Zone Alarm problem mit Dbox Verbindung

[Stevie]

Hallo,

kann man Zone Alarm nicht so einstellen, dass es uns keine Probleme mit der D-Box Verbindung macht? Vielleicht kann man da ja was von Hand machen, wenn Zone Alarm den Verbindungsaufbau selbst schon nicht erkennt.

[SoLaLa]

keine ahnung
es gibt aber auch firewalls die keine probleme machen, bzw. bei denen man network-nachbarschaft zulassen kann, oder einfach nur bestimmte IPs oder bestimmte Applikationen...
kuck doch mal die einstellungen durch, vielleicht findet sich da was

[Stevie]

Welche Firewalls sind das denn? Ist das auch Freeware? Ich finde gut, dass bei Zone Alarm die Programme erst die Erlaubnis kriegen muessen eine Verbindung ins Internet aufbauen zu duerfen. Ist das bei den anderen Firewalls auch so?

Also was ich bis jetzt rausgefunden habe ist, dass die Box Zugang ins Internet bekommt, wenn man die Sicherheitseinstellungen fuers Internet auf "Medium" stellt. Ich moechte aber gerne, dass es auch bei "High", also im Stealth Modus funktioniert. Weiss jemand wie das geht?

[Beowolf]

@Stevie

Also ich habe Zone Alarm schon sehr lange auf meinen beiden Rechnern. Der Firewall hat bis jetzt noch nie Probleme gemacht.

[Treeshop]

Also ZoneAlarm macht bei mir auch keine probleme, das einzigste was mich stört ist, das ich zum image flashen ZoneAlarm ausschalten muss.
Kann man da nich irgendwas einstellen, das man trotz ZoneAlarms ein image flashen kann?

[Lechuk]

Zum ersten:ZA ist keine Firewall
Zum zweite:Man kann dort irgendwo IP's freigeben

[Beowolf]

@Lechuk

Zum ersten:ZA ist keine Firewall


Sondern??????

Ich habe das Programm als Firewall gekauft. In der Hilfe steht Firewall. In der Programmbeschreibung steht Firewall. Der Hersteller sagt, daß dieses Programm eine Firewall ist. In Computerzeitschriften wird dieses Programm in Testberichten als gute Firewall genannt.

Also ich finde, es deutet alles darauf hin, das Zone Alarm eine Firewall ist, oder?

[Lechuk]

Jetzt kommt's:


Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!

Die Leute, die in dieser Newsgruppe miteinander reden, haben zum Teil äußerst unterschiedliche Vorkenntnisse. Absolute Neulinge treffen hier auf erfahrene Sicherheitsexperten. Letztere werden von einem nicht enden wollenden Strom von Anfängern immer wieder mit den gleichen Fragen konfrontiert.

Mit der Zeit sind dann die schon länger mitdiskutierenden Fachleute genervt, insbesondere wenn deutlich wird, daß ein Frager zu wenig eigene Anstrengungen unternimmt, um die von ihm gewünschte Information zu recherchieren. Dies führt gelegentlich bei den Experten bzw. Expertinnen zu einer sarkastisch wirkenden Schreibweise.
Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines Anfängers aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"

Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann.
Kostenlos und besonders bunt sind die von Zonealarm."

[Lechuk]

Also ich finde, es deutet alles darauf hin, das Zone Alarm eine Firewall ist, oder?

Nicht wirklich.

edit:
Außerdem kommt das Teil von einer Tochterfirma von kleinweich.
Ich vertraue keinem,der seine Sicherheit bei Fremdfirmen einkauft
und sich nicht in seiner eigenen etwas entwickeln läßt.

Theorie: Man weiß wie es geht, es funktioniert aber nicht!
Praxis: Es funktioniert, aber man weiß nicht warum!
Microsoft vereint Theorie und Praxis: Nichts geht und keiner weiss warum!!!

Vieleicht hängt es auch damit zusammen?
Dann vertrauen die sich selber nicht-warum sollte ich das tun?

[egono]

Die Antwort, die Du hören willst lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann.
Kostenlos und besonders bunt sind die von Zonealarm."

schoen das da von folien und nicht von geschenkpapier gesprochen wird

um noch was zum thema zu sagen, wie bereits von einigen anderen erwaehnt, sollte es im zone alarm moeglich sein, eine bestimmte ip fuer jeglichen aus- und eingehenden tcp verkehr freizugeben. die regel kann man nach dem flashen wieder deaktivieren, wenn man die box nicht staendig im netzwerk hat.

und ja es gibt noch andere kostenlose personal firewalls z.b. hier

http://www.kerio.com/us/kpf_home.html oder hier
http://soho.sygate.com/products/shield_ov.htm

so long

[Stevie]

Ich habs mit Zone Alarm noch nicht richtig hingekriegt. Die Box sieht den PC glaube ich nicht. Nur wenn ich Zone Alarm auf mittlere Sicherheit stellt, wird der PC sichtbar. Ansonsten kann man IPs einstellen, aber das funktioniert nicht wie erwartet. Ich muesste alle IPs die die Box versucht zu erreichen freigeben, damits geht. Das ist unkomfortabel und viel zu umstaendlich. Ich probiere jetzt gerade mal die Firewall von Sygate aus.
Mal sehen wie die ist. Die Box kriegt jetzt auf jedenfall schonmal problemlos kontakt ins Internet. Ansonsten ist es Zone Alarm schon sehr aehnlich. Man muss den Programmen auch die Erlaubnis geben Kontakt ins Internet aufzunehmen.

Wie wird die Qualitaet dieser oder der dritten Firewall bewertet?

Was diese Newsgroup angeht kann man sich das wirklich sparen da nachzulesen. Die "Fachleute" da sind vielleicht genervt, aber man merkt sofort, dass man es mit richtigen deutschen zu tun hat. Arroganz und Klugscheisserei sind da an der Tagesordnung.

[idplay]

Wie wird die Qualitaet dieser oder der dritten Firewall bewertet?

Egal, welche Du probierst. Es sind alles keine Firewalls im eigentlichen Sinne. Du kannst keine Firewall auf dem gleichen Rechner installieren, den Du auch schützen möchtest. Um im Vergleich zu bleiben, kannst Du da beim Haus auch genauso gut Deine Stahl-Außentür offen lassen und versuchen, durch 27 Sicherheitsschlösser die Hohlraum-Holztür zum Wohnzimmer versuchen abzusichern ;-)

Abgesehen davon machst Du eh nicht mehr, als bestimmte Ports zu sperren. Ich finde das immer so klasse, wenn dann auf der "Home-Firewall" sämtliche Ports gesperrt werden, auf der eh kein Dienst läuft. Wofür? Merke: Wo keine Tür oder Fenster, da auch kein Einbrechner.....

Das ganze hat aus Anwendersicht maximal einen phsychologischen Sicherheitsvorteil und aus Verkäufersicht einen finanziellen. Das war es aber auch schon.

[egono]

Wie wird die Qualitaet dieser oder der dritten Firewall bewertet?

Egal, welche Du probierst. Es sind alles keine Firewalls im eigentlichen Sinne. Du kannst keine Firewall auf dem gleichen Rechner installieren, den Du auch schützen möchtest. Um im Vergleich zu bleiben, kannst Du da beim Haus auch genauso gut Deine Stahl-Außentür offen lassen und versuchen, durch 27 Sicherheitsschlösser die Hohlraum-Holztür zum Wohnzimmer versuchen abzusichern ;-)

meiner meinung nach ist das immer noch besser, als auch diese tuer sperrangelweit offen zu lassen.

Abgesehen davon machst Du eh nicht mehr, als bestimmte Ports zu sperren. Ich finde das immer so klasse, wenn dann auf der "Home-Firewall" sämtliche Ports gesperrt werden, auf der eh kein Dienst läuft. Wofür? Merke: Wo keine Tür oder Fenster, da auch kein Einbrechner.....

na ganz so ist es ja nun auch nicht. zum einen gibt es oft auch auf "home" rechnern offene ports (standard netzwerkfreigabe) und zum anderen laufen die meisten neueren personal firewalls auf protokoll bzw. packet ebene und koennen z.b. auch icmp (ping) blocken.

Das ganze hat aus Anwendersicht maximal einen phsychologischen Sicherheitsvorteil und aus Verkäufersicht einen finanziellen. Das war es aber auch schon.

naja bei den freeware pfws haelt sich das mit dem finanziellem vorteil im rahmen. allerdings sollte man den psychologischen faktor nicht unterschaetzen. dem anwender sollte halt nicht das gefuehl vermittelt werden, er verwandle seinen rechner durch einsatz einer pfw in fort knox. es gibt halt immer mittel und moeglichkeiten auf rechner zuzugreifen, die in einem offenen netz stehen.

@Stevie: ich persoenlich nutze die kerio pfw. die ist klein, einfach und stabil und fuer meine zwecke voellig ausreichend. allerdings sollte man sich halt schon ein wenig mit den gaengigen internet protokollen auskennen.

so long

[idplay]

Ich glaube, dass wird etwas OffTopic, oder?

meiner meinung nach ist das immer noch besser, als auch diese tuer sperrangelweit offen zu lassen.

Zumachen reicht
Es wird nur wenige geben, die versuchen, eines der 27 Schlösser zu knacken, wenn die Tür mit eine Säge schneller offen ist, aber Vergleiche hinken halt immer...... Ich wollte nur sagen, dass es praktisch keinen zusätzlichen Gewinn an Sicherheit gibt, solange die "Stahl-Haupttür" draussen offen bleibt.

na ganz so ist es ja nun auch nicht. zum einen gibt es oft auch auf "home" rechnern offene ports (standard netzwerkfