Firewallproblem

Hallo,
habe hier ein kleine Netz mit vier Rechnern. Meiner läuft mit XP. Darauf eine Firewall von Sygate (Ver. 4.2). Bisher hat der Test bei Sygate, mit direkten Zugang per DSL, immer alle Ports "geblockt".
Nun habe ich einen alten 486\'ger mit fli4l als Router. Der hat ja auch eine Firewall.
Auf einmal werden aber einige Portd nur noch "geschlossen". Wie das, beeinflussen sich die Firewalls gegenseitig. Jede Konfigurationsänderung einschließlich völligen deaktivieren der Sygate-Firewall hat keinerlei Einfluss mehr.

Bin für Tipps dankbar.

Ciao
Uwe

 

Glaub mir, die sind so blöd. Oder machen sich zumindest nicht die Mühe, dem geneigten Leser reinen Wein einzuschenken. Es ist nicht nur Blödheit sondern oft auch Vorsatz.
Leider können die User eben oft NICHT zwischen Portscan und Trojaner unterscheiden, selbst die Hersteller der Software vertun sich da - oder zumindest die PR-Abteilung.
Einen ziemlich ausführlichen Onlinetest findest du bei http://www.dslreports.com/scan
Aber auch bei denen hapert es mit der Bewertung der Ergebnisse.

 

Gut, wer sich eine Firewall raufzieht, sollte schon Portscan und Trojaner unterscheiden können. Aber davon abgesehen, daß die von den Testredaktionen eines halben Dutzend Fachzeitschriften *so* blöd sind wie du unterstellst glaub ich einfach nicht.

Aber ich lern gern dazu (wenn auch nicht mit ZA). Kennst du einen richtig harten Onlinetest, oder kann ich mich wo real angreifen lassen? Müßte ja auch nicht unbedingt im Forum erörtert werden.

Gruß
frederic

 

Na das mit ZA ist doch klar: Niedlich, einfach, übersichtlich und auf den ersten Blick extrem wirksam....nämlich wenn man als Beweis die tollen Warnmeldungen und einen Onlinetest bei grc.com verwendet.
ZA ist zwar besser als gar nichts, aber mehr auch nicht. Längst gibt es Programme, die dessen Prozess beenden können oder die FW umgehen. Mit den Meldungen kann der durchschnittliche Anwender nichts anfangen und glaubt bei jedem harmlosen Portscan, er werde "von einem Trojaner angegriffen" oder sonstwie gehackt. Mit Norton ist es ähnlich. Erstklassiges Marketing führt zur Hörigkeit der "Fachpresse".

 

Lag mir fern einen Kenner etwa zu beleidigen, und das AFAIK darfst du von meinem beschränkten Standpunkt aus ganz wörtlich nehmen.

Wegen ZoneAlarm frag ich mich aber schon allmählich, weshalb es dann in jedem Test bisher recht gut abschnitt, auch im letzten von PCW, wo ja nur die mangelnde Konfigurationsmöglichkeit, nicht aber die Schutzwirkung bemängelt wurde.

Gruß
frederic

 

Na "an der Realität vorbei" ist wohl etwas grob! Die Leute, die für diese Seite und diesen Artikel speziell verantwortlich sind, wissen, worüber sie schreiben. Ich kann die Erfahrungen bestätigen, denn ich habe entsprechende Scanner und Trojaner-Clients ausprobiert. Daher kann ich auf ein "AFAIK" verzichten( ;-> ). Auch sind die Analysen keineswegs feinsinnig sondern schlicht Standardprozeduren. Sie sind nur sehr anschaulich beschrieben, da die Zielgruppe dieses Artikels eher Anfänger in Sachen Datensicherheit sind. Dass Vergleiche mit dem Leben immer hinken, dürfte klar sein. Ich hab zum gleichen Problem auf meiner Seite einen etwas anderen Vergleich benutzt, der vielleicht etwas naheliegender ist.
Was IDS anbetrifft: Diese Variante des Schutzes ist in diesem Fall wie ich finde zurecht vernachlässigt worden, denn es gibt schlicht und einfach zuwenig Software, die sich dieser Methode bedient (und auch für den laienhaften Privatanwender erschwinglich wäre). Die meisten haben eh ZoneAlarm drauf und kommen sich nun unangreifbar vor. Arme Irre.

 

Hallo Steele,

der Link ist wirklich interessant, geht aber etwas an der Realität vorbei. Die üblichen Portscanner bzw. Clients für installierte Trojan Servers begnügen sich AFAIK mit der ausbleibenden Antwort und stellen nicht so feinsinnige Analysen wie beschrieben an. Einen Profi, der nicht auf gut Glück rundum scannt sondern sein Ziel kennt, wird man so natürlich nicht täuschen können.

Bei dem Vergleich mit der Schaffung klarer Verhältnisse unter Menschen muß ich leicht lächeln, denn Maschinen haben nun mal keine derartigen Empfindungen und Bedürfnisse, und am angreifenden Computer sitzt auch niemand der das Scan-Ergebnis unter diesem Gesichtspunkt auswertet.

Dagegen ists nicht selten, daß man Leute, die einen mit unklarer Ansicht anmachen, erst mal reden läßt um den Zweck rauszubekommen. Intrusion-Detektoren funktionieren aber gerade auch nach dem Prinzip, aus einer ungewöhnlichen Häufung gewisser Anfragen/Anfragemuster auf die Absicht zu schließen. Das funktioniert aber nur, wenn man den möglichen Angreifer erst mal reden läßt und nicht gleich abwürgt.

Gruß
frederic

 

Hallo Ullrich,
genau da fängt ja auch mein Problem an. Auf dem Router läuft wie gesagt fli4l. Die Firewall kann man nicht übermässig konfigurieren. Auf meinem und den Rechnern meiner Kinder läuft die Sygate-Wall. Nun möchte ich gern eine "Grundkonfiguration" (macht die Wall von fli4l, ipchains) und die persönlichen Einstellungen auf die einzelnen Rechner verlegen. In den meisten anderen Netzen richtet man eine für alles ein, ich möchte eben jedem seine persönliche Wall geben. Ich kann ja mehr im Internet machen als meine Kinder dürfen sollen. Z.B. gibts bei uns keine Zugriffe per Internetexplorer, Outlook oder Messenger. Lässt sich bei Sygate prima einstellen. Mit ipchains hätte ich da so meine Probleme. Leider kann ich nicht immer meine Hand dafür ins Feuer legen, dass die Buben sich nicht irgendwoher ein Prog einfangen, das automatisch den IE installiert (hatte ich schon mal). So ist er eben da, kann lokal genutzt werden geht aber nicht ins Internet. Diese "Regel" ist eben schnell mit Sygate festgelegt.

Und nun fehlt mir eben nur das Wissen, warum das bei zwei Walls so ist mit den Regeln.

Trotzdem Vielen Dank für Dein Posting. Hoffen ich gehe Dir nicht zu sehr auf die Nerven.

Ciao
Uwe

 

FWs in Reihe zu schalten, ist keine gute Idee, insbesondere dann nicht, wenn beide auf demselben Windows-System laufen. Mal wird die eine, mal die andere zum Zug kommen und je nach Sinnlosigkeit oder Fehlerhaftigkeit der Regeln stellen sie sich gegenseitig ein Bein. Nimm eine FW und konfiguriere die gewissenhaft und mit möglichst wenigen, überschaubaren Regeln. Hebele sie nicht durch Installation fragwürdiger Programme (Filesharing/InstantMessaging) wieder aus bzw. schränke auch dort die Rechte ein.

 

Hi Ullrich,
danke für den Link. Ist sehr interessant diese Seite. Trotzdem ist mir nicht ganz klar, wie zwei quasi in Reihe geschaltene Firewalls sich nun verhalten. Bin immer davon ausgegangen, das nacheinander gefiltert wird. Also die Sicherheit nacheinander erhöht wird. Aber es scheint so, als ob nur die schwächste die Leistung bestimmt.
Ob nun stealth oder closed besser oder schlechter ist, ist im Moment nicht mein Problem. Ich möchte halt, das der Rechner das macht was ICH möchte und nicht, das ich mich mit den Realitäten abfinden muss. Also: wenn ich stealth haben möchte, solls auch stealth sein und nicht closed. Und eben das ist mir nicht ganz klar. Immerhin könnte es ja sein, das in einem Netz an verschiedenen Maschinen unterschiedliche Sicherheitsstufen, z.B. für Analysen, gewünscht werden.

Also nochmal, danke für Deinen Hinweis. Die Seite ist wirklich gut.

Ciao
Uwe

 

Der sogenannte Stealth-Modus einiger Firewalls ist sowieso witzlos.
Hier die Begründung:
http://www.rokopsecurity.de/main/article.php?sid=15