Hinweis des "Herausgebers"
Moin, allerseits.
Ein vieldiskutiertes Thema ist ja, welche Personal-Fiewall man installieren sollte und ob man überhaupt eine braucht.
Ich persönlich bin ja wahrscheinlich inzwischen dafür bekannt zu sagen "eine Firewall ist in 98% der gefragte Fälle unnütz, Zonealarm in 99,5%. Dennoch habe ich heute einen länglichen Beitrag aus dem Usenet gefischt, der insgesamt etwas freundlicher mit diesen Produkten umgeht.
In diesem Beitrag geht es um Zonealerm, vieles hier gesagtes lässt sich aber in allgemeiner Form auf ähnliche Produkte übertragen.
Auch ist diess FAQ nicht „fertig“, der Autor (der nicht mit mir identisch ist und bei dem ich mich für die Arbeit und Mühe bedanken möchte) ist sicher für konstruktive Kritik sehr empfänglich.
Wenn ich diesen Beitrag hier poste, so bedeutet das nicht, daß ich in alen Punkten mit dem Autor einer Meinung bin: meine Asicht hat sich auch nach dem Lesen nicht wesentlich geändert. Dennoch ist der Text lesens- und bedenkenswert.
Nun bleibt nur noch zu hoffen, daß dieser Beitrag im Stück veröffentlicht werden kann (und daß das Eingabefeld für diese Menge Text nicht zu klein ist).
Viel Spaß und Nachdenken beim Schmökern,
Sebastian
Message-ID:
From: [email protected] (Utz Pflock)
Newsgroups: de.comp.security.firewall
Subject: Zonealarm-FAQ
Date: 9 Jun 2001 00:28:51 GMT
Zonealarm-FAQ
==========================
Entwurfshinweis: Dies ist die erste Version dieser Faq, stellenweise
sind noch ein par "TODO"-Hinweise drin, darüber hinaus sind Kommentare
erwünscht, sachliche Information unter mehr als 10 Zeilen Flame
gehen möglicherweise verloren :wink:
Inhalt
------
1. Allgemeines
1.1 Wozu diese FAQ?
1.2 Versionshinweis
1.3 FAQ-Erweiterung
2. Diese Newsgroup als Informationsquelle
2.1 Charta dieser NG
2.2 Wer postet hier?
2.3 Was stimmt?
2.4 Was stimmt nicht?
3. Allgemeine Fragen zu Zonealarm
3.1 Ist Zonealarm eine Firewall?
3.2 Welche Firewall ist die Beste?
3.3 Welche Firewall ist für mich die Beste?
3.4 Sendet Zonealarm Informationen von meinem Rechner?
3.5 Wie sicher ist Zonealarm?
3.6 Was kann Zonealarm, was kann es nicht?
3.7 Genügt Zonealarm allein für meine Sicherheit?
4. Konkrete Einstellungen an Zonealarm
4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
4.2 Soll ich automatische Softwareupdates aktivieren?
4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
4.4 Mein Napster geht nicht, was kann ich machen?
5. Meldungen von Zonealarm
5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
5.03 Wie soll ich die "erweiterte Information" verstehen?
5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
5.05 Wann soll ich mich beschweren?
5.06 Wo soll ich mich beschweren?
5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grundsätzlich abschalten?
6. Vertrauensfragen
6.1 Vertrauen in Software
6.2 Vertrauen in Downloadquellen
6.3 Vertrauen in Informationsquellen
6.4 Open Source, pro und contra
7. Kontakte
7.1 Hersteller Kontakte
7.2 Autor Info
\*\*\*\*\*\*\*\*\*\*\*\*\*\*
1. Allgemeines
\*\*\*\*\*\*\*\*\*\*\*\*\*\*
1.1 Wozu diese FAQ?
-------------------
Diese FAQ soll helfen die Möglichkeiten, Grenzen und Risiken
jeweiliger Einstellungen von Zonealarm kennenzulernen. Sie soll
gleichermassen übermässig guten wie übermässig schlechten
Kommentaren einen sachlichen Riegel vorsetzen und nicht zuletzt
ein Grundwissen vermitteln, um bei weiteren Diskussionen zu diesem
Thema eine passende Diskussionsbasis zu bieten.
Viele Punkte lassen sich auf andere Desktop Firewall Systeme
übertragen, allein schon weil eine objektive Betrachtung
der Möglichkeiten und Unmöglichkeiten von Zonealarm einen
Blick weit über die Software hinaus erfordern.
Ein wesentlicher Bestandteil ist der Versuch, mit diesem
Dokument den Blickwinkel zu erweitern, die vielen Aspekte
zu überschauen, die aus einer einfach erscheinden Frage
resultieren können. Das kann bisweilen erst zu neunen vielleicht
für das jeweilige Ziel viel interessanteren Fragen führen.
Natürlich soll sie vorrangig die häufig gestellten Fragen zu
Zonealarm, Desktopfirewalls und allgemeinen Einsteigerfragen
zum Thema der Privaten Sicherheit im Netz beantworten.
In jedem Fall spiegelt sie die Meinung des Autors wieder, der
sachlichen Argumenten ebenso aufgeschlossen ist, wie er
Behauptungen oder Möglichkeiten nicht als allgemeingültige
Tatsachen darzustellen beabsichtigt.
1.2 Versionshinweis
-------------------
Die Zonealarm-FAQ ist wie im Usenet weit verbreitet mit einer
Version in Datumsform "" ausgestattet. Dies
soll ein einfaches Filtern der FAQ nach zwei Methoden ermöglichen:
a) Wer die FAQ gar nicht lesen will, kann seinen Filter auf
" Zonealarm-FAQ" ausrichten.
b) Wer die FAQ nicht unnötig nachladen will, kann seinen Filter
auf das vollständige Subject " Zonealarm-FAQ"
ausrichten.
Somit wird er durch eine Subjectänderung auf eine neue Version
aufmerksam und braucht keine identischen Versionen zu laden.
1.3 FAQ-Erweiterung
-------------------
Hinweise zur FAQ-Erweiterung sind gern willkommen. Im Allgemeinen
können die sich aus Diskussionen in der Newsgroup ebenso ergeben
wie auch aus Anregungen per Email.
Die aktuelle Version ist als Entwurf zu sehen, der
sicher erst durch folgende Anregungen zu einer einigermassen
vollständigen FAQ gedeien kann.
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
2. Diese Newsgroup als Informationsquelle
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
2.1 Charta dieser NG
--------------------
de.comp.security.firewall Sicherheit trotz Netz.
Charta:
Thema der Gruppe ist die Trennung von Computernetzen durch
Paketfilter, Proxies und komplexere Firewall-Lösungen, aber
auch Host-basierte Filter können hier besprochen werden. Unter
anderem wird in dieser Gruppe die Konzeption derartiger Systeme,
deren technische Umsetzung sowie die Konfiguration konkreter
Implementationen diskutiert.
Fragen zu konkreter Software sollten im Betreff mit dem Namen oder
einem gängigen Kürzel für diese Software versehen werden; dieses
Kürzel ist in eckige Klammern zu setzen. Beispiel: "[netfilter] Wie
bestimmte RPC-Requests wegwerfen?"
2.2 Wer postet hier?
--------------------
Du, ich, jeder der sich an die Charta hält und bisweilen auch
noch ein paar Leute mehr.
Um das etwas zu konkretisieren und die Sensibilität für die
Inhalte zu wecken, will ich einige "Artgenossen" soweit möglich
neutral nennen, wobei manchmal mehrere Punkte gleichzeitig
übereinstimmen können:
- Allgemeine Anfänger
- IT-Speziallisten und solche auf gutem Weg es zu werden
- Hacker oder Hacker nahestehende Personen, die mit "guten
Tips" schlechten Rat geben
- Firewall Admins, von beruflich bis privat in allen "Güteklassen"
- Kommerzielle Anbieter von Sicherheitssystemen, die alle
Alternativen verteufeln, an denen sie selbst nichts verdienen
- Multiple Persönlichkeiten, die versuchen Inhalte wahr
darzustellen, indem diese "durch mehrere Leute genannt werden"
- Nachplapperer, die eine vorherige Spezies wissentlich oder
nicht wissentlich unterstützen
- Leute die mit Kraftsprüchen um sich werfen
- Leute unter falschem Namen
- Leute, die sich plötzlich anders Verhalten, als man von ihnen
erwartet.
- User, die sich für das Thema interessieren, sei es aus Neugier
oder aus der Absicht sich mit Aufbau, und Pflege eigener
Sicherheit zu beschäftigen
2.3 Was stimmt?
---------------
Innerhalb dieser Newsgroup gehen die Meinungen nicht selten
auseinander und nicht immer lässt sich ein Thema mit sachlichen
Argumenten abschließen. Hier will ich ein paar Anregungen
zum Umgang mit Information aus dieser Newsgroup geben, zu
weiteren Vertrauensfragen gibt es einen separaten Punkt 6 in
dieser FAQ.
Nutze deinen gesunden Menschenverstand und viel mehr noch deinen
Sachverstand. Notiere dir Inhalte in eigenen Worten, wäge sie
ab und nutze weiter Verweise auf Informationsquellen. Sei dir
bewusst, dass diese Informationsquellen, sofern sie im Internet
stehen, unabhängig ihrer Auftrittsform ebenso wahr wie
unwahr sein können.
Es ist egal, ob Information aus Absicht oder Dummheit falsch
oder unvollständig verbreitet wird. Nicht zuletz ist dafür
auch entscheidend, wie die jeweilige Information angenommen
und umgesetzt wird.
Die Auswahl der Informationsquellen und das Vertrauen in Hersteller
von Software oder Downloadseiten ist eines der wesentlichen Aspekte
bei Aufbau und Wartung von Sicherheitssystemen. Versuche dir
zunächst in dieser Newsgroup ein Bild zu machen und lies auch
diese FAQ mit skeptischem Blick!
2.4 Was stimmt nicht?
---------------------
Es gibt einige Methoden etwas wahr erscheinen zu lassen:
- Werbung mit eigenem Namen, Ruf oder Qualifikation.
(unverifizierbar!)
- Ständiges Wiederholen von Aussagen.
- Beleidigungen und Abwertungsversuche gegenüber Leuten, die
andere als die eigene Meinung vertreten.
- Produzieren meherer gleichlautender Meinungen, wobei der
Vorsatz oder die Eigendynamik keine Rolle für irgend eine
"Mehrwertigkeit" spielen.
- "Offizielles" Erscheinugnsbild von Postings (Ja, auch diese
und jede andere FAQ ist damit gemeint und will kritisch
gelesen werden!)
Du kannst dir überlegen, warum das versucht wird (Punkt 2.2)
oder vielmehr lernen solche Methoden zu erkennen und entsprechend
damit umzugehen.
Verliere dein Ziel nicht aus den Augen!
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
3. Allgemeine Fragen zu Zonealarm
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
3.1 Ist Zonealarm eine Firewall?
--------------------------------
Jein. Es ist ein Paketfilter mit zusätzlichen Schutzmechanismen,
die durch Identifizierung von Programmen, die eine Internet-
verbindung aufzubauen versuchen, einige Risiken mindert.
Da Zonealarm direkt auf dem Rechner läuft, auf dem auch die
Internetanwendungen und sonstigen Programme liegen, nennt man
das Konzept "Desktopfirewall".
Das Konzept einer Firewall, keine ungewollten Daten durchzulassen,
kann niemals aufgehen, wenn auf dem gleichen Rechner andere, nicht
mal beständig definierte, Dienste und Programme laufen.
Andererseits kann eine Desktopfirewall vom Anwender verursachte
Fehler mit durchaus respektablen Chancen ebenso kompensieren, wie
das mit einer "richtigen" Firewall möglich wäre.
Daher spricht man im Volksmund von einer Firewall. Anstatt sich
nun zu sehr über die Einordnung Gedanken zu machen, empfiehlt es
sich besser über die Möglichkeinten, Grenzen und Anwendung Gedanken
zu machen.
3.2 Welche Firewall ist die Beste?
----------------------------------
Welches Auto ist das Beste? Ein Bus? Ein Rennwagen? Eines mit
oder ohne Dach? Eines das mit Rapsöl fahren kann?...
Was willst du schützen? Vor wem? Wie gut?
Wieviel Aufwand willst du selbst dafür opfern?
Was ist es dir wert? (Geld und Zeit)
Eine allein vor sich hin werkelnde Firewall, die alles hinter
sich ermöglicht und keiner Wartung oder Kooperation bedarf,
die gibt es nur auf www.sweetdreams.grog
Soviel sei jedoch gesagt: Dein eigenes aktives Mitdenken ist
der Kern jeder Firewall. Mit "gute Firewall finden, installieren
und dann sicher sein" bist du ganz sicher auf dem Holzweg!
[Eine Hilfe, Auswahlkriterien zu finden ist leider noch im TODO
dieser Faq]
3.4 Sendet Zonealarm Informationen von meinem Rechner?
------------------------------------------------------
Ja. Mindestens einmal wird eine Registriernummer verschickt, das
steht auch so in der Lizenz des Programmes und ist nicht mehr als
eine Nummernidentifikation deines Zonealarm.
Bei der Einstellung "automatisch nach Updates suchen" (nicht
machen, selber mitdenken!) beziehungsweise beim manuellen Update
wird natürlich die Versionsnummer versandt.
Eine Spyware-Funktion, die personenbezogene Information, Surf-
gewohnheiten oder gar Daten von der Platte versendet, ist in den
bisherigen Versionen unwahrscheinlich. Durch Zwischenschalten
eines weiteren Paketfilters bzw. eines Snifferprogramms kann
die Kommunikation von Zonealarm untersucht werden und dabei
erhält man nur besagte Registrierung beim ersten Verbindungsaufbau
sowie gegebenenfalls die Versionsinfo bei Anforderung von
Updates.
Anderslautende Behauptungen kursieren jedoch auch im Netz.
Beschreibungen verifizierbarer Testumgebungen fehlen jedoch
dazu. Man muss davon ausgehen, dass die Betreffenden über
die Registrier- und Versionsanfragen gestolpert sind und diese
Daten inhaltlich nie betrachtet haben.
3.5 Wie sicher ist Zonealarm?
-----------------------------
Da Sicherheit nicht in Metern gemessen werden kann, ist diese
Frage nicht mit einem kurzen Satz zu beantworten. Der nächste
Punkt dieser Faq nennt Möglichkeiten und Unmöglichkeiten des
Programms.
Einfach installiert und "irgendwie" konfiguriert kann Zonealarm
dich mit ein wenig Glück in einer Extremsituation durchaus mal
schützen, mit etwas weniger Glück vielleicht erst in eine solche
Situation bringen, in dem es dir Sicherheits/gefühl/ vermittelt.
Unter Beachtung der empfohlenen Hinweise bleiben mit Sicherheit
einige (vielleicht auch theoretische) Risiken bestehen.
Angenommen der Fall, du irrst dich einmal gewaltig beim Vertrauen
in eine Software oder stolperst über eine Sicherheitslücke in
einer Software und installierst dir auf diesem Weg ungewollt
einen Trojaner, der auf deinem Rechner als Server dienen soll,
dann besteht ausgesprochen hohe Warscheinlichkeit, dass du
diesem Server einen Strich durch die Rechnung machst.
Vergleiche es mit einem Airbag, der dich aus einer Richtung
schützen kann (nie perfekt), für andere Richtungen jedoch keine
Hilfe bringt oder sogar etwas stören kann. Wenn du wegen seiner
Installation das Rasen beginnst und dich übermässig sicher
fühlst, dann ist er nicht gut für dich. Wenn du ihn als hoffentlich
nie benötigten Mechanismus betrachtest, kann er dem einen oder
anderen Nutzer mal grosse Hilfe leisten.
3.6 Was kann Zonealarm, was kann es nicht?
------------------------------------------
Gehen wir von einem unkompromitierten Zonealarm auf nicht
kompromitiertem Betriebsystem aus und schauen, was es dann
kann:
Es kann zunächst mal sämtliche Internetverbindung blockieren.
Es kann Programmen nach Name, Dateigrösse, Erstellungsdatum
und Pfad dauerhaft Netzzugang erlauben. -\> nicht empfohlen!
Es erkennt Programme, wenn sie eine Netzverbindug aufbauen
wollen und erkennt den Name, mit dem sich dieses Programm
meldet (übrigens, ich heisse sweatdream.exe).
"Erlaubt" man so einem Programm die Verbindung, so öffnet
Zonealarm alle nötigen Ports, jedoch nur zu diesem Programm.
Schwächen oder auftretende Angriffspunkte können über gezielte
Abwermechanismen mit Updates kompensiert werden.
"Nuken" (zufälliges oder wenn deine IP bekannt ist auch gezieltes
abstürzen lassen eines Windows-PC) geht nicht, solange Zonealarm
an ist. Die sogenannte "Druckerfreigabe/Laufwerksfreigabe" die
eigentlich nur lokal funktionieren sollte funktioniert wirklich
nur noch lokal.
Schauen wir nun, was Zonealarm nicht kann:
Ist ein Programm selbst kompromitiert, erkennt Zonealarm das
nicht. Verbreitete Software (Browser) kann ein Angreifer als
vorhanden vorraussetzen und hintergehen. Aktuell ist eine
solche Atacke jedoch nicht bekannt.
Trojaner als solches werden nicht erkannt. Neztserver Funktionen
sind nur eine Form von Schadfunktion. Auch hier /erkennt/
Zonealarm nicht den Trojaner, sondern den Verbindungsaufbau.
"Doppelklick" auf Mailatachements kann Zonealarm nich verhindern.
Es kann dich weder dafür schlagen, noch die folgenden Aktionen
beeinflussen.
Es kann durch Würmer verursachten Mailflut oder Virenflut, die
über dein Mailprogramm oder Mailserver geht, nicht verhindern.
Theoretisch kann ein Angreifendes Programm (Das du in irgend
einer Form aktiviert hast) ganz gezielt die von dir verwendete
Hardware ansprechen, das heisst es kann selbst Modem oder
Netzkartentreiber mitbringen. Allerdings ist solch ein Hinergehen
nicht einfach zu verdecken und es besteht die Wahrscheinlichkeit,
dass es dabei in Zonealarm zu einer Fehlfunktion kommt, die
alle Verbindungen einfrieren lässt.
Zonealarm kann nicht prüfen, ob unterwegs jemand an der Routing-
Tabelle manipuliert hat und der Updateaufruf umgeleitet wird.
[TODO: Veränderungen ZA an sich selbst, Updatemachine,
Checksum bei Update...]
3.7 Genügt Zonealarm allein für meine Sicherheit?
-------------------------------------------------
Nein. Hier muss noch einmal der Vergleich mit einem Airbag
herhalten. In erster Linie liegt deine Sicherheit an deinem
Verhalten. Steuerst du planlos im Zickzack von der Strasse,
wird dir die gelegentlich geschonte Nase wenig nützen.
Wirft dir jemand eine Stange Dynamit zum Fenster rein, nützt
der Airbag gar nicht. Bleibst du auf dem Bahnübergang stehen,
hilft er dir auch nicht gegen den von der Seite kommenden
Zug.
Zurück zur Praxis. In erster Linie liegt deine Sicherheit
an deinem Verhalten. Installierst du planlos Dienste und
Programme, so bist du deren Sicherheitslücken und Risiken
ungebremst ausgesetzt.
Neben diesem eigenen Verhalten sollte ein aktueller Virenscanner
mit aktueller Viren Database nicht nur zum Inventar gehören,
sondern auch benutzt werden - jeweils vor dem grossen Unglück.
"Zonealarm allein" genügt auch für seinen Teil der Aufgabe nicht,
du musst es wirlich /nutzen/. Das hat nichts mit "Autostart"
zu tun, sondern allein mit deinen Einstellungen und Reaktionen.
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
4. Konkrete Einstellungen an Zonealarm
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
----------------------------------------------------------
Ja. Dann wenn du gerade in dem Moment selbst das Programm
aufgerufen hast. Es gibt die Option "Dieses Programm für
Internetverbindungen merken", das ist nicht zu empfehlen.
Erlaube die Verbindung manuell und genau dann, wenn du es
willst.
4.2 Soll ich automatische Softwareupdates aktivieren?
-----------------------------------------------------
Nein. Aber vergiss sie nicht ganz! Eine permanente Abfrage nach
Softwareupdates bringt das Risiko mit sich, dass du in temporären
Fallen landest, so wie auf einer umgeleiteten Adresse oder dass
du eine kompromitierte Version lädst.
Solche Atacken sind selten von langer Dauer, es wäre Unsinn,
unnötig ein ständiges Risiko einzugehen.
4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
-------------------------------------------------------------
Es spricht nichts dagegen, nur \_bitte\_ vor du irgend jemand wegen
deinen Meldungen belästigst, lies Punkt 5 dieser FAQ!
Die Meldungen sind infromativ, nur leider nicht nur missverständlich
sondern oft restlos falsch formuliert.
4.4 Mein Napster geht nicht, was kann ich machen?
-------------------------------------------------
Das was dir Zonealarm empfiehlt, aus lassen.
Wenn du dennoch Napster laufen lassen willst, brauchst du kein
Zonealarm, da man mit einer Tür(Zonealarm) keine beseitigten
Hauswände(Napster in Betrieb) ersetzen kann.
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
5. Meldungen von Zonealarm
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
------------------------------------------------------------
Nichts. Zonealarm kann gar keine Trojaner melden, die Meldung
ist falsch. Zonealarm meldet eine Anfrage auf einem Port, der
standardmässig von einem Trojaner verwendet wird. Der Trojaner
hat aber kein Patent auf diesen Port, dort könnte jedes andere
Programm genau so aktiv sein.
Zonealarm hat diese Anfrage an den Port als gefährlich eingestuft,
macht damit jedoch nichts anderes als mit jeder anderen überflüssigen
Anfrage auch - Es lässt sie in's leere laufen.
Wenn du glaubst, Trojaner zu haben, dann such mit Virenscannern,
die erkennen zumindest den bekannten Teil.
Wenn dich die Meldungen nervös machen, schalte sie ab. Die Scans
können Angriffe sein, so wie jedes bei dir vorfahrende Auto das
eines Einbrechers sein kann. Im Netz ist nun mal Verkehr und du
hast obendrein vermutlich eine dynamische IP, das heisst, die
Anfrage könnte aus einer vorherigen Verbindung eines anderen Users
kommen.
5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
------------------------------------------------------------
Wer auf deinem System ist braucht dich nicht zu scannen. Es kann
natürlich eine Suche nach Lücken auf deinem System sein, aber du
wirst doch keine haben, oder?
Besonders in den ersten Minuten nach Einwahl häufen sich solche
"Scanorgien". Wenn du eine dynamische IP hast und dein Vorgänger
hatte ein Napster laufen, kannst du prächtige Sammlungen von
Pings bekommen :wink:
Schalte die Meldungen ab, wenn sie dich nervös machen oder
stören und lass die Anfragen in's leere laufen, wo sie vermutlich
auch ohne Zonealarm gelandet wären.
Zonealarm meldet nun mal alle Anfragen, die es nicht zuordnen kann
und die im Normalfall in's Leere gehen. Solltest du wirklich
Schwachstellen hinter diesen Ports haben, hast' Gück gehabt.
5.03 Wie soll ich die "erweiterte Information" verstehen?
---------------------------------------------------------
Gar nicht. Lass sie einfach oder frage die Leute, die das
verzapft haben vor Ort und Stelle.
5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
----------------------------------------------------------
Du kannst anhand der IP nur den Adressbereich herausbekommen,
also den Internet Service Provider, kurz ISP genannt. Der
ISP ist nicht berechtigt, dir die Daten des Kunden zu nennen.
So eine Rückverfolgung geht nur, wenn eine Straftat vorliegt
und ein Richter oder Statsanwalt eine Ermittlung anordnet.
Auch in dem Fall wird dier der Kunde höchstens indirekt über
das Gericht bekannt.
[TODO: Lutz fragen ob er was gegen einen Hinweis hat
http://www.iks-jena.de/cgi-bin/whois]
5.05 Wann soll ich mich beschweren?
-----------------------------------
Solange das keine regelmässigen übermässigen Scans sind, solltest
du nichts tun und falls es wirklich extrem ist (und du immer
mit der selben IP oder in einem sehr kleinen IP-Bereich im
Netz bist) bittest du den Provider über den die Scans kommen,
dass er das mal bremst.
50 Scans sind /nicht/ übermässig! Übermässig fängt da an, wo deine
eigene Performance über mehr als einige Minuten belästigt wird
oder ein regelmässiger Automatismus in grösserer Zahl von Scans
zu erkennen ist.
Bitte belästige keine Leute wegen ein paar Scans! Du bist im
Internet? OK. Es gibt 65536 Ports, ca 2 Milliarden Internetuser,
unzählige Server und Programme! Administratoren haben wirklich
besseres zu tun, als Email wegen einiger Portscans zu beantworten!
5.06 Wo soll ich mich beschweren?
---------------------------------
Per Email bei abuse@. bitte unter
Beachtung von Punkt 5.04 und 5.05
Sollte es sich um konkrete Angriffe handeln (von Zonealarm
sogenannte "Trojanerport"-Scans gehören /nicht/ dazu!), so
ist security@. die passende Adresse.
5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
im Internet machen wollte. Was ist los?
----------------------------------------------------------------
Wahrscheinlich ist es sogenannte Spyware oder ein Programm
versucht eine Registrierung. Das ist ausgesprochen unschön, aber
noch nicht direkt gefährlich. Es kann allerdings auch sein, dass
du dir tatsächlich einen Fehler geleistet hast und einen Trojaner
(mit-)installiert hast.
Ob du dich damit zufrieden gibst, dass vorhandene Spyware
einfach keine Verbindung bekommt und dennoch weiter auf deinem
Rechner rumscannt (und womöglich bei einer anderen Art von
Verbindung ihre Daten versendet), das bleibt dir selbst überlassen.
Du hast dann jedenfalls wieder etwas dazu gelernt.
Besonders im Bereich mp3-Player und Downloadmanager wird dir
Spyware begegnen.
Solltest du tatsächlich einen Trojaner auf der Platte finden,
installiere \_komplett\_ neu. Die Wahrscheinlichkeit, dass mehr
als ein Schadprogramm installiert wurde ist zu hoch.
5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
Kann ich ihm dauerhaften Zugang erlauben?
-----------------------------------------------------------------
Können kannst du das, es ist nicht zu empfehlen. Ganz besonders
wenn es sich um verbreitete Programme wie Browser oder Emailclient
handelt, solltest du das /nicht/ "dauerhaft erlauben".
[TODO: Erläuterung + "Wiedereinwahl"]
5.09 Kann ich Programme wieder sperren, denen ich Zugang
erlaubt habe?
--------------------------------------------------------
Ja. Unter "Programme" sind neben dem Programmname drei Punkte,
jeweils für Lokal- und Internetverbindung sind links Haken
für "dauerhaft erlaubten" Verbindungsaufbau, rechts Fragezeichen
für je aktuelles Nachfragen. In der Mittelposition kann man
die Aktivitäten komplett sperren (in Verbindung mit "geliebter"
Spyware ein nettes Feature gegen das "Festplattenkratzen" =:o)
5.10 Kann ich das dauerhafte Erlauben von Internetzugang
grundsätzlich abschalten?
--------------------------------------------------------
Leider nein. Dir bleibt nur die Hoffnung, dass falls das je mal
jemand ausnützt, du vor du ausgerechnet dieses Schadprogramm
installierst, ein gepatchtes Update geladen hast.
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
[########################################################]
6. Vertrauensfragen [Allgemeines TODO - teils noch im Stadium
"Brainstorming"]
\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
[########################################################]
6.1 Vertrauen in Software
-------------------------
Wie wählt man aus, welcher Software man vertraut? Bekannte Firmen?
Verbreitete Software ohne bekannte Bugs? Nur was viel kostet?
Der Händler weiss das schon, nur die Trasportfirma seines Liferanten
kennt er nicht?
Selber schreiben? Ist der Compiler ok? Und das System?
Möglichst wenig Software? - Vielleicht ein Ansatz, doch viel ist
das nicht.
[TODO: Vielleicht lassen sich ja ein paar Anregungen finden]
6.2 Vertrauen in Downloadquellen
--------------------------------
Kann man Programmen aus dem Internet überhaupt trauen?
Wenn man seine Virenupdates aus dem Netz lädt, sollte man die
Programme da prinzipiell auch laden können.
Doch wem soll man trauen? Tips aus PC-Zeitungen, Onlinemagazinen
oder Downloadarchiven? Nein. Diese Tips /können/ vereinzelt
ernstgemeint /Tips/ sein, Oft werden die Programme auf Empfehlung
hin angeboten und Empfehlen kann man jeden Mist.
Spiel ich ein "Phenomediaspiel" spiel ich alle? Warum jedoch
solltes sich nicht ausgerechnet in so ein bekanntes Programm
jemand mit einer Schadroutine einklinken? Vielleicht nicht so
wahrscheinlich, aber nicht unmöglich.
[TODO: Schlechte Omen, Abgleich nach ein paar Tagen...]
6.3 Vertrauen in Informationsquellen
------------------------------------
Ein heikles Thema, teils im Punkt 2 dieser FAQ schon angedeutet.
Eine vielleicht ungewöhnlich klingende Anregung dazu besagt, dass man
Informationsquellen prizipiell nicht glauben sollte, sondern die Information
als Anregung der eigenen Kreation betrachten kann. Es ist im Prinzip egal,
ob man aus verschiedenen kompromiterten Quellen Information sammelt, oder
ob man nur vertrauenswürdige Information erhält. Solange die Information
einzig Anstoss zur eigenen Kreation bleibt, kann sie nicht weit in die
Irre leiten. Im Gegenteil, Irrleitungsversuchen können sich ausgesprochen
Kreativ auswirken, da man an ihnen schnell Grenzen erkennt, die man
setzen möchte.
[TODO: Schlechte Omen, Informelle Kreise, Unterwanderung
von Informellen Kreisen, vorsätzliche Fehlinformation...]
6.4 Open Source, pro und contra
-------------------------------
Es gibt zwei wiederspüchliche Theorien bei Software, die der Sicherheit
dienen soll. Die Eine besagt, dass man bei Open Source (der Quellcode
öffentlich) die Fehler erkennen kann und irgend jemand der diese
Fehler erkennt, sie auch nennt und sie beseitigt werden. Zudem würden
vorsätzlich eingebaute Schadroutinen erkannt. Die Andere besagt, dass
in eben diesem öffentlich zugänglichen Code Fehler gefunden werden können
und statt genannt zu werden könnten sie ausgenützt werden. Ausserdem
liessen sich mittels dieses öffentlichen Codes identisch scheinende
Programme mit Schadroutinen einfach erstellen und verbreiten. Umgekehrt
müssten destruktive Programmierer deutlich mehr Aufwand betreiben, wenn
ihnen der Quelltext nicht vorliegt.
Open Source prinzipiell als Vor- oder Nachteil für die Sicherheit zu
betrachten scheint keine Antwort zu sein, die sich pauschalisieren lässt.
\*\*\*\*\*\*\*\*\*\*\*
7. Kontakte
\*\*\*\*\*\*\*\*\*\*\*
7.1 Hersteller Kontakte
-----------------------
http://www.zonelabs.com/
7.2 Autor Info
--------------
müde :wink:
