<2002-01-20> Zonealarm-FAQ
==========================
Inhalt
------
1. Allgemeines
1.1 Wozu diese FAQ?
1.2 Versionshinweis
1.3 Rechner und Browser (minimales Sicherheits-Know-How)
2. Diese Newsgroup als Informationsquelle
2.1 Charta dieser NG
2.2 Wer postet hier?
2.3 Was stimmt?
2.4 Was stimmt nicht?
3. Allgemeine Fragen zu Zonealarm
3.1 Ist Zonealarm eine Firewall?
3.2 Welche Firewall ist die Beste?
3.3 Warum klappt das Update nicht?
3.4 Sendet Zonealarm Informationen von meinem Rechner?
3.5 Wie sicher ist Zonealarm?
3.6 Was kann Zonealarm, was kann es nicht?
3.7 Gen?gt Zonealarm allein f?r meine Sicherheit?
3.8 Geht Zonealarm mit Windows XP?
4. Konkrete Einstellungen an Zonealarm
4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
4.2 Soll ich automatische Softwareupdates aktivieren?
4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
4.4 Mein Napster geht nicht, was kann ich machen?
4.5 Welche Gr??e f?r das Logfile?
5. Meldungen von Zonealarm
5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
5.03 Wie soll ich die "erweiterte Information" verstehen?
5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
5.05 Wann soll ich mich beschweren?
5.06 Wo soll ich mich beschweren?
5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grunds?tzlich abschalten?
6. Vertrauensfragen
6.1 Vertrauen in Software
6.2 Vertrauen in Downloadquellen
6.3 Vertrauen in Informationsquellen
6.4 Open Source, pro und contra
7. Kontakte
7.1 Informationen und Download im
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 07.2 Autor Info
**************
1. Allgemeines
**************
1.1 Wozu diese FAQ?
-------------------
Diese FAQ soll helfen die M?glichkeiten, Grenzen und Risiken
jeweiliger Einstellungen von Zonealarm kennen zu lernen. Sie soll
gleichfalls ?berm??ig guten wie ?berm??ig schlechten
Kommentaren einen sachlichen Riegel vorsetzen und nicht zuletzt
ein Grundwissen vermitteln, um bei weiteren Diskussionen zu diesem
Thema eine passende Diskussionsbasis zu bieten.
Viele Punkte lassen sich auf andere Desktop Firewall Systeme
?bertragen, allein schon weil eine objektive Betrachtung
der M?glichkeiten und Unm?glichkeiten von Zonealarm einen
Blick weit ?ber die Software hinaus erfordern.
Ein wesentlicher Bestandteil ist der Versuch, mit diesem
Dokument den Blickwinkel zu erweitern, die vielen Aspekte
zu ?berschauen, die aus einer einfach erscheinenden Frage
resultieren k?nnen. Das kann bisweilen erst zu neunen vielleicht
f?r das jeweilige Ziel viel interessanteren Fragen f?hren.
Nat?rlich soll sie vorrangig die h?ufig gestellten Fragen zu
Zonealarm, Desktopfirewalls und allgemeinen Einsteigerfragen
zum Thema der Privaten Sicherheit im Netz beantworten.
In jedem Fall spiegelt sie die Meinung des Autors wieder, der
sachlichen Argumenten ebenso aufgeschlossen ist, wie er
Behauptungen oder M?glichkeiten nicht als allgemeing?ltige
Tatsachen darzustellen beabsichtigt.
1.2 Versionshinweis
-------------------
Die Zonealarm-FAQ ist wie im Usenet weit verbreitet mit einer
Version in Datumsform "<Jahr-Monat-Tag>" ausgestattet. Dies
soll ein einfaches Filtern der FAQ nach zwei Methoden erm?glichen:
a) Wer die FAQ gar nicht lesen will, kann seinen Filter auf
" Zonealarm-FAQ" ausrichten.
b) Wer die FAQ nicht unn?tig nachladen will, kann seinen Filter
auf das vollst?ndige Subject "<Jahr-Monat-Tag> Zonealarm-FAQ"
ausrichten.
Somit wird er durch eine Subject?nderung auf eine neue Version
aufmerksam und braucht keine identischen Versionen zu laden.
1.3 Rechner und Browser (minimales Sicherheits-Know-How)
--------------------------------------------------------
Sensible Daten sind auf dem Surf-PC schlecht aufgehoben.
Spiele und Softwaretests sollte man vom Arbeitsrechner fernhalten.
Von den im Folgenden genannten L?cken gen?gt *eine* um damit
ersthaften Schaden anzurichten!
JavaScript ist ein Sicherheitsrisiko, in erster Linie weil es daf?r
missbraucht werden kann die ActiveX-Einstellungen zu ?ndern.
Eingeschaltetes ActiveX bedeutet, dass du es jetzt ausschaltest
oder hier nicht weiterlesen brauchst. Es ist ein Freibrief alles
auf deinem Rechner tun zu d?rfen. Die sogenannte Sicherheitsstufe
funktioniert nicht. Zumindest in einigen Browsern gen?gt JavaScript
um ActiveX einzuschalten.
Beides sollte maximal per "Eingabeaufforderung" aktiviert werden.
Der Internetexplorer bietet bei den Sicherheitseinstellungen eine
"Internetzone" und eine "lokale Zone". ACHTUNG! Die "lokale Zone"
ist extrem unsicher eingestellt und gilt leider bei jeglichem
Aufruf durch Programme des eigenen Rechners. Alle Sicherheits-
Einstellungen m?ssen f?r beide "Zonen" gleich eingestellt werden,
da jeder indirekte Aufruf (Mailprogramm, Instandmessenger,...)
auf die "lokale Zone" zugreift. Solche indirekten Zugriffe sind
oft recht einfach anzuwenden bzw. optimale Basis f?r W?rmer.
Zus?tzlich sollte die Datei wscript.exe (wsh.exe) aus dem
Stammverzeichnis von Windows gel?scht werden, wenn man sie nicht
unbedingt ben?tigt. Wer sich nicht sicher ist, kann sie auf eine
Diskette kopieren und notfalls wieder herstellen.
Es ist allerdings nicht nur ?ber die als unsicher bekannten
Mailprogramme, sondern ?ber weitgehend alle Mailprogramme durch
ausn?tzen von Bufferoverflows m?glich, auf diesen Windows Scripting
Host zuzugreifen und z.B. ?ber diesen Zugriff Daten nachzuladen,
die der Einrichtung einer Hintert?r dienen.
Auch dies ist ideale Basis f?r W?rmer, grossfl?chig Schaden
anzurichten. Bei Windows98 konnte man (Benutzerdefiniert) die
Installation des Scriptinghost (Default) ausschalten, doch ?ber
die Installation jedes Internetexplorer ab Version 4 kommt dieser
dann dennoch zur Installation!
Nur wenige (meist ersetzbare) Programme und noch weniger
Anwender ben?tigen diesen Scriptinghost. Er ist jedoch sehr
m?chtig und bei b?sartigem Zugriff zu allem zu gebrauchen.
Entsprechende L?cken zum Zugriff sind extrem verbreitet!
Es ist ?ber einen einfachen Trick mit nicht endenden
Extension-Keys (die interne Dateiendung, die h?heren Stellenwert
als die in Dateinamen ?blichen drei Endbuchstaben haben)
m?glich, Windows dazu zu veranlassen, entsprechenden Code
mit allen Rechten an den Scriptinghost zu ?bergeben.
Der Scriptinghost ist neben ActiveX das gr?sste Scheunentor
zu deinem Rechner, der unter anderem auch Attacken auf die
verwendete Firewall oder Virenscanner zum Kinderspiel macht.
Die Funktion "Auto-Vervollst?ndigen der URL", die meist in den
erweiterten Optionen des Browsers zu finden ist, sollte ausgeschaltet
sein. Sie kann bei Passworteingaben missbraucht werden, was ?brigens
besonders gern auch in Internetcafes missbraucht wird.
Auch bei Java sind Sicherheitsl?cken bekannt geworden, die anraten
lassen, dies ebenfalls nicht grunds?tzlich ?berall zu aktivieren,
sondern nur selektiv zuzulassen. Betroffen ist dabei konkret die
Microsofts Version von der Java Virtual Machine.
Doppelklick auf fremde Dateien ist ein enormes Risiko, da auch bei
angezeigter Dateinamenerweiterung durch angeh?ngte Registrycodes
v?llig andere Programmverkn?pfungen damit erreicht werden.
?ffne das Programm f?r das die Datei sein soll und damit die Datei.
Kommt es dann zum Fehler, sollten die Alarmglocken klingen!
Vorsicht bei Browser Plug-In! Diese sollten auf jeden Fall zumindest
mit einem Virenscanner gepr?ft werden, um wenigstens bekannte
Schadsoftware zu vermeiden. Plug-Ins auf irgend einer
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0zu
laden, weil diese das so "vorschl?gt" ist riskant. Da man von der
damit verbundenen "Programm?nderung" weiss und sie erlaubt, stehen
Schadfunktionen - auch mit Zonealarm - alle T?ren offen!
Bildschirmschoner sind sch?n. Gleichzeitig haben sie ?berm?ssige
Rechte auf dem Rechner und lassen sich auch von Laien optimal
mit Trojanern verbinden und im Nezt verbreiten. Von der
Verwendung von Bildschirmschonern aus nicht 100% sicherer
Quelle ist dringend abzuraten.
Nutzer von Windows NT, 2000 oder XP sollten auf jeden Fall f?r
sich selbst einen "Benutzer" einrichten, der keine Installations-
rechte besitzt. Damit Surft und Mailt es sich deutlich sicherer!
Die Zeit sich f?r gewollte Installationen als Administrator
anzumelden und anschliessend wieder zum Benutzer zu wechseln
ist als MUSS zu sehen.
Nutzer von Windows 2000 sollten beachten, dass die Datei und
Druckerfreigabe grunds?tzlich eine globale Freigabe ist.
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
*****************************************
2. Diese Newsgroup als Informationsquelle
*****************************************
2.1 Charta dieser NG
--------------------
de.comp.security.firewall Sicherheit trotz Netz.
Charta:
Thema der Gruppe ist die Trennung von Computernetzen durch
Paketfilter, Proxies und komplexere Firewall-L?sungen, aber
auch Host-basierte Filter k?nnen hier besprochen werden. Unter
anderem wird in dieser Gruppe die Konzeption derartiger Systeme,
deren technische Umsetzung sowie die Konfiguration konkreter
Implementationen diskutiert.
Fragen zu konkreter Software sollten im Betreff mit dem Namen oder
einem g?ngigen K?rzel f?r diese Software versehen werden; dieses
K?rzel ist in eckige Klammern zu setzen. Beispiel: "[netfilter] Wie
bestimmte RPC-Requests wegwerfen?"
2.2 Wer postet hier?
--------------------
Du, ich, jeder der sich an die Charta h?lt und bisweilen auch
noch ein paar Leute mehr.
Um das etwas zu konkretisieren und die Sensibilit?t f?r die
Inhalte zu wecken, will ich einige "Artgenossen" soweit m?glich
neutral nennen, wobei manchmal mehrere Punkte gleichzeitig
?bereinstimmen k?nnen:
- Allgemeine Anf?nger
- IT-Speziallisten und solche auf gutem Weg es zu werden
- Hacker oder Hacker nahestehende Personen, die mit "guten
Tipps" schlechten Rat geben
- Firewall Admins, von beruflich bis privat in allen "G?teklassen"
- Kommerzielle Anbieter von Sicherheitssystemen, die alle
Alternativen verteufeln, an denen sie selbst nichts verdienen
- Multiple Pers?nlichkeiten, die versuchen Inhalte wahr
darzustellen, indem diese "durch mehrere Leute genannt werden"
- Nachplapperer, die eine vorherige Spezies wissentlich oder
nicht wissentlich unterst?tzen
- Leute die mit Kraftspr?chen um sich werfen
- Leute unter falschem Namen
- Leute, die sich pl?tzlich anders Verhalten, als man von ihnen
erwartet.
- User, die sich f?r das Thema interessieren, sei es aus Neugier
oder aus der Absicht sich mit Aufbau, und Pflege eigener
Sicherheit zu besch?ftigen
2.3 Was stimmt?
---------------
Innerhalb dieser Newsgroup gehen die Meinungen nicht selten
auseinander und nicht immer l?sst sich ein Thema mit sachlichen
Argumenten abschlie?en. Hier will ich ein paar Anregungen
zum Umgang mit Information aus dieser Newsgroup geben, zu
weiteren Vertrauensfragen gibt es einen separaten Punkt 6 in
dieser FAQ.
Nutze deinen gesunden Menschenverstand und viel mehr noch deinen
Sachverstand. Notiere dir Inhalte in eigenen Worten, w?ge sie
ab und nutze weiter Verweise auf Informationsquellen. Sei dir
bewusst, dass diese Informationsquellen, sofern sie im Internet
stehen, unabh?ngig ihrer Auftrittsform ebenso wahr wie
unwahr sein k?nnen.
Es ist egal, ob Information aus Absicht oder Dummheit falsch
oder unvollst?ndig verbreitet wird. Nicht zuletzt ist daf?r
auch entscheidend, wie die jeweilige Information angenommen
und umgesetzt wird.
Die Auswahl der Informationsquellen und das Vertrauen in Hersteller
von Software oder Downloadseiten ist eines der wesentlichen Aspekte
bei Aufbau und Wartung von Sicherheitssystemen. Versuche dir
zun?chst in dieser Newsgroup ein Bild zu machen und lies auch
diese FAQ mit skeptischem Blick!
2.4 Was stimmt nicht?
---------------------
Es gibt einige Methoden etwas wahr erscheinen zu lassen:
- Werbung mit eigenem Namen, Ruf oder Qualifikation.
(unverifizierbar!)
- St?ndiges Wiederholen von Aussagen.
- Beleidigungen und Abwertungsversuche gegen?ber Leuten, die
andere als die eigene Meinung vertreten.
- Produzieren mehrerer gleichlautender Meinungen, wobei der
Vorsatz oder die Eigendynamik keine Rolle f?r irgend eine
"Mehrwertigkeit" spielen.
- "Offizielles" Erscheinungsbild von Postings (Ja, auch diese
und jede andere FAQ ist damit gemeint und will kritisch
gelesen werden!)
Du kannst dir ?berlegen, warum das versucht wird (Punkt 2.2)
oder vielmehr lernen solche Methoden zu erkennen und entsprechend
damit umzugehen.
Verliere dein Ziel nicht aus den Augen!
*********************************
3. Allgemeine Fragen zu Zonealarm
*********************************
3.1 Ist Zonealarm eine Firewall?
--------------------------------
Jein. Es ist ein Paketfilter mit zus?tzlichen Schutzmechanismen,
die durch Identifizierung von Programmen, die eine Internet-
verbindung aufzubauen versuchen, einige Risiken mindert.
Da Zonealarm direkt auf dem Rechner l?uft, auf dem auch die
Internetanwendungen und sonstigen Programme liegen, nennt man
das Konzept "Desktopfirewall".
Das Konzept einer Firewall, keine ungewollten Daten durchzulassen,
kann niemals aufgehen, wenn auf dem gleichen Rechner andere, nicht
mal best?ndig definierte, Dienste und Programme laufen.
Andererseits kann eine Desktopfirewall vom Anwender verursachte
Fehler mit durchaus respektablen Chancen ebenso kompensieren, wie
das mit einer "richtigen" Firewall m?glich w?re.
Daher spricht man im Volksmund von einer Firewall. Anstatt sich
nun zu sehr ?ber die Einordnung Gedanken zu machen, empfiehlt es
sich besser ?ber die M?glichkeiten, Grenzen und Anwendung Gedanken
zu machen.
3.2 Welche Firewall ist die Beste?
----------------------------------
Welches Auto ist das Beste? Ein Bus? Ein Rennwagen? Eines mit
oder ohne Dach? Eines das mit Raps?l fahren kann?...
Was willst du sch?tzen? Vor wem? Wie gut?
Wie viel Aufwand willst du selbst daf?r opfern?
Was ist es dir wert? (Geld und Zeit)
Eine allein vor sich hin werkelnde Firewall, die alles hinter
sich erm?glicht und keiner Wartung oder Kooperation bedarf,
die gibt es nur auf
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Soviel sei jedoch gesagt: Dein eigenes aktives Mitdenken ist
der Kern jeder Firewall. Mit "gute Firewall finden, installieren
und dann sicher sein" bist du ganz sicher auf dem Holzweg!
Weiterf?hrende Info zu dieser Frage:
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
3.3 Warum klappt das Update nicht?
----------------------------------
Es ist n?tig, dass du vor dem Update Zonalarm beendest. Am
einfachsten geht das ?ber das Icon in der Taskleiste, im
Kontextmen? der Punkt "shutdown".
Ohne diese Massnahme betrachtet Zonealarm das Update als
Angriffsversuch auf seine Dateien, den es verhindert.
3.4 Sendet Zonealarm Informationen von meinem Rechner?
------------------------------------------------------
Ja. Mindestens einmal wird eine Registriernummer verschickt, das
steht auch so in der Lizenz des Programms und ist nicht mehr als
eine Nummernidentifikation deines Zonealarm.
Bei der Einstellung "automatisch nach Updates suchen" (nicht
machen, selber mitdenken!) beziehungsweise beim manuellen Update
wird nat?rlich die Versionsnummer versandt.
Eine Spyware-Funktion, die personenbezogene Information, Surf-
gewohnheiten oder gar Daten von der Platte versendet, ist in den
bisherigen Versionen unwahrscheinlich. Durch Zwischenschalten
eines weiteren Paketfilters bzw. eines Snifferprogramms kann
die Kommunikation von Zonealarm untersucht werden und dabei
erh?lt man nur besagte Registrierung beim ersten Verbindungsaufbau
sowie gegebenenfalls die Versionsinfo bei Anforderung von
Updates.
Anderslautende Behauptungen kursieren jedoch auch im Netz.
Beschreibungen verifizierbarer Testumgebungen fehlen jedoch
dazu. Man muss davon ausgehen, dass die Betreffenden ?ber
die Registrier- und Versionsanfragen gestolpert sind und diese
Daten inhaltlich nie betrachtet haben.
Allerdings sind bei der Default-Installation zwei Checkboxen
gesetzt (Diese K?stchen mit Haken drin), die man deaktivieren
muss um diese Verbindungen zu vermeiden.
3.5 Wie sicher ist Zonealarm?
-----------------------------
Da Sicherheit nicht in Metern gemessen werden kann, ist diese
Frage nicht mit einem kurzen Satz zu beantworten. Der n?chste
Punkt dieser Faq nennt M?glichkeiten und Unm?glichkeiten des
Programms.
Einfach installiert und "irgendwie" konfiguriert kann Zonealarm
dich mit ein wenig Gl?ck in einer Extremsituation durchaus mal
sch?tzen, mit etwas weniger Gl?ck vielleicht erst in eine solche
Situation bringen, in dem es dir Sicherheits/gef?hl/ vermittelt.
Unter Beachtung der empfohlenen Hinweise bleiben mit Sicherheit
einige Risiken bestehen. Weitere Informationen zu den Grenzen
findest du in der FAQ "Personal Firewall umgehen"
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
von Hendrik Brummermann.
Angenommen der Fall, du irrst dich einmal gewaltig beim Vertrauen
in eine Software oder stolperst ?ber eine Sicherheitsl?cke in
einer Software und installierst dir auf diesem Weg ungewollt
einen Trojaner, der auf deinem Rechner als Dienst (z.B. als
Dateiserver oder Fern-Administrations-Tool) dienen soll, dann
besteht ausgesprochen hohe Wahrscheinlichkeit, dass du diesem
Dienst mit Zonealarm einen Strich durch die Rechnung machst.
Das ist jedoch nur eine H?rde gegen ettliche Attacken.
Vergleiche es mit einem Airbag, der dich aus einer Richtung
sch?tzen kann (nie perfekt), f?r andere Richtungen jedoch keine
Hilfe bringt oder sogar etwas st?ren kann. Wenn du wegen seiner
Installation das Rasen beginnst und dich ?berm??ig sicher
f?hlst, dann ist er nicht gut f?r dich. Wenn du ihn als hoffentlich
nie ben?tigten Mechanismus betrachtest, kann er dem einen oder
anderen Nutzer mal gro?e Hilfe leisten.
3.6 Was kann Zonealarm, was kann es nicht?
------------------------------------------
Gehen wir von einem unkompromittierten Zonealarm auf nicht
kompromittiertem Betriebsystem aus und schauen, was es dann
kann:
Es kann zun?chst mal s?mtliche Internetverbindung blockieren.
Es kann Programmen nach Name, Dateigr??e, Erstellungsdatum
und Pfad dauerhaft Netzzugang erlauben. Zudem wird eine
Pr?fsumme des Programmes verglichen, um bei dessen ?nderung
den Anwender zu warnen und nur nach erneuter R?ckfrage das
Programm Verbindung in's Netz aufbauen lassen.
Es erkennt Programme, wenn sie eine Netzverbindung aufbauen
wollen, erkennt den Name, mit dem sich dieses Programm
meldet und bildet eine
Pr?fsumme von dem Programm, um
T?uschunsversuche zu erkennen.
"Erlaubt" man so einem Programm die Verbindung, so ?ffnet
Zonealarm alle n?tigen Ports, jedoch nur zu diesem Programm.
Ist dieses Programm mit einer Schadfunktion versehen, findet
diese Schadfunktion ebenfalls eine Verbindung!
Schw?chen oder auftretende Angriffspunkte k?nnen ?ber gezielte
Abwehrmechanismen mit Updates kompensiert werden.
"Nuken" (zuf?lliges oder wenn deine IP bekannt ist auch gezieltes
abst?rzen lassen eines Windows-PC) geht nicht, solange Zonealarm
an ist. Die sogenannte "Druckerfreigabe/Laufwerksfreigabe" die
eigentlich nur lokal funktionieren sollte funktioniert wirklich
nur noch lokal.
Dieses Problem l?sst sich auch durch entsprechende Konfiguration
der Bindungen in den Netzwerkeinstellungen ohne Zonealarm vermeiden.
DOS-Attacken ben?tigen eher mehr Aufwand, da Zonealarm Anfragen an
nicht verwendete Ports ohne weitere ?berpr?fung sofort verwirft. Das
bedeutet, dass die Anfragen an deinen Rechner weniger Last
verursachen. Eventuell kompensieren die Logfileeintr?ge diesen Effekt
teilweise. Die "durchgelassenen" Pakete verursachen daf?r etwas mehr
Last.
Schauen wir nun, was Zonealarm nicht kann:
Ist ein Programm selbst kompromittiert, erkennt Zonealarm das
nicht. Verbreitete Software (Browser) kann ein Angreifer als
vorhanden voraussetzen und hintergehen. Aktuell ist eine
solche Attacke jedoch nicht bekannt. Schadfunktionen in Plug-Ins
f?r Browser sind leider alles andere als neu. Hat man einem
Browser mit so einer Schadfunktion die Verbindung erlaubt, dann
kann Zonalarm nicht helfen!
Trojaner als solches werden nicht erkannt. Netzserver Funktionen
sind nur eine Form von Schadfunktion. Auch hier /erkennt/
Zonealarm nicht den Trojaner, sondern den Verbindungsaufbau.
"Doppelklick" auf Mailatachements kann Zonealarm nicht verhindern.
Es kann dich weder daf?r schlagen, noch die folgenden Aktionen
beeinflussen.
Es kann durch W?rmer verursachten Mailflut oder Virenflut, die
?ber dein Mailprogramm oder Mailserver geht, nicht verhindern.
Theoretisch kann ein Angreifendes Programm (Das du in irgend
einer Form aktiviert hast) ganz gezielt die von dir verwendete
Hardware ansprechen, das hei?t es kann selbst Modem oder
Netzkartentreiber mitbringen. Allerdings ist solch ein Hintergehen
nicht einfach zu verdecken und es besteht die Wahrscheinlichkeit,
dass es dabei in Zonealarm zu einer Fehlfunktion kommt, die
alle Verbindungen einfrieren l?sst.
Zonealarm kann nicht
pr?fen, ob unterwegs jemand an der Routing-
Tabelle manipuliert hat und der Updateaufruf umgeleitet wird.
3.7 Gen?gt Zonealarm allein f?r meine Sicherheit?
-------------------------------------------------
Nein. Hier muss noch einmal der Vergleich mit einem Airbag
herhalten. In erster Linie liegt deine Sicherheit an deinem
Verhalten. Steuerst du planlos im Zickzack von der Strasse,
wird dir die gelegentlich geschonte Nase wenig n?tzen.
Wirft dir jemand eine Stange Dynamit zum Fenster rein, n?tzt
der Airbag gar nicht. Bleibst du auf dem Bahn?bergang stehen,
hilft er dir auch nicht gegen den von der Seite kommenden
Zug.
Zur?ck zur Praxis. In erster Linie liegt deine Sicherheit
an deinem Verhalten. Installierst du planlos Dienste und
Programme, so bist du deren Sicherheitsl?cken und Risiken
ungebremst ausgesetzt.
Neben diesem eigenen Verhalten sollte ein aktueller Virenscanner
mit aktueller Viren Database nicht nur zum Inventar geh?ren,
sondern auch benutzt werden - insbesondere empfiehlt es sich
nach Installationen anderer Software ein Update der Viren-
Database neu einzuspielen und danach den Rechner zu scannen.
"Zonealarm allein" gen?gt auch f?r seinen Teil der Aufgabe nicht,
du musst es wirklich /nutzen/. Das hat nichts mit "Autostart"
zu tun, sondern allein mit deinen Einstellungen und Reaktionen.
Sehr vorteilhaft ist es auch sich ?ber Sicherheitsl?cken von
den sonstigen eingesetzten Softwareprodukten zu informieren.
Zitat:
"IT-Sicherheit kann ich nicht kaufen, die muss ich leben"
(Wolfgang Brockhaus, Gesch?ftsf?hrer von T?V Nord Security)
3.8 Geht Zonealarm mit Windows XP?
----------------------------------
Ab Version 2.6.214 wird Windows XP unterst?tzt.
***************************************
4. Konkrete Einstellungen an Zonealarm
***************************************
4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
----------------------------------------------------------
Ja. Dann wenn du gerade in dem Moment selbst das Programm
aufgerufen hast. Es gibt die Option "Dieses Programm f?r
Internetverbindungen merken", das hat den Nachteil, dass
man generell nicht mehr informiert wird, wenn das Programm
eine Verbindung herstellen will. Andererseits bemerkt
Zonealarm Ver?nderungen an dem Programm und meldet die
speziell, wenn man diesem Programm Verbindung erlaubt hat
und es sich ge?ndert hat.
4.2 Soll ich automatische Softwareupdates aktivieren?
-----------------------------------------------------
Nein. Aber vergiss sie nicht ganz! Eine permanente Abfrage nach
Softwareupdates bringt das Risiko mit sich, dass du in tempor?ren
Fallen landest, so wie auf einer umgeleiteten Adresse oder dass
du eine kompromittierte Version l?dst.
Solche Attacken sind selten von langer Dauer, es w?re Unsinn,
unn?tig ein st?ndiges Risiko einzugehen.
4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
-------------------------------------------------------------
Es spricht nichts dagegen, nur _bitte_ vor du irgend jemand wegen
deinen Meldungen bel?stigst, lies Punkt 5 dieser FAQ!
Die Meldungen sind informativ, nur leider nicht nur missverst?ndlich
sondern oft restlos falsch formuliert.
Das Anzeigen Lassen der Logfiles erm?glicht es, Floodingversuche
zu erkennen und die Verbindung abzubrechen (siehe 4.5).
4.4 Mein Napster geht nicht, was kann ich machen?
-------------------------------------------------
Das was dir Zonealarm empfiehlt, aus lassen.
Wenn du dennoch Napster laufen lassen willst, brauchst du kein
Zonealarm, da man mit einer T?r(Zonealarm) keine beseitigten
Hausw?nde(Napster in Betrieb) ersetzen kann.
4.5 Welche Gr??e f?r das Logfile?
---------------------------------
Die Gr??e des Logfiles l??t sich einstellen, das hat zun?chst den
Vorteil, dass es ?bersichtlicher bleibt, nicht unendliche Speicher
ben?tigt und Attacken, es zum ?berlauf zu bringen, erflolglos bleiben.
Will ein Angreifer konkrete Daten verwischen, kann er das auch f?r
sich verwenden, in dem er f?r ?berm?ssig viele Logeintr?ge sorgt.
Dadurch werden die ?lteren Eintr?ge aus dem File gel?scht. Solange
man sich die "Alarmmeldungen" Zeigen l?sst, merkt man dies jedoch
an rasch steigender Zahl ("Meldung x von yyy", wobei y eine
mehrstellige Zahl wird). In so einem Fall ist das Unterbrechen der
Verbindung zu erw?gen, um den Beginn des Logfiles zu erhalten und
bei stark steigender Zahl von Meldungen auch um einer ?berlastung
des Systems vorzubeugen.
100 kB darf man dem File schon g?nnen, das erm?glicht ca. 1000
Eintr?ge vor dem ?berschreiben. Beachte, dass ein allzu gro?es
Logfile die Rechnerperformance negativ beeinflussen kann.
**************************
5. Meldungen von Zonealarm
**************************
5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
------------------------------------------------------------
Nichts. Zonealarm kann gar keine Trojaner melden, die Meldung
ist falsch. Zonealarm meldet eine Anfrage auf einem Port, der
standardm??ig von einem Trojaner verwendet wird. Der Trojaner
hat aber kein Patent auf diesen Port, dort k?nnte jedes andere
Programm genau so aktiv sein.
Zonealarm hat diese Anfrage an den Port als gef?hrlich eingestuft,
macht damit jedoch nichts anderes als mit jeder anderen ?berfl?ssigen
Anfrage auch - Es l?sst sie in's leere laufen.
Wenn du glaubst, Trojaner zu haben, dann such mit Virenscannern,
die erkennen zumindest den bekannten Teil.
Wenn dich die Meldungen nerv?s machen, schalte sie ab. Die Scans
k?nnen Angriffe sein, so wie jedes bei dir vorfahrende Auto das
eines Einbrechers sein kann. Im Netz ist nun mal Verkehr und du
hast obendrein vermutlich eine dynamische IP, das hei?t, die
Anfrage k?nnte aus einer vorherigen Verbindung eines anderen Users
kommen.
5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
------------------------------------------------------------
Wer auf deinem System ist braucht dich nicht zu scannen. Es kann
nat?rlich eine Suche nach L?cken auf deinem System sein, aber du
wirst doch keine haben, oder?
Besonders in den ersten Minuten nach Einwahl h?ufen sich solche
"Scanorgien". Wenn du eine dynamische IP hast und dein Vorg?nger
hatte ein Napster laufen, kannst du
pr?chtige Sammlungen von
Pings bekommen ;-)
Schalte die Meldungen ab, wenn sie dich nerv?s machen oder
st?ren und lass die Anfragen in's leere laufen, wo sie vermutlich
auch ohne Zonealarm gelandet w?ren.
Zonealarm meldet nun mal alle Anfragen, die es nicht zuordnen kann
und die im Normalfall in's Leere gehen. Solltest du wirklich
Schwachstellen hinter diesen Ports haben, hast' Gl?ck gehabt.
5.03 Wie soll ich die "erweiterte Information" verstehen?
---------------------------------------------------------
Gar nicht. Lass sie einfach oder frage die Leute, die das
verzapft haben vor Ort und Stelle.
5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
----------------------------------------------------------
Du kannst anhand der IP nur den Adressbereich herausbekommen,
also den Internet Service Provider, kurz ISP genannt. Der
ISP ist nicht berechtigt, dir die Daten des Kunden zu nennen.
So eine R?ckverfolgung geht nur, wenn eine Straftat vorliegt
und ein Richter oder Staatsanwalt eine Ermittlung anordnet.
Auch in dem Fall wird dir der Kunde h?chstens indirekt ?ber
das Gericht bekannt. Unter Umst?nden kann die IP-Adresse
der eingehenden Pakete gef?lscht sein.
5.05 Wann soll ich mich beschweren?
-----------------------------------
Solange das keine regelm??igen ?berm??igen Scans sind, solltest
du nichts tun und falls es wirklich extrem ist (und du immer
mit der selben IP oder in einem sehr kleinen IP-Bereich im
Netz bist) bittest du den Provider ?ber den die Scans kommen,
dass er das mal bremst.
50 Scans sind /nicht/ ?berm??ig! ?berm??ig f?ngt da an, wo deine
eigene Performance ?ber mehr als einige Minuten bel?stigt wird
oder ein regelm??iger Automatismus in gr??erer Zahl von Scans
zu erkennen ist.
Bitte bel?stige keine Leute wegen ein paar Scans! Du bist im
Internet? OK. Es gibt 65536 Ports, ca. 2 Milliarden Internetuser,
unz?hlige Server und Programme! Administratoren haben wirklich
besseres zu tun, als Email wegen einiger Portscans zu beantworten!
