wurm mal wieder...sasser

[meisterbo]

moin.

nachdem mein rechner immer wieder runtergefahren ist weil irgendwie fehler bei lsass.exe hab ich den sasser virus gefunden und den microsoft patch installiert.nun ist aber leider so einiges anders. beim hochfahrenmuss ich nun plötzlich benutzernahmen und kennwort eingeben und er braucht dafür auch länger. das netz stürzt öfter ab mit der begründung generic host process...

taskmanager kommt auch nichtmehr, sondern eine auswahl zwischen herunterfahren, auswählen,taskmanager....aber der taskmanager kommt nicht.???was soll ich machen??

merci,

bodo

[Mad Marc]

Was wohl? Formatieren. Das Patch hat zwar den Wurm repariert - aber keiner weiß wieviel Schaden dieser schon auf deinem Rechner angerichtet hatte. Also format c.\

[Mongom@n]

sasser macht auch Unfug auf'm Rechner? Läßt der nicht bloß irgend so einen Prozess abnibbeln und den Rechner rebooten?

Wenn's soweit ist, einfach START>AUSFÜHREN>shutdown -a und anschließend einfach 'n "Löschtool", z.B. McAfee STINGER o.ä. ziehen, laufen lassen und im Anschluß das Windows update.

[Mad Marc]

Läßt der nicht bloß irgend so einen Prozess abnibbeln und den Rechner rebooten?

Das ist mir zu Unsicher - wer weiß was das Ding im Hintergrund alles anstellt bevor man mekt das er da ist.

[Lacknase]

Kann Marc nur zustimmen. Selbst wenn das Ding an sich nix anderes macht(e), hat es ein "Schlupfloch" benutzt, das auch für andere Zwecke offenstand.

[gonzo]

Puhhh, jetzt machst du mich aber doch ein bisschen nachdenklich. Hab mich das ganze Wochenende mit dem Scheiß Wurm rumgeärgert. Das Problem war weg nachdem ich bei Microsoft den passenden Patch und das Entfernungstool instaliert hatte. Weiss den wer welche Anwendungen dieser Wurm startet,bzw, ob ich das im Taskmanager sehen kann?

- bloss nicht schon wieder neuaufspeilen

[Lacknase]

Halbwegs sicher kannst Du nur sein, Jürgen, wenn Du - wie oben schon beschrieben - mit Tools wie Stinger, Adaware und McAffee den Laden mal komplett durchscannst. Und zwar von einem sauberen System aus. Bevorzugt von einem, das von CD läuft und somit selbst "manipulationssicher" ist. Viele Viren, Würmer und/oder Trojaner sind mittlerweile so "schlau", daß sie sich wirksam vor dem kontrollierenden Zugriff bestimmter "Schutzanwendungen" selbst schützen. Es ist darum eben wichtig, das befallene System bzw. dessen Datenträger NICHT zugleich als "Saubermacher"-Plattform zu verwenden. (Die Saubermacher-Tools funktionieren nicht oder werden so manipuliert, daß sie falsche Ergebnisse liefern.)

Guck mal hier, damit kannste Dir sowas wie ein "Windows von CD" bauen. (Windows XP wird bevorzugt.)

http://www.nu2.nu/pebuilder/

Das Ding langt immerhin für eine erste Forensik. Kalkulierbare Sicherheit hast Du aber wirklich nur, wenn Du die Kiste vom Netz nimmst, platt machst und neu installierst (incl. aller Updates und unter Berücksichtigung einer sinnvollen Sicherheitsstrategie).

EDIT: aktuelle Infos zu dem Bösewicht findet man übrigens hier: http://www.heise.de/newsticker/meldung/47063

Da wird dann vielleicht auch dem einen oder anderen klar, warum es mit lustigen "Krasse-Sicherheit-per-buntem-Schieberegler"-PersonalFirewalls und VirenscannerXY eben NICHT getan ist.

Bearbeitet 3. Mai 2004 von Lacknase

[meisterbo]

hatte nach dem microsoft-patch immernoch probs, daher dann noch neben antivir auch das symnatec tool drüberlaufen lassen. adaware etc. sowieso.das symnatec hat noch so einiges gefunden.

naja nächsten monat kommt eh nen neuer rechner, da mach ich mir nicht den stress.

aber danke

[Gammel]

Boah, endlich wieder online, nachdem es mich ebenfalls erwischt hat.

Infos zu dem Mistvieh und Beseitigung gibts hier:

http://sasser.klaffke.de/

Hat mich auch gehelft!

[Timas]

.... bei mir rennt Win98 .... solche Probleme kenn ich gar nicht :grins:

Ernsthaft, warum geht Ihr mit so neuen Systemen in's Netz??

[Gast Joerky]

Heute noch ohne Firewall unterwegs zu sein ist wie Sex mit ständig wechselnden Partnern ohne Condom...

Hier kann man die kostenlose Version von Zonealarm runterladen - die sollte reichen um die Ports zu schließen, durch die der Mist rein kommt. Des weiteren macht Zonealarm auch auf Programme aufmerksam die eine Verbindung nach draussen aufbauen wollen und fragt nach ob das ok ist...

Nachteil einer solchen Firewall ist oftmals, dass nach deren Installation solche Sachen wie IRC oder div. Tauschbörsen nicht mehr laufen wollen, da die Ports die von den Programmen benutzt werden ebenfalls von der Firewall dicht gemacht werden. Eine Konfiguration auf Portebene ist in den wenigsten kostenlosen Firewalls möglich.

Da die meißten Dinger über Outlook oder den Internetexplorer reinkommen sollte man sich sowieso überlegen, ob die Benutzung dieser MS-Programme noch sinvoll ist. Als Browser ist Opera super und hat nen Mailclient gleich mit dabei.

Zu guter Letzt kann man ja noch ganz auf MS verzichten und auf Linux umsteigen - dann ist Ruhe mit sowas

Als Alternative: Windows auf PC eins und Linuxfirewall auf PC zwei - sicherer gehts nimmer! Hier anschauen - auch für Leute geeignet, die von Linux keine Ahnung haben!

Zum Abschluss: Es gibt Imaging Software! Man setzt seinen PC neu auf - installiert alles was man so braucht und configuriert alles nach wunsch. Dann erstellt man nen Image von der Festplatte (auf eine zweite Platte oder auf eine andere Partition). Wenn dann später mal alles abraucht, kann man mit dem Image den PC in 20 Minuten wieder herstellen - kein ewiges Installieren mehr!

Viel Text - aber vielleicht hilfts ja dem einen oder anderen...

[Lacknase]

\klugscheiß{on}

Zu Zonealarm: http://grcsucks.com/

Nicht wenige "Schädlinge" beenden solchen Kram auch einfach - je nach Privilegien, mit denen das Schiebereglersicherheit-Zeug läuft.

Zum Rest:

Du hast schlicht Recht, wenn Du schlicht weniger anfällige und insbesondere weniger stark in das OS eingebettete Anwendungen empfiehlst, aber Mozilla bzw. Firefox und Thunderbird finde ich persönlich g'wandter als Opera. Man beachte allein die "Lizenzpolitik" bzw. die Updatezyklen.

Und mal grundsätzlich gefragt: Was spricht denn dagegen, Windows erstmal bezogen auf die eigenen Bedürfnisse ordentlich abzusichern? Das sollte für den Anfang wie den weiteren Fortschritt allemal langen. Auch *BSD und Linux enthalten ebenfalls wie andere Unix-Derivate/-Clones genug Möglichkeiten, sich ins Knie zu schießen und das System kaputtzukonfigurieren. Jemand ohne Plan und Lernwillen ist mit Windows out of the box im Sinne der kalkulierbaren Sicherheit fast genauso "sicher" unterwegs wie mit der OpenBSD- oder RockLinux-Installation, die er gerade so noch hingebracht hat ohne zu wissen, wie eigentlich. (Spätestens, wenn man Benutzbarkeit und Betriebssicherheit im Sinne der Verfügbarkeit zur "Sicherheit" zählt, dürfte das definitiv so sein.)

Um es noch deutlicher zu sagen: Du glaubst doch nicht wirklich, daß jemand (niemand hier ist direkt angesprochen ), der glaubt, daß WindowsUpdate was mit Frühjahrsputz zu tun hat, und es noch dazu nicht gebacken kriegt, WixdosXPermiental oder 2000neueBugs so einzurichten, daß das ganze überflüssige Telephonie- und Dienstzeugs deaktiviert ist, sich mal eben einen Rechner als Router hinstellt, einen schlanken grsecurity-patched-Kernel aus den neuesten vanilla-Quellen kompiliert, die Entwicklungstools anschließend runterschmeißt, den DNS-Cache nebst WebProxy in einer chroot-Umgebung laufen läßt und vielleicht auch noch einen Paketfilter nebst TCP/IP-wrapper am Start hat, oder? Hallo? Wir leben in der Welt der offenen WLANs und Paßwörter-kleben-auf-dem-PostIT-am-Monitor-Benutzer.

Noch spezieller zu IPcop: das Produkt ist Müll, da es eine Menge $FEATURES implementiert, die mit der eigentlichen "Schutzfunktion" nix zu tun haben. Je komplexer, desto unsicherer. Und das Verständnis fördert es auch nicht. Hast Du die Doku mal gelesen? RemoteAccess per Mausklick? Einfach so mal eben? Keine Risikobeschreibung, nix. :plemplem: Noch dazu: Wenn der kernel oder OpenSSH oder die in Apache für die Fernwartung eingebundene OpenSSL-Bibliothek einen Bug hat, patcht den wer genau? Aha.

Lange Rede, wenig Sinn: Wer nicht kapiert, was da abgeht, und sich nicht einliest, ist mit"Fertiglösung" ebenso verraten und verkauft, wie mit Klickibunti-onboard-Lösungen a la Zonealarm. Wer sich hingegen einliest, wird feststellen, daß er z.B. Zonealarm ebenso wie IPcop nicht haben will bzw. schlicht nicht braucht. Wenn auch aus unterschiedlichen Gründen. Zugegeben.

In diesem Sinne würde ich zunächst dazu raten, lieber mit möglichst geringem Aufwand und ohne große Komplexitätssteigerung anzufangen, die gegebenen Mittel zu verstehen und zu nutzen. Da hat man genug zu tun. Alles andere ist vielleicht "kuscheliges Geborgenheitsgefühl" dank toller Technologie, aber nicht Sicherheit[TM].

\klugscheiß{off}

Bearbeitet 4. Mai 2004 von Lacknase

[Lucifer]

Auch wenn es nie eine absolute Sicherheit vor irgendwelchen Vollidioten und ihren ebenso "sinnlosen" Viren etc. gibt, so hat es sich doch bewährt, ein sich ständig aktualisierendes Sicherheits/Virenschutzprogramm laufen zu haben, nebst Firewall, und vorallem das Windows-Update regelmäßig drüberlaufen zu lassen.

Das hat sich bei mir bisher sehr gut bewährt.

Außerdem macht es Sinn, gewisse bekanntermaßen Viren-verseuchte Server bzw. Mails von dort auszuschließen,...

Ich habe z.B. mit dem Norton und dessen simpler Update-Funktion bisher sehr gute Erfahrungen gemacht. Ich bin weder ein "Auskenner" noch hab ich die Zeit mich ständig mit dem Wahnsinn irgendwelcher Geisteskranker auf dieser Welt auseinanderzusetzen...., die Spezialisten hier kennen bestimmt noch bessere Methoden, nur für Standarduser sind die meist eher ungeeignet.

Übrigens: McAffee am Firmenrechner hat fast alle zuletzt aufgetretenen Viren & Trojaner erstmal durchgelassen. Spätere Updates haben zwar dann geholfen, der notwendige Zeitaufwand richtete jedoch erheblichen Schaden an! Gleiche Erfahrungen hab ich früher auch privat gemacht...

Lotus Notes etwa hilft jenen, die viel internationalen Email-Verkehr pflegen, sich vor aktuellen Outlook-Viren zu schützen, und ist außerdem viel bedienungsfreundlicher, wenn man sich mal daran gewöhnt hat ;)

Frage an die Spezialisten: würde es helfen, Server auf Linux aufzubauen und dann die Peripherie auf Windows laufen zu lassen?

[semilla]

Frage an die Spezialisten: würde es helfen, Server auf Linux aufzubauen und dann die Peripherie auf Windows laufen zu lassen?

wozu denn immer linux? der vorteil liegt höchstens darin, dass es wenige bis keine viren gibt, die linux befallen. das ist allerdings nur eine frage von angebot und nachfrage und kann sich auch ändern. hinter einem linux-router sind windows rechner im übrigen auch weiterhin gefährdet, durch viren identifiziert zu werden...

die ganzen würmer richten deshalb so viel schäden an, weil unter windows (zumindest unter xp und 2000) standardmäßig programme (dienste) gestartet werden, die auf ankommende verbindungen aus dem netzwerk warten. wenn man nun eine ungeschützte internetverbindung herstellt, können diese programme halt auch aus dem internet angesprochen werden. thats all...

mit einer einfachen (nat-)firewall ist das problem schon behoben, ohne dass unter windows sicherheitspatche eingespielt werden oder gar irgendwelche konfiguration in den diensten vorgenommen werden müssen. eine solche firewall "merkt" sich, welche verbindungen ins internet hergestellt werden und lässt nur pakete aus dem internet rein, die sie als direkte antworten auf die ausgehenden anfragen identifizieren kann (=statefull inspection). alle anderen anfragen, die aus dem internet an den rechner gestellt werden, vor allem, wenn es sich um initiale anfragen handelt, werden konsequent abgewiesen.

guckst du z.B. hier:

http://www.avm.de/de/News/artikel/Wurm_Sasser.html

[Gast Joerky]

\klugscheiß{on}

Noch spezieller zu IPcop: das Produkt ist Müll, da es eine Menge $FEATURES implementiert, die mit der eigentlichen "Schutzfunktion" nix zu tun haben. Je komplexer, desto unsicherer. Und das Verständnis fördert es auch nicht. Hast Du die Doku mal gelesen? RemoteAccess per Mausklick? Einfach so mal eben? Keine Risikobeschreibung, nix. :plemplem: Noch dazu: Wenn der kernel oder OpenSSH oder die in Apache für die Fernwartung eingebundene OpenSSL-Bibliothek einen Bug hat, patcht den wer genau? Aha

\klugscheiß{off}

Ich hab nicht nur die Anleitung gelesen, sondern hab IPCOP in diversen Netzen eingesetzt. Die Kiste läuft mit 2 Netzwerkkarten - eine für DSL und eine für den Anschluss nach "innen" - und der RemoteAccess ist meineswissens nur von innen möglich - kär mich auf wenn ich da falsch liege.

Und das patches eingespielt werden müssen ist doch wohl klar - und bei IPCOP stehen die unmittelbar nach bekanntwerden einer Lücke bereit.

Zitat: einen schlanken grsecurity-patched-Kernel aus den neuesten vanilla-Quellen kompiliert, die Entwicklungstools anschließend runterschmeißt, den DNS-Cache nebst WebProxy in einer chroot-Umgebung laufen läßt und vielleicht auch noch einen Paketfilter nebst TCP/IP-wrapper am Start hat, oder? Hallo?

Zitat Ende

Das ist ja das schöne bei IPCOP - das eben genau das nicht notwendig ist.

Generell ist eine Firewall besser als keine - selbst wenn sie klicki bunti ist. Zweitens ist eine Firewall SINVOLLER wenn sie nicht auf dem zu schützenden System sondern davor - also auf einem anderen Rechner - läuft.

Zitat: In diesem Sinne würde ich zunächst dazu raten, lieber mit möglichst geringem Aufwand und ohne große Komplexitätssteigerung anzufangen, die gegebenen Mittel zu verstehen und zu nutzen. Da hat man genug zu tun. Alles andere ist vielleicht "kuscheliges Geborgenheitsgefühl" dank toller Technologie, aber nicht Sicherheit

Zitat Ende

Das wäre also bei XP die hauseigene Firewall? Und bei W2000 die regelmäßigen Patches von MS, bei denen hinterher mehr Lücken da sind als vorher??? :plemplem:

Dann doch lieber IPCOP - und die ganzen Attacken auf Port 135 oder 445 von w32blaster und lsass und wie sie alle heissen prallen an der Linux Kiste ab und mein Windowsrechner bekommt davon gar nix mit.

Klar - die Kollegas die nicht mal in der Lage sind, die MS Patches einzuspielen werden sich mit ner Firewall auf nem extra PC erst recht die Karten legen, aber denen kann man doch eh nicht helfen, oder?

Was sind denn Deiner Meinung nach die "Gegebenen Mittel" die man nutzen sollte? Ich meine, wenn Du schon sagst, das Zonealarm oder IPCOP nix taugen, dann beschreibe doch mal die Deiner Meinung nach besseren Alternativen etwas genauer.

[Werner Amort]

mein Virenprogramm (AntiVir) hat kürzlich (vorgestern) zwei mit dem Wurm MyDoom.A2 infizierte Dateien gefunden

habe dann die Dateien Gelöscht und kann auch sonst keine beinträchtigung am rechner feststellen

wars das jetzt oder muss ich sonst noch was machen

es Ist Windows XP instelliert

alle updates wurden gemacht immer

die neueste Version von Antivir ist drauf

und als Firewall arbeitet Zonalarm

gestern neue Version installiert

dann habe ich heute noch Ad aware 6 installiert

und gleich mal ordentlich spyware vom rechner genommen

wär sonst noch was zu machen???

oder reicht das um halbwegs sicher zu sein

bin Leider kein Auskenner sonder eher aus draufklopfer

[Lacknase]

Generell ist eine Firewall besser als keine - selbst wenn sie klicki bunti ist.

Totaler Blödsinn. Eine Firewall ist erstmal "nur" ein Konzept, kein Programm. Und Leute, die das nicht trennen können, würde ich per se für "konzeptlos" halten - verzeih den Wortwitz

\gebetsmühlenmodus{on}

Aber zur Sache an sich: Hast Du Argumente, die Deine Behauptung stützen können? Ich greife dem einfach mal vor und behaupte: Onboard-Paketfilter helfen nicht. Du bringst das Schloß ja auch nicht am Goldbarren an, sondern am Safe, wie Du selber weiter unten "als zu bevorzugende Strategie" schreibst. In allen Fällen von zusätzlichen "Schutztools" ist es sogar so, daß das System UNsicherer wird, da sie die Komplexität steigern und damit auch die Fehleranfälligkeit (incl. Fehlbedienung). Und wenn Du auch nur einen Moment über die lustigen applikationsbezogenen "Sicherheitsfeatures" von Zonealarm & Co. nachdenkst, kommst Du schnell auf den Trichter, daß Programmnamen, Bibliotheksbezeichnungen, COM-Objektnamen, etc. Schall und Rauch sind. Entsprechend die Schutzfunktionen.

Darum die Frage(n):

Wozu GENAU sollen ZA, Norton $KRASSEVIRENZERSTÖRUNG, Tiny$ICHBLOCKDICHFREI und wie sie alle heißen - nicht nur im Zusammenhang mit Viren - gut sein? Da würden mich mal die TECHNISCHEN Argumente interessieren. Insbesondere hinsichtlich der kritischen Punkte:

a) was ein "Schutzprogramm" mit vollständigem "Benutzerinterface" im UserSpace zu suchen hat?

b) wie ein "Schutzprogramm" auf dem zu schützenden Rechner sinnvoll laufen kann?

c) wie ein "Schutzprogramm", das mit Freigaben für Applikationen - noch dazu auf Namensbasis - arbeitet, die Schwächen der Applikationen, die teils mit Systemprivilegien laufen (InternetExplorer-Komponenten z.B.), selbst kompensieren kann?

d) wie ein User, der nicht mehr versteht als "$BUNTERSCHIEBEREGLER für $KRASSESICHERHEIT", die Meldung "$WindowsSystemIchBinWichtig.dll will auf das Internet zugreifen - Du Erlauben?" tatsächlich in ihrer Bedeutung wie auch Richtigkeit abschätzen können will?

e) wie Komplexitätssteigerung durch zusätzliche $BETRIEBSSOFTWARE zur Fehlerreduktion beitragen kann?

f) inwiefern ein ordentlich konfiguriertes $WINDOWS unsicherer ist, als ein garnicht konfiguriertes mit ZA und Konsorten.

Alles was ich bisher dazu von Dir las, war reine "Psychologie" bzw. beharrende Behauptung ohne Begründung. (Es gibt Kollegen, die sprechen in dem Zusammenhang sogar von "Volksverdummung".) Allein hinsichtlich der Frage, ob solche Zusatzprogramme "failsafe" sind, das heißt wenigstens in voraussagbarer Weise im Ernstfall "versagen", bleibt zumindest für mich ein großes Fragezeichen. Das gilt allerdings für viele Mechanismen/Technologien unter W32 - selbst beim mittlerweile stark verbesserten Dokumentationsstand - im allgemeinen.

Virenscanner helfen eben darum m.E. nach auch nicht, da sie - wie beschrieben - nur "aufhalten" können, was sie "kennen". Kalkulierbare Sicherheit gleich Null. Nachdem die Mutationen aber mittlerweile sehr schnell auftreten, und die größte Gefahr von dem Zeug - neben social engineering - ohnedies in unsicheren OutlookExpress-, InternetExplorer-Einstellungen liegt (automatisches Preview, Nachladen eingebetteter Objekte, manipulierte COM-Objekte, etc.), kann man sich den Aufwand sparen. Noch dazu wäre das Zeug so oder so bereits auf dem Rechner. Eine vorauszusetzende "first line of defense" hätte bereits versagt bzw. wäre nicht existent. Mailfilter, die attachments bereits auf dem Server strippen, hielte ich für schlauer.

Man lese zu all dem das grundsätzliche, nette Artikelchen: http://www.fefe.de/pffaq/halbesicherheit.txt

\gebetsmühlenmodus{off}

Zweitens ist eine Firewall SINVOLLER wenn sie nicht auf dem zu schützenden System sondern davor - also auf einem anderen Rechner - läuft.

[...]Dann doch lieber IPCOP - und die ganzen Attacken auf Port 135 oder 445 von w32blaster und lsass und wie sie alle heissen prallen an der Linux Kiste ab und mein Windowsrechner bekommt davon gar nix mit.

Klar - die Kollegas die nicht mal in der Lage sind, die MS Patches einzuspielen werden sich mit ner Firewall auf nem extra PC erst recht die Karten legen, aber denen kann man doch eh nicht helfen, oder?

Was sind denn Deiner Meinung nach die "Gegebenen Mittel" die man nutzen sollte? Ich meine, wenn Du schon sagst, das Zonealarm oder IPCOP nix taugen, dann beschreibe doch mal die Deiner Meinung nach besseren Alternativen etwas genauer.

Ganz einfach: Unnötige Dienste nebst DCOM deaktivieren, weniger fehleranfällige Programme mit möglichst schlankem Code einsetzen, Dateierweiterungen sichtbar machen, Brain2.0 aktivieren etc. etc. Anleitungen gibt es genug. Tante Google hilft. Wer also WindowsNT/2k/XP/2k3 installiert und eben die DCOM- bzw. Dienstumgebung nicht anpaßt, sowie gerade bei XP/2k3 den ganzen Zustazkram (epmap, mtaskp, ssdp, alg, microsoft-ds, upnp etc.) pauschal laufen läßt, hat ein Problem jenseits der Technik. Wer das Zeug beendet, hat eine Kiste OHNE offene Serviceports. (Incl. 445.) So what?

Zu IPcop im speziellen nochmal:

Daß man etwa auch IPcop updaten/neuinstallieren KANN, ist klar, aber es hilft denen nicht, die eben WU auch nicht kennen. Wenn Du schreibst, daß Du die Doku gelesen hast und dabei dennoch nicht skeptisch wurdest, spricht das m.E. für sich. Nochmal: Jemand, der sich mit *NIX/*NUX auskennt, braucht und will es nicht. Der Rest kann es nicht "wissend" konfigurieren. Und das dürfte die Mehrzahl sein. Aber um auszuschließen, daß ich nicht arrogant etwas übersehen habe, die Gegenfrage: Was ist denn Deiner Meinung nach der Vorteil von IPcop gegenüber einer minimalen debian-, gentoo-, RockLinux- oder OpenBSD-Installation? (Die Nachteile habe ich bereits genannt: es enthält "defaultmäßig" Komponenten, die unnötig und/oder risikobehaftet sind. Noch dazu ohne daß in der Doku darauf aufmerksam gemacht würde.)

Bearbeitet 5. Mai 2004 von Lacknase

[Gast Joerky]

Hmm - langsam wirds mir zu kompliziert... Was bist Du von Beruf???

Also warum ich IPCOP bevorzuge liegt auf der Hand: Da wir uns ja schon einig sind, dass das Schloß nicht am Goldbarren sondern am Safe Sinn macht ist also eine Firewall auf einem separaten Rechner angesagt.

Da hier im Forum - mich eingeschlossen - kaum jemand Ahnung hat wie man so ein schlankes sicheres Linux aufsetzt, ist IPCOP sozusagen die Fertiglösung - die meiner Meinung nach um einiges sicherer als Zonealarm oder die XP eigene Firewall ist.

Um bei w2k3 und xp das ganze Zeugs abzuschalten, damit zwangsläufig port 445 usw dann dicht sind, dazu muss man erstmal wissen, dass eben dieses Zeug was mit dem Port zu tun hat. Da hilft google eben nur, wenn man weiß, wonach man suchen muss. Und wer weiß das schon...

Mag sein dass ich hier mein gefährliches Halbwissen zur Schau gestellt habe, aber ich unterstelle mal, dass ich mit meiner Lösung mit meinen w2k Rechner mit bedeutend geringerem Risiko im Netzt unterwegs sein kann, als es Kollegen tun, die nur MS patches installieren und ansonsten die XP Firewall anknipsen.

Eine schlechte Lösung ist immer besser als gar keine Lösung, oder? Und die Lösung muss ja auch immer für den User praktikabel sein - und da ist eben IPCOP so eben noch machbar für die ganze mäuseschubsende Generation.

[Lacknase]

Hmm - langsam wirds mir zu kompliziert... Was bist Du von Beruf??? 

Ist unerheblich. Die von mir benutzten Argumente findest Du in Büchern, Sicherheitsanleitungen oder Code-Dokumentationen. Bzw. Gegenargumente kannst Du aus dem faktischen Fehlen derselben gewinnen. Der Rest ist Logik.

Also warum ich IPCOP bevorzuge liegt auf der Hand: Da wir uns ja schon einig sind, dass das Schloß nicht am Goldbarren sondern am Safe Sinn macht ist also eine Firewall auf einem separaten Rechner angesagt.

Das setzt aber immernoch voraus, daß man

a) ein Schloß braucht, weil etwas offen ist.

b) man es nicht anders und vor allem einfacher schließen kann.

Dem ist aber m.E. bei $STANDALONEDADDELKISTE mit Internetzugang nicht so. Überdies: Zahlst Du Deine Stromrechnungen selber, oder wird das bei Dir pauschal abgeglichen? Hast Du soviel Platz?

Da hier im Forum - mich eingeschlossen - kaum jemand Ahnung hat wie man so ein schlankes sicheres Linux aufsetzt, ist IPCOP sozusagen die Fertiglösung - die meiner Meinung nach um einiges sicherer als Zonealarm oder die XP eigene Firewall ist.

Um bei w2k3 und xp das ganze Zeugs abzuschalten, damit zwangsläufig port 445 usw dann dicht sind, dazu muss man erstmal wissen, dass eben dieses Zeug was mit dem Port zu tun hat. Da hilft google eben nur, wenn man weiß, wonach man suchen muss. Und wer weiß das schon...

Mag sein dass ich hier mein gefährliches Halbwissen zur Schau gestellt habe, aber ich unterstelle mal, dass ich mit meiner Lösung mit meinen w2k Rechner mit bedeutend geringerem Risiko im Netzt unterwegs sein kann, als es Kollegen tun, die nur MS patches installieren und ansonsten die XP Firewall anknipsen.

Eine schlechte Lösung ist immer besser als gar keine Lösung, oder? Und die Lösung muss ja auch immer für den User praktikabel sein - und da ist eben IPCOP so eben noch machbar für die ganze mäuseschubsende Generation.

Mag sein, daß IPcop Technologie enthält, die grundsätzlich dem TCP/IP-Stack von w2k oder XP überlegen ist. (Ich würde es jederzeit unterschreiben.) Aber diese Feststellung hat an sich - wei semilla oben auch schon schrieb - mit Sicherheit nichts zu tun. Das Betriebssystem ist erstmal total Banane. Du kannst nur sicher sein, wenn Du weißt, was Du tust. Das setzt zuallererst voraus, daß Du das, was Du da hast, bedienen kannst. Wenn nicht, mußt Du lernen. OutOfTheBox-Lösungen können darum eben nicht funktionieren. Sie geben Dir nur das Gefühl von Sicherheit. Vertrauen mußt Du nach wie vor anderen. Und für mich ist Herr Gibson per se ebenso vertrauenswürdig wie die Jungs von IPcop. (Wenn es darum geht, Doku zu lesen oder Code anzusehen, wendet sich das Blatt ein weing zu gunsten der Jungs von IPcop.) In diesem Sinne (und nur in dem) würde ich meinen, daß Du den Risikovergleich so lange anderen überlassen mußt, wie Du nicht weißt, was Du tust. Der Rest ist Marketingpsychologie.

Was wiederum den "halben" Vorteil "schlechter Lösungen" angeht, so würde ich fragen wollen, ob eine "Lösung", die mein Problem gar nicht löst, sondern im besten Falle nur "verlagert", im dümmsten Falle sogar forciert, den Namen "Lösung" verdient hat. Ich habe da ja arge Zweifel. Technologie kann das Denken im Umgang mit ihr nicht ersetzen. Je komplexer die Technologie, desto mehr Arbeit (und Möglichkeiten, zugegeben).

[Gast Joerky]

Das setzt aber immernoch voraus, daß man

a) ein Schloß braucht, weil etwas offen ist.

b) man es nicht anders und vor allem einfacher schließen kann.

Dem ist aber m.E. bei $STANDALONEDADDELKISTE mit Internetzugang nicht so. Überdies: Zahlst Du Deine Stromrechnungen selber, oder wird das bei Dir pauschal abgeglichen? Hast Du soviel Platz?

Also mein Rechner ist genausowenig den ganzen Tag an, wie der IPCOP Rechner - wenn ich arbeiten will, schalte ich ihn an und wenn ich ins Netz will, fahre ich eben de IPCOP auch noch hoch - und fahre ihn nach der Sitzung eben wieder runter. Nix viel Strom... Der IPCOP hat keine Tastatur, keine Maus und keinen Bildschirm - das kann man nach der installation alles abklemmen - daher nimmt er auch so gut wie keinen Platz in Anspruch.

b) Anders und einfacher...

Nenne mir eine Lösung mit separater Firewall für einen W2K Rechner die anders und einfacher ist.

Wie gesagt - ich wüßte aus dem Stehgreif auch nicht, wonach ich googeln muss und welche Dienste in meinem w2k laufen, die ich nicht brauche und aus Sicherheitsgründen stillegen sollte - nur mit dem IPCOP brauch ich es auch nicht zu wissen - allerdings - und da muss ich Dir Recht geben - verlasse ich mich da auf das, was ich auf der Webseite von IPCOP gelesen habe.

Ist eben so ein Spagat zwischen dem von Dir beschriebenen "nur sicherem Gefühl" und dem bisschen was man weiß.

Und IPCOP "fühlt" sich echt sicherer an - die anderen Firewalls die auf den Windozebüchsen zu installieren sind fühlen sich eher mies an. Ein weiteres gutes Gefühl bringen mir die schnellen patches zu IPCOP - wird eine Lücke bekannt, wird sie wesentlich schneller gestopft als der teure Norton oder der umsonst ZA das je könnten. Allerdings bemerke ich gerade, das eben diese Lücken die ja so schön schnell geschlossen werden eben vorher länger unentdeckt auch im IPCOP vorhanden waren. :wasntme:

Naja - zu guter letzt habe ich noch ein besseres Gefühl wenn eben nach aussen nur ein *ux oder *ix zu sehen ist - die meisten Angriffe zielen doch eher direkt auf MS Kisten.

Interessantes Gespräch - hätte ich nur mehr Zeit mich da mal in die Geschichte mehr reinzulesen - aber dazu arbeite ich zu viel und habe ja auch noch Familie...

[Lacknase]

1.) Gammel hatte oben eine Beschreibungsseite zum sasser gepostet. Die wiederum enthielt einen Link zu dem hier:

http://www.ntsvcfg.de/

Bereits die ersten Hinweise zur Dienst- und Programmkonfiguration langen m.E. vollkommen für das angedachte Szenario, auch bei w2k. Überdies wird ganz gut erklärt, was was eigentlich macht.

2.) Auf den einschlägigen Security-Seiten (bugtraq, CERT, etc.) und Mailinglisten ebenso wie in den Foren und Newsgroups zum Thema Betriebssicherheit findest Du teilweise sogar Herstelleranleitungen (ja, Mickey$oft gibt sowas tatsächlich mittlerweile heraus), wie man Dienste in welchem Falle konfigurieren sollte.

3.) Eine "Firewall"-Lösung für eine einzelne w2k-Büchse leuchtet mir zwar per se nicht ein, aber hängt dann wohl vom Bedarf ab. Ich würde für den Homebereich ohne dolle Proxy-Lösungen immer auf etwas möglichst Minimalistisches, bevorzugt einen reinen IPfilter setzen. Wenn man den Platz für das PC-Gehäuse erübrigen kann, fli4l. Jedenfalls etwas, das mit einem möglichst funktionsarmen, bevorzugt noch "abspeckbaren" Setup daherkommt. Also kein WebInterface, kein Webmin etc. Aber ob es sowas wie bereits gesagt überhaupt braucht?

Bearbeitet 5. Mai 2004 von Lacknase

[Gast Joerky]

Ob man das braucht ist ne gute Frage...

Wie gesagt - der gewusst wie Konfiguration des OS steht die "ich bau einfach ne Firewall davor" Lösung gegenüber.

In meinem Bekanntenkreis benutzen 90% aller User ZA auf dem Rechner, den es zu schützen gillt und die sind auch zufrieden und haben keinen Ärger - da ist die Linuxlösung sicher nicht gerade minimalistisch im Vergleich, aber sinvoller allemal.

Wenn man also nen alten PC rumliegen hat - warum nicht?

Hat vor allem den Vorteil dass mehrere Rechner im Netzwerk darüber surfen können und man nich an jedem PC einzeln rumschrauben muss - also spätestens wenn man 1-2 PCs und ev. noch nen Notebook hat und mit allen mal ins Netz will, ist doch die IPCOP Lösung sehr praktisch. fli4l kenne ich nur vom Hörensagen - ich vermute dafür muss man wieder mehr Ahnung vom Linux haben, oder?

[Lacknase]

Sorry, nix gegen Deine Bekannten. Aber Millionen Fliegen irren auch nicht, oder? Das ist doch bitte kein Argument. Es heißt höchstens, daß Deine Bekannten (wie viele andere auch) nicht wissen, was sie tun. Wenn Du mit der von Dir gewählten abweichenden Lösung glücklich bist, bitte sehr. Ich will Dich nicht "missionieren". Ich möchte nur zu bedenken geben, daß kalkulierbarer Sicherheitsgewinn zuallererst zu erzielen ist, indem man unnötige Funktionen, Automatismen und fehleranfällige Komplexität minimiert. Erst wenn man das gemacht hat und damit nicht alle Ziele erreichte, wird man über Funktionserweiterungen nachdenken müssen. Und die würde ich an sich gut prüfen. Es ist nicht alles Gold ...

[Gast Joerky]

Sorry, nix gegen Deine Bekannten. Aber Millionen Fliegen irren auch nicht, oder? Das ist doch bitte kein Argument.

Sollte es auch nicht sein! Sollte nur darstellen, dass viele Kollegen mit weit weniger Aufwand auch glücklich sind. Die meinen auch ich spinne weil ich nen extra PC dafür habe und der Meinung sind, ZA kann nicht sein weils ja funktionopelt... :plemplem:

So richtig weiß ja kaum einer was er tut - die meisten machen eh nur das nach, was sie von anderen hören ohne nachzudenken. "Ey - ich hab ZA - bei mir kommt keiner rein" - "Cool - nehm ich auch..."

Ich bin auch immernoch der Meinung, das ZA einen "gewissen" Schutz bietet - wobei ich natürlich kaum weiß, was da passiert. Transparente Einstellungen gibt das ZA Teil ja nicht her.

Aber das ist ja genau der Grund warum es so viele toll finden - nicht nachdenken, nix wissen, funktioniert schon. Und wenn man dann nochmal so schlau ist und nen Logfile findet und schaut was es alles geblockt hat ist man ja glücklich...

Wie gesagt - für mich "fühlt" sich ipcop besser an

[Dr.Paulaner]

na andi..simmer mal wieder soweit*schmunzel*

[Lacknase]

Weißt ja wie das ist ... eine langweilige Mittagspause, und schon isses passiert

[Mad Marc]

Ohgottogottogott und ich bin's wieder Schuld Zum Thema: Ich hab (Dank mehrerer Nachhilfestunden von Andi) mittlerweile nen XP Rechner OHNE Firewall (Also ZA oder Norton oder so) und ohne Antivirus, dafür mit nem ordentlich durchkonfiguriertem BS. Ach ja, ist mal einem das Datum bei dem Patch von Winzigweich aufgefallen? 12.4.! Da hätten ne menge Leute ihre Kisten Patchen können bis der Wurm geschrieben war...

[Eistee]

Ich verstehe in diesem topic max. jedes 2te Wort :plemplem:

[tintifax]

macht nix, geht mir im lf bereich so

[Lacknase]

Aus aktuellem Anlaß

http://www.heise.de/newsticker/meldung/47316

*KOMPLEXITÄTREDUZIEREN*NICHTMEHRALSNÖTIGINSTALLIEREN*KOMPLEXITÄTREDUZIEREN*

:uargh: