Hadrware-Firewall

Hallo Peter,

zuerst mal vielen Dank für deine Hinweise und Belehrungen. Ich kann da jeden Beitrag zur Aufklärung gebrauchen.

Ausreichend wofür? Bzw. wogegen? Man muss zuerst herausfinden,
welche Gefahren es gibt, welche einen selber betreffen
(können) und mit diesen Informationen dann nach geeigneten
Massnahmen, um diese Gefahren zu vermeiden, suchen.

Einzig das halte ich für leicht daneben, wenngleich du da mit Sicherheit auch absolut Recht hast. Nur klär mich mal bitte darüber auf, welche Gefahren mich „selber betreffen“. Wie du vielleicht mitbekommen hast, bin ich in sowas kein Fachmann. Ich verfüge über genau das Wissen, was wahrscheinlich 95% aller PC-Benutzer haben. Nämlich dass es Viren und Würmer und Trojaner und dergleichen gibt, dass die auf meinem Rechner oder von meinem Rechner aus böse Sachen machen können und dass dadurch meine Daten und meine Privatsphäre in Gefahr sind etc. Viren kann ich mir wie auch Trojaner übers Internet, Downloads oder Emails holen, Würmer können sich über irgendwelche freie Ports in meinem System einnisten, Hacker können ebenfalls von außen viele böse Dinge anrichten. Das war’s. Die Hersteller Suggerieren, dass man eine Firewall braucht.

Verlange aber bitte nicht vom gemeinen DAU, wie ich einer bin, auch nicht vom erfahreneren NGSDU, zu wissen, über welche genauen Mechanismen sich Viren, Trojaner und Würmer verbreiten, welche Ports ich nicht benötige und schließen kann, für welches Programm ich aber welche Ports offen lassen sollte, und in welcher Programmiersprache die Malware geschrieben wurde, oder besser gleich noch einen professionellen Hacker-Kurs zu belegen, um zu erfahren welche Gefahren gerade „einen selber betreffen“, um dann zu entscheiden, welches Mittel erforderlich ist. Ich will mich damit auch gar nicht so intensiv beschäftigen. Dafür gibt’s Fachleute, von denen ich annahm, dass sie solche Fragen auch ohne Ironie beantworten können.

Das Einzige, was ich wollte, war, einmal von einem Experten klar zu erfahren, ob das, was ich vorhabe, zur relativen, angepassten Sicherheit meines Rechners ausreicht, ja oder nein. Es braucht ja kein Hochsicherheitsnetzwerk zu werden, aber eben doch relativ sicher. Dass im Falle eines klaren „Nein!“ ein Vorschlag zur Besserung gemacht würde, wäre ja auch noch okay, aber die Floskeldrescherei bringt mich ein Bisschen fast zur Weißglut. Jetzt aber gut.

Dass ich mit dem Win-XP-Rechner an einem Router mit HW-Firewall hänge, der wiederum an Internet hängt, wurde ja bereits erklärt. Dies ist ein Setup, wie es heute seeehr viele Rechner haben. Was sind denn da bei ganz durchschnittlichem Surf- und Spielgewohnheiten nun die Gefahren, die mich „selber betreffen“ und welchen Vorschlag kannst du machen?

LG
Huttatta

Hallo Huttata,

Wenn dann ein offener Port gefunden wird, dann geht die Luzie
ab. Das möchte ich natürlich verhindern. Ob da die
Hardware-Firewall („SPI Firewall“) ausreicht? Ist das
überhaupt eine echte „Firewall“?

Nun, eine „Firewall“ ist eigentlich ein Sicherheitskonzept. Eine „Personal Firewall“ oder eine „Hardware Firewall“ kann Teil dieses Konzepts sein. Soweit zu den Begriffen.

Jetzt zu den offenen Ports:
Ein Port ist dann, und nur dann, offen, wenn ein Programm auf diesem Port „lauscht“. Wenn Du also kein Programm laufen hast, welches auf irgendeinem Port lauscht, hast Du auch keine offenen Ports. (Da eine „Personal Firewall“ auf allen Ports lauscht, ist es bei einem entsprechenden Bug auch auf allen Ports angreifbar)
Ich gehe davon aus, dass Dein Router ein NAT-Router ist. Diese Router haben einen Mangel: Und zwar sind die Rechner dahinter von „aussen“ nicht fuer neue Verbindungen erreichbar - ausser man leitet gezielt div. Anfragen an bestimmte Rechner weiter (siehe „Portforwading“, „Virtual Server“,…) Dieser Mangel hat aber auch einen Vorteil: Solange Du nicht explizit die Anfragen an Deinen Rechner weiterleitest, kommen auch keine Anfragen oder Angriffe zu Deinem Rechner (unabhaengig davon, ob ein Programm auf dem angefragten Port lauscht).

Alles klar?
Puersti

Hallo Peter,

… offenen Port.

a) Für sowas gibt es eine Firewall.

Falsch. Entweder will man diesen oder jenen Port offen haben.
Oder dann schliesst man den Port, indem man das Programm oder
den Dienst, welche den Port offen halten, beendet oder
sonstwie konfiguriert, damit der Port nicht mehr nach aussen
offen ist.

Du hast insofern recht, dass dies der optimale Weg ist. Aber dieser ist nicht immer möglich, denn es gibt ja auch Rechner, die gleichzeitig in verschiedenen Netzen sind. Wenn du z.B. direkt über DSL eingewählt bist, dann willst du manche Dienste im LAN anbieten, aber nicht im Internet. Unter Linux ist das kein Problem, sämtliche Dienste nur an das LAN-Device zu binden, aber unter Windows ist das afaik gar nicht möglich (man korrigiere mich, falls dies nicht stimmt).

Zum anderen werden viele Betriebssystem wie Windows mit einer Vielzahl von Diensten gestartet die auch Ports offen lassen und die man nicht abschalten kann, weil sie zum Betrieb des Systems notwendig sind. Selbst wenn man diese an ein bestimmtes Device binden kann, ist es für einen weniger versierten User 1000x einfacher und sicherer, einen Paketfilter zu betreiben, der zum Internet einfach alles abschottet.

Hallo,

Ich meine aber, es genügt, diesen Programmteil zu
deaktivieren.

Wenn Du es deaktivieren musst, um Deinen Rechner effizient nutzen zu können, dann solltest Du den Dreck deinstallieren. Eine Firewall auf dem Zielsystem ist ohnehin nur sehr beschränkt sinnvoll nutzbar.

Wenn eine Firewall sämtliche Daten um 180 ms verzögert weiterreicht, dann ist sie ohnehin entweder vollkommen falsch konfiguriert oder kompletter Müll.

Gruß

Fritze

Hi Huttatta

ich möchte Zwecks besserer Performance eines Online-Spiels die
Firewall zeitweilig deaktivieren. Man hört ja immer wieder,
dass die Aktualität der Windows-Patches schon relative
Sicherheit bietet. Außerdem hat mein Router (WLAN) eine sog.
Hardware-Firewall. Also bilde ich mir ein, dass mein Rechner
relativ sicher ist, auch wenn die Personal Firewall und der
damit verbundene Antivirus-Dienst deaktiviert sind. Während
dieser Zeit wird ja nicht gesurft und es wird auch nichts
heruntergeladen. Wie ist es aber wirklich?

echt geiler Thread, der sich da entwickelt hat. Und lauter Experten. Aber irgendwann verliert man den Überblick. Ich resumier mal für Dich:
Windows-Updates: wichtig
Router-Firewall: wichtig
PFW : schalte ihn ab und denk nicht mehr dran
Antivirus-Progi: mittlere Wichtigkeit. Sagt Dir meist zu spät, dass Du Dein System platt machen darfst
Backup-Image: erspart Dir im Ernstfall viel Arbeit: frag mich
Viel Spass beim Zocken

Gruss
ExNicki

Endlich !!!

echt geiler Thread, der sich da entwickelt hat. Und lauter
Experten. Aber irgendwann verliert man den Überblick. Ich
resumier mal für Dich:
Windows-Updates: wichtig
Router-Firewall: wichtig
PFW : schalte ihn ab und denk nicht mehr dran
Antivirus-Progi: mittlere Wichtigkeit. Sagt Dir meist zu spät,
dass Du Dein System platt machen darfst
Backup-Image: erspart Dir im Ernstfall viel Arbeit: frag mich

Viel Spass beim Zocken

Vielen Dank dafür! Danke für genau das, wonach ich fragte! Dank und Stern!

LG
Huttatta

Ausreichend wofür? Bzw. wogegen? Man muss zuerst herausfinden,
welche Gefahren es gibt, welche einen selber betreffen
(können) und mit diesen Informationen dann nach geeigneten
Massnahmen, um diese Gefahren zu vermeiden, suchen.

Einzig das halte ich für leicht daneben, wenngleich du da mit
Sicherheit auch absolut Recht hast.

Damit hat er logischerweise Recht. Denn was soll es z.B. bringen, dich vor Gefahren zu schützen, die dich gar nicht ereilen können. Es bringt z.B. einem Mann relativ wenig, wenn er zur Gebärmutterkrebs-Vorsorge geht.
Genausowenig bringt es dir, wenn du Maßnahmen ergreifst, die nicht geeignet sind, die Gefahren zu vermeiden. Ein Zettel mit „bitte nicht aufbrechen“ an der Windschutzscheibe wird vermutlich keinen Autoknacker aufhalten. Man muss also nach Maßnahmen suchen, die die realen Gefahren auch wirklich vermeiden können.

Diese Überlegungen kann man so praktisch immer anstellen, so auch hier beim Thema Internet-Sicherheit.

Nur klär mich mal bitte
darüber auf, welche Gefahren mich „selber betreffen“.

Nunja, am Anfang steht erstmal die Gefahrenanalyse. Man kann die Gefahren in drei Hauptkategorien aufteilen:

a) Ein direkter Angriff auf Sicherheitslücken
in deinem Betriebssystem, deinem Browser oder anderen Anwendungen. Dies machen u.a. bestimmte Viren und Würmer (z.B. Sasser) so. Aber auch menschliche Angreifer wie Hacker oder Script-Kiddies probieren es auf diesem Weg.

Abhilfe:

1. Updates installieren. Windows-Update, Browser-Updates, usw. Gefährdet sind alle Applikationen, die direkt mit dem Internet zu tun haben. Dies lässt sich in der Regel meist automatisch einstellen (z.B. bei Windows oder Firefox), so dass der Aufwand hierfür gering ist.
2. Potentiell unsichere Anwendungen nicht benutzen. Dies gilt v.a. für den Internet Explorer und Outlook. Allein durch die Benutzung von Firefox und Thunderbird (http://www.mozilla.com ) erhält man einen großen Sicherheitszuwachs. Wer nicht unbedingt an die Windows-Plattform gebunden ist (z.B. durch Spiele) für den rentiert sich eventuell auch ein Blick auf Linux. Hier ein paar Links auf einsteigerfreundliche Distributionen:
   SuSE Linux - http://www.novell.com/de-de/products/suselinux/
   Ubuntu Linux - http://www.ubuntu.com/
   Mandriva Linux - http://www.mandriva.com/de/community/
   OpenSuSE Linux - http://de.opensuse.org/Willkommen_auf_openSUSE.org
   Fedora Linux - http://fedora.redhat.com/
   Noch einfacher ist natürlich ein Mac, allerdings muss man dafür i.d.R. zusätzlich einen neuen Rechner anschaffen. Hat man dies aber ohnehin vor, ist dies eine sehr interessante Alternative, die Windows und Linux in Sachen Einfachheit, Benutzerfreundlichkeit und Sicherheit weit voraus ist. Aber auch ein Apple muss nicht teuer sein. Ein MacMini ist schon ab 600 EUR zu haben. http://www.apple.com/de/macmini/
3. Unnötige Dienste beenden. Jeder Dienst, der von außen erreichbar ist, ist ein möglicher Angriffspunkt. Welche Dienste dies unter Windows sind wird dir z.B. hier verraten: http://www.windows-tweaks.info/html/dienste.html
   Eine Software, die dich bei der Deaktivieung dieser Dienste unterstützt findest du hier http://www.ntsvcfg.de/
   Eine Firewall oder ein Router schützt dich ebenfalls vor Angriffen auf diese Dienste. Am sichersten ist hier i.d.R. ein Hardware-Router über den man ins Internet geht. Damit kann man deinen Rechner nicht mehr ohne weiteres direkt angreifen, da er hinter dem Router verborgen ist. Dies ist auf jeden Fall sicherer, als der Einsatz einer PersonalFirewall o.ä. Wenn man über keinen Router ins Netz geht, dürfte die windows-eigene Firewall die sicherste Alternative sein.
4. Unnötige Software erst gar nicht installieren oder entfernen. Man muss nicht jeden Dreck der grad in der ComputerBILD oder auf diversen Internet-Seiten beworben wird, installieren. Vor allem sollte man sich bei Anwendungen, die tief ins System eingreifen, fragen, ob man diese unbedingt braucht. OpenSource-Software ist zumindest transparenter und oft vertrauenswürdiger als andere Software, daher eventuell solche Software in Erwägung ziehen.

b) Social Attacks
Ein Angriff mittels Email-Anhangs, der dir vortäuscht, dass der Anhang wichtig ist, von einer namhaften Institution oder von einem Bekannten. Ziel ist immer, dein Vertrauen zu erschleichen und dich dazu zu bringen, der Mail zu glauben und den Anhang selbst zu starten.

Abhilfe:

1. Brain.exe - Dein Gehirn. Vertraue keinen Mails. EMails sind extrem einfach zu fälschen und der angegebene Absender muss rein gar nichts mit dem wirklichen Absender zu tun haben. Ein Anhang den du nicht erwartest - auch wenn er von einem Bekannten ist - sollte dir zu denken geben. Frag lieber nach, ob das wirklich von ihm ist. Auch schicken dir keine Firmen ihre Updates per Mail oder sonstige ungefragte Anhänge, selbst wenn der Inhalt der Mail noch so seriös ausschauen mag. Kettenbriefe, offensichtlicher SPAM oder ähnliches sind sowieso umgehend zu löschen und am besten erst gar nicht zu öffnen. Wenn man eMail-Anhängen sehr mißtrauisch begegnet, dann hat man ebenfalls einen beachtlichen Sicherheitsgewinn.
2. Seine Mails über einen guten Mail-Anbieter betreiben. GMX, Web.de & Co bieten Accounts an, die u.a. einen guten Spam-Schutz haben und die die Mails (zumindest in bestimmten Tarifen) automatisch auf Viren überprüfen. Das ist zwar keine Garantie, dass kein Virus drin ist, aber zumindest ein Anhaltspunkt. Mißtrauen gegen fremden Anhängen ist deswegen trotzdem nötig.

c) Aktive Einschleppung aus vertrauenswürdiger Quelle
Die aktive Einschleppung eines Virus aus einer vertrauenswürdige Quelle. Dies kann z.B. ein Freund oder Bekannter, der einem eine Software per eMail/USB-Stick/CD etc gibt. Das kann aber auch der Download von Applikationen aus dem Internet sein, von einem Softwarehersteller oder Download-Center (PC-Welt etc), dem man eigentlich vertraut.

Abhilfe:

1. Software wenn möglich nur von der Original-Herstellerseite herunterladen und falls vorhanden die Signatur überprüfen.
2. Die Software mit einem aktuellen Virenscanner auf Viren überprüfen. Dies sollte normal ausreichend sein, denn da zwischen der Infektion eines Rechners eines Bekannten und der Weitergabe von Daten an dich normalerweise immer einige Zeit liegt, sollte dien Virenscanner einen zu dieser Zeit erschienen Virus bereits kennen. Wichtig ist natürlich, den Virenscanner up-to-date halten. Einmal pro Tag sollte mindestens ein Update gemacht werden, was bei den heutigen virenscannern auch automatisch eingestellt werden kann.
3. So wenig Software wie möglich austauschen. Firefox z.B. muss ich mir nicht von einem Bekannten per USB-Stick holen, sondern kann ihn mir direkt von der Original-Seite herunterladen.

d) Aktive Einschleppung aus nicht vertrauenswürdiger Quelle
Die aktive Einschleppung eines Virus aus potentiell eher nicht vertrauenswürdigen Quellen, wie z.B. der Download von Dateien über P2P-Netze (Emule etc) oder der Download aus dem Internet von zwielichten Seiten (z.B. das Herunterladen eines Cracks für ein Spiel über einschlägige Szene-Seiten.

Abilfe

1. Erst gar nicht auf solche zwielichtigen Seiten oder Dienste gehen.
   2.Wenns doch sein muss: Dann die so erhaltenen Dateien noch viel mißtrauischer behandeln.
2. Es gelten alle Dinge von Punkt c)

Für alle Punkte gilt: Den Schaden minimieren.

1. Unter Windows nicht mit Administrator-Rechten arbeiten. Dazu ist der Administrator-Account da. Wenn man Software installieren will und dazu Administrator-Rechte gebraucht werden, dann lässt sich dies ohne Probleme mit eine Rechtsklick auf die Setup.exe tun indem man „Ausführen als“ wählt, und dann den Benutzer Administrator auswählt und dessen Passwort eingibt. Genauso kann man auch sämtliche anderer Dinge erledigen, ohne dass man gleich in den Administrator-Account wechseln muss. Dadurch kann man, wenn man doch mal einen Virus bekommen hat ohne es zu bemerken, den Schaden stark eingrenzen, da der Virus wichtige System-Teile nicht verändern kann. Die Installation von Rootkits o.ä. ist dann schon sehr schwierig und eine Neuinstallation ist eventuell zu vermeiden (sollte aber sorgfältig abgewägt werden und nur in Spezialfällen getan werden)
2. Ein regelmäßiges Backup bereithalten. Dann ist der Schaden, den ein Virus anrichten kann ebenfalls begrenzt, weil man einfach den Rechner plattet, das Backup einspielt und fertig ist die Sache. Auch ist die Verführung, das System nicht neu installieren, wesentlich geringer.

Diese Liste ist nicht vollständig. Aber wenn man diese Dinge befolgt, kann man trotzdem ganz normal arbeiten, hat kaum mehr Aufwand und ist um ein vielfaches sicherer unterwegs. Ich habe seit mehr als 3 Jahren keine einzige Viren- oder sonstwas Infektion unter Windows gehabt. Unter anderen Betriebssystem noch gar nicht.

Hallo deconstruct,

Diese Überlegungen kann man so praktisch immer anstellen, so
auch hier beim Thema Internet-Sicherheit.

da gibt es keinen Zweifel. Okay, dann gehe ich mal deine wirklich tolle (!!!) Checkliste durch:

1. Updates installieren.

Windows ist aktuell.

2. Potentiell unsichere Anwendungen nicht benutzen. Dies gilt
   v.a. für den Internet Explorer und Outlook.

Ich benutze weder das eine noch das andere, sondern Firefox und Eudora.

Spiele) für den rentiert sich eventuell auch ein Blick auf
Linux. Hier ein paar Links auf einsteigerfreundliche
Distributionen:

Daran habe ich auch schon gedacht und verschiedene Linuxe probiert, jedoch musste ich leider feststellen, dass es für einige meiner Hardware-Komponenten überhaupt keinen Linux-Treiber gibt, zumindest war das vor etwa einem Jahr so. Im Linux-Brett, wo ich deswegen einmal nachfragte, wurde das leider bestätigt und auf die repressive Geschäftspolitik (bzgl. Linux und open source) der Hersteller geschoben.

3. Unnötige Dienste beenden. Jeder Dienst, der von außen
   erreichbar ist, ist ein möglicher Angriffspunkt. Welche

Unter Anleitung durch eine informative Internet-Seite - ich weiß jetzt nicht mehr, ob es eine der von dir Genannten war - habe ich nach bestem Wissen und Gewissen alle nicht benötigten Dienste deaktiviert. Ich vermisse aber nichts, also kann’s zumindest mal nichts Essenzielles gewesen sein.

Angriffen auf diese Dienste. Am sichersten ist hier i.d.R. ein
Hardware-Router über den man ins Internet geht. Damit kann man
deinen Rechner nicht mehr ohne weiteres direkt angreifen, da
er hinter dem Router verborgen ist. Dies ist auf jeden Fall

Ich gehe über einen Hardware-Router ins Netz.

4. Unnötige Software erst gar nicht installieren oder
   entfernen. Man muss nicht jeden Dreck der grad in der

Da ich auf ein halbwegs sauberes System achte, installiere ich wirklich nur, was ich auch tatsächlich benötige. Das halte ich schon lange so.

1. Brain.exe - Dein Gehirn. Vertraue keinen Mails. EMails sind
   extrem einfach zu fälschen und der angegebene Absender muss
   rein gar nichts mit dem wirklichen Absender zu tun haben. Ein
   Anhang den du nicht erwartest - auch wenn er von einem
   Bekannten ist - sollte dir zu denken geben.

Ich benutze schon seit einem halben Jahr die neue Version „Brain extended 2.0“. Die Email-Vorschau ist deaktiviert und sämtliche Spam- und andere unerwartete und unerwünschte Mail wird absolut konsequent ungelesen gelöscht.

2. Seine Mails über einen guten Mail-Anbieter betreiben. GMX,
   Web.de & Co bieten Accounts an, die u.a. einen guten
   Spam-Schutz haben und die die Mails (zumindest in bestimmten
   Tarifen) automatisch auf Viren überprüfen. Das ist zwar keine

Auch das ist der Fall. Mit Bekannten kommuniziere ich über Email-Adressen meiner eigenen Domains, die sonst niemandem bekannt sind und sobald die erste Spam-Mail reinkommt, was ausgesprochen selten der Fall ist, wird diese geändert. Das musste ich erst einmal tun.

1. Software wenn möglich nur von der Original-Herstellerseite
   herunterladen und falls vorhanden die Signatur überprüfen.

Falls erforderlich, suche ich immer die Herstellerseite, weil da u.a. auch stets die aktuellste und somit stabilste und vermeintlich sicherste Version verfügbar ist.

2. Die Software mit einem aktuellen Virenscanner auf Viren
   überprüfen. Dies sollte normal ausreichend sein, denn da
   […]
   erschienen Virus bereits kennen. Wichtig ist natürlich, den
   Virenscanner up-to-date halten.

Das geschieht mit allen Mails und grundsätzlich auch mit jeder heruntergeladenen oder sonswie aufgespielten Software. Im Virenscanner ist die intensivste Form der Suche eingestellt, auch wenn diese etwas länger dauert, und der Virenscanner aktualisiert sich rund um die Uhr automatisch, sobald ein Update verfügbar ist.

3. So wenig Software wie möglich austauschen. Firefox z.B.
   muss ich mir nicht von einem Bekannten per USB-Stick holen,
   sondern kann ihn mir direkt von der Original-Seite
   herunterladen.

Ich bin vielmehr Donor als Akzeptor, wenn ich das mal so sagen darf. Die letzte Software von Freunden habe ich vor über 3 Jahren von einer CD aufgespielt, ansonsten erfolgt der Austausch via Email und da weiß ich i.d.R. vorher bescheid. Die wird auch schließlich routinemäßig gescannt. Einmal fing ich mir 1992 von einer Freund-Diskette (das war noch ne 5,25"-Disk) den Virus „Tequila“ ein. Das hat mich da auch vorsichtig werden lassen.

1. Erst gar nicht auf solche zwielichtigen Seiten oder Dienste
   gehen.

Was die „wilde“ rumsurferei angeht, da habe ich mir bereits seit langem die Hörner abgestoßen. Außerdem ist der Popup-Blocker ständig aktiviert, damit ich nicht ungewollt auf ungewünschte Seiten geführt werde.

2.Wenns doch sein muss: Dann die so erhaltenen Dateien noch
viel mißtrauischer behandeln.

Das sowieso.

1. Unter Windows nicht mit Administrator-Rechten arbeiten.

Damit habe ich allerdings ein kleines Problem, denn wenn ich einen Account mit eingeschränkten Rechten benutze, bekomme ich z.B. mein Mail-Programm (Eudora) nicht mehr zum Laufen, denn da kommen immer Meldungen wie z.B. (sinngemäß) dass ich das Programm beim ersten Start nicht mit Attachments öffnen kann, sondern es mit dem Klick auf das Icon machen soll. (?!?!?!) Ich habs mit Starten über den Explorer oder das Symbol im Startmenü etc. versucht, aber es haut nie hin, immer die gleiche Meldung. Ich habe auch in den Eigenschaften (Erweitert) verschiedene Einstellungen versucht (vom Admin-Account aus eingestellt), aber ich bekomme es nicht gestartet. Nachdem die Suche nach einem Ordner in den Dokumenten und Einstellungen negativ war, da ist nichts von Qualkomm Eudora zu finden, konnte ich auch nichts dergleichen in den entsprechenden Ordner des eingeschränkten Accounts kopieren, was in anderen Fällen geholfen hat. Also surfe ich zurzeit immernoch mit Adminrechten rum. Aber diesen Sachverhalt werde ich demnächt mal im Windows-Brett posten. Da weiß sicher jemand eine Lösung.

2. Ein regelmäßiges Backup bereithalten. Dann ist der Schaden,

Mit Acronis TrueImage kein Problem. Es liegen verschiedene Backups in unterschiedlichen Insallationsstatus (mit langem U) vor.

Aufwand und ist um ein vielfaches sicherer unterwegs. Ich habe
seit mehr als 3 Jahren keine einzige Viren- oder sonstwas
Infektion unter Windows gehabt. Unter anderen Betriebssystem
noch gar nicht.

Ich hatte seit diesem einen Mal 1992 auch noch keinen erkennbaren Virenbefall. Und eine lange Zeit davon wurde sogar völlig ohne Firewall und Echtzeitschutz gesurft. Zu der Zeit war aber auch das Internet noch nicht ganz so gespickt mit potenziellen Gefahren. Das fing nach meinem Empfinden erst 1995-1996 an, zu explodieren. Und da hatte ich dann recht schnell McAffee und später andere Schutzsoftware drauf.

Zusammengefasst sollte ich also noch unbedingt das mit dem eingeschränkten Account in Angriff nehmen und dann dürfte die Mehrheit der Risiken aus dem Weg geschafft sein. Mehr will ich nicht.

Vielen Dank! Das war wirklich sehr aufschlussreich.

LG
Huttatta

Hallo Deconstruct

…dann willst du manche Dienste
im LAN anbieten, aber nicht im Internet. Unter Linux ist das
kein Problem, sämtliche Dienste nur an das LAN-Device zu
binden, aber unter Windows ist das afaik gar nicht möglich
(man korrigiere mich, falls dies nicht stimmt).

Hiermit sei das getan: Das stimmt nicht. Man kann die Dienste von Windows auch so einrichten, dass sie im LAN verfügbar sind, nicht jedoch nach aussen.

Selbst wenn man diese an ein bestimmtes Device binden kann

Kann man.

ist es für einen weniger versierten User 1000x einfacher und
sicherer, einen Paketfilter zu betreiben, der zum Internet einfach
alles abschottet.

Nein. So ein User sollte sich entweder zum versierteren User weiterbilden, damit er das selber tun kann, wobei das NTSVCFG-Script (http://www.ntsvcfg.de) bzw. das Dingens-Tool (http://www.dingens.org) dabei helfen können.

Ist der User nicht gewillt, sich dieses Wissen anzueignen, sollte er nicht selber an den Diensten rumschrauben, sondern einen Fachmann damit beauftragen. Oder sich einen Router zulegen, dann kann man die Dienste auch so lassen wie sie sind.

CU
Peter

Hallo Huttatta

Ausreichend wofür? Bzw. wogegen? Man muss zuerst herausfinden,
welche Gefahren es gibt, welche einen selber betreffen
(können) und mit diesen Informationen dann nach geeigneten
Massnahmen, um diese Gefahren zu vermeiden, suchen.

Einzig das halte ich für leicht daneben, wenngleich du da mit
Sicherheit auch absolut Recht hast.

Nein, es ist absolut nicht daneben. Sondern elementar. Deconstruct hat ja einen Vergleich gebracht, der das verdeutlicht.

Nur klär mich mal bitte darüber auf, welche Gefahren mich „selber
betreffen“.

Auch da hat Deconstruct ja schon einiges erläutert. Daher an dieser Stelle nur soviel:

Wenn Du z.B. keinerlei Filesharing-Tools verwendest, kannst Du alles, was Gefahren dieser Art betrifft (Sicherheitslücken in den Tools selber, Unsicherheit darüber, ob sich in den geladenen Dateien Viren verstecken…) ignorieren. Wenn Du selber keinen Server betreibst, kannst Du entsprechende Sachen ebenfalls ignorieren.

Wie du vielleicht mitbekommen hast, bin ich in sowas kein Fachmann.

Das macht nichts. Erstens war ich auch mal in der selben Situation. Und zweitens muss nicht jeder zwingend Fachmann werden. Dazu aber gleich mehr.

Ich verfüge über genau das Wissen, was wahrscheinlich 95%
aller PC-Benutzer haben.

Möglich. Aber das muss ja nicht so bleiben. Du hast grundsätzlich zwei Möglichkeiten zur Auswahl.

1. Du scheust den Aufwand, Dich tiefer in die Materie einzulesen. Das ist völlig ok. In diesem Fall solltest Du aber die saubere Konfiguration, allfällige Reparaturen und so weiter jemandem anvertrauen, der über dieses Wissen verfügt. Genauso wie Du Dein Auto für Wartung und Reparaturen in eine KFZ-Werkstatt bringst oder für die Reparatur des Abflusses einen Sanitär-Monteur bestellst.

2. Du nimmst die Sache in Deine eigenen Hände. In diesem Fall musst Du zwangsläufig Dein Wissen vergrössern. Je umfassender Dein Wissen, desto besser kannst Du die ganzen Gefahren einschätzen und geeignete Massnahmen ergreifen.

Viren kann ich mir wie auch Trojaner übers Internet, Downloads
oder Emails holen

Aber auch über Datenträger (CDs, Disketten, USB-Sticks…).

Würmer können sich über irgendwelche freie Ports in meinem System
einnisten, Hacker können ebenfalls von außen viele böse Dinge
anrichten.

Freie bzw. offene Ports gibt es nur dort, wo ein Dienst lauscht. Es ist daher grundsätzlich die beste Lösung, Dienste, die nicht unbedingt benötigt werden, zu beenden. Oder zumindest so zu konfigurieren, dass sie nur lokal erreichbar sind. Beendet man einen Dienst, ist der betreffende Port geschlossen. An einem geschlossenen Port beissen sich Würmer und Hacker die Zähne aus. Da müsste es schon eine Sicherheitslücke im TCP/IP-Stack selber geben, die ausgenutzt werden kann.

Die Hersteller Suggerieren, dass man eine Firewall braucht.

Logisch, denn die wollen Dir ja etwas verkaufen. Die Berichterstattung in PC-Zeitschriften ist ebenfalls sehr kritisch zu sehen. Teils weil die Autoren der Artikel leider immer öfter wenig bis keine Ahnung von der Materie haben, teils weil auch da etwas verkauft werden soll (Auflage, Inserate…). Dazu empfiehlt sich folgende Lektüre:
http://www.4players.de/4players.php/kolumne_show/All…
http://www.4players.de/rendersite.php?sid=&LAYOUT=sp…

Das Erste ist eine fiktive Geschichte, die aber offenbar die Realität durchaus trifft. Jedenfalls ist das Zweite als Reaktion auf den ersten Link entstanden und das ist dann, gemäss den Angaben, nicht mehr fiktiv. Es geht da zwar um Computerspiele. Aber auch bei anderen PC-Zeitschriften wird nur mit Wasser gekocht und die Hersteller von ‚Sicherheitssoftware‘ hat ähnliche Interessen wie die Spiele-Hersteller, nämlich möglichst viele Programmpakete zu verkaufen. Von daher halte ich es für durchaus denkbar, dass es da ähnlich zugeht.

Ich will mich damit auch gar nicht so intensiv beschäftigen. Dafür
gibt’s Fachleute, von denen ich annahm, dass sie solche Fragen auch
ohne Ironie beantworten können.

Gut, dann tust Du aber gut daran, so einen Fachleut damit zu betrauen, Dein System sauber einzurichten und zu pflegen.

Das Einzige, was ich wollte, war, einmal von einem Experten
klar zu erfahren, ob das, was ich vorhabe, zur relativen,
angepassten Sicherheit meines Rechners ausreicht, ja oder
nein.

Tja, und das kann man eben so nicht beantworten, weil man für eine passende Antwort genauere Informationen benötigen würde.

Dass ich mit dem Win-XP-Rechner an einem Router mit
HW-Firewall hänge, der wiederum an Internet hängt, wurde ja
bereits erklärt. Dies ist ein Setup, wie es heute seeehr viele
Rechner haben. Was sind denn da bei ganz durchschnittlichem
Surf- und Spielgewohnheiten nun die Gefahren, die mich „selber
betreffen“ und welchen Vorschlag kannst du machen?

Ein Router bedeutet, dass Dein Rechner nicht direkt am Internet hängt. Der Router sorgt also dafür, dass Würmer wie z.B. Blaster, der eine Sicherheitslücke im RPC-Dienst ausnutzt, gar nicht erst bis zu Deinem Rechner gelangt. Sorge aber dafür, dass der Router von aussen kommende Sachen, die nicht als Antwort auf von Dir angeforderte Anfragen daherkommen, nicht annimmt. Vergib ein einigermassen sicheres Kennwort für den Admin des Routers. Und stelle ein, dass man den Router nur von Deinem PC aus bzw. vom LAN aus konfigurieren kann.

Dank dem Router brauchst Du weder eine Personal Firewall noch musst Du Dir um die Konfiguration der Windows-Dienste grosses Kopfzerbrechen machen.

Was Du aber auch mit einem Router machen musst:

• Möglichst nur mit einem eingeschränkten Benutzer arbeiten. Administrator nur für Sachen wie etwa das regelmässige Besuchen von Windows Update oder andere Wartungsarbeiten.

• Inhärent unsichere Software wie den IE 6 möglichst nicht verwenden. Besser eine Alternative verwenden, die weniger unsicher ist, z.B. Firefox.

• Das System und die Programme vernünftig konfigurieren. Z.B. im E-Mailprogramm einstellen, dass alle E-Mails als ‚Nur Text‘ angezeigt werden. Und selber auch nur solche E-Mails erstellen.

• Das System und die Programme aktuell halten, indem verfügbare Updates regelmässig und rasch eingespielt werden.

• Vorsicht im Umgang mit Downloads, E-Mailattachments etc.

• Daten regelmässig sichern. Nicht nur wegen der Gefahr von Viren, sondern auch weil die Harddisk unvermittelt ausfallen kann und so weiter.

• Wissen aneignen.

CU
Peter

Hiermit sei das getan: Das stimmt nicht. Man kann die Dienste
von Windows auch so einrichten, dass sie im LAN verfügbar
sind, nicht jedoch nach aussen.

Ah, gut zu wissen. Wie macht man das, wenn ich fragen darf?

Ist der User nicht gewillt, sich dieses Wissen anzueignen,
sollte er nicht selber an den Diensten rumschrauben, sondern
einen Fachmann damit beauftragen. Oder sich einen Router
zulegen, dann kann man die Dienste auch so lassen wie sie
sind.

Dass ein Router einen höheren Schutz darstellt ist klar. Aber was spricht dagegen, einen Paketfilter zu betreiben? Selbst der Windows-PF hat sich bis jetzt als ziemlich robust erwiesen.

Hallo,

Selbst
der Windows-PF hat sich bis jetzt als ziemlich robust
erwiesen.

Robust gegen was? Was genau kann das Ding denn verhindern?
Gruß
loderunner

Selbst der Windows-PF hat sich bis jetzt als ziemlich robust
erwiesen.

Robust gegen was?

Gegen Angriffe. Oder kennst du eine Lücke im Windows-PF?

Was genau kann das Ding denn verhindern?

Dass sich jemand auf einen Port, auf dem eigentlich ein Dienst lauscht, verbindet und dadurch die Möglichkeit bekommt, diesen Dienst anzugreifen?

Hallo,

Was genau kann das Ding denn verhindern?

Dass sich jemand auf einen Port, auf dem eigentlich ein Dienst
lauscht, verbindet und dadurch die Möglichkeit bekommt,
diesen Dienst anzugreifen?

Meinst Du eine Verbindung von innen oder eine von außen?
Gruß
loderunner

Was genau kann das Ding denn verhindern?

Dass sich jemand auf einen Port, auf dem eigentlich ein Dienst
lauscht, verbindet und dadurch die Möglichkeit bekommt,
diesen Dienst anzugreifen?

Meinst Du eine Verbindung von innen oder eine von außen?

Eine Verbindung von außen logischerweise. Eine Verbindung von innen (wenn du damit den Rechner selbst meinst) kann ja nur jemand aufbauen, der ohnehin schon Zugriff auf deinen Rechner hat. Außerdem hat er von innen noch ganz andere Angriffsmöglichkeiten und ist nicht auf offene Ports angewiesen.