5.06 Wo soll ich mich beschweren?
---------------------------------
Per Email bei abuse@<provider>.<l?nderkennung> bitte unter
Beachtung von Punkt 5.04 und 5.05
Sollte es sich um konkrete Angriffe handeln (von Zonealarm
sogenannte "Trojanerport"-Scans geh?ren /nicht/ dazu!), so
ist security@<provider>.<l?nderkennung> die passende Adresse.
5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
----------------------------------------------------------------
Wahrscheinlich ist es sogenannte Spyware oder ein Programm
versucht eine Registrierung. Das ist ausgesprochen unsch?n, aber
noch nicht direkt gef?hrlich. Es kann allerdings auch sein, dass
du dir tats?chlich einen Fehler geleistet hast und einen Trojaner
(mit-)installiert hast.
Ob du dich damit zufrieden gibst, dass vorhandene Spyware
einfach keine Verbindung bekommt und dennoch weiter auf deinem
Rechner herum scannt (und wom?glich bei einer anderen Art von
Verbindung ihre Daten versendet), das bleibt dir selbst ?berlassen.
Du hast dann jedenfalls wieder etwas dazu gelernt.
Besonders im Bereich mp3-Player und Downloadmanager wird dir
Spyware begegnen.
Solltest du tats?chlich einen Trojaner auf der Platte finden,
installiere _komplett_ neu. Die Wahrscheinlichkeit, dass mehr
als ein Schadprogramm installiert wurde ist zu hoch.
5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
-----------------------------------------------------------------
K?nnen kannst du das, es ist nicht zu empfehlen. Ganz besonders
wenn es sich um verbreitete Programme wie Browser oder Emailclient
handelt, solltest du das /nicht/ "dauerhaft erlauben".
Das schafft einem Angreifer eine zus?tzlich H?rde, dass er nicht
unter dem Name mit gef?lschter Parameter?bergabe eine Verbindung
aufbauen kann. Er k?nnte nur ein kurzes Zeitfenster verwenden,
in dem du selbst das Programm aufrufst. Das allein reicht zwar
f?r Attacken oder Dateitransfer (notfalls in St?cken), ist jedoch
eine f?r Virenscanner (Trojanererkennung/Heuristik) leicht
einzugrenzende erkennbare Aktivit?t.
5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
--------------------------------------------------------
Ja. Unter "Programme" sind neben dem Programmname drei Punkte,
jeweils f?r Lokal- und Internetverbindung sind links Haken
f?r "dauerhaft erlaubten" Verbindungsaufbau, rechts Fragezeichen
f?r je aktuelles Nachfragen. In der Mittelposition kann man
die Aktivit?ten komplett sperren (in Verbindung mit "geliebter"
Spyware ein nettes Feature gegen das "Festplattenkratzen" =:o)
5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grunds?tzlich abschalten?
--------------------------------------------------------
Leider nein. Dir bleibt nur die Hoffnung, dass falls das je mal
jemand ausn?tzt, du vor du ausgerechnet dieses Schadprogramm
installierst, ein gepatchtes Update geladen hast.
*******************
6. Vertrauensfragen
*******************
6.1 Vertrauen in Software
-------------------------
6.1.1 Kann man Software Bekannter Firmen trauen?
-------------------------------------------------
Leider gen?gt die Bekanntheit von Firmen weder f?r die Seriosit?t,
noch f?r die Zuverl?ssigkeit und das Risikobewusstsein. G?be es
eine Anleitung wie man Seriosit?t
pr?fen kann, k?nnte man genau
nach dieser Anleitung Schadsoftware vertreiben. Insbesondere im
Internet kann man leicht auf professionelles Erscheinungsbild von
Seiten hereinfallen, besonders wenn dort der Inhalt anderer
Firmenseiten gespiegelt wird.
6.1.2 Verbreitete Software ist sichere Software?
------------------------------------------------
Die Verbreitung allein ist kein Garant f?r die Sicherheit. Sie
erh?ht die Chance, dass Schadfunktionen bekannt werden. Allerdings
setzt das voraus, dass du dich regelm??ig informierst.
Insbesondere bei Trittbrettfahrern aktueller Spielehits ist besonders
grosse Gefahr, dass diese f?r gro?angelegte Verbreitung von
Schadfunktionen verwendet werden.
Je l?nger Software im Umlauf ist, ohne dass Schadfunktionen bekannt
werden, umso gr??er wird die Wahrscheinlichkeit, dass sie keine
Schadfunktion enth?lt.
6.1.3. Software die viel kostet ist sicher?
-------------------------------------------
Du kannst bei mir gern 1000 DM f?r einen Trojaner bezahlen, wenn
dich das beruhigt ;-)
6.1.4. Originalverpackte Software ist sicher?
---------------------------------------------
Man kann die Verpackung f?lschen und die Schadfunktionen in der
Herstellerfirma einschleusen. Im Vergleich zu Software aus dem
Internet ist solche Software unvergleichlich sicherer.
Insbesondere bei recht aufwendigen Projekten sind Schadfunktionen
eher die Ausnahme - die jedoch vorkommt.
6.1.5 Der H?ndler wei? das schon, nur die Transportfirma seines
Lieferanten kennt er nicht?
---------------------------------------------------------------
Im professionellen Bereich lassen sich die Aufwendigsten H?rden
meist mit den billigsten Tricks hintergehen.
Im privaten Bereich ist dies eher mit der vorherigen Frage
beantwortet.
6.1.6 Ist Internetsoftware sicher, die von PC-Zeitschriften empfohlen
wird?
---------------------------------------------------------------------
Nein. Sowohl in Newslettern als auch f?r die Zeitungen kann man
beliebig Tipps f?r Software geben. Die bl?st man etwas auf und
wartet bis der Tipp erscheint. Dann packt man an die aufgeblasene
Stelle eine Schadfunktion. Auf diesem Wege kommen selbst
altbekannte Schadfunktionen an die Benutzer, weil diese die Tipps
f?r seri?s halten.
6.2 Vertrauen in Downloadquellen
Kann man Programmen aus dem Internet ?berhaupt trauen?
------------------------------------------------------
Wenn man seine Virenupdates aus dem Netz l?dt, sollte man die
Programme da prinzipiell auch laden k?nnen.
Das hei?t, dein Provider kann dich grunds?tzlich angreifen.
Er ist unterwegs nicht der einzige, doch der mit den besten
M?glichkeiten. Er kann deinen Netzverkehr ?berpr?fen und den
verwendeten Virenscanner auslesen. Mit einer kleinen ?nderung
im Nameserver - nat?rlich exklusiv f?r dich - l?dst du zuk?nftig
seine eigenen dat-Files (
pr?ft dein Scanner Checksum inclusive
Datum?) die dann einen gew?nschten Remote-Administrations-Trojaner
nicht mehr kennen. Den Trojaner kann er dir dann bei n?chster
Gelegenheit unterschieben. Nat?rlich muss das nicht der Provider
selbst sein, sondern nur jemand der sich Root-Rechte auf der
Maschine verschafft hat.
Ebenso k?nnte dir auf dem Weg ein "Zonealarm" mit v?llig anderen
Funktionen untergejubelt werden.
Bei solch gezielten Angriffen sinken deine Chancen gewaltig,
wobei sich jedoch ein Angreifer schwarz warten kann, bis du
endlich nach einem Update, also "seinem Zonalarm" greifst. Ob
er so lange Root-Rechte bei deinem Provider hat, ist eher zu
bezweifeln.
Solange du Software aus dem Internet verwendest bist du in
nahezu jedem Fall sicherer dran, wenn du Virenupdates und
Personal Firewall auch verwendest. Beides muss nicht grunds?tzlich
?ber das Internet geschehen. Dort w?ren sichere Verbindungen
zu bevorzugen - leider fehlt diese Option in der Praxis oft.
6.3 Vertrauen in Informationsquellen
------------------------------------
Ein heikles Thema, teils in anderen Punkten dieser FAQ schon
angedeutet. Eine vielleicht ungew?hnlich klingende Anregung dazu
besagt, dass man Informationsquellen prinzipiell nicht glauben
sollte, sondern die Information als Anregung der eigenen Kreation
betrachten kann. Es ist im Prinzip egal, ob man aus verschiedenen
kompromittierten Quellen Information sammelt, oder ob man nur
vertrauensw?rdige Information erh?lt. Solange die Information einzig
Ansto? zur eigenen Kreation bleibt, kann sie nicht weit in die Irre
leiten. Im Gegenteil, Irrleitungsversuchen k?nnen sich ausgesprochen
kreativ auswirken, da man an ihnen schnell Grenzen erkennt, die man
setzen m?chte.
6.4 Open Source, pro und contra
-------------------------------
Es gibt zwei widerspr?chliche Theorien bei Software, die der
Sicherheit dienen soll. Die Eine besagt, dass man bei Open Source
(der Quellcode ?ffentlich) die Fehler erkennen kann und irgend jemand
der diese Fehler erkennt, sie auch nennt und sie beseitigt werden.
Zudem w?rden vors?tzlich eingebaute Schadroutinen erkannt. Die Andere
besagt, dass in eben diesem ?ffentlich zug?nglichen Code Fehler
gefunden werden k?nnen und statt genannt zu werden k?nnten sie
ausgen?tzt werden. Au?erdem lie?en sich mittels dieses ?ffentlichen
Codes identisch scheinende Programme mit Schadroutinen einfach
erstellen und verbreiten. Umgekehrt m?ssten destruktive Programmierer
deutlich mehr Aufwand betreiben, wenn ihnen der Quelltext nicht
vorliegt.
Open Source prinzipiell als Vor- oder Nachteil f?r die Sicherheit zu
betrachten scheint keine Antwort zu sein, die sich pauschalisieren
oder als wesentliches Argument f?r oder gegen eine Software
verwenden l?sst.
***********
7. Kontakte
***********
7.1 Informationen und Download im
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0Diese FAQ im
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0href="
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0target="_blank">
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0href="
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0target="_blank">
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0Hersteller von Zonealarm:
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Deutschsprachige Anleitung zu Konfiguration und "Alarm-Meldungen":
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
oder das Gleiche (nerviges ActiveX):
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Abfrage von IP-Adressen
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Firewall-FAQ von Lutz Donnerhacke
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
FAQ "Personal Firewall umgehen" von Hendrik Brummermann
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
7.2 Autor Info
--------------
Utz Pflock, Technischer Assistent f?r Informatik,
unabh?ngig von der genannten Software und den Inhalten
hinter den weiterf?hrenden Links.
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Anregungen zur Faq sind willkommen, ich lese die Gruppe mit, auch
wenn es wochenweise nicht so scheint ;-) Artikel die sich bei starkem
Subjectwandel ohne ?nderung des Selben verstecken, k?nnen jedoch
?bersehen werden.
Um in diesem Forum Links sehen zu können, müssen Sie 1 oder mehr Beiträge verfasst haben. Ihr Beitragszähler steht derzeit bei: 0
Zu guter Letzt will ich hier all den Schreibern in der Newsgroup
f?r ihre hilfreichen Tipps und Anregungen danken.
23.11.2002, 14:58
Linear-Darstellung
