Hi,

Ich will jetzt den ganzen Norton Mist runterwerfen (Firewall,
Systemworks, Antivirus, GoBack) was kann ich dafür alternativ draufmachen? Es sollte Freeware sein.

Für GoBack brauch ich keinen ersatz, das Ding verlangsamt den ganzen Computer.

mmm...

Der einzige kostenlose Virenscanner ist Antivir, Firewalls gibt es 3 alternativen, wobei die meisten entweder zu Sygate oder zu Kerio tendieren und eine Alternative für Systemworks wüsste ich so nicht, was davon brauchst du den unbedingt? Klick Signatur für Links ...

Also für Systemworks hab ich TuneUp 2004, das ist um längen besser, ich benutze das von Nortin gar nicht, ich will nur nen
Firewall und nen Virenscanner, ist der Viren-Scanner so gut wie der von Norton? Und der Firewall, kann der mit dem Norton mithalten?

mmm...

Laut Tests ist Antivir etwas besser als Norton, aber beide sind nur im oberen Mittelfeld angesiedelt, die besten Scanner sind F-Secure und GData (AVK), wobei beide die Engine von Kaspery Labs und von F-Prot benutzen und dadurch so hohe Trefferquoten erreichen. F-Secure hatte letztens be Heise einige Nachrichten bezugnehmend auf Sicherheiten gehabt, keine Ahnung, ob die Sachen gefixt wurden. F-Secure und Antiviren Kit von GData kosten aber Geld ... die Firewalls selber sind genauso brauchbar wie die von Norton (schützen gegen Scriptkiddies und Würmer von draussen, fängst dir irgendwas durch Outlook ein, kann es sein, das die Firewall ausgeschaltet wird) ...

Kann man bei Kaspersky Antivirus (Trial aber alle Funktionen) überhaupt e-mails scannen? Habe Pegasus Mail.

Danke, dann hat sichs erledigt, Norton runter und den Firewall von Sygate + Antivir drauf.

Beide sind besser, aber brauchen die mehr Leistungsreserven?

Nein.
Antivir braucht sogut wie garnichts.
Norton Antivirus ist ein Ressourcenfresser, weg damit!

Ok, danke !
Weg mit Norton :D

Vor kurzem konnte man sich bei Microsoft eine Sicherheits-CD bestellen.
Auf der waren alle Patches bis Feb/März 04 drauf.
Zusätzlich hat man noch eine CD bekommen mit F-Secure Internet Security 2004 /(Desktop-Firewall,AntiVirus) mit einer Laufzeit von 6 Monaten und mit der bin ich eigentlich zufrieden.

Der link wo man sie bestellen konnte wurde auch hier im Forum gepostet.
Einfach mal hier im Forum oder auf der Microsoft Seite suchen.
Vieleicht gibt es ja das Angebot noch.

Nur mal so, Antivir schaut nicht in deinen Mails nach Viren...
Was habtn ihr alle gegen Norton ? Das is schon wieder wie so ne Hetzkampagne, einer sagt irgendwas und alle anderen plappern es nach. Norton Antivirus ist nach wie vor ein sehr gutes Programm, über die Firewall kann man sich streiten, die verlangsamt das Netzwerk wirklich erheblich. Wer wirklich guten Virenschutz will, der muss nun mal etwas von seinen Systemresourcen abknabbern lassen. Aber sind wir mal ehrlich, merkt irgendwer im Alltag tatsächlich so nen fetten Unterschied bzw. überhaupt einen ?! Die meisten hier brauchen ihre tolle Kiste doch eh nur zum zocken und zumindest da merkt man mit oder ohne aktiven Virenscanner keinerlei Unterschiede ! Sämtliche Benchmarks laufen bei mir mit oder ohne Norton gleich schnell...

mmm...

Stimmt, Antivir fängt nicht die Mails ab, sondern greift erst dann ein, wenn der Inhalt ausgeführt wird (Outlook wegwerfen und Thundebird nehmen). Bei Benchmarks wirst du eh nicht viel vom Virenscanner merken, sondern wenn du Sachen mit vielen Datenzugriffen machst (im Explorer die Verzeichnisse durchgucken usw.), weil dann die Daten gescannt werden und dabei ist Norton nicht gerade der schnellste. Nebenbei haben Norton und Antivir eine "identische" Trefferquote, wobei beide nicht die besten sind. Norton must du irgendwann aber bezahlen (ausser du benutzt eine Raubkopie davon, aber dann solltest dir lieber gleich F-Secure nehmen) ...

Ich will ja nix sagen aber IMO ist AntiVir schweinelangsam wenn's um das Scannen von Archiven geht.

Hatte deswegen 'ne Weile den kostenlosen AVG laufen, bis ich gelesen habe, dass der absolut grottig ist (und außerdem derbst shice ausieht ;) )

Jetzt bin ich halt wieder bei AntiVir - besser als nüx.

Original geschrieben von Morbid Angel
Nein.
Antivir braucht sogut wie garnichts.
Norton Antivirus ist ein Ressourcenfresser, weg damit!
Unterschreib! :D

norton is schrott sag ich nur, firewall gibt nur müll aus und der av-scanner findet nix

Cybersec bzw AVK ist sehr gut. Sehr wenig Performance Verlus, sehr gute Scan Ergebnisse und die Möglichkeit eine Linux Scanboot CD zu erstellen.

Gibts z.B. bei www.pearl.de

ich hab kaspersky anti virus, hat die beste engine und gibt jeden tag ein update. ne firewall hab ich noch nie gebraucht, obwohl ich jetzt schon 6 jahre internet habe..

mc afee und du machst nichts falsch!
besser als norton und verbraucht relativ wenig resourcen

Ein alter Norton Antivirus tuts auch. 2002 nütz ich. Eine Firewall brauchts nicht für Win Desktop Systeme:

http://www.ntsvcfg.de/kss_xp/kss_xp.html

Das tolle McAfee ist aber nur in Verbindung mit ActiveX (=Internet Explorer) nutzbar und das ironischerweise bei einem Antiviren bzw. Sicherheitsprogramm. Sicherlich ist das Programm selbst nicht schlecht, aber allein die Tatsache, dass es ActiveX voraussetzt, macht es für viele und für mich uninteressant...
Das is mal echt dämlich von denen !

Original geschrieben von Gast
Das tolle McAfee ist aber nur in Verbindung mit ActiveX (=Internet Explorer) nutzbar und das ironischerweise bei einem Antiviren bzw. Sicherheitsprogramm. Sicherlich ist das Programm selbst nicht schlecht, aber allein die Tatsache, dass es ActiveX voraussetzt, macht es für viele und für mich uninteressant...
Das is mal echt dämlich von denen !
Wo ist das Problem?
Ich nutze den IE nicht (Firefox) und McAfee funktioniert wie es soll.
Bis zur letzten Version hatte McAfee eine eigene Update Software, die aber nicht immer funktionierte.
Jetzt funktioniert das Update ohne Probleme, da stört es mich auch nicht das es über ActiveX funktioniert.

@Lokadamus:
Laut Tests ist Antivir etwas besser als Norton Diese Aussage ist ja mal sowas von peinlich! Norton ist scheisse, keine Frage. Aber schlechtere AV-Scanner als Antivir gibt es nicht. Ist nicht umsonst kstenlos.

Und wer sich mit der Aussage schmückt "Ich bin sicher, hab ja Antivir" ist einfach nicht auf dem Laufenden.

Sorry, ist nunmal so.

Norton2004 findet bei mir mehr Viren als Kaspersky oder NOD32. Sollte man nur zum On-Demand Scanner "ausschlachten" (alle Dienste bis auf CoreLC(manuell) deaktivieren und alle anderen Komponenten ausschalten/entfernen) um Ressourcen zu sparen.

Kaspersky hat den W32.Axon bei mir nicht gefunden, sehr enttäuschend. Destruktiv, haut dir alle .exe, mp3 und avi's platt. :)

Ich hatte auch zuerst Norton Internet Security 2003 (NAV+Firewall) ... Aber das Autoupdate hat sich von selbst deaktiviert und nicht mehr aktivieren lassen und die Firewall fand ich auch scheisse! Bin schon vor Monaten auf AntiVir und auf die Sygate Personal Firewall umgestiegen!Ich bin mehr als zufrieden!!! Um weiten besser als NIS !!! Kann ich nur empfehlen!

mfg

Original geschrieben von Mayday
@Lokadamus:
Diese Aussage ist ja mal sowas von peinlich! Norton ist scheisse, keine Frage. Aber schlechtere AV-Scanner als Antivir gibt es nicht. Ist nicht umsonst kstenlos.

Und wer sich mit der Aussage schmückt "Ich bin sicher, hab ja Antivir" ist einfach nicht auf dem Laufenden.

Sorry, ist nunmal so. mmm...

[ ] Text nicht richtig gelesen
[ ] wollte auch mal was sagen
[ ] Ich verteidige Norman und Nod32
[ ] ich hab Hunger!

Original geschrieben von Mayday
@Lokadamus:
Diese Aussage ist ja mal sowas von peinlich! Norton ist scheisse, keine Frage. Aber schlechtere AV-Scanner als Antivir gibt es nicht. Ist nicht umsonst kstenlos.

Und wer sich mit der Aussage schmückt "Ich bin sicher, hab ja Antivir" ist einfach nicht auf dem Laufenden.

Sorry, ist nunmal so.

Was ist denn deiner Meinung nach der beste Freeware AV-Scanner?

Original geschrieben von Morbid Angel
Kann man bei Kaspersky Antivirus (Trial aber alle Funktionen) überhaupt e-mails scannen? Habe Pegasus Mail.
Bei MS Outlook kann mans. Standardmäßig werden zB Virenattachments automatisch weggefressen. Sehr praktisch. Ob das mit Pegasus geht: Weiß ich nicht.

ich nutze Antivir (www.freeav.de) und hab noch nie probleme gehabt.

Norton Internet Security hab ich früher immer draufgehabt. es verlangsamt zwar ziemlich, aber imo bringt es wirklich sehr viel, es hat z.b. den Blasterwurm geblockt, sowie den sasser, soviel dazu...

Aber im moment hab ich nur freeav, sp2 + win xp prof und die kiste funzt ohne probleme... die windows interne firewall ist zwar nicht obere klasse funzt aber gut...

mmm...

In der aktuellen ct ist ein kleiner Firewalltest, wo 5 kostenlose Firewalls getestet werden (Kerio, Sygate, ZoneAlarm, Outpost und Securepoint (die Skoda- Firewall ;))). Leider gibt es nicht viele Infos über den Test, nur den Hinweis, das alle Firewalls die normalen Angriffe (Würmer) aufhalten und einige Probleme haben, wenn es darum geht, Trojaner zu erkennen (sprich Anwendungen, die raus wollen) ... das Ergebniss ist wieder etwas grosszügiger ausgelegt:
Kerio und Sygate sind die bessere Wahl, wenn es um bessere Konfiguration und Portkontrolle geht, allerdings haben die ein Problem dabei gehabt, unbekannte Anwendungen zu erkennen und zu blocken (komisch), wobei ZoneAlarm und Securepoint einen modifizierten Phatbot (eine der unbekannten Anwendungen) erkannt und nachgefragt haben, was sie machen sollen ... genau hab ich mir den Test noch nicht durchgelesen, aber Ulukay und Proust werden dazu sowieso wieder ihre Standardsprüche ala: Man braucht keine PFW, sondern eine DMZ, Proxy, Jail/Chroot + Honeypot und alle Dienste müssen aus, alles nachzulesen im Artikel "Fort Knox -> IT- Sicherheit in Grossraumfirmen mit mehr als 5.000 Angestellte auf höchster Sicherheitsstufe" bringen ...

Original geschrieben von Lokadamus
Ulukay und Proust werden dazu sowieso wieder ihre Standardsprüche ala: Man braucht keine PFW, sondern eine DMZ, Proxy, Jail/Chroot + Honeypot und alle Dienste müssen aus, alles nachzulesen im Artikel "Fort Knox -> IT- Sicherheit in Grossraumfirmen mit mehr als 5.000 Angestellte auf höchster Sicherheitsstufe" bringen ...
*g* Ports schließen reicht völlig, da werden die Genannten wohl auch nichts anderes sagen. Mehr macht eine "Personal Firewall" auch nicht.

Kann man mit der Sygate Firewall überhaupt Ports schließen?
Soweit ich weiss nur "stealthen"

Agree. Honeypot ist für Privates wohl doch etwas übertrieben ?!;)

Wenn die Ports manuell geschlossen werden, kann doch der PFW weggelassen werden ...

Da sollte einer vorher mal nachlesen, wo der Unterschied von Stealthen und Schliessen liegt. (reject/deny) Damit führt ihr eure PFW´s mit richtiger Konfiguration ad absurdum .... :(

So long Ajax

Original geschrieben von Morbid Angel
Kann man mit der Sygate Firewall überhaupt Ports schließen?
Soweit ich weiss nur "stealthen"
Hu? Wenn Du einen Port schließt, werden darüber keine Daten übermittelt. "Stealth" bedeutet, daß ein Port bei einer Anfrage gar nicht reagiert, also so tut, als existiere er überhaupt nicht, statt zu antworten "hier bin ich, aber ich sage nichts".

Die Frage ist aber, ob der Stealth-Mode nicht Quatsch ist. Lies hier (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Deny), wobei "deny"="stealth und "reject"="hier bin ich, aber ich sage nichts" ist.

EDIT: "Stealth" bedeutet nicht, daß Dein Rechner "unsichtbar" ist. Du kannst Dich nicht unsichtbar machen (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken).

mmm...

Es gibt 3 Zustände für einen Port (offen = der Zustand, wenn keine Firewall oder die Firewall deaktiviert ist, geschlossen = Firewall ist aktiv und blockt alle nicht erwarteten Anfragen (Ping wird beantwortet = P2P geht so, stealth = ein nicht definierter Zustand, wo die Firewall alle nicht erwartete Anfragen verwirft. Ein echter Hacker kann eine auf stealth gestellte Firewall erkennen, aber auch nicht sofort (hierfür sehe ich den relativ schnellen Wechsel der IP von Privatpersonen bei der Einwahl und das Portscanner meistens nur eine bestimmte Zeit auf eine Antwort warten (muss toll sein, jemanden hacken zu wollen, wo der Ping über 2000 ms braucht), ein Webserver einer Firma hat eine feste IP, wenn dort nix antwortet, muss dort eine Firewall sein, die auf stealth steht, ansonsten würde man keine Webseite von IP XY bekommen). Port schliessen heisst erstmal, dass der Port nicht mehr so einfach zu erreichen ist => "falsche Anfragen" werden zurückgewiesen (Grundprinzip einer Firewall, egal ob Hardware oder Software).
Ein von Ulukay, Ajax und Proust gerne genanntes Problem ist bei einer Softwarefirewall, das sie meistens das eine oder andere Sicherheitsloch hat => es gibt zur Zeit keinen Wurm von extern, der eine Firewall erkennen kann und diese gezielt ausschaltet (intern ist es kein Thema, da gibt es auch ein kleines Testprogramm), sowas macht momentan nur ein echter Hacker und davon muss man erstmal das Ziel sein (kommt man auf die blöde Idee, Dateien und Ordner freizugeben und hat keine sichere Zone eingerichtet, kann jeder Idiot sich mit seinem PC verbinden und diesen Ordner (bzw. mit Samba) die ganze Kiste durchgucken).
Genauso ist die Konfiguration eines Hardwarerouters für mich ein kleines Rätsel, wenn ich mich richtig erinnere, hat Ulukay selber gesagt, ein Router ist am besten so konfiguriert, indem alle Anfragen von extern abgewiesen werden und was ist mit den internen Sachen? Trojaner installieren sich gerne per Email (jaja, dagegen kann man auch was machen), nur was bringt es, wenn User Dau trotzdem sich so ein Teil installiert und der Trojaner über den IE rausgeht? nebenbei wollen die meisten User auch gerne spielen => einige Ports werden so oder so geöffnet (zwar nur für bestimmte Anwendungen, aber ...). Für den privaten Haushalt finde ich eine pfw eine simple Lösung, wenn man sich nicht oder nur oberflächlich mit dem Thema Sicherheit im IT- Bereich auseinander setzen will.

So, und nun nehmt mich auseinander und korrigiert mich, es gibt mehr als genug Angriffspunkte ...

Das stimmt. Port 4662 wird wahrscheinlich bei einem HardwareRouter meistens geforwarded ;)! Kleines Sicherheitsloch ... <fg>

Der Vorteil eines HWRouters liegt eigentlich darin, dass er NAT beherrscht. Das heisst im LAN existieren ja nur C-Class IP´s. Diese sind, sofern sie nicht geforwarded werden, im Internet selber nicht sichtbar. Das heisst ein Trojaner müsste schon mit einer VPN getunnelt werden. Ist sicherlich ungleich schwerer, als bei einer Direktverbindung.

Eine PFW ist imho viel zu leicht ausschaltbar. Bin jetzt aber zu faul, alle Gründe noch einmal aufzuführen. Suchfunktion rulez!! ;)

So long Ajax

------------

edit: Imho sind die meisten HWRouter einfacher zu confen, als die PFW´s.

Original geschrieben von Lokadamus
Es gibt 3 Zustände für einen Port (offen = der Zustand, wenn keine Firewall oder die Firewall deaktiviert ist, geschlossen = Firewall ist aktiv und blockt alle nicht erwarteten Anfragen (Ping wird beantwortet = P2P geht so, stealth = ein nicht definierter Zustand, wo die Firewall alle nicht erwartete Anfragen verwirft.

Ein Port (http://de.wikipedia.org/wiki/Port_%28Protokoll%29) kann offen oder geschlossen sein. "Ein Port ist offen" bedeutet, daß der Rechner auf (TCP/UDP-)Anfragen, die in einer bestimmten Form gestellt werden, in einer bestimmten (inhaltlichen) Weise reagiert, also: eine Betriebsystemkomponente oder ein anderes Programm auf Deinem Rechner überträgt Daten oder macht etwas anderes (Keys loggen, Festplatte löschen :D).

Ist der Port geschlossen, so bedeutet das, daß der Rechner nicht inhaltlich reagiert. Sondern er weist die Anfrage formal ab (reject, Standard) oder reagiert gar nicht (deny="stealth").

Ein Ping (http://de.wikipedia.org/wiki/Ping_%28Daten%FCbertragung%29) richtet sich nicht an einen bestimmten Port, sondern nur an eine bestimmte IP-Adresse.


Ein von Ulukay, Ajax und Proust gerne genanntes Problem ist bei einer Softwarefirewall, das sie meistens das eine oder andere Sicherheitsloch hat => es gibt zur Zeit keinen Wurm von extern, der eine Firewall erkennen kann und diese gezielt ausschaltet (intern ist es kein Thema, da gibt es auch ein kleines Testprogramm), sowas macht momentan nur ein echter Hacker und davon muss man erstmal das Ziel sein (kommt man auf die blöde Idee, Dateien und Ordner freizugeben und hat keine sichere Zone eingerichtet, kann jeder Idiot sich mit seinem PC verbinden und diesen Ordner (bzw. mit Samba) die ganze Kiste durchgucken).
Intern, also auf Deinem Rechner, installiert natürlich kein "echter Hacker" Würmer, Viren, Trojaner und Dialer, sondern Du selbst.

Indem Du mit dem IE auf unsicheren Seiten surfst, HTML-Mails mit OE öffnest, NO-CD-Cracks oder gar komplett irgendwo heruntergeladene Software installierst.

Aber davor kann Dich keine Firewall schützen, nicht nur keine Personal Firewall... ;)

Original geschrieben von Wolfram
Ein Ping (http://de.wikipedia.org/wiki/Ping_%28Daten%FCbertragung%29) richtet sich nicht an einen bestimmten Port, sondern nur an eine bestimmte IP-Adresse.mmm...

Bischen dumm von mir ausgedrückt (ich hab gleichzeitig noch Fussball geguckt), wenn du die Firewall mit closed laufen lässt, wird ein Ping beantwortet, was für einige Sachen gerne benutzt wird. Haut man stealth rein, werden auch Pings verworfen, was dazu führen kann, das P2P nicht geht (als Beispiel). Antwortet der PC auf einen Ping, freut sich ein Wurm oder Scriptkiddie und versucht einen kompletten Scan, bzw seinen Angriff (da muss doch noch mehr sein) ...

Intern, also auf Deinem Rechner, installiert natürlich kein "echter Hacker" Würmer, Viren, Trojaner und Dialer, sondern Du selbst.
Indem Du mit dem IE auf unsicheren Seiten surfst, HTML-Mails mit OE öffnest, NO-CD-Cracks oder gar komplett irgendwo heruntergeladene Software installierst.

Aber davor kann Dich keine Firewall schützen, nicht nur keine Personal Firewall... ;) Das ist auch das, worauf Ajax hinaus wollte, konfiguriert man die Firewall auf "Schwachsinn", bringt sie nix, sowohl eine PFW als auch eine Hardwarefirewall, wobei eine PFW in diesem Sinne leichter auf Schwachsinn zu konfigurieren ist (alle Pop-Up- Fenster werden mit ok weggeklickt). Nur kannst auch haben, das ein Dau aufgrund einer Software seine Firewall auf forwarding * auf seinen PC macht ... und damit landen wir wieder beim Schlusssatz: 100 % Sicherheit gibt es nicht, aber man kann eine relativ gute Sicherheit erreichen, wobei das Konzept auch stimmen muss. (Als Gamer, Privatmann ohne IT- Interesse ist eine PFW die angenehmere Alternative, er hat gar keine Zeit sich mit den Diensten und den anderen Sachen zu beschäftigen => da müsste es eine Dau- Liste geben, wo nur die Dienste draufstehen, die man im Normalfall abschalten kann (den Smartcard- Kram zum Beispiel; die Konfigurationsfreie verbindungslose Verbindung müsste ich erst nachschauen, wenn das für WLan genutzt wird, wäre es für einige User wieder falsch, in die Dauliste einzutragen). Wenn jemand Zeit und Interesse hat, sich besser zu schützen, dann kann ich auch nur empfehlen, sich mit Linux/ *BSD auseinander zu setzen und diese als Router einzuseten + Proxy und wer noch gerne einen kleinen Webserver für Dyndns laufen lassen will, soll sich dann gleich noch mit Jail/ chroot auseinander setzen, nur das sind wieder Sachen, was einige Tage/ Wochen arbeitet kostet.

Achja, letztens hat einer eine Seite gepostet, irgendwas mit Linkblock oder so, da war ein Programm dabei, was sowohl die Firewall als auch den Virenscanner abschiessen möchte, hat jemand den Link dazu noch?

Meine persönliche Erfahrung ist, dass HWRouter "unempfindlicher" (;)) auf fragmentierte Pakete und Buffer Overflows reagieren. Hat jemand andere Erfahrungen gemacht? Eigentlich können meines Wissens alle HWRouters auch noch SPI. Ist doch wirklich ganz vernünftig. Das größte Problem bei PFW´s ist eigentlich, dass sie meistens z.B: bei XP Home immer mit der AdminKennung laufen. So ein Prozess sollte allerdings niemals mit der selben Priorität wie der Browser laufen. Weiterhin bringen z.B: Sniffer immer ihren eigenen TCP/IP Stack mit. Da sieht man meistens auch recht schnell, ob sie an der PFW (ohne Meldung) vorbei kommen. Da ist es auch ziemlich egal, ob man rejected oder denied. Ich persönlich halte von reject (stealth) recht wenig, da der Traffic sich je nach TTL recht erhöht, bis sich der nächste Router erbarmt und einen "not found" meldet. Sichtbar ist der Rechner meistens ja doch. Port 4662 ist schon recht häufig anzutreffen ....
;)

So long Ajax

Original geschrieben von Ajax
Meine persönliche Erfahrung ist, dass HWRouter "unempfindlicher" (;)) auf fragmentierte Pakete und Buffer Overflows reagieren. Hat jemand andere Erfahrungen gemacht?mmm...

Leider nicht, kennst du ein paar Programme, womit man sowas schnell testen kann? (und gibst, wenn möglich, auch gleich einen Download dazu an?) ...Eigentlich können meines Wissens alle HWRouters auch noch SPI. Ist doch wirklich ganz vernünftig. Das größte Problem bei PFW´s ist eigentlich, dass sie meistens z.B: bei XP Home immer mit der AdminKennung laufen. So ein Prozess sollte allerdings niemals mit der selben Priorität wie der Browser laufen.SPI? wenn ich es richtig gesehen habe, Paketuntersuchung auf Richtigkeit? soll OpenBSD können, keine Ahnung, wie gut es dabei ist (soll sowieso einige "kranke" Sichereitsmaßnahmen haben) ... das ganze Sicherheitskonzept für Windows ist eigentlich fürn allerwertesten, ist ja nett, was sie da versucht haben, aber zuviel ist einfach buggy ...
Weiterhin bringen z.B: Sniffer immer ihren eigenen TCP/IP Stack mit. Da sieht man meistens auch recht schnell, ob sie an der PFW (ohne Meldung) vorbei kommen. Da ist es auch ziemlich egal, ob man rejected oder denied. Ich persönlich halte von reject (stealth) recht wenig, da der Traffic sich je nach TTL recht erhöht, bis sich der nächste Router erbarmt und einen "not found" meldet. Sichtbar ist der Rechner meistens ja doch. Port 4662 ist schon recht häufig anzutreffen ....
;)

So long Ajax Jup, das mit dem eigenen TCP/IP- Stack meinten sie wohl mit "unbekannte Anwendungen" wurden bei Kerio und Sygate nicht entdeckt. Ist aber wieder diese Sache mit "interner" Software ...

Stealth finde ich persönlich eine nette Sache, ich benutze kein P2P und warum soll ich dann einen permanenten Traffic haben, nur um jeden Hoschi zu sagen, es interessiert mich nicht, wenn ich so den Traffic reduziere? (behauptet zumindest das kleine Zählteil von Windoof, mit geschlossenen Ports tickert das Teil permanent hoch, auf stealth wird es ein ganzes Stück ruhiger, sieht man erst recht, wenn man die IP von einem P2P- User übernimmt) ...

was meinst du mit TTL, wenn es das ist, was ich meine, ist dass der kleine Counter bei Traceroute, der die Stationen durchzählt, bis er sein Ziel gefunden hat ...

TTL:
Je eine Vermittlungstelle im Netzwerk wird als Hop betrachtet. Jedes Datenpaket enthält einen Zähler (TTL), der mit jedem Hop dekrementiert wird. Wird 0 erreicht ist der Empfänger nicht erreichbar und das Datenpaket wird ignoriert.

Beispiel mit traceroute:

traceroute sendet UDP-Pakete mit einem kleinen ttl(time-to-live)-Wert in Richtung des gewünschten Rechners. Time-to-live gibt an, über wieviele Zwischenstationen ein Paket im Internet geroutet werden kann, bis es an seinem Ziel angelangt ist. Standardmäßig muß jedes Paket nach 30 "Hops" an seinem Ziel sein - jeder Router, den es auf seinem Weg passiert, setzt den Zähler um eins herunter. Der ttl-Wert verhindert, daß Datenpakete für alle Ewigkeit im Internet herumschwirren und über unzählige Ecken umgeleitet werden. Dadurch, daß traceroute von kleinen ttl-Werten aufsteigend hochzählt, werden die zwischen Start und Ziel liegenden Stationen erkannt. Jeder passierte Gateway setzt den ttl-Wert wieder um einen Zähler zurück, wenn der ttl danach bei 0 angelangt ist, meldet der entsprechende Gateway dies an traceroute zurück ("time exceeded"). Der Gateway, an dem der 0 Zähler erreicht wurde, erscheint dann in der Auflistung der Zwischenstationen. Sind die Pakete dann endlich bis zum Ziel vorgedrungen, sendet der Empfänger an traceroute eine ICMP-Meldung mit dem Inhalt "Unreachable Port". Für traceroute ist dies das Signal aufzuhören, und für den Benutzer besteht auch kein Grund zur Panik. Der ungültige Port auf der Zielmaschine wurde mit Bedacht gewählt, da die Pakete nicht wirklich vom Empfänger entgegengenommen und verarbeitet werden sollen, sondern nur seine Erreichbarkeit getestet wird.


SPI
Stateful Packet Inspection:



Stateful Packet Inspection (= SPI) durchsucht alle Datenpakete die über das Internet oder LAN an einer Firewall oder an einem Router eintreffen nach bestimmten Regeln, ehe es weitergeleitet oder verworfen wird. Hierbei werden nicht nur statische Headerinformationen sondern auch der Kontext, in dem sich das Paket bewegt, betrachtet. Auf diese Weise sollen DoS-Attacken erkannt werden.
Firewalls mit SPI-Funktion bieteten zwar ein hohes Maß an Sicherheit, sind andererseits aber auch anfällig für Fehler in der Konfiguration aufgrund der hohen Komplexität.



Fragmentierung von Paketen:

ein relativ einfacher Angriff (+ wirkungsvoll) ist ein "Overlapping Fragment" [RFC 1858]. Die derzeitige Internet Protokoll Spezifikation [RFC 791] beschreibt einen Reassemblierunggs-Algorithmus, der neue Fragmente produziert und dabei jeden überlappenden Teil der zuvor erhaltenen Fragmente überschreibt. So kann der Angreifer eine Folge von Paketen konstruieren, in denen das erste Fragment (Offset mit Länge 0) harmlose Daten beinhaltet. Ein beliebiges nachfolgendes Paket (mit Offset, der größer 0) könnte TCP-Header-Informationen (z.B. Destination Port) überlappen. Dieses Paket wird dann oft nicht mehr gefiltert. Ältere Router lassen sich leicht tunneln. Abhilfe wäre hier ein Proxy.

Sniffer setzen meist auf den Kernel auf und müssen einen eigenen TCP/IP-Stack besitzen, da ihnen ansonsten kein Trace einer netzwerkverbindung zwischen zwei Rechnern im Netz gelingen würde. Das heisst die meisten Sniffer sind deswegen nicht in der Lage, andere Verbindungen auch noch zu observieren. CPU-Last wäre einfach zu hoch. Das Problem wird dadurch umgangen, dass man nur auf einem Port "lauscht".

Buffer Overflow-Angriffe zielen meist auf Server hinter den Firewalls. Z.B. Internet-Server, Dial-In-Router, Proxy-Caches, Newsserver, MailServer, PFW´s, ... usw.
Ausgenutzt werden mangelhafte Längeabfragen bei den an ein Programm übergebenen Daten. Deswegen kriege ich einfach einen Hals, wenn z.B. Norton PFW seit Wochen so etwas aufweist und die Firma alles verschweigt und erst sehr viel später ein Update nachschiebt. Ich meine Kerio und Sygate und ZoneLabs sind da auch nicht sehr viel besser. Denn wie häufig Schutzverletzungen auftreten liegt sehr stark an der Memory Architektur und der Sorgfalt der Programmierer. Gerade bei PFW´s sollte die Sorgfalt nicht völlig weggelassen werden.

Es gibt übrigens kein Programm für die Buffer Overflows. Es gibt nur "exploits". Diese können speziell diesen speziellen Fall (OS, Prog, Version) ausnutzen. Einfacher geht es mit Security Scannern. Diese beinhalten die aktuellen Exploits und untersuchen, ob diese am Server/dienst Schaden nehmen kann. Unbekannte Exploits werden dabei natürlich nicht gefunden.


So zum Abschluss mein persönlicher Favorit
NMAP (http://www.insecure.org/nmap/index.html) . nmap unterstuetzt eine Vielzahl verschiedener Scanning-Techniken, wie zum Beispiel UDP, TCP connect(), TCP SYN (half open), FTP-Proxy (bounce attack), Reverse-ident, ICMP (Ping-Suchlauf), FIN, ACK-Suchlauf, Xmas-Tree, SYN-Suchlauf, IP-Protocol und Null-Scan. Ebenso ermoeglicht nmap eine Vielzahl von zusaetzlichen Möglichkeiten, wie das Erkennen von Betriebssystemen mittels TCP/IP-Fingerprinting, Stealth-Scanning, dynamische Verzögerungen und Übertragungswiederholungs-Berechnungen, paralleles Scanning, Entdecken abgeschalteter Systeme mittels parallelem Scanning, Decoy-Scanning, entdecken von Port-Filtering, direktes RPC-Scanning (ohne Portmapper), fragmentiertes Scanning sowie flexible Ziel und Port Spezifizierung.

So long Ajax

also ich benutze keinen virenscanner.

ein hardware-/softwarerouter und das menschliche gehirn sind schutz genug. :biggrin:

also ich benutze keinen virenscanner.

Mutig ;) !!

So long Ajax

Original geschrieben von Ajax
Sniffer setzen meist auf den Kernel auf und müssen einen eigenen TCP/IP-Stack besitzen, da ihnen ansonsten kein Trace einer netzwerkverbindung zwischen zwei Rechnern im Netz gelingen würde. Das heisst die meisten Sniffer sind deswegen nicht in der Lage, andere Verbindungen auch noch zu observieren. CPU-Last wäre einfach zu hoch. Das Problem wird dadurch umgangen, dass man nur auf einem Port "lauscht".

Es gibt übrigens kein Programm für die Buffer Overflows. Es gibt nur "exploits". Diese können speziell diesen speziellen Fall (OS, Prog, Version) ausnutzen. Einfacher geht es mit Security Scannern. Diese beinhalten die aktuellen Exploits und untersuchen, ob diese am Server/dienst Schaden nehmen kann. Unbekannte Exploits werden dabei natürlich nicht gefunden.

So zum Abschluss mein persönlicher Favorit
NMAP (http://www.insecure.org/nmap/index.html) . nmap unterstuetzt eine Vielzahl verschiedener Scanning-Techniken, wie zum Beispiel UDP, TCP connect(), TCP SYN (half open), FTP-Proxy (bounce attack), Reverse-ident, ICMP (Ping-Suchlauf), FIN, ACK-Suchlauf, Xmas-Tree, SYN-Suchlauf, IP-Protocol und Null-Scan. Ebenso ermoeglicht nmap eine Vielzahl von zusaetzlichen Möglichkeiten, wie das Erkennen von Betriebssystemen mittels TCP/IP-Fingerprinting, Stealth-Scanning, dynamische Verzögerungen und Übertragungswiederholungs-Berechnungen, paralleles Scanning, Entdecken abgeschalteter Systeme mittels parallelem Scanning, Decoy-Scanning, entdecken von Port-Filtering, direktes RPC-Scanning (ohne Portmapper), fragmentiertes Scanning sowie flexible Ziel und Port Spezifizierung.

So long Ajax mmm...

Hab mir den Test in der ct nochmal in Ruhe durchgelesen:
Kerio und Sygate sollen getunnelte Programme erkennen, Zonealarm und Securepoint unbekannte, lauschende Programme. Keine der Firewalls konnte beides erkennen.

Wegen den Exploits, das meine ich mit Schutz vor Würmer, aber nicht vor Hackern (zumindest von extern). Das die Firmen so lange brauchen, um die Sachen zu fixen, ist traurig, aber auch nix neues mehr :( ...

Linkblock (http://www.ntsvcfg.de/linkblock.html), Testprogramm (http://www.excel-vba.de/sicherheit.htm), was Firewall und Virenscanner versucht, abzuschiessen (Antivir kann es abschiessen) und kleines Programm (http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/leaktest2.htm), was tunnel möchte ...

nehme seid neuestem Panda Internet Security siehe
http://www.pandasoftware.com/com/de/
und bin begeistert.

schnell, schlank und ein funktionsumfang der seinesgleichen sucht

PS hatte vorher norton 04 drauf und der panda hat trotzdem noch 2 sachen gefunden

grusse dreas

Original geschrieben von dreas
nehme seid neuestem Panda Internet Security siehe
http://www.pandasoftware.com/com/de/
und bin begeistert.

schnell, schlank und ein funktionsumfang der seinesgleichen sucht

PS hatte vorher norton 04 drauf und der panda hat trotzdem noch 2 sachen gefunden

grusse dreas

*push*
das teil lief bei mir nicht. gibts noch weitere gute software?
f-prot und antivir will ich schon mal nicht mehr. Die helfen mir nicht weiter.

verstehe nicht was ihr alle gegen norton habt. Bon mit norton internet security 2004 sehr zufrieden.

wie ist das mit dem autoupdate? bei mir zeigt er an, dass es ein jahr umsonst ist, aber bei einer neu installation hab ich wieder ein jahr kostenlos. ist der so einfach zu überlisten?

baker

Original geschrieben von mapel110
*push*
das teil lief bei mir nicht. gibts noch weitere gute software?
f-prot und antivir will ich schon mal nicht mehr. Die helfen mir nicht weiter.

Hi,
versuche es einmal mit AVAST!Home (http://www.avast.com/eng/avast_4_home.html). Es ist auch Freeware, hat kleine, wöchentliche Signaturen und einen schnellem Scanner. Email- und p2p-Überwachung ist auch dabei. Für lau finde ich es prima.

@baker
Das ist mir auch schon aufgefallen. Aber wie viele User formatieren jährlich ihren Rechner? Zumindest wird Symantec so denken. :D

mfg b.

Versucht doch mal das neue Nod32. Ist nur eine Beta funktioniert aber sehr gut bei mir.

http://www.nod32.de/news/article.php?article_file=1090657943.txt

Original geschrieben von HeldImZelt
Norton2004 findet bei mir mehr Viren als Kaspersky oder NOD32. Sollte man nur zum On-Demand Scanner "ausschlachten" (alle Dienste bis auf CoreLC(manuell) deaktivieren und alle anderen Komponenten ausschalten/entfernen) um Ressourcen zu sparen.

Kaspersky hat den W32.Axon bei mir nicht gefunden, sehr enttäuschend. Destruktiv, haut dir alle .exe, mp3 und avi's platt. :)
Bei mir genau umgekehrt. Die s0w von Axon :motz:
Kaspersky konnte den ohne Probs finden und die .exe Dateien sogar reparieren ... NAV hat ihn einen Tag später (oder 2?) auch gefunden, aber kann die .exe Dateien nicht reparieren - NAV täte einem einfach alles löschen, wenn man ihm nicht sagt was es zu tun hat! Ein Armutszeugsnis für Symantec. Das LiveUpdate ist auch viel zu lahm, i.R: einmal die Woche nur bei besonders wichtigen Viren auch mal schneller.

Sry, mußte das jetz mal so einbringen.

Nutze nun NAV trotzdem noch(wegen den Mails), habe aber noich Kaspersky drauf. Sind jedoch beide nicht aktiv(nur bei NAV der Mail-Scan) und werden auf verdacht genutzt.