Zitat:

dass man da die Wahl hat: Kostenlose FW mit gekauftem AV Programm vs. Internet Suites vs. Win-FW und Einsatz von kostenlosem AV Programm....

Sicher hat man die Wahl...
Wenn da nicht diese Rechner von der Stange wären, die zB mit Testversionen von Irgendeiner Suite zugekleistert wären und dramatisch-hysterische Meldungen von sich geben, wenn dieser "Schutz" nach Ablauf des Testzeitraums bald verfällt.
Hinzu kommen Provider, die automatisch ihren Kunden ein "Sicherheitspaket" bei der Flat reinpacken, die man nach x Monaten schriftlich kündigen muss, sonst darf man auch bei Nichtnutzung um die 5 EUR im Monat bezahlen
Bei Abbestellung kommen dann Aussagen wie "kostenlose Produkte können ja niemals so gut schützen wie die Produkte unserer Premiumpartner" oder ähnliches Marketinggeblubber

Zitat:

Und jetzt mal bitte Butter bei de Fisch: WER von Euch schaltet ABSICHTLICH seine Win 7 FW aus?

Soll das eine Antwort oder nur eine Reaktion auf meine Frage bzgl. des Routers sein?

Zitat:

Zitat von Richie_10

Danke für den Link!

Lehne diese Suites keinesfalls ab, hast mich vlt. missverstanden?! Was ich sagen will, ist, dass man da die Wahl hat: Kostenlose FW mit gekauftem AV Programm vs. Internet Suites vs. Win-FW und Einsatz von kostenlosem AV Programm....

Und jetzt mal bitte Butter bei de Fisch: WER von Euch schaltet ABSICHTLICH seine Win 7 FW aus?

Ich. Ist allerdings keine Windows 7 Firewall sondern der Paketfilter "IPtables" der im Linux Kernel bereits vorinstalliert, bei OpenSuse aktiv, bei Ubuntu dagegen im Standardzustand nicht aktiv ist.

Wozu: das ist die einfachste Methode wenn ich meinen Eltern per VNC "reverse connect" von ihrem Win 7 PC aus Computerhilfe gebe.

Die Architektur dabei: eine Fritz Box (mit der sich das VNC Programm auf dem PC meiner Eltern Bash-gesteuert verbindet) , die VNC Verbindung wird von der Fritz Box auf meinen Linux PC weitergeroutet.

Somit ist meine Kiste weiterhin durch den Paketfilter in der Fritz Box geschützt.. zumal ich den Linux PC auch immer aktuell halte.

Warum ? War die einfachste Methode da diese VNC Fernwartung nicht so oft vorkommt. Bei normaler Nutzung wird der PC dann zusätzlich noch durch den Paketfilter geschützt falls doch mal (verstümmelte) Pakete über diesen "geforwardeten" Port reinkommen sollten. (Da der VNC Client bei mir normalerweise nicht läuft würden korrekte Pakete eh keinen Schaden anrichten..)


Im Gegensatz zu "Sicherheits Suites" und "Personal Firewalls" ist Iptables ein einfacher Paketfilter und versucht nicht gleichzeitig noch eine Verhaltenserkennung a la Threatfire und ein Intrusion Detection System a la Snort zu emulieren. (Leider fängt die Windows Firewall auch mit solchem Blödsinn an.. das schützt höchstens gegen Script Kids.. )


Nochmal die Hauptgründe warum auf PCs deren Besitzer mich um Rat fragen keine PFWs installiert sind:

1. für Laien sind die Meldungen schwer zu verstehen, zumal viele missverständliche Meldungen dabei sind ("Ping" wird als Angriff dargestellt etc...) damit die Leute glauben die Software sei ihr Geld wert. (Ups.. stimmt, ich glaube das nicht... ) (Reine Paketfilter oder echte IDS Systeme nerven nicht mit Pop Up Meldungen sondern loggen in eine Datei.. und können so konfiguriert werden dass sie in dringenden Fällen eine Mail oder SMS an den Admin schicken...)


2. durch Installation zusätzlicher Software an kritischen Stellen / mit Admin Rechten wird das Risiko von Sicherheitslücken eher erhöht als erniedrigt. (Manche PFMs verwenden "hooks" und Rootkit Techniken.. sollte ein Schadprogramm also eine Firewall "kapern" hätte man ein richtiges Problem im System)

3. Echte Schadsoftware kommt von innen an der Firewall vorbei ins Internet.

4. "Phone Home" Software erkenne ich indem ich nach Neuinstallation von Software "mittelmäßigen Vertrauens" (sollte man eh vermeiden, hier ging es mal nicht anders)

a) einen Portscan auf dem Rechner durchführe (ich ließ mir tatsächlich mal das Geld für Software zurückerstatten nachdem die auf dem installierten Rechner einfach einen Port ins Internet aufgemacht hat.. habe nie erfahren wozu der gut sein sollte...)

b) einen zweiten Rechner im Netz mit "ntop" mitlauschen lasse ob verdächtige Verbindungen aufgebaut werden.

Meine Methode zu 4. hat den Vorteil dass diese Programme nur dann laufen wenn sie Sinn machen.. die ntop Methode sogar dass eventuelle Spionagesoftware keine Chance hat diese Methode zu erkennen und sich zu tarnen...

5. Der Ressourcenhunger solcher Möchtegern IDS Systeme sollte nicht unterschätzt werden. Die bremsen einen Rechner ganz schön aus, wenn man an ihrem Nutzen zweifelt wird man sie also nicht einsetzen.

Das wären mal meine fünf Hauptgründe warum ich solche Software nicht installiere. Wenn ich eine Heimnetz mit erhöhtem Gefährdungspotential (z.B. ein Teenager-Sohn wäre eins...) hätte würde ich wahrscheinlich ein IDS wie Snort auf einem kleinen separaten Rechner im Netz mitlaufen lassen und ab und an in die Logdateien reinsehen.

Zitat:

Zitat von W_Dackel

Ich. Ist allerdings keine Windows 7 Firewall sondern der Paketfilter "IPtables" der im Linux Kernel bereits vorinstalliert, bei OpenSuse aktiv, bei Ubuntu dagegen im Standardzustand nicht aktiv ist.

Wäre es da nicht einfacher/sinniger deinen Eltern ein Skript irgendwohin zu legen, dass VNC startet wenn man es ausführt?
Oder gibt es einen anderen Grund, dass ständig iptables laufen muss?

Könnte man nicht statt VNC auch einfach den Teamviewer nehmen?

Cosinus:

Ja da hast Du recht.

Bei meinem neuen Travel Mate auch erst mal Uninstall McAfee machen müssen...
Wobei unnötige Software ja auch schon bei den Richmond-Leuten anfängt: Windows Live liess sich nur über google.exe entfernen und das gute AES-Verschlüss. Prog. lassen die in der Home Edition gleich ganz weg, grrr.

@ W.Dackel:

Guter Post.
Sehe Deinen Hintergrund, argumentativ fundiert.
Beschäftigung mit Linux steht schon viel zu lange auf meiner "To Do List".

Eine Frage an Dich: Was rätst Du denn deinen Bekannten, wie sie im Falle einer Software-Installation überprüfen, ob die nach Hause funkt oder nicht (im Falle von Windows)?
FW empfiehlst Du ja nicht und IDS/HIPS auch nicht, wenn ich das richtig verstanden habe.

Zu Punkt 5 muss ich sagen, habe früher Cyberhawk und das frühe Threatfire genutzt, davor das kleine "Programmchen" Scotty alias Winpatrol. Beide verlangsamten wirklich den PC und führten oft (Winpatrol) zu freezed PC.

Das Einsatzgebiet von Tools wie Wireshark oder Snort würde ich eher bei kleinen bis mittleren Netzwerken sehen und nicht so bei der Konstellation DSL Router und dahinter 1-2 Home PC´s.
Ein richtig gutes HIPS ist schwer zu finden, soll heissen, muss qualitativ gut sein und den Benutzer hinsichtlich der Meldungen nicht "überfordern".
Verhaltenorientiert habe ich da gute Erfahrungen mit Mamutu gemacht.
Man muss natürlich mit den false positives leben können, "schmeckt auch nicht jedem".

Zitat:

Eine Frage an Dich: Was rätst Du denn deinen Bekannten, wie sie im Falle einer Software-Installation überprüfen, ob die nach Hause funkt oder nicht (im Falle von Windows)?
FW empfiehlst Du ja nicht und IDS/HIPS auch nicht, wenn ich das richtig verstanden habe.

Ich bin zwar nicht der Dackel aber:
Man sollte sich da mal nicht verrückt machen lassen.
Ich belass es dabei konsequent auf vertrauenswürdige Software zu setzen. Phonehome lässt sich eh nicht zuverlässig aufhalten v.a. nicht mit solchen Dingen wie Personal Firewalls wie sie unter Windows wie Sand am Meer zu haben sind.
Die Nachteile sind so überwiegend, dass derartige Software eigentlich schon absurd ist, v.a. seitdem man schon seid WindowsXP einen Paketfilter hat, der eigentlich mehr garnicht braucht.

Wenn du dir derart über Sicherheitsgeschichten Gedanken machst, ist ein hostbasierter Paketfilter eh der völlig falsche Ansatz. Aber mit steigender Anforderung steigert auch unweigerlich der Aufwand bzw. steigen die Kosten. Wer diesen Bedarf hat, tja der kann ja gerne in eine Watchguard, Astaro (nun heißt sie SophosUTM) oder zB auch was völlig freies wie m0n0wall Zeit und/oder Geld reinstecken, aber bei der nächsten LiesMüller reicht ein Router mit Windows-Firewall und $virenscanner mehr als dicke aus.

Habe dir eine PN geschickt die praktisch das Gleiche sagt wie das was Cosinus hier postet.

@Cosinus: hatte diverse Gründe. Kollegen mit ähnlichen Themen verwenden Teamviewer, allerdings gab es den noch nicht in der kostenlosen Variante als ich mich mit dem Thema zum ersten mal auseinander setzte. Außerdem will ich keine privaten Daten über irgendwelche Firmenserver in den USA leiten.. aus Prinzip.. warum sollte man es "denen" derartig einfach machen ?

Meine Methode ist die dass ein Batch Script auf dem Rechner meiner Eltern angeklickt wird, per "get" eine kleine Batch Datei von meiner Homepage holt in der ich den Reverse Connect Befehl und meine IP eingetragen habe (das Ganze geht also sogar ohne dyndns..) und startet dann den VNC reverse connect auf meinen PC 100 Km von meinem Elternhaus weg...

Für "Otto Normalverbraucher" zu umständlich, aber bei mir hat es sich ganz gut bewährt da meine Eltern nur ein Icon klicken müssen, und der ganze Confi Aufwand bei mir liegt.

Außerdem bleibt kein Port zu einem VNC Server ins Internet offen, d.h. aus Sicherheitsgesichtspunkten ist die Lösung ziemlich gut..

Zitat:

Außerdem will ich keine privaten Daten über irgendwelche Firmenserver in den USA leiten.. aus Prinzip.. warum sollte man es "denen" derartig einfach machen ?

Ich wusste das dieses Argument kommt
Warum machst du keinen VPN-Tunnel zu deinen Eltern-Router auf und dann gleich alles über RDP...
Oder VNC auf den Eltfern-PC ist nur lokal errreichbar, von außen noch ein SSH-Server und dann tunnelst du VNC durch SSH ja wo ein Wille ist da ist auch ein Busch

Zitat:

Außerdem bleibt kein Port zu einem VNC Server ins Internet offen, d.h. aus Sicherheitsgesichtspunkten ist die Lösung ziemlich gut..

Aber dann ist bei dir ein Port offen, du hast den VNC-Viewer dann im ListeningMode oder?
Naja lieber bei mir ne Schraube offen als bei meinen Eltern

Exakt. Lieber bei mir eine Schraube locker als bei meinen Eltern, zumal ich die nach Beendigung der Remote Hilfe sofort wieder festdrehe...

SSH wird irgendwann mal implementiert.. zur Zeit tuts noch unverschlüsselt..

SSH mit Zertifikat ist natürlich die Königslösung, aber da wollte ich mich noch nicht einarbeiten.. muss ich erst mal hier in meinem Heimnetzwerk ausprobieren.. und zur Zeit will ich eigentlich die Zeit die ich vor dem PC sitze reduzieren .. nicht ausbauen..

Zitat:

SSH mit Zertifikat ist natürlich die Königslösung

Langsam aber hörst du dich an wie Nimmersatt
Kümmere dich um ein "sauberes" VPN dann kann dir das Protokoll zur Wartung völlig egal und klarer als Klartext sein

.. zumal die Fritz Box das anscheinend in den neueren Firmware Versionen direkt anbietet.. muss nur noch herausfinden wie ich das ohne DynDNS hinkriege.. aber wie ich dir schon geschrieben habe will ich eigentlich _weniger_ statt _mehr_ Zeit im I-Net "abhängen" ;-) daher widerstehe ich der Versuchung noch ein wenig...

Zitat:

wie ich das ohne DynDNS hinkriege..

Static IP?

Zitat:

Zitat von cosinus

Static IP?

Wash your mouth with soap !

Ich esse übrigens keinen Honig.. wie Chuck Norris esse ich Bienen direkt ..

Gute Nacht Arne!

Du brauchst auch keine Türen, du gehst durch Wände - und wenn dir langweilig ist zählst du abends 2x bis unendlich

Frage an die Spezialisten wie Cosinus u.a.:

Ist es ein sicherheitstechnisches Problem, dass svchost.exe in den dynamischen Ports ab ca. 49.000 permanent freigegeben ist?

Bei meiner FW ist das so ab Werk eingestellt, dass alle TCP/UDP von svchost.exe auf allen Ports erlaubt ist.

Gestartet wird der Prozess meist von services.exe (ist auch keine große Hilfe, denke ich).

Spezifikationen:

UDP lokaler Port 59071 entfernter Host Router Entfernter Port dns (53)


oder dies

UDP Lokaler Port 55319 entfernter Host Router Entfernter Port llmnr (5355)

oder dies

UDP Lokaler Port 56969 entfernter Host 239.255.255.250 Entfernter Port ssdp (1900)

Wenn das bedenklich sein sollte: Welche sinnvollen Einschränkungen hinsichtlich der startenden erlaubten Prozesse (services.exe) oder auf welchen Ports das ganze laufen soll, kann man da eingeben?

Nachtrag: Richtung alles ausgehend!

Ist das dein ernst?
Wenn du mehr oder weniger ein Verfechter von PFWs bist, solltest du wissen was das ist:

- svchost.exe
- services.exe
- Dienste DNS, LLNMR und SSDP
- Host 239.255.255.250 (welches Subnetz ist das, recherchier und überleg dann mal)

Überleg auch mal was passieren würde wenn du diese Kommunikation unterbinden würdest! Gerade was DNS angeht!

Zitat:

Nachtrag: Richtung alles ausgehend!

Prinzipiell auch mal den Sinn der Überwachung ausgehenden Traffics überlegen. Behalte im Hinterkopf, dass ausgehender Traffice nicht zuverlässig kontrolliert oder unterbunden werden kann.