Ich kann die Behauptung nicht akzepzieren, daß SW-Firewalls hinter HW-Firewalls in Ro

Naja, also wer sich auf eine veraltete Firewall und / oder auf ZoneAlarm verläßt, ist halt schnell selber verlassen. Die Empfehlung von Kalweit solltest Du ernst nehmen.

 

Das kommt mir aber spanisch vor.

 

Welchen Zweck (Sinn) erfüllt denn ZA überhaupt, wenn die entscheidende Information nicht berücksichtigt wird ?

4.252.103.45 kommt von hier:

OrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US

84.124.165.140 ist das hier: ( Mylin)

organisation: ORG-OA4-RIPE
org-name: ONO
org-type: LIR
address: C/Basauri 7 y 9
Urbanizacion La Florida
address: 28023
address: Madrid
address: Spain
phone: +34 911809300
fax-no: +34 911809366
e-mail: ripe-tech@ono.es

"Gefaked" ist da wohl eher nichts. Wenn das 100-fach so ist, könnte dein PC Teil eines Bot- Netzes sein (?) Jedenfalls hast du was auf deiner Maschine, das sehr kontaktfreudig ist. Was das nun ist, mußt du selber rausfinden bzw. wissen, denn letztendlich hast du ja irgendwas installiert.

Eine Sache läßt sich aber bereits jetzt sehr mit Fakten untermauern: Der Einsatz von ZA hat bestenfalls bewirkt, dass möglicherweise unauthorisierte Onlineaktivitäten verhindert werden. Ob dabei nun wirklich alles verhindert wird, ist der Phantasie des Betrachters überlassen und darf nicht unterschätzt werden. Eindeutig jedoch ist, dass ZA, sollte tatsächlich eine oder mehere Malware(s) dafür verantwortlich sein, im Vorfeld versagt hat. Der PC wäre somit infiziert und ist nicht mehr vertrauenswürdig, daran ändert auch ZA nichts mehr...

...aber vielleicht ist es auch ein harmloses Tool, das einfach mal installiert wurde, welches derartiges Verhalten aufweist und ZA daraus eine große Sache macht...

Um auf die Überschrift des Themas "Ich kann die Behauptung..." zurück zu kommen - Soft- Firewalls sind dann überflüssig, wenn:

1. sie nicht das halten, was sie versprechen.
2. sie unsinnige bzw. nicht interpretierbare Meldungen erzeugen.
3. sie nicht verhindern können, dass der PC kompromittiert wird.
4. der User damit nicht umgehen kann.

Man könnte noch weitere Punkte aufzählen, aber das führt dann wieder zur Grundsatzdiskussion. Da aber mindestens schon 3 der 4 aufgeführten Gründe in diesem Thread nachzuweisen sind, ist das schon ausreichend.

Es spielt letztendlich keine Rolle (mehr), ob eine Soft- Firewall installiert ist oder nicht, ein infizierter PC sollte grundsätzlich vom Netz genommen werden. Danach ergreift man entsprechende Maßnahmen, in den meisten Fällen endet dies mit einer Neuinstallation. Das Argument, eine installierte Soft- Firewall würde größeren Schaden vermeiden, weil die Malware daran gehindert wird, sich ins Internet zu verbinden, ist völlig unsinnig. Denn einerseits ist absolut nicht beweisbar, dass diese Soft- Firewall nicht selbst kompromittiert sein könnte bzw. nicht wirklich "dicht" sein könnte und andererseits hinfällig, wenn der PC sowieso vom Netz getrennt wurde...

Jetzt macht euch mal Gedanken...

Gruß,
Forenwanderer



Gruß,
Forenwanderer

 

Was mir bei der ZA-Protokoll fehlt, ist der Dienst auf dem PC, der das Paket weg geschickt hat.
Die Zielporte sind jedenfalls keine bekannten Trojaner Ports, was aber nicht viel zu sagen hat.
Wenn man den Dienst kennt, kann man ihn beenden, womit auch die Kommunikation aufhört.
Installiere mal Portreporter. Das protokolliert so etwas. http://support.microsoft.com/kb/837243/de

 

Vielleicht hat er da etwas gebucht und die wollen wissen, ob er noch in Urlaubslaune ist.

 

Sieht schlecht aus.
>klick<

 

Zum Thema Firewall hatte ich mal was geschrieben ..

http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/286052-firewallfrage-2.html#post1572671

Lest mal die Links durch und macht euch Gedanken ... -> TO und Freunde der ZA.

 

Thema Firewall,

Das Thema hat einen so langen Bart. Erst mal sollte man sich die frage stellen, was ist eine Firewall? Ein Port Blocker, ein Domain Blocker, ein IP Blocker oder doch ein Datenpaket Scanner? Na wer hat die Antwort? Also eine Firewall ist ein Sicherheitskonzept, zu dem kann obiges gehören, muss es aber nicht. Was auf alle fälle keine Firewall ist, ist ein Router mit eingebauter NAT Fuktion.

Ich war auch lange zeit ZA Fan. Bis mir mal klar geworden ist, Hey was bringt mir ZA und seine Dummen fragen wenn ich noch nicht mal weiß was ich überhaubt machen will oder was ich nicht machen will.

Also habe ich mich hingesetzt und habe überlegt vor was möchte ich mich eigentlich schützen. Irgendwann bin ich dann zu dem Product gekommen das alles absichert. Brain 1.0.

Jetzt benutze ich nur noch einen Virenscanner und die NAT Funktion des Routers. Alle meine Ports sind geschlossen und sinnlosen Dienste sind beendet.



Aso und eine S FW auf dem zu schützenden System zu installieren widerspricht eh jeder Logik.

 

@Hummer:
Mit deinen Link kann ich nix anfangen. d.h. ich weiß nicht wonach ich dort suchen soll!
Äh, wer lebt noch, oder nicht mehr???

@deoroller:
Dein trockener Humor amüsiert mich immer wieder...

@all:
Der XP-PC ist noch softwaremäßig noch so, wie ich ihn von meinem Großonkel geschenkt bekam. MIT ZA und installierten MS-AutoUpdates aktiv. PIII+XP = arschlahm mit 256MB RAM oder weniger. ZA und AntiVir, FiFox2 und IE7 vorinstalliert. Eingerichtet von seinem Enkel, der Computerfachmann sein soll, den ich aber nicht kenne. Der Großonkel wußte nicht mal, welcher Prozessor und wieviel RAM installiert ist! Er hat ihn 5 Jahre benutzt und sich dann einen neueren gekauft.
Ich habe bisher nur eine Netzwerkkarte eingebaut und die 700er CPU durch einer 1000er ersetzt.

@XP-Fan:
Dein(e) Link(s) bieten viel Lesestoff. Ich hoffe, ich kann etwas draus lernen.
(reichen die 60 Minuten Zeit einen Artikel zu bearbeiten???)

und @all:
grundsätzlich konfiguriere ich eine FW so, erstmal alles zu verbieten und alle Ports zu sperren und bei jedem Internetzugriff nachzufragen, ob ICH das erlauben möchte!
Danach muß ich folgerichtig jedem einzelnen Programm bewußt erlauben ins Internet zu gehen. Alles was ich nicht kenne oder will, verbiete ich!
Auch der(die?) Kernel(.dll) darf nicht ins Internet! Wozu auch? Internet funktioniert ohne das das darf!

Inzwischen hat sich noch die Antwort von Darkness dazwischen geschoben.
Natürlich habe ich auch versucht die Sicherheitseinstellungen der FW des Routers maximal einzustellen. Mein Router ist ein Siemens Gigaset DSL/Cable-Router.

Allerdings ist nach XP-Fans Link 1, ganz unten
"Ein NAT-Router ist deswegen keine Sicherheitskomponente."

 

Nachdem ich eure Links und Bemerkungen gelesen habe, scheint es wirklich so zu stimmen, das hinter einem Router mit Firewall eine SW-FW überflüssig sei. Zumindest wird das an vielen verschiedenen Stellen so beschrieben.

Daher deaktivierte ich nun ZoneAlarm auf dem XP-PC.
Jetzt kommen aber neue Probleme hinzu.
Die lokalen Rechner können nicht mehr auf einander zugreifen und die Verbindung zum Router wird öfter mal kurzzeitig, manchmal auch länger unterbrochen.
Zuerst passierte das häufiger auf dem PC mit Win98Se, jetzt aber auch immer öfter auf dem mit XP.

Das allerneueste ist, daß der Win98SE-PC neuerdings mitten beim Surfen von irgendwoher den Befehl zum Runterfahren bekommt, bloß nicht von mir!?
Ich habe meist keine Chance das aufzuhalten. Die Antivierensoftware findet keine Schädlinge.

Jetzt gerade bekomme ich auf dem XP-PC folgende Meldung angezeigt:

Nun bin ich ratlos, weil ich nicht weiß, was diese Managment Console jetzt machen will und wer die gestartet hat. Ich meines Wissens nach nicht.
Ich habe nur versucht auf das lokale Netzwerk zuzugreifen.

Soll ich das jetzt zulassen, oder kann das jemand von "außerhalb" ausgelöst haben?

 

Deaktivieren von ZA reicht möglicherweise nicht. Der True Vector Dienst könnte trotzdem noch laufen und andere Treiber können geladen werden, die von ZA installiert worden sind.
Manchmal läuft der True Vector Dienst von ZA auch noch, wenn es bereits deinstalliert wurde.
Du kannst mal in der Diensteverwaltung gucken, ob der True Vector Dienst noch aktiv ist.

 

Stimmt, der TrueVector läuft immer noch und weigert sich beendet oder deaktiviert zu werden! "Sie haben keine Berechtigung diesen Dienst zu beenden!"
Wie schalte ich den ab?
Ein Hinzustarten von ZA bringt mir auch keinen Zugriff auf das lokale Netzwerk zurück.
Wenn ich Netzwerkverbindungen öffne bekomme ich nun die Meldung "Sie können auf das Netzwerk nicht zugreifen, weil der dienst nicht gestartet sei"
Ja welcher Dienst?
etwa der Terminal-Dienst oder was anderes?

 

ZA verträgt sich nicht mit der Windows Firewall und auch nicht mit Kaspersky, noch nicht mal mit dem AV-Programm, weil die Netzwerkdienste kollidieren.
Die ZA-Dienste lassen sich nicht ohne Weiteres deaktivieren, weil der Selbstschutzt das verhindert. Das soll auch so sein, um es Schädlingen nicht so einfach zu machen.

 

Nun gut, ich habe ZA komplett deinstalliert.
Dann mußte ich aber den Netzwerkasistenten zum einrichten eines kleinen Netzwerkes neu ausführen, sonst kein Zugriff der PC untereinander mehr da.

Aber, wenn die Hardwarefirewall mich doch nun ausreichend schützen soll, wie kann es da sein das jemand aus Finnland einen Portscan an meiner lokalen Adresse (also 192.186.x.y) macht?

Und was will die kernel32.dll draußen im Internet? bzw. wieso wird sie von dort angesprochen? Ist grade auf meinem Win98SEer passiert. Hier die Meldung dazu:

und grade versucht wieder einer meinen PC runterzufahren. Genau in dem Moment wo ich das schreibe.?!?!?
Nur die erschienene Meldung, daß noch eine Datei über LAN offen ist konnte das runterfahren verhindern, weil ich auf nein drückte. Und nun?
Antivierenprog schon laufen lassen SS&D SpywareBlaster ADaware... keiner findet einen Schädling auf meinem Rechner!
Was ist da los?

 

lass bitte die kernel32.dll mal onliine checken, virustotal oder jotti

 

Auf welchem Stand sind deine Rechner denn? Nach allem was du schreibst haben die wohl nie ein Update gesehen.

Router falsch konfiguriert?

 

Der Router sollte keine Dienste anbieten.
Was ist es denn für ein Modell? Neuste Firmware?
Gibt es einen Wartungsport, der offen ist?

 

Es ist ein Siemens Gigsset Router dsl/cable SE 105. Unter den Spracheinstellungen ist auch deutsch und eingestellt. die eingebaute Firewall ist aktiviert. Nur komme ich bei den Sicherheitseinstellungen nicht so recht voran. Als ich versuchte die MAC-Adressen der lokalen Rechner in die MAC-Filtertabelle einzutragen, ging hinterher gar nicht mehr.
Ich möchte darin gerne die Filtertabelle verwenden, aber jeder Versuch da was einzutragen hat mich bisher komplett vom Internet getrennt.
.
Ich werde also einige Sachen zulassen müssen, aber Welche?

Im Benutzerdefinierten Bereich kann ich bei Protokoll nur alternativ einen Haken setzen. Entweder TCP ODER UDP!
Bei Bereich kann man warscheinlich einen schmalen Portbereich für spezielle Anwendungen freigeben, doch dazu muß man die nötigen Ports und deren Protokoll genau kennen.
Wie löst man das, wenn ein Programm beide Protokolle braucht?

 

Man muss zuerst einen Client benennen und dann die Filterliste für diesen einrichten und aktivieren. Man kann nicht allen angeschlossenen PCs eine Filterleiste zuweisen.

 

Gut, und wie heist jetzt dieser Client? bzw. wer/was ist das in dem Falle?