[vertygo]

Hallo, zusammen!

AVM bietet für seine DSL-Produkte eine integrierte Firewall bzw. neuerdings auch ein Tool namens WebProtect.

Wie sicher sind eurer Meinung nach diese Features im Vergleich zu normalen Software Firewalls wie ZoneAlarm oder Norton PF?
Kann man Gebrauch der AVM Tools auf die Software Firewall verzichten?

Ich weiß auch, daß Hardware Firewalls besser sind, aber bis zum Kauf des Routers müssen die Software-Varianten herhalten.

Die Frage bezieht sich natürlich auf ein komplett gepatchtes System

Vielen Dank vorab!

Gruß

[Rika]

>Wie sicher sind eurer Meinung nach diese Features im Vergleich zu normalen Software
>Firewalls wie ZoneAlarm oder Norton PF?
Genauso unsicher. Anfällig gegen DoS durch SYN/FIN/NULL-Flooding, teilweise damit sogar umgehbar, Refragmentation TCP Header Rewrite, MTU Regression DoS - und wenn erstmal etwas Böses auf dem Rechner drauf ist ist es sowieso zu spät, dann ist gar nix mehr zuverlässig.

>Kann man Gebrauch der AVM Tools auf die Software Firewall verzichten?
Ja. Hat aber nix mit den AVM Tools zu tun, sondern ist generell so.

>Ich weiß auch, daß Hardware Firewalls besser sind, aber bis zum Kauf des Routers
>müssen die Software-Varianten herhalten.
Du weißt aber offensichtlich nicht, daß Firewalling für den Heimbetrieb eine ziemlich übertriebene und ineffektive Sicherheitsmaßnahme darstellt. Und du kennst den Unterschied zwischen einem dedizierten Router und einer dedizierten Firewalling Appliance nicht.

>Die Frage bezieht sich natürlich auf ein komplett gepatchtes System
Na und? Das ist Windows! Und gegen zukünftige Fehler, die sich remote ausnutzen lassen, gibt's nur eine Maßnahme: Dienste abschalten und auf Müll-Software verzichten, ansonsten nützt dir auch das beste Firewalling nix. http://www.dingens.org und http://www.firefox-browser.de wären gute Ansatzpunkte.

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 16:16

[rubberduck]

ne 100 %-ige sicherheit gibt und wird es nicht geben! ich benutze webprotect und bin zu frieden. natürlich braucht man auch ein gutes antivirenprog. ich nehme da antivir personal edition, hat aber den nachteil daß man regelmäßig selbst updaten muß.(ca. alle 2tage mach ichs)
jetzt hat rika bestimmt noch einen kommentar dazu. oder!?

[Rika]

Ja: 1. Lol. Das Ding ist sowas von anfällig gegen Shatter Attacks und DLL Injections, das schützt nicht mal im Ansatz zuverlässig vor Trojanern und perfiden Würmern. Worm.Bagle.P lässt grüßen...
2. Das mit dem "Bin zufrieden" sagen meist die, die nicht merken, daß ihr tolles Programm schon längst umgangen wird. Oder wie war das noch mal mit Norton und "bin eigentlich ganz zufrieden"? Auf jeden Fall ist das genau gar kein Argument.
3. Jedes Programm hat Fehler, daher stellt ein zusätzliches Programm bzw. eine zusätzliche Programmfunktion einen Fehler dar. Denk mal drüber nach. Eine esentielle Sicherheitsstrategie besagt, daß man die Codemenge reduzieren sollte. Es existieren wunderschöne alternative Einwahlsoftware bzw. PPPoE-Treiber, die besser als Fritz DSL sind und keine unnötigen Features mitschleppen.
4. Zu AntiVir habe ich mich schon öfters geäußert. Boardsuche existiert.

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 17:05

[vertygo]

@ Rika

Erstmal danke für deine Antwort.

Wieso sagst du, daß Firewalling für den Homeuser eine übertriebene Maßnahme darstellt? Wenn ich mich richtig an deine bisherigen Statements zum Thema Firewall erinnere, rätst du doch zu einer Hardware-Firewall, oder?

Und du hast recht, den Unterschied zwischen einem dedizierten Router und einer dedizierten Firewalling Appliance kenne ich nicht, es wäre aber nett, wenn du es kurz erklären könntest.

Firefox benutze ich übrigens (klasse Browser), dein Tool bezüglich der Dienste hab ich mir auch schon angeschaut.
Auf Müll-Software bzw. ständiges Probieren von Shareware usw. verzichte ich ohnehin.

Nur by the way, laut Symantec Security Check (nicht schreien ) ist mein System nur mit den AVM-Tools sicher...

Gruß

[Rika]

1. Nein, lies noch mal. Ich rate generell von Paketfilterung im Heimnutzerbereich ab, ich selbst bin auch ohne irgendwleche Paketfilter oder dedizierte Hardware sozusagen direkt mit dem Netz verbunden. Liegt aber nicht an mir, denn selbst vielen relativ unerfahrenen Leuten mit direktem Modemzugang o.ä. empfehle ich ausschließlich den AutoUpdate-Dienste, das dingens.org-Tool, Alternativ-Browser & -Mailprogramm sowie AntiVir PE als vernünftige und ausreichende Sicherheitsmaßnahmen.

2. Ein Router betreibt nur NAT bzw. IP Masquerading en generale, das ist nicht als Sicherheitsmaßnahme konzipiert und kann, insbesondere aus dem internen Netz, aber auch durch Übernahme von bereits bestehenden gewollten Verbindungen zwischen internem Netz und Rechner im Internet sowie durch eventuelle Implementierungsfehler umgangen werden. Eine dedizierte Firewall (der Begriff Hardware-Firewall ist irreführend, da auch diese letztendlich auf einer kleinen hochspezialiserten Software basiert) hingegen ist meist deutlich genauer auf saubere Implementierung sowie qualitativere Regelerstellung ausgelegt und kann je nach Modell auch Proxy-Funktionen übernehmen und damit gegen Sicherheitsprobleme auf Layer 5 & 6 schützen.

3. Symantec Security Check funktioniert nicht mit Firefox. Ich weiß auch nicht was der Zwang zu der kaputten ActiveX-Implementierung eines kaputten Pseudobrowser s überhaupt mit Sicherheit zu tun haben sollte - normalerweise sollte es shcon nach erfolgreichem Start einen Hinweis auf enorme Unsicherheit ausspucken... Zuverlässige Port-Scans macht man übrigens mit nmap, z.B. unter http://www.linux-sec....test.gwif.html

[vertygo]

Zu 1. AntiVir empfiehlst du, was hälst du von McAfee?
Ist Outlook XP bzw. 2003 (das richtige) auch so unsicher? Outlook Express ist eine klare Sache, aber sollte Outlook nicht eine Liga höher spielen?

Zu 2. Danke für die Erklärung

Zu 3. Sinnvollerweise hab ich den Symantec-Check mit dem IE 6 gemacht, wobei ich dir bezüglich ActiveX recht geben muß.
Der Test auf lunux-sec.net findet keine offenen Ports.
Dazu noch eine Frage: AVM spricht bei den DSL-Karten von einer Firewall.
Ist die hardwareseitig implementiert, oder wird nur die nur softwareseitig über die Fritz! Software bereitgestellt?

[Rika]

1. McAfee ist besser als AntiVir PE, wenn man aber schon Geld ausgibt, dann kann man sich auch das billigere und bessere AVK2004 holen.
2. Dafür daß sie angeblich in einer höheren Liga spielen haben sie selbst den begin-end-Bug hervorragend übernommen, von den zig Sicherheitslücken im MIME-Parser mal ganz zu schweigen... Nebenbei funktioniert mit Outlook kein GnuPG und kein standardkonformes S/MIME.
3. Wenn nmap nix findet, dann ist das ein sehr zuverlässiges Resultat - die meisten Online-Portscans, insbesondere die von PFW-Herstellern interpretieren nämlich alles, was nicht "krass stealth" ist gerne fälschlicherweise als offen.
4. Rein softwareseitig... gleiches gilt übrigens auch für die angebliche Firewall in den neuen nForce3-Chipsätzen. Neben dem ohnehin bislang nicht so recht erkennbarbarem TCP/IP-Offloading [1] glaubt zumindest auch niemand an eine wenigstens teilweise vorhandene Hardwarebeschleunigung für die Firewalling-Funktionen.

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 19:27

[vertygo]

Zu 1. Laut Tests belastet AVK das System sehr stark, darum fiel meine Wahl auf McAfee. Wobei die 2 Engines des AVK doch sehr gut sind.

Zu 2. Kannst du kurz die Fachbegriffe für Nicht-Programmierer übersetzen?

Zu 4. Gerade was Nforce anbetrifft also nur ein Marketing-Hype? Schade eigentlich...

[Rika]

1. Diese Test haben offensichtlich nicht berücksichtigt, daß AVK2004 ziemlich vieles sauber scannen kann, also auch Sachen, die ziemlich überflüssig sind (*.ISO) bzw. eigentlich nicht wirklich gescannt werden müssten (Papierkorb, Browser-Cache). DU wirst dich wundern wie das rennt.

2.
(1) begin-end-Bug: http://piology.org/I....html#signature
(2) MIME: http://www.faqs.org/...mime-faq/mime0/
(3) MIME-Bugs:

Zitat

Content-Type: multipart/mixed;
boundary="----_=_NextPart_000_01C4488C.6A1565A8"

------_=_NextPart_000_01C4488C.6A1565A8
Content-Type: [b]image/gif[B] <- harmlos
name="hallo.[B]gif[/b]" <- harmlos
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="hallo[b].scr[/b]" <- böse

Dieses schöne Programm wird dann als harmloses GIF-Bild angezeigt, lässt sich direkt mit Doppelklick öffnen und wird dann gemäß dem Dateinamen als Programm gestartet. Und das nur, weil sich Outlook mit sich selbst nicht einig ist...

(4) http://www.gnupg.org, http://www.imc.org/smime-pgpmime.html

3/4. Warum denn? Wie ich schon sagte, Firewalling braucht der Heimuser doch eh nciht...

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 19:52

[vertygo]

Zum Outlook-Bug 3: Wenn ich Anhänge eh erst auf der HDD speichere, und mit einem Virenscanner gegenchecke, sollte da doch nichts anbrennen, oder?
Sprich, ein sorgsamer Umgang steigert die Sicherheit ungemein...

Ansonsten, danke für die vielen Infos.
Ich lese das Forum schon lange, ist wirklich sehr hilfreich. Macht weiter so...

[Rika]

>mit einem Virenscanner gegenchecke, sollte da doch nichts anbrennen, oder?

LOL. Naja, Oliver Schad's Seite ist derzeit down, deshlab nehme ich mal das:

Zitat

Virenscanner können allerhöchsten bereits bekannte Viren erkennen (und auch dabei werden manchmal infizierte Dateien übersehen), gegen neue sind sie prinzipbedingt machtlos. Wenn Virenscanner eine Datei als sauber melden, sagt dies also gar nichts darüber aus, ob die Datei einen Virus enthält oder nicht. Zudem muß die Signaturdatenbank der Scanner regelmäßig auf den neuesten Stand gebracht werden (mindestens einmal täglich, aber wer macht das schon) und dabei ist man vom Herstellers abhängig, der natürlich erst mal passende Signaturen veröffentlichen muß. Weiterhin versuchen fast alle neueren Viren und Würmer installierte Virenscanner abzuschalten, um nicht entdeckt zu werden. Und schließlich kann der Einsatz von Virenscannern zu einem verminderten Sicherheitsbewußtsein bei den Anwendern führen, die sich in (falscher) absoluter Sicherheit wähnen.

[ari]

Die Firewall ist doch ne Hardware Firewall.
Die hat mit WebProtect absolut nix zu tun.

Die gab es doch schon in den AVM Modems, da war von WebProtect noch gar nix bekannt.

WebProtect überwacht nur den Internetverkehr vom Rechner ins Internet.

[Rika]

Nochmal: Die Paketfilterfunktionalität wird in der Einwahlsoftware realisiert - und war auch schon vor Webprotect da. WebProtect ist nur eine billige Application Control in der neueren Software, die auf diesen schon immer vorhandenen Fähigkeiten der Software aufbaut. Naja, wer lesen kann...

[Schnurzel]

Interessantes Forum, bin ehrlich begeistert. Lange habe ich in meinem Kämmerchen vor mich hin gepriemt, erkenne, daß sehr viele Leute die gleichen Probleme und ähnliche Erfahrungen gemacht haben.
Ich für meinen Teil habe generell auf Komplett-Lösungen verzichtet. An jedem Komplettpaket gibt es bekanntlich irgendwelche Macken.
Ich setze sogar einen drauf, ich nutze NAV 2003. Hat aber einen ganz einfachen Grund, laut Planetopia war NAV der einzige Scanner, der nach Virenbefall nicht abzuschalten war durch den Schädling. Das hat mich beeindruckt und zu dieser Wahl greifen lassen. Als Zugangs-Software nutze ich KEN DSL 2.0.
Die integrierte Firewall läuft glänzend, obendrein sitzt nocheinmal Zone Alarm 4 Pro vor dem KEN-Server. Diese Konstellation hat mir bereits eine ganze Menge Ärger erspart. Meine Kinder und ich nutzen diesen Zugang seit längerer Zeit, sollte trotz Ad-aware 6.0 Prof doch mal ein kleiner Mistbock durchrutschen, gibt es immernoch so tolle Helfer wie CWShredder. Wie bereits geschrieben, habe ich mit dieser Konfiguration meines Netzes die besten Erfahrungen gemacht. Firewall von NAV2004 bekommt eine glatte Note "6". Die Aktualisierung der Klients wird bei mir automatisch durch die Autostart-Gruppe durchgeführt. Bei jedem Start wird die Virendefinition von meinem Server geladen. Somit wird das Live-Update von NAV nicht benutzt und alle Rechner sind immer auf dem neusten Stand. Die Virendefinition wird von mir alle zwei Tage per Hand erneuert.