Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

ist ZoneAlarm ein Packetfilter





Frage

Hallo, meine Frage: Ist ZoneAlarm ein Packetfilter? In einer c´t Ausgabe steht der Satz "Zone Alarm ist der einzige Kandidat im Testfeld, der keinen richtigen Paketfiler enthält, sonder rein applikationsabhängig funktioniert." Was bedeutet das?Werden von diesem Firewall nicht alle Pakete, die von aussen kommen geblockt???

Antwort 1 von hendrikw

Bei Zonealarm erlaubst Du einzelnen Applikationen den Zugriff aufs Internet bzw. als Server zu fungieren. Es wird nicht ein bestimmter Port generell geöffnet oder geblockt.

mfg
Hendrik

Antwort 2 von derFragende

hi!
der netwerk-verkehr, der von innen rausgeht interessiert mich nicht.
mich interessiert nur, ob der von aussen alles abblockt. oder ob von aussen ankommende pakete nur nach applikation gefilter werden. das währe ja schlecht wenn ich nen programm installiere das zonealarm nicht kennt.

Antwort 3 von hendrikw

Wenn Zonealarm ein Programm nicht kennt, fragt es, ob der Zugriff bzw. die Serverfunktion (= Zugriff von außen) erlaubt werden soll. Es bemerkt auch, wenn sich Programme geändert haben; z.B. durch neue Versionen u.ä.

Das heißt, der Zugriff von außen ist nur möglich, wenn Du einem (oder mehreren) Programm(en) explizit erlaubst, als Server zu fungieren. Sonst wird alles geblockt.

mfg
Hendrik

Antwort 4 von derFragende

von aussen werden also alle packete doch irgendwie gefiltert.
mir ist nur wichtig, das von aussen nix zu erreichen ist.

Antwort 5 von Arno_Nym

Wenn dich der ausgehende IP-Verkehr nicht interessiert, dann kommst du mit der Internet-Verbindungs-Firewall von WinXP am besten.
(natürlich vorausgesetzt, du benutzt WinXP)

Vorteile:
filtert zuverlässig alle Zugriffe von außen
einfach konfigurierbar
nicht so leicht manipulierbar (bei entsprechendem Berechtigungskonzept)
kein zusätzlicher (evtl. fehleranfälliger) Code von Drittherstellern

Arno

Antwort 6 von derFragende

hi arno!
ich setzte noch windows 2000 ein. hab somit keinen firewall an board. wollte erst den skoda firewall nutzen, der läuft aber nicht mit normalen nuterrechten. ich gehe nur mit normalen nuterrechten ins internet.
da hab ich mich für zonealarm entschieden. habe aber nun obigen satz in der ct gelesen, und frage mich, ob der firewall als schutz von aussen so gut ist. wie gesagt, ich will einfach alles von aussen abblocken. von innen kann nix kommen, da man als nutzer sowieso nix dauerhaft installieren kann. mir ist nur wichtig das er auch gegen noch unbekannte angriffe reicht.

Antwort 7 von Thomas27

Antwort 8 von nimrod64

mein Vorsclag:
nimm wenigstens Zonealarm, sperr jeden windowsprozess der raus will und erlaub nur was du vertraust (sowieso).bei ALLEM was reinwill: BLOCK IT!!! von kerio gibs meist trial FW die sogar die eistellungen auf disk speichern koennen . falls du ofters de- und installieren willst sparst du dir die setups.

das muesste reichen

Antwort 9 von frindly

vielen dank für die vielen zuschriften. das personal firewalls nicht das sicherste sind, hab ich mir schon gedacht. das zonealarm im rahmen seiner möglichkeiten gut ist, hoff ich auch. mir geht es mehr um die technik dahinter. fungiert zonealarm nun als packetfiler oder nicht. wie kann ich den satz in der ct (ganz oben) verstehen? was bedeutet "kein richtiger packetfilter" und applikationsabhängig. wenn zonealarm alle packete von aussen blockt egal wo sie hinwollen ist es doch ein packetfilter. oder war das nur auf die sicherheit von innen nach aussen gemeint???

Antwort 10 von sutadur

Zitat:
Es ist völlig egal welche Firewall du nimmst. Umgehen kann man sie alle!
Genau wie jede Sicherheitsvorkehrung auch. Aber deshalb gänzlich drauf verzichten?

Antwort 11 von bored

@Thomas27:

lol.
"Stealth, und warum das gefährmlicher Unsinn ist"
Echt. Einen SO schlechten Beitrag hab ich lange nicht mehr gelesen.
Wenn ein Rechner "unsichtbar" ist, dann merkt man as beim Portscan - keine Frage.
Allerdings: "Das bedeutet, dass dieser Rechner erst recht meine Aufmerksamkeit erregt." (letzter Absatz)
Mag sein, dass der Rechner dann erst recht auffällig wird. ABER: Es wird angeführt, dass ein Skriptkiddie erstmal seine Progrämmchen durchlaufen lassen würde.

1. Muss der Möchtegern-Hacker (oder auch Skriptkiddie) erst mal seine ganzen Progrämmchen durchlaufen lassen.
2. Bringt das Ganze GAR nichts, wenn es sich um eine Hardware-Firewall (z.B. in jedem besch.... DSL-Router handelt)
3. Muss die SW-Firewall dagegen nicht unbedingt empfindlich sein. (Besonders bei weniger genutzten)
4. Er weiß trotzdem nicht sofort, welche Ports definitiv offen sind.
5. Wenn meine Ports alle umgestellt wurden (so in den Bereich > 10000) werden die Progrämmchen auch schnell versagen. (Bei der HW-FW sowieso)
6. Wenn ihm ein Portscan sofort die offenen Ports anzeigen würde, wäre er SOFORT das Ziel.
7. Folglich:
Offene Ports -> Ziel
Stealth-Ports -> Ziel
Daraus folgt: Immer Ziel, denn wenigstens ein Port ist immer offen, den man mißbrauchen könnte, wenn der User im Internet unterwegs ist.

--> Unsauber/unvollständig recherchiert! --> FUD?!


Und gerade deswegen ist eine Firewall (oder am Besten gleich 2) wesentlich besser als gar keine Firewall.
ich sitz hinter nem Router. Du müsstest
1. Die Router FW umgehen.
2. Meine FW umgehen.
Das Problem für das Kiddie ist hier die Stufe LAN<->WAN. Das bekommt der so schnell nicht hin.
Klar könnte jeder RICHTIGE Hacker/Cracker die Firewall relativ mühelos umgehen, aber gegen solche Leute ist eh kein Kraut gewachsen.

Dem Artikel von Malte stimme ich zu, genauso wie dem Letzten. Das Abschalten der Dienste IST wichtig!
(Habe ich allerdigs selber gemacht)

Natürlich könnte man jetzt sagen, dass der "Normalanwender" keine Ahnung von dem Thema hat. Aber ihm einfach zu erzählen, dass Firewalls nichts taugen und dass sie absolut sinnlos sind, ist genauso falsch.
SICHER ist man im Internet NIE! Eine Firewall macht es nur "sicherer"!

Antwort 12 von Arno_Nym

Zitat:
Daraus folgt: Immer Ziel, denn wenigstens ein Port ist immer offen, den man mißbrauchen könnte, wenn der User im Internet unterwegs ist.

Wieso das denn?
Ein Port ist offen, wenn ein Dienst läuft, der ihn öffnet. Wenn kein solcher Dienst läuft, dann ist auch kein Port offen.
Das hat mit Surfen im Internet nichts zu tun.
Jeder Portscan zeigt dir das.
Zitat:
Klar könnte jeder RICHTIGE Hacker/Cracker die Firewall relativ mühelos umgehen, aber gegen solche Leute ist eh kein Kraut gewachsen.

Die übliche Legende von den coolen Jungs, die mühelos überall eindringen. Wie die Hollywood-Cowboys oder Zorro :o)

Arno

Antwort 13 von bored

@ Arno_Nym:

Sicher kann man keine Ports offen haben. Aber dann bist du auch nicht wirklich online. Du hast dich zwar bei deinem Provider angemeldet, aber auch dafür brauchst du nen offenen Port. Und wenn du "nur" Webseiten lädst, ist auch dein Port 80 offen.

Zitat:

Die übliche Legende von den coolen Jungs, die mühelos überall eindringen. Wie die Hollywood-Cowboys oder Zorro :o)

Gerüchten zufolge gibt es (einige wenige) Leute, die sowas können ;)
Natürlich nur mit relativ langer Vorbereitung. Auch wenn ich mir nicht vorstellen kann, weshalb solche Leute in meinen Rechner eindringen wollen sollten.

Antwort 14 von RTFM

Aus dem selben Grunde, warum in Bahnen die Scheiben zerkratzt werden. Du verstehst?

Antwort 15 von frindly

das ist ja in eine diskussion um sicherheit ausgeartet :-)
natürlich wird es immer leute geben, die irgendwas schaffen. aber ein firewall alleine ist ja kein sicherheitskonzept. ich hab nen firewall, nen virenscanner, eingeschränkte benutzerkonten, den brower sicher konfiguriert und zur not ne image.
wenn also jemand den firewall überwindet oder es doch schafft über den browser reinzukommen, dann steht er vor normalen nuterrechten. dazu müsste er sich erstmal admin rechte verschaffen, was die nächste herausforderung ist. und die müsste er sich durch das kleine schlupfloch das er gefunden hat holen. anschließend müsste er noch meine daten finden und, da ich einen extra surf account habe, und der admin keine zugriffsrechte auf meine daten, müsste er noch den besitzt der daten die er suchen muss übernehmen. und falls ich auf diesem weg doch eine anomalie merke (schliesslich geht es noch über isdn) lese ich das image von drive image zurück und er kann von vorne anfangen und meine ip suchen .....

... aber wie arbeitet denn nun zonealarm als packetfiler? ...

Antwort 16 von Arno_Nym

Zitat:
Und wenn du "nur" Webseiten lädst, ist auch dein Port 80 offen.

Nein, ist er nicht. Mit einem Portscan wirst du auch dann sehen, daß Port 80 geschlossen ist. Der IE (oder andere Browser) stellen keinen Dienst zur Verfügung, auf den von außen zugegriffen werden könnte.

Arno

Antwort 17 von firefox

Zitat:
Sicher kann man keine Ports offen haben. Aber dann bist du auch nicht wirklich online. Du hast dich zwar bei deinem Provider angemeldet, aber auch dafür brauchst du nen offenen Port.


Du hast das Prinzip scheinbar nicht wirklich verstanden. Wie Arno schon angedeutet hat zum surfen allein braucht man genau _keinen_ offenen Port.
Der wird nur benötigt wenn du Dienste nach außen hin anbietest ...

Antwort 18 von Arno_Nym

Zitat:
Gerüchten zufolge gibt es (einige wenige) Leute, die sowas können ;)
Natürlich nur mit relativ langer Vorbereitung. Auch wenn ich mir nicht vorstellen kann, weshalb solche Leute in meinen Rechner eindringen wollen sollten.

Dem stimme ich zu. Die (relativ) wenigen Experten werden kaum bei einem normalen User-PC "die Scheiben zerkratzen" sondern sich auf lohnendere Ziele konzentrieren.
Das Risiko, daß ein wirklicher Könner einen direkten Angriff meinen PC unternimmt scheint mir verschwindend gering.

Die meisten Bedrohungen für den Anwender-PC gehen doch von Scripting und ActiveX in Browsern/Mailclients oder heruntergeladenen/per Mail erhaltenen Schadprogrammen aus.
Kaum jemand wird durch direkte "Angriffe" über TCP infiziert (so wie das bei Blaster/Sasser war).

PS: Übrigens stellt auch M$ ein nützliches Tool zum "spielen" mit Ports zur Verfügung: "portqry"
(und für die "Mäusefraktion" die GUI "portqueryui" ;o)
Sowas wie ein nmap-Verwandter.

Arno

Antwort 19 von bored

@ Arno_Nym und firefox:

Hoppala... Ihr habt natürlich recht... denkfehler meinerseits...
*sichselbervordenkopfschlägt*

Wäre ja auch völiger Quatsch, denn dann müssten z.B. Online-Portscanner ja auch ständig den Port 80 als offen anzeigen...

Zitat:
Die meisten Bedrohungen für den Anwender-PC gehen doch von Scripting und ActiveX in Browsern/Mailclients oder heruntergeladenen/per Mail erhaltenen Schadprogrammen aus.

Besser, wer´s deaktiviert ;)
Mit Firefox und Thunderbird hab ich mit ActiveX eh keine Probleme
:D

Antwort 20 von Thomas27

@bored
in dem Artikel wird nur auf den Irrtum hingewiesen das man mit einer Firewall im Stealth Modus angeblich unsichtbar werden würde...

Das ursprüngliche Problem vom Fragesteller war ja,
das er was haben will wo man von aussen überhaupt nichts kann...
So etwas geht mit Softwarefirewalls allein definitiv nicht.

Man kann sie aber trotzdem haben ganz sinnlos sind sie nicht.

Ich hab es selbst gesehen
bei einer Bekannten auf dem PC
mit einem ungepatchten Windows 2000 und Zonealarm
gab es keinen "Sasser" oder ähnliches Gewürm.

Antwort 21 von derFragende

nun. es ist gut zu wissen, das ein ungepatchtes win2000 mit zonealarm sicherer wird. aber arbeitet es nun als packetfilder nach aussen hin oder nicht? selbst wenn man die ports von ausssen noch als verdeckt sieht ist es ja egal. da der pc nichts reinlässt oder beantwortet. den satz aus der ct konnte noch niemand richtig erklären.

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: