Welchen Firewall nehmen?

Dieses Thema im Forum "Sicherheit" wurde erstellt von nugeman, 27. September 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. nugeman

    nugeman ROM

    Registriert seit:
    27. September 2005
    Beiträge:
    1
    Hallo,

    habe ne Firewall auf CD, McAfee Personal Firewall 2004 5.0, Vollversion, mit Update-Möglichkeit...war mal bei der PC-Welt dabei... und derzeit die aktuelle ZoneLabs Personal Firewall (die Gratis-Version) installiert... welche der beiden hat eine bessere Schutzwirkung, welche sollte ich nehmen? Habe DSL und WinXP...

    Danke im Voraus!

    Nugeman
     
  2. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Zum "Sicherheitsschnuller" ZoneAlarm habe ich mir kürzlich einmal folgendes kopiert...

    Hi,

    ich habe mir mal den "Spaß" gemacht, das Verhalten von ZA unter NT5.x etwas näher unter die Lupe zu nehmen.
    Dazu habe ich folgende Konfiguration eingesetzt:

    Router als Gateway nach Außen,
    PC1 mit laufendem Syslog-Dienst zur Überwachung des über den Router gehenden Netzwerkverkehrs.

    PC2 ist das eigentliche Testsystem: Ein Notebook, unter XPHome SP2 laufend. Hier wurde VMWare (360-Tage-Version in der aktuellen Ausgabe der c't) installiert. In dieser VM wurde ein W2kSP4rollup1 nebst IE6SP1 installiert. Zusätzlich zum Administrator wurde ein Benutzer mit eingeschränkten Rechten angelegt.

    An Software wurden Ethereal und Opera (als Standardbrowser) sowie 7Zip installiert. Diese Basisinstallation wurde anschließend mit ZA 6.00 (aktuelle Version von Zone Labs) in der Free-Variante bestückt. Dabei wurden alle Optionen deaktiviert, die eine automatische Verbindung mit dem Hersteller ermöglichen könnten.

    Das Netzwerk der VM ist so konfiguriert, daß es die komplette Netzwerkumgebung des Hostsystems umgeht, es findet also keinerlei Abschirmung durch die dort laufende Windows-Firewall statt.
    Soviel zur Konfiguration.

    Beobachtung:

    1. Ethereal registriert alle 60 Sekunden eine DNS-Abfrage nach www .zonelabs .com, es wird vom DNS-Server des ISP (später vom Router, der sowas zwischenspeichert) 208.185.174.44 zurückgeliefert.
    Beispiel für eine Ausgabe des Router-Syslog:
    Sep 26 20:36:16 | Vigor | Local User:192.168.111.142 DNS-> 145.253.2.11 inquire zonelabs.com

    2. Start eines bislang unbekannten Programms provoziert die bekannte Frage nach dem Netzzugang. Hier ist bemerkenswert, daß als Zieladresse 208.185.174.44:53 angegeben und protokolliert wird. Nutzt ZA etwa andere Programme, um die DNS-Abfrage "durchzubekommen"? Dies ist zumindest sehr fragwürdig und eine eher Spyware-typische Verhaltensweise.

    3. Weiterhin kann man auch als Benutzer mit eingeschränkten Rechten Programmen im entsprechenden Konfigurationsdialog das Recht zum Netzwerkzugang erteilen - zumindest für die aktuelle Sitzung.

    4. Ebenfalls ist es dem unprivilegierten Benutzer möglich, ZA komplett zu beenden.


    Die letzten beiden Punkte bedeuten, daß die beworbene Anwendungskontrolle eine nur scheinbare ist. Wenn der Benutzer auch ohne Systemverwalterrechte in der Lage ist, Programmen unter Umgehung der Abfrage Netzwerkzugang (einschließlich Serverrechte) zu erteilen, dann kann das jede beliebige Malware auch. Gleiches gilt natürlich auch für das komplette Deaktivieren von ZA.

    Fazit: Durch die Installation von Zone Alarm wird kein Sicherheitsgewinn erzielt.
    Ganz im Gegenteil - der Anwender fühlt sich "sicher", während der Rechner fröhlich Teilnehmer eines umfangreichen Botnetzes ist und gerade Phishing-Mails versendet oder an einem DDoS-Angriff auf irgendeinen Server beteiligt ist.

    Wolfgang77
     
  4. NickNack

    NickNack Megabyte

    Registriert seit:
    5. August 2005
    Beiträge:
    1.667
    nugeman Letzte Aktivität: Heute 17:54 ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen