlich nicht ins vorgelebte Sicherheitskonzept passt. Nach dem Update und (natürlich) einem Reboot werkelt fortan die Outpost Pro Version auf dem System und entpuppt sich als waschechte Security Suite. Nicht genug damit, auch ab diesem Zeitpunkt wurde aus der Freeware eine 30- Tage Trial Version. Solche marketingstrategische Machenschaften der Hersteller sind die Dinge, die ich in erster Linie kritisiere (natürlich auch die Werbeversprechen, die verschlüsselt dem User mitteilen, dass sie fortan *Brain.exe* an der Gardarobe abgeben können) Wenn ich dein Beispiel zur Agnitum Outpost-Firewall aufgreife (empfinde ich nämlich selbst als Sauerei) dann kommen wir zum Thema aggressives Marketing, wie es nicht sein sollte, und befinden uns gleichzeitig beim Thema Datenschutz. Aus genau den von dir beschriebenen Gründen führe ich auch keine Online-Updates durch, egal zu welchem Produkt und Hersteller. Früher habe ich mir mal die Mühe gemacht und habe bei solchen Gelegenheiten (auf Testsystemen Sniffer mitlaufen lassen), oh Graus. Doch leider sind Online-Updates komfortabel und die User machen mangels besseren Wissens davon reichlich Gebrauch. Wer interessiert sich schon bei sooo viel Komfort für Datenschutz (heisses Thema) und welche Daten da übermittel werden, und welches Protokoll dafür eigentlich in Frage kommt ? Anwendungen die vom sog. PhoneHome Gebrauch machen, tun dies keinesfalls ausschließlich um nur nach möglichen Updates zu suchen. Hast Du dir mal die Mühe gemacht zu schauen, was beispielsweise (Standard-Brennprogramm)-Nero diesbezüglich alles anstellt ? Gleiches gilt auch für E-Mails im HTML-Format mit Backlinks, versteckten 1x1 Pixel Bilderchen, deren Anhängsel usw. Wie oft kreischt bei Installationen der Windows-Installer nach ausgehenden Verbindungen, und warum ? Wenn ich mir beim Hersteller eine Software heruntergeladen habe und diese bspw. eine Signatur in Form einer MD5 anbietet, warum muss dann der Installer nach Haus und zu Verisign Kontakt aufnehmen ? Schau ich mal bei VeriSign dann ist dies nicht nur Zertifizierungsstelle und Betreiber der DNS-Server und Zuständig für Com und Net-Domains, sondern untersteht dem amerikanischen Außenhandelsministerium. *** Merkwürdige Mischung *** --- Zitat --- Übrigens finde ich das (techn.) Sicherheitskonzept von *Vista* (UAC, Protected Mode und Vista Firewall) als sehr gelungen und eine Infizierung mit Malware nach folgendem Muster (Malware: intelligente Schadsoftware als virtueller Trickbetrüger (Malware: intelligente Schadsoftware als virtueller Trickbetrüger)) gelang mir auf einem Testsystem nicht. Der Einsatz einer Third Party Lösung (PFW oder Security Suite) auf einem richtig eingestelltem Vista System erachte ich als absolut überflüssig. Der Vorteil der Vista- Firewall besteht übrigens auch darin, dass sie Teil des OS ist, auch über GPO's gemanaget werden kann und die Settings übertragen werden können. So lasse ich mir das gefallen... Windows-Vistas Sicherheitskonzept ist zumindest ein Schritt in die richtige Richtung (auch wenn's dies bei Linux schon länger gibt) doch darf man dabei das Gesamtkonzept Microsofts nicht aus den Augen verlieren. * Knebelungen bei Inhalten (DRM), * Problem TiltBits, * Hohe Hardwareanforderungen * Hohe Kosten, denn die Ultimate Version sollte es schon sein * Neu-Aktivierung bei Festplatten oder Mainboardtausch (damit MS zu statistischen Zwecken weiß, welche Hardware eingesetzt wird) * Bitlocker, TPM, bei dem man an nimmt dass die Sicherheitsbehörden hier ihre Finger drin haben, bei den vielen Begehrlichkeiten. * Start-Menü ein MRU-(Datensammler) und Superfetch welches das Anwenderverhalten analysiert Werden die Daten vielleicht bei einem Update, einer (WGA) Echtheitsprüfung zu XXXX übermittelt ? Ich denke das der Ansatz zum Sicherheitskonzept gut ist, aber der Rest .... Hier geht es doch letztlich um wirtschaliche und politische Interessen, die letztlich der Anwender ausbaden darf. Eigentlich geht im Gesamtbereich IT (Politik und Wirtschaft zwecks Hintergrund eingeschlossen) nichts ohne Wissen. Erst dann können Sicherheitskonzepte erarbeitet und Entscheidungen getroffen werden. Wünschenswert wäre es wie in der Web-Seiten-Entwicklung, Baukästen für Betriebssysteme und Anwendungen parat zu haben, dann hätten wir für jeden eine individuelle Lösung. --- Zitat --- Bei XP erachte ich nach wie vor die Nutzung eines eingeschränkten Useraccounts als wichtige und effektive Methode gegen Malwareinfektionen und kommt (bei mir) deutlich vor einer PFW oder gar Security Suite. Warum wird dieses effiziente Sicherheitskriterium, das eigentlich nicht schwer und auch kostenlos einzurichten ist, so gerne von Lobbyisten der Sicherheitssoftwareindustrie verschwiegen ? Ganz logisch, weil dieses kleine unscheinbare Feature einen Großteil der Features von den zu vermarkteten Security Softwareprodukten uninteressant machen würde... Gerade unter XP ist es doch für den Anwender kaum zu ersehen, wo Rechte auf ein Account oder einzelne Privilegien einzustellen, zuzuweisen oder zu entfernen sind. Hier hätte auch MS bessere Arbeit leisten können. Habe diesbezüglich schon in den 90'gern unter Windows NT/2000, NTSec gerade in grossen Umgebungen ergänzend einsetzen dürfen. Vielleicht stellst du den Anwendern als Firewall-Gegner ein entsprechendes Tutorial zur Verfügung ? |
| |
|
26.02.2008, 13:15
| # 19 | |
| Gastposter | Zitat:
Der Vorteil einer öffentlich geführten Diskussion sollte eigentlich auch dir klar sein. Es geht doch darum eine Entscheidung zum oder gegen den Einsatz einer Desktop-Firewall zu finden. Wie bitte schön und auf welchem Hintergrund triffst du deine Entscheidungen ? Aufgrund von Wissen und Fakten, oder aufgrund irgendwelcher Marketing-Versprechen ? | |
| |
|
26.02.2008, 13:25
| # 20 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| "Der Vorteil einer" verständlichen, pointierten, nachvollziehbaren, übersichtlichen "Diskussion sollte eigentlich auch dir klar sein."  |
| |
28.05.2012, 07:51
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
