Moin,
Sillybilly deutet in diesem Thread im d)f-forum (http://forum.domainfactory.de/forum/showthread.php?s=&threadid=21937) an, daß Antivirenprogramme ähnlich wenig nützen, wie Personal Firewalls (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html). Für diejenigen unter uns, die das d)f-forum nicht lesen können. hier die signifikante Passage:
Nichtmal ein minütlich upgedateter Virendcanner kann 100% vor Viren schützen. Ein eMailprogramm, dass sich hartnäckig weigert irgendwelchen Code auszuführen ist da die bessere Alternative.
Zusammen mit der Software Brain1.0 (die u.a. wildes rumgeklicke auf irgendwelchen Attachments verhindert) ist jeder Virenscanner unnötig.

Ich sehe ein, daß Personal Firewalls Unsinn sind. Nicht nur, weil allerhand Experten das sagen, sondern auch aus eigener Erfahrung. Ich habe Zonealarm mal ausprobiert und war entsetzt, wieviel normalen Intrernettraffic das Ding als "Angriff" meldet.

Was die Virenscanner angeht, sehe ich das anders. Natürlich kann mich kein Virenscanner schützen, wenn ein neuer Virus ("Virus" jetzt mal allgemein für "Schadprogramm" gebraucht) mich erreicht, bevor die Virenscanner darauf reagiert haben, bzw. bevor ich die neueste Version installiert habe. Gleichwohl erscheint mir ein Antivirenprogramm sinnvoll. Nicht nur, weil ich den Internetexplorer und Outlook-Express benutze (allerdings schon so eingestellt, daß nicht viel passieren kann). Sondern auch, weil ich in der Vergangenheit gelegentlich Schwierigkeiten mit Makroviren in beruflich benötigten Dokumenten hatte. Und weil ab und zu mal eine Mail hereinkommt, die Antivir mir sofort als "befallen" identifiziert und mir das Löschen ermöglicht, ohne die Gefahr, daß ich 'drauf reinfalle'.
Und das mit den Makroviren hat bei mir deutlich abgenommen - seit das Rechenzentrum bei allen Uni-Mitarbeitern (und damit auch bei der damaligen Virenquelle Nummer 1) über das Netzwerk ständig ein aktuelles Sophos laufen läßt.

Kurz: Mir erscheint ein Vergleich von Personal Firewalls mit Antiviren-Software nicht gerechtfertigt. Während Personal Firewalls nichts bringen (und gerade dem Nicht-Experten nichts bringen), sind Virenscanner IMHO sinnvoll (und zwar gerade für den Nicht-Experten, der außerstande ist sein System von Hand abzusichern).

My 0,02 Eurocent,
viel Gruß
Thomas

Ich habe die kostenlose Version von Zone Alarm unter Windows genutzt, um zu kontrollieren, welches Programm jetzt in das Internet möchte. Dadurch habe ich sehr viel erreichen können und es gelangte nicht mehr so viel von mir an die Außenwelt.

Personal Firewalls bringen nichts, um es hart auszudrücken. Was sollen sie denn verhindern? Abgesehen von dem oben geschilderten Fall. Einen DDos-Angriff. Die kommen nciht auf normale Anwender. Massen-Ping? Keine große Gefahr.

Anti-Viren-Programme helfen im Virenverkehr ziemlich viel. Da ich ca. 10 Werbe-Mails pro Tag bekomme, lief immer ein Virenscanner auf Stand-By. tatsächlich kamen auch einige bis zu mir durch, obwohl meine gesamten Mails auf 2 Servern, nämlich wagner-rv.de und gmx.net, auf Viren geprüft werden. Aber nur sehr selten, ca 1 mal in 2 Monaten.

Aber man kann sich nicht vor Viren ganz schützen und in Zukunft dürfte das noch schwerer werden, weil die Viren dann automatisch mutieren. Dann werden sie nicht mehr erkannt.

Ehrlich gesagt kann ich bei solchen Problemen nur müde lächeln:
Bei mir läuft eine SuSE Firewall, ich arbeite auf einem SuSE-System mit einem emulierten Windows. Will heißen: Alle Aufgaben werden von/unter Linux bewältigt, nur bei wichtiger Software wird VMware gestartet, aber unter Linux weitergearbeitet. Windows kann nicht ins Internet, Linux schreibt seine Dateien über Samba auf die Windows-Festplatte. Java ist gänzlich abgeschaltet, HTML-Mails deaktiviert, die E-Mails werden signiert und verschlüsselt. Zusammen mit dem E-Mail-Schutz von 2 Servern, die mit verschieden Anti-Viren-Testern arbeiten, gleicht mein PC einem Bunker.
Was haltet Ihr von meinem Sicherheits-Konzept? Riesen Aufwand um nichts oder sinnvoll investierte Rechenzeit?

mfg Martin

Hallo!

Die grobe Sicherheit überlasse ich in erster Linie meinem Router :)
Allerdings habe ich hier noch Norton Internet Security 2003 installiert um den Internet-Zugriff von ungewünschten Programmen/Spyware zu kontrollieren, ActiveX (Flash), Java-Applets, Cookies und Werbung zu filtern.

Dass das Teil Hacker abhält glaub ich gar nicht mal. Wer an meine Daten will kommt da trotz Router-Firewall und NIS mit Leichtigkeit ran.

Und meinen Norton AntiVirus setze ich, ähnlich wie Thomas, zum automagischen eMail-Scanning und scannen von Downloads etc ein.
Einfach nur um den Faktor "durch blödes Rumklicken eingefangen" so weit wie möglich zu reduzieren.
Auch wenn ich aufpasse auf was ich klicke kommts mir mitunter vor das ich danebenklicke :(

Hallo Thomas :),

Kurz: Mir erscheint ein Vergleich von Personal Firewalls mit Antiviren-Software nicht gerechtfertigt. Während Personal Firewalls nichts bringen (und gerade dem Nicht-Experten nichts bringen), sind Virenscanner IMHO sinnvoll (und zwar gerade für den Nicht-Experten, der außerstande ist sein System von Hand abzusichern).

Das Zitat von mir ist im Zusammenhang des gesammten Threads zu sehen ;).
Ein Virenscanner ist sicherlich nicht per se als unnütz anzusehen.
Es gibt durchaus Einsatzgebiete/Anwendungsbereiche, wo ein Einsatz entsprechender Software sinnvoll und notwendig ist.
Allerdings sollte man vor Einsatz einer solchen Software die Risiken minimieren - dazu gehören u.a. die Verwendung/korrekte Einstellung von dritt-Softwares (eMail-clients und Browser z.B.) und - sofern das verwendete OS das unterstützt - eine rigorose Rechtevergabe der einzelnen Benutzer.
Erst ab dem Punkt macht IMHO ein Virenscanner Sinn - nicht, dass er 100% Schutz bieten würde, aber das grundsätzliche Risiko wird weiter minimiert.

Beispiel:
Was nützt dir ein Virenscanner, wenn du ein dem VS nicht bekanntes Virus erhälst (egal ob per eMail, Web oder Makro-Dokument) und du als Benutzer mit Administratorrechten angemeldet bist und das Virus alle Dateien mit der Endung ".dll" löscht? ;)

Ich halte es aber für falsch, zu erzählen, man solle sich eine Virenscanner installieren und könne sich dann sicher fühlen.
Der Link auf die FAQ der newsgroup "de.comp.security.firewall" bezog sich übrigends weniger auf "Virenscanner" sondern mehr auf den Begriff "Sicherheitstools".

HTH
Lieben Gruss, Norbert

Hallo Martin,
Aber man kann sich nicht vor Viren ganz schützen und in Zukunft dürfte das noch schwerer werden, weil die Viren dann automatisch mutieren. Dann werden sie nicht mehr erkannt.
vor Viren, die dich per Mail erreichen kann man sich recht gut schützen.
Ganz einfach dadurch, dass man einen eMailclienten verwendet, der keinen Code ausführt/ausführen kann.
Wenn man dann eine virenverseuchte Mails erhält passiert nichts.
Sollte das Virus an die Mail angehängt sein einfach nur den Anhang löschen und fertig ;)
Bei mir läuft eine SuSE Firewall, ich arbeite auf einem SuSE-System mit einem emulierten Windows.
Firewall und Arbeitssystem auf *einem* Rechner?
Will heißen: Alle Aufgaben werden von/unter Linux bewältigt, nur bei wichtiger Software wird VMware gestartet, aber unter Linux weitergearbeitet.
Hm - was ist denn "wichtige Software"? ;)
Mit welchen Rechten meldest du dich denn unter Linux an?
Welche Rechte hat vmWare?
[...]Was haltet Ihr von meinem Sicherheits-Konzept? Riesen Aufwand um nichts oder sinnvoll investierte Rechenzeit?
Die erste Frage beim Entwickeln eines Sicherheitskonzeptes lautet:
Wovor will/muss ich mein Netzwerk/meinen PC schützen? ;)

Gegen Viren dürftest du mit deinem Konzept relativ gut geschützt sein - für Linux gibts ja (noch) nicht sooo viele Viren... ;)

Gegen unberechtigte Zugriffe auf deinen Rechner/dein Netzwerk von aussen ist auch deine SUSE-Firewall *kein* 100%iger Schutz.
Wenn du einen Dienst (Server) in Betrieb hast, der "nach draussen" muss - oder gar "von draussen erreichbar" sein muss - und diese Software hat einen Bug (http://heise.de/newsticker/data/jk-04.03.03-000/default.shtml) nützt dir auch das nichts mehr.
Wie hoch das Angriffsrisiko ist ist natürlich eine ganz andere Frage.
100% Sicherheit bietet nur die Kneifzange ;)

Mein privates "Sicherheitskonzept" sieht z.B. (kurz geschildert) so aus:
Router ---> DMZ mit Server(n) ---> Router ---> Netzwerk mit PC's.
Meine Arbeitsmaschine ist mit w2k-pro "Betriebssystimiert".
Allerdings beschränkt sich die Software, die ich von MS verwende auch auf ausschliesslich das Betriebssystem. Der Benutzer "Norbert"[1] hat nur die absolut notwendigen Rechte und *alle* nicht benötigen Dienste von w2k sind deaktiviert.
Ein Patentrezept gibts leider nicht ;) - jedem das, was er braucht.

[list]

[...]sofern das verwendete OS das unterstützt - eine rigorose Rechtevergabe der einzelnen Benutzer.

Moin,
vielen Dank für Deine Ausführungen - ich bin froh, daß ich mich nun nicht schämen muß, weil ich ein Antivirenprogramm benutze :) .

Zu dem obigen Zitat habe ich mal eine Frage: Gibt es bei WinXP eine Möglichkeit demjenigen, der den Computer dauernd benutzt, Rechte so zu geben, daß er vernünftig damit arbeiten kann, aber trotzdem einigermaßen sicher ist? Mit vernünftig arbeiten meine ich z.B. Zeug installieren, Software löschen, Prozesse beenden und Tasks abschalten etc. Ich bin ständig mit vollen Admin-Rechten angemeldet, weil es mir auf den Trichter ging, jedesmal, wenn ich was Daunloden und ausprobieren wollte, von dem rechtlosen Surf-Benutzer zum Admin-Benutzer zu wechseln. Beim Linux ist das irgendwie angenehmer. Da bin ich immer als trg angemeldet, und wenn ich was installieren (wenn man das da so nennen kann :( )oder sonstwie was Wichtiges drehen will, fragt er nach dem root-Paßwort und macht es dann.

Und allgemein gefragt: Welche Items aus der Liste der Benutzerrechte sollte man einem Normalnutzer verweigern, um ihn vor Viren zu schützen?

TIA,
viel Gruß
Thomas

Hallo Thomas,
Zu dem obigen Zitat habe ich mal eine Frage: Gibt es bei WinXP eine Möglichkeit demjenigen, der den Computer dauernd benutzt, Rechte so zu geben, daß er vernünftig damit arbeiten kann, aber trotzdem einigermaßen sicher ist?
Sorry - aber da kann ich leider nur mit einer - dir wahrscheinlich bekannten - Standardantwort antworten:[list]Je bequemer es für den Benutzer ist, desto "unsicherer" ist es. (Was meinst du, weshalb ich mich auch immer als admin anmelde... ;))
Ein Virus hat immer (mindestens) dieselben Rechte wie der Benutzer[list]
Wie gesagt: Alles was du darfst darf das Virus auch ;)Und allgemein gefragt: Welche Items aus der Liste der Benutzerrechte sollte man einem Normalnutzer verweigern, um ihn vor Viren zu schützen?Hier muss ich in Bezug auf XP passen - ich habe es nichtmal mehr installiert.
Aber auch hier könnte man eine Standardantwort geben:

Erstmal alles verweigern und dann nach Bedarf freigeben.

Eine sinnvolle (und "sichere") Rechtevergabe ist allerdings nicht trivial (bei keinem OS übrigens - Linux hat nur den Vorteil, dass es "von Haus aus" "sicherer" konfiguriert ist); auch gibt es enorme Unterschiede zwischen XP-home und XP-Pro.
Beim kurzen googeln habe ich das hier gefunden:
http://freenet.meome.de/app/fn/portal_news...jsp/110904.html (http://freenet.meome.de/app/fn/portal_news_article.jsp/110904.html)
Hab es nur mal kurz überflogen - scheint durchaus brauchbar zu sein.
Auch http://www.winhelpline.info könnte sich als hilfreich erweisen.

HTH
Lieben Gruss, Norbert

Hallo,

der Vorteil von Linux ist hauptsächlich, dass es eine strikte Trennung zwischen Administrator und User setzt, und dass jeder ein Passwort haben muss .

Bei WinXP habe ich keine richtige Möglichkeit gefunden, eine solche Trennung durchzuführen, die Items bei den Nutzern haben meiner Meinung nach kaum einen Sinn (ich arbeite unter WinXP auch als Admin :P )


vor Viren, die dich per Mail erreichen kann man sich recht gut schützen.
Ganz einfach dadurch, dass man einen eMailclienten verwendet, der keinen Code ausführt/ausführen kann.
Wenn man dann eine virenverseuchte Mails erhält passiert nichts.
Sollte das Virus an die Mail angehängt sein einfach nur den Anhang löschen und fertig icon_wink.gif


Klingt ja auch plausibel, ist ja auch heutzutage so. Aber die Rede war von der Zukunft :P
Aber es wird immer ein Kampf existieren, da kann man nichts machen.


Zitat:
Bei mir läuft eine SuSE Firewall, ich arbeite auf einem SuSE-System mit einem emulierten Windows.

Firewall und Arbeitssystem auf *einem* Rechner?

Gegen unberechtigte Zugriffe auf deinen Rechner/dein Netzwerk von aussen ist auch deine SUSE-Firewall *kein* 100%iger Schutz.
Wenn du einen Dienst (Server) in Betrieb hast, der "nach draussen" muss - oder gar "von draussen erreichbar" sein muss - und diese Software hat einen Bug nützt dir auch das nichts mehr.
Wie hoch das Angriffsrisiko ist ist natürlich eine ganz andere Frage.
100% Sicherheit bietet nur die Kneifzange icon_wink.gif


Ja, die Firewall und das Arbeitssystem ist auf einem Rechner, aber als armer Schüler, was will man machen?

Ich habe auch nie gesagt, dass ich 100% Schutz habe, den hat man nie, außer die Kneifzange 8) Aber es gibt noch eine andere Lösung: internet-Stecker ziehen, alle Laufwerke raus, USB weglöten und COM-Ports abschneiden :wink:

Die Firewall sorgt nur dafür, dass z.B. Dauer-Pings geblockt werden, und dass ich nur auf betsimmten, manuell gewählten Ports raus kann (z.B. 23, 80, etc)

Server habe ich keinen laufen, jedenfalls nicht nach draußen. Mail-Server etc läuft local.



Zitat:
Will heißen: Alle Aufgaben werden von/unter Linux bewältigt, nur bei wichtiger Software wird VMware gestartet, aber unter Linux weitergearbeitet.

Hm - was ist denn "wichtige Software"? icon_wink.gif
Mit welchen Rechten meldest du dich denn unter Linux an?
Welche Rechte hat vmWare?

vmWare hat Root-Rechte, weil es sonst nicht will (für Linux-Kenner: Ich habe das Ausführungs-Byte gesetzt).
wichtige Software ist für mich mein Studio MX von Macromedia, mein BlitzBasic (2d-Basic-Programmiersprache)
Unter Linux bin ich "Martin", ein netter Standard-Benutzer :)

Aber Linux ist ja relativ sicher, ich habe nur meine Probleme bei WinXP. Zwar läuft Norton AntiVirus und Zone-Alarm (habe ich ja schon oben erklärt), aber ich fühle mich einfach nicht sicher. Außerdem stürzt der PC immer ab.

So, jetzt kennt ihr mein Sicherheits-System genau, ich erwarte eure Angriffe mit Gelassenheit
8)

mfg Martin

Hallo Martin,
der Vorteil von Linux ist hauptsächlich, dass es eine strikte Trennung zwischen Administrator und User setzt, und dass jeder ein Passwort haben muss.
Auch unter Linux ist es möglich, einen User ohne Passwort anzulegen - und auch dem könnte man admin-rechte geben... ;)

Ich sehe den wichtigen Unterschied Windows(NT/2000/XP) <---> Linux eher so, dass bei Windows in Bezug auf die Standard-Rechtevergabe der einzelnen User vorrangig die Bequemlichkeit im Vordergrund steht, waährend unter Linux die Standard-Rechtevergabe eher von Sicherheitsgedanken geleitet wird.
Nichtsdestotrotz kann man ein Windowssystem relativ "sicher" machen genauso wie man ein Linuxsystem relativ "unsicher machen kann.
Bei WinXP habe ich keine richtige Möglichkeit gefunden, eine solche Trennung durchzuführen, die Items bei den Nutzern haben meiner Meinung nach kaum einen Sinn (ich arbeite unter WinXP auch als Admin :P )Wie gesagt: die Standard-Rechtevergabe ;)
Entwickel dein eigenes "Rechtevergabe-Konzept" und du wirst staunen, wie sicher du Windows machen kannst (und wie unbequem dazu ;))[eMail-Viren]
Klingt ja auch plausibel, ist ja auch heutzutage so. Aber die Rede war von der Zukunft :P
Aber es wird immer ein Kampf existieren, da kann man nichts machen.Auch in der Zukunft wird sich wenig an der Motivation der Virenprogrammierer ändern: Möglichst grossflächiger Effekt.
Wenn nun jeder mit vernünftiger Rechtekonfiguration Unterwegs ist und ein Virus keine eigene SMTP-Engine starten kann ist dieser grossflächige Effekt doch sehr minimiert ;)

[PF]
Die Firewall sorgt nur dafür, dass z.B. Dauer-Pings geblockt werden,
Was ist ein Dauer-Ping? Welchen Sinn soll der machen? Gibt es etwas harmloseres als "ping" ;)?
Kann es sein, dass du da was mit Filsharing-clients verwechselst, die dich bei einer Neueinwahl ins Internet mit Anfragen bombardieren, die für den Vorbenutzer der dir neu zugeteilten IP gedacht waren?
und dass ich nur auf betsimmten, manuell gewählten Ports raus kann (z.B. 23, 80, etc)Das hilft dir auch nur sehr wenig.
Spyware z.B. verwendet in aller Regel auch nur Port 80...
Aber Linux ist ja relativ sicher, ich habe nur meine Probleme bei WinXP. Zwar läuft Norton AntiVirus und Zone-Alarm (habe ich ja schon oben erklärt), aber ich fühle mich einfach nicht sicher.
Damit du dich vieleicht in Zukunft etwas sicherer fühlen kannst empfehle ich dir die folgenden Links:[list]http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#PF
http://jenner.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
http://www.faqs.org/faqs/de/security/pf-austricksen/
http://www.mpdshfaq.de.vu/[list]
Im Prinzip ist es ganz einfach:[list] ab
melde dich nicht standardmässig als admin an
[list]
So, jetzt kennt ihr mein Sicherheits-System genau, ich erwarte eure Angriffe mit Gelassenheit
*lol* Kannst ja mal deine IP nennen ;)
Du kannst aber deinen Rechner auch selbst online scannen lassen (gibt einige Anbieter dafür - einfach mal googeln).
Insbesondere in Bezug auf deine Aussage:
Server habe ich keinen laufen, jedenfalls nicht nach draußen. Mail-Server etc läuft local.könntest/solltest du prüfen, ob *wirklich* alles nur lokal antwortet ;)

HTH

Hallo Silliybilly,

auf zum fröhlichen Fragen-Beantworten :)


Auch unter Linux ist es möglich, einen User ohne Passwort anzulegen - und auch dem könnte man admin-rechte geben...


Unterbrich mich, wenn ich was falsches sage, aber meines Wissens werden User ohne Passwort gesperrt.


Nichtsdestotrotz kann man ein Windowssystem relativ "sicher" machen genauso wie man ein Linuxsystem relativ "unsicher machen kann.


Obwohl ich kein Linux-Fanatiker bin, kann ich sagen, dass Linux meistens sicherer ist, es sei denn, man loggt sich als root ein oder eine ausgebildete Person sichert Windows ab.


Entwickel dein eigenes "Rechtevergabe-Konzept" und du wirst staunen, wie sicher du Windows machen kannst


Ich habe erst einen kurzen blick auf die Rechtevergabe geworfen, und das, was ich gesehen habe, war mir zu wenig :-?


Was ist ein Dauer-Ping? Welchen Sinn soll der machen? Gibt es etwas harmloseres als "ping" ?


Unter Dauerping verstehe ich den kleinen Bruder des DOS-Angriffs, in dem eine nette Person mit Bandbreite schön große und viele Ping-Pakete verschickt, die die Leitung des Modem-Users abarbeiten muss.


Zitat:
Server habe ich keinen laufen, jedenfalls nicht nach draußen. Mail-Server etc läuft local.

könntest/solltest du prüfen, ob *wirklich* alles nur lokal antwortet


Da kann ich mir ziemlich sicher sein, da die Firewall als Default "alles verbieten" hat und ich die Ports einzeln freischalten muss.



*lol* Kannst ja mal deine IP nennen


Wenns weiter nichts ist: 195.226.101.21

Solange ich ISDN noch habe, kann ich das ja machen. bald bekomme ich DSL. Juhuuu :)

mfg Martin

Hallo Martin.
Unterbrich mich, wenn ich was falsches sage, aber meines Wissens werden User ohne Passwort gesperrt.
<unterbrech>
Alles eine Konfigurationsfrage bzw. Distributionsabhängig ;)
Obwohl ich kein Linux-Fanatiker bin, kann ich sagen, dass Linux meistens sicherer ist,
Rein von den Standard-Voreinstellungen/Konfigurationen her gesehen sehe ich das ähnlich.
es sei denn, man loggt sich als root ein oder eine ausgebildete Person sichert Windows ab.IMHO brauchts keine "Ausbildung" (zu was auch immer) um Windows(NT/2000/XP) "sicher" zu machen ;)
Interesse und folgen der im Vorposting genannten Links sind ein guter Ansatz.
Ich habe erst einen kurzen blick auf die Rechtevergabe geworfen, und das, was ich gesehen habe, war mir zu wenig :-?
XP-home? Da fehlt standardmässig tatsächlich einiges.
http://www.kubicek.org/report/fileaccess/f...fileaccess.html (http://www.kubicek.org/report/fileaccess/fileaccess.html)
Unter Dauerping verstehe ich den kleinen Bruder des DOS-Angriffs, in dem eine nette Person mit Bandbreite schön große und viele Ping-Pakete verschickt, die die Leitung des Modem-Users abarbeiten muss.
Du scheinst wirklich filesharing-Nutzer zu meinen ;)
Du schneidest dir damit übrigens ins eigene Fleisch. Dadurch, dass du eine Antwort deines Rechners verhinderst kann dein Gegenüber nicht feststellen, dass er die falsche IP fragt - dadurch denkt dein Gegenüber die Pakete wären verloren gegangen und fragt wieder an...
Da kann ich mir ziemlich sicher sein, da die Firewall als Default "alles verbieten" hat und ich die Ports einzeln freischalten muss.

*lol* Kannst ja mal deine IP nennen
Wenns weiter nichts ist: 195.226.xxx.xxx
Naja, antworten tut kein Port zwischen 1 und 1024 bzw. 9990 und 10010 ;)
Solange ich ISDN noch habe, kann ich das ja machen. bald bekomme ich DSL. Juhuuu :)
Wieso solltest du das bei DSL nicht mehr machen können?
Macht DSL deinen Rechner "unsicherer? :D

Lieben Gruss,
Norbert

IMHO brauchts keine "Ausbildung" (zu was auch immer) um Windows(NT/2000/XP) "sicher" zu machen icon_wink.gif
Interesse und folgen der im Vorposting genannten Links sind ein guter Ansatz.

Das nicht, aber es braucht einiges an Fachwissen. Und jetzt ist die Frage, wer auf tausenden Lycos-Seiten danach schaut.


XP-home? Da fehlt standardmässig tatsächlich einiges.


Nein nein, XP Pro, man gönnt sich ja sonst nichts :wink:
Wahrscheinlich bin ich zu doof und habe auch keine Lust, zu suchen, aber ich sehe bei der Benutzerverwaltung nur Adminitrator und eingeschränktes Konto als Typen. Sehr viel Auswahl ist da nicht.


Du scheinst wirklich filesharing-Nutzer zu meinen icon_wink.gif


Nein, meine ich nicht. Sobald jemand die IP von dir hat, kann er dich damit total nerven.


Naja, antworten tut kein Port zwischen 1 und 1024 bzw. 9990 und 10010 icon_wink.gif


Bist du sicher, dass ich überhaupt geantwortet habe? Ich habe nämlich das grafische System neu gestartet, was bekanntlich im 1-User-Modus ohne Netz gemacht wird.


Wieso solltest du das bei DSL nicht mehr machen können?
Macht DSL deinen Rechner "unsicherer? icon_biggrin.gif


DSL macht meinen PC wesentlich unsicherer: Unter ISDN habe ich kein Netzwerk, und die stündlichen abstürze von Windows sorgen dafür, dass sich die IP immer ändert. Wenn ich aber meine DSL-Flatrate bekomme, richte ich ein Netzwerk mit 2 PCs und Router ein. Und der Router wird seehhhrrr lange online sein.

mfg Martin

IMHO brauchts keine "Ausbildung" (zu was auch immer) um Windows(NT/2000/XP) "sicher" zu machen icon_wink.gif
Interesse und folgen der im Vorposting genannten Links sind ein guter Ansatz.

Das nicht, aber es braucht einiges an Fachwissen. Und jetzt ist die Frage, wer auf tausenden Lycos-Seiten danach schaut.
Ich schrieb ja: "Interesse" - wenn das nicht vorhanden ist...
Und wieso lycos-Seiten?
Nein nein, XP Pro, man gönnt sich ja sonst nichts :wink:
Wahrscheinlich bin ich zu doof und habe auch keine Lust, zu suchen, aber ich sehe bei der Benutzerverwaltung nur Adminitrator und eingeschränktes Konto als Typen. Sehr viel Auswahl ist da nicht.
Hm - denn schau mal in der Systemsteuerung unter "Verwaltung" nach.
Dort findest du "Computerverwaltung" und - viel wichtiger - "Lokale Sicherheitsrichtlinien"[1]. Viel Spass ;)
Nein, meine ich nicht. Sobald jemand die IP von dir hat, kann er dich damit total nerven.Klar, wenn jemand deine Adresse hat kann er Klingelstreiche machen ;)
*SCNR*


Naja, antworten tut kein Port zwischen 1 und 1024 bzw. 9990 und 10010 icon_wink.gif

Bist du sicher, dass ich überhaupt geantwortet habe? Ich habe nämlich das grafische System neu gestartet, was bekanntlich im 1-User-Modus ohne Netz gemacht wird.
???

DSL macht meinen PC wesentlich unsicherer: Unter ISDN habe ich kein Netzwerk, und die stündlichen abstürze von Windows sorgen dafür, dass sich die IP immer ändert. Wenn ich aber meine DSL-Flatrate bekomme, richte ich ein Netzwerk mit 2 PCs und Router ein. Und der Router wird seehhhrrr lange online sein.
gesiggt :D
Ich glaube an dieser Stelle beenden wir die Diskussion besser.
Sonst würde ich noch etwas zu "sbo"[2] schreiben - und das wollen wir beide nicht ;)

Lieben Gruss, Norbert

[list]So nennt sich das zumindest unter w2k
"security by obscurity"[list]

Oh mein Gott, die "lokalen Sicherheitsrichtlinien". Ich wage mich da gar nicht herein, schon wegen dem schlechten Interface. Zum Glück gibts ja Linux, da kann ich alles mit VIM machen :)


Zitat:
Naja, antworten tut kein Port zwischen 1 und 1024 bzw. 9990 und 10010 icon_wink.gif

Bist du sicher, dass ich überhaupt geantwortet habe? Ich habe nämlich das grafische System neu gestartet, was bekanntlich im 1-User-Modus ohne Netz gemacht wird.


???


Runlevel 3, Adminitrator ohne Netzwerkfunktionen, wenn Sie verstehen was ich meine.


Ich wäre auch dafür, dass wir das Thema jetzt lassen. Jedenfalls werde ich auf den genannten Punkten nicht mehr herumkauen. Wenn natürlich neue kommen, ist es was anderes :twisted:

mfg Martin

Moin,
zumindest für mich ist Eure Diskussion sehr interessant und lehrreich. Die Links von Sillybilly habe ich mir angesehen (muß ich aber nochmal sehr genau machen) und werde ich auch meinen freundlichen Computer-Helfern in der Uni zur Lektüre empfehlen.

Die lokalen Sicherheitsrichtlinien habe ich zuerst auch nicht gefunden und mich gewundert. Nachdem ich sie gefunden hatte, fand ich sie ähnlich praktisch wie bei Linux: Man kann alles mögliche auf alle möglichen Einstellungen setzen, weiß aber nicht immer ohne weiteres, was für Konsequenzen das haben wird, was man da macht (meine entsprechende anfrage für Linux findet Ihr hier (http://forum1.trgsites.de/viewtopic.php?t=140)).

Die ursprüngliche Frage nach dem Nutzen von Virenscannern würde ich jetzt so sehen: Wenn man mit dem Fahrrad vernünftig fährt (Brain 1.0), kann einem nicht viel passieren - da es jedoch nicht völlig ausgeschlossen ist, sollte man einen Fahrradhelm aufsetzen (Virenscanner).

Was mich jetzt noch im Anschluß an Eure Diskussion um die Gefahr für den normalen PC von außen interessieren würde:

Wie groß ist diese Gefahr? Natürlich kann jemand, der meine IP kennt, an meinem Computer irgendwas machen. Vermutlich können hochqualifizierte Cracker das sogar, wenn ich meinen Apparat sehr ordentlich konfiguriert habe. Ich meine mich aber an Diskussionen in d.c.s.f und entsprechende Äußerungen in den einschlägigen Zonealarm-FAQs zu erinnern, daß das doch weng unwahrscheinlich ist. Warum sollten Normal-Böse einerseits und Leute wie diese Plüschhasen-Hacker oder die NSA andererseits in meinem Rechner randalieren wollen?

Viel Gruß
Thomas

Hallo Thomas,

ich unterteile die "Hacker" und ihre Ziele in 2 Gruppen:

Profis --> Banken, Institute, grob gesagt Informationen
Script-Kiddies --> So viel Schaden verursachen wie möglich, cool sein

Gegen die Profis kann man als Privatperson nichts unternehmen, muss man meiner Meinung auch nicht.
Dagegen ist es wirklich erforderlich, sich gegen die Script Kiddies zu wehren. Da sie aber meistens ein geringes Wissen haben, kann man sie relativ leicht abwehren. Eine Firewall dürfte genügen, um z.B. "Dauer-Pings" abzuwehren.

Ein Tipp von mir: E-Mails verschlüsseln, es sei denn, du möchtest, dass deine E-Mails gelesen werden.

mfg Martin

Dagegen ist es wirklich erforderlich, sich gegen die Script Kiddies zu wehren.

Moin,
warum? Ich kenne solche Leute nicht, warum sollten die mich angreifen? Ich gehören keinem "Clan" an, betreibe keine Online-Spiele, nehme nicht an irgendwelchen Tauschbörsen teil. Außerdem wechselt meine IP mehrmals täglich, weil ich das DSL immer ausmache, wenn ich keine Leitung brauche - da müßte sich so ein Kiddie aber schon eine Menge Arbeit machen, um mir was zu wollen.

Gibt es irgendwelche Untersuchungen darüber, wie viele Internetnutzer (die keiner "Risikogruppe" angehören) pro Jahr von Skriptkiddies angegriffen werden?

Im übrigen finde ich das mit den verschlüsselten Emails (Gnupp und so'n Zeug) dermaßen lästig, daß ich nicht daran denke, meine harmlosen Mails zu verschlüsseln. Und selbst wenn ich mal eine hochbrisante Information hätte (kann ja mal vorkommen, z.B. Daten und Analysen von politischer Brisanz oder Paßwörter für sensible Dienste), könnte ich die nicht verschlüsselt verschicken, weil 90 Prozent meiner Kommunikationspartner nicht in der Lage sind, mit Gnupp oder PGP zu arbeiten.

Viel Gruß
Thomas

Du hast recht, man kann dich schwer angreifen, da du deine IP-Adresse nicht zur Schau stellst. Skript-Kiddies bedienen sich gerne an Tauschbörsen und Online-Spielen, die klügeren gehen einfach in den IRC.

Hallo Thomas,
Die lokalen Sicherheitsrichtlinien habe ich zuerst auch nicht gefunden und mich gewundert. Nachdem ich sie gefunden hatte, fand ich sie ähnlich praktisch wie bei Linux: Man kann alles mögliche auf alle möglichen Einstellungen setzen, weiß aber nicht immer ohne weiteres, was für Konsequenzen das haben wird, was man da macht.
Wenn google nicht hilft (z.B. "lokale sicherheitsrichtline anheben von quoten" als Suchbegriff) kann man die Newsgroups microsoft.public.de.german.windowsxp.* (http://groups.google.com/groups?group=microsoft.public.de.german.windowsxp) als Anlaufstelle nehmen.
Ist natürlich alles Zeitaufwendig - aber nach und nach... ;)
Die ursprüngliche Frage nach dem Nutzen von Virenscannern würde ich jetzt so sehen: Wenn man mit dem Fahrrad vernünftig fährt (Brain 1.0), kann einem nicht viel passieren - da es jedoch nicht völlig ausgeschlossen ist, sollte man einen Fahrradhelm aufsetzen (Virenscanner).
sig2 :) - gut formuliert.
Allerdings würde ich "vernünftig fährt" ersetzen durch "vernünftig fährt und das Fahrrad in technisch einwandfreiem Zustand hält (Licht OK, Kette gespannt, Lenker festgeschraubt etc.) ;)

Was mich jetzt noch im Anschluß an Eure Diskussion um die Gefahr für den normalen PC von außen interessieren würde:

Wie groß ist diese Gefahr? Natürlich kann jemand, der meine IP kennt, an meinem Computer irgendwas machen.
Das würde ich so nicht unterschreiben.
<Vergleich zum RL (reallife)>
Deine IP ist deine Anschrift - weil ein potenzieller Einbrecher deine Anschrift kennt heisst das noch lange nicht, dass er reinkommt.
Vermutlich können hochqualifizierte Cracker das sogar, wenn ich meinen Apparat sehr ordentlich konfiguriert habe.
Wenn du deine Haustür vernünftig abschliesst aber der Einbrecher einen nachgemachten Schlüssel hat (weitergegebenes oder unsicheres Passwort) oder du die Hintertür nicht abschliesst (Dienst mit nicht ersetztem Standardpasswort wie z.B. SQL-Server) spricht man nicht von "sehr ordentlich konfiguriert" - das meintest du also nicht.
Wenn du also alles sehr ordentlich konfiguriert hast bleibt dem Einbrecher nicht mehr viel übrig als die Gitter vor der Scheibe zu entfernen und dann die Scheibe einzuschmeissen (BufferOverflow/Bug).
</Vergleich zum RL (reallife)>

Neben der ordentlichen Konfiguration kommt dann also noch das ordentliche Patchen des Systems hinzu.
Damit machst du es auch den qualifizierteren Crackern schwer - nicht unmöglich aber schwer.
Und erst an diesem Punkt kommt dann das Firewall-Konzept ;)
Ich meine mich aber an Diskussionen in d.c.s.f und entsprechende Äußerungen in den einschlägigen Zonealarm-FAQs zu erinnern, daß das doch (ein) wenig unwahrscheinlich ist.
Richtig.
Hier kommt die Motivationsfrage der Hacker/Cracker/Script-Kiddies ins Spiel (Lutz_Donnerhacke (http://www.iks-jena.de/mitarb/lutz/) z.B. würde mich für die folgenden Ausführungen zwar in der Luft zerreissen, aber ich denke um die grundsätzliche Richtung zu beschreiben sind sie ganz brauchbar):
[list]Hacker:
hat Spass an kreativem Umgang mit Technik; will seine eigenen Fähigkeiten zur Informationsbeschaffung testen/erweitern.
Für einen Hacker ist ein hervorragend gesichertes System eine Herausforderung und würde dadurch erst angelockt werden.
Nach erfolgreichem Eindringen ins System würde er dich darüber informieren und dir evnt. Tips geben die Sicherheitslücke(n) zu beseitigen.
Das Ziel des Hackers ist es nicht, dir Schaden zuzufügen.
Allerdings hat ein Hacker auch das Ziel sich einen Namen zu machen - er wird sich also als Ziel für einen Angriff eher ein prominentes Opfer suchen.
Cracker:
hat Spass an kreativem Umgang mit Technik - soweit wie der Hacker ;)
Der Cracker beschränkt sich aber nicht auf die Informationsbeschaffung - er will die gewonnenen Informationen auch verwenden/anwenden.
Der Cracker ist eher ungeduldig - das heisst ein hervorragend gesichertes System würde ihn eher Abschrecken - wozu viel Aufwand, wenns eine Tür weiter leichter geht?
Script-Kiddie:
hat wenig Ahnung von Computern/Netzwerken etc.; kann lediglich von Hackern/Crackern entwickelte exploits anwenden - ein gut konfiguriertes/gepatchtes System ist für das Script-Kiddie nicht zu meistern.[list]
Soviel erstmal zu Begriffsdefinition/Motivation.
Warum sollten Normal-Böse einerseits und Leute wie diese Plüschhasen-Hacker oder die NSA andererseits in meinem Rechner randalieren wollen?
[list]normal-böse (Cracker):
Übernahme deines Systems um Angriffe auf andere Systeme zu tätigen/verschleiern.
Spamming.
Plüchhasen-Hacker (Cracker-Hacker):
Will Aufmerksamkeit - hat also an einem Privatrechner wenig interesse.
Geheimdienste (das Böse schlechthin):
<ironie>
Wollen alles wissen - egal von wem, egal wie sinnvoll.
Streben Weltmacht an - wer Informationen hat hat Macht - wer Macht hat braucht Informationen um Macht zu behalten.
</ironie>
echelon....
[list]

Wie gross die "Gefahr" also für dich ist ist keine Frage, die man so einfach beantworten kann ;)

HTH
Lieben Gruss, Norbert

Dagegen ist es wirklich erforderlich, sich gegen die Script Kiddies zu wehren.

Moin,
warum? Ich kenne solche Leute nicht, warum sollten die mich angreifen? Ich gehören keinem "Clan" an, betreibe keine Online-Spiele, nehme nicht an irgendwelchen Tauschbörsen teil. Außerdem wechselt meine IP mehrmals täglich, weil ich das DSL immer ausmache, wenn ich keine Leitung brauche - da müßte sich so ein Kiddie aber schon eine Menge Arbeit machen, um mir was zu wollen.
Ein Script-Kiddie scannt mit geeigneten Tools (http://www.netscantools.com) neben den von dir genannten "Adressbeschaffungsmassnahmen" ganze IP-Bereiche ab.
Aufgrund seiner geringen Fähigkeiten ist er aber harmlos ;).
hint: gegen die von Martin angeführten "Dauer-Pings" (Denial of Service-Attacke) ist eine Firewall ohne IDS (Intrusion Detection System) übrigends wertlos - das der Rechner nicht antwortet bedeutet nicht, dass er nicht da ist ;).
Gibt es irgendwelche Untersuchungen darüber, wie viele Internetnutzer (die keiner "Risikogruppe" angehören) pro Jahr von Skriptkiddies angegriffen werden?
Meines Wissens keine seriösen ( http://heise.de/newsticker/data/anw-04.02.03-004/ - Symantec würde ich auch nicht für soooo seriös halten)

HTH

Die lokalen Sicherheitsrichtlinien habe ich zuerst auch nicht gefunden und mich gewundert. Nachdem ich sie gefunden hatte, fand ich sie ähnlich praktisch wie bei Linux: Man kann alles mögliche auf alle möglichen Einstellungen setzen, weiß aber nicht immer ohne weiteres, was für Konsequenzen das haben wird, was man da macht.
Nachtrag:
Eine sehr gute und interessante Seite dazu ist auch http://www.gruppenrichtlinien.de/
An die hatte ich gestern nicht gedacht :beati:

HTH
Lieben Gruss, Norbert

Moin,
eben hat Antivir den Wachhund ganz gut gegeben. Ich habe beim Musik-Hören ("It's a Sin" von den Pet Shop Boys, IMHO eines der besten Musikstücke aller Zeiten B) ) einen Warnton im Kopfhörer gehabt und der kam von Antivir: Klez.irgendwas. Ich habe den Virus eliminieren lassen und in der Mail außerdem noch ein PDF mit Informationen für Studienbewerber zum Wintersemester 02/03 gefunden ( :confused: ).

Also Brain hin oder her: Ich bin froh, wenn Antivir mich bewacht ;) .

Viel Gruß
Thomas

Eine sehr gute und interessante Seite dazu ist auch
Moin,
ich habe eine Liste gefunden, in der genau drin steht, welche Einstellungen man bei WinXP vornehmen muß, um es sicher zu machen (gibt es auch für Win2000, NT und Cisco-Router - was immer das sein mag :beati: ).

Vorteil_1: Sehr detailliert. Kann man offenbar auch anwenden, wenn man sich nicht auskennt.
Nachteil_1: Wenig Hintergrundinformationen. Auskennen ist eigentlich besser ;) .

Nachteil_2: Der Herausgeber hat den Ruf, besonders auf eigene Interessen bedacht zu sein (in der Tat wird in der Anleitung gelegentlich auf Spezifika des Herausgebers Bezug genommen).
Vorteil_2: Der Herausgeber hat den Ruf, sich mit Computersicherheit bestens auzukennen :G

Link: http://www.nsa.gov/snac/winxp/index.html

Viel Gruß
Thomas

Das ist doch uralt :rolleyes:

Das ist doch uralt
Echt? Ich kannte das noch nicht :beati: . Obwohl ich mal intensiv nach solchen Anleitungen gesucht habe :confused: .

Viel Gruß
Thomas

Anscheinend bin ich ein Idiot, weil ich Personal Firewalls nicht mag...

Meine Meinung:
http://forums.jolt.co.uk/showpost.php?p=9267762&postcount=13

Seine Antwort:
http://forums.jolt.co.uk/showpost.php?p=9268829&postcount=14

Meine Antwort:
http://forums.jolt.co.uk/showpost.php?p=9271289&postcount=16

Mag sich jeder seine eigene Meinung bilden.

-Jörg

Hi Jörg,

Du bist ja vehementer Verfechter von Hardware-Firewalls :)

Mich würde mal interessieren was Du hiervon hälst:

Die nVidia-Chipsätze ab nForce3 250Gb (und somit auch mein nForce4-SLI) haben eine Hardware-Firewall eingebaut.
Um diese nutzen zu können installiert der nForce-Chipsatztreiber einen Apache (aktuell 2.0.52) Webserver und man konfiguriert dann alles über localhost:3476. Zusätzlich gibts eine Art Desktop-Firewall, die einem bei jedem neuen Programm fragt ob es ins Internet darf oder nicht, diese funktioniert auch mit der zweiten nicht-nForce-Netzwerkschnittstelle.

Aktuell ist das Teil noch sehr verbugt und blockiert z.B. DHCP-Requests und verhindert auch das der T-DSL Speedmanager was anzeigt. Auch werden FTP-Downloads zerhackt (http://www.heise.de/newsticker/meldung/63608). Auch die Tatsache, das es nur unter Windows läuft, finde ich für eine Hardware-Firewall sehr komisch und ein 2er Apache für die Firewall-Konfiguration via localhost ist völlig überdimensioniert wenn Du mich fragst. Aufgrund der Bugs ist die LAN-Schnittstelle aktuell unbrauchbar für mich und ich nutze den zweiten Onboard-Port.

Aber das mögen Kinderkrankheiten sein. Von den Features her ist das Teil nämlich echt nett und macht einen sehr guten Eindruck.

Das Handbuch (6,47MB) habe ich mal hier (http://www.andreaspetzhold.de/temp/NetGuide.pdf") hochgeladen.

Was ich eigentlich wissen will: wie sieht das da Deiner Meinung nach mit der Sicherheit aus? Es ist ja weder eine reine Hardware- noch eine reine Desktop-Firewall.
Gibt das vielleicht das Beste aus beiden Welten oder handelt man sich damit eher ein ziemliches Fiasko ein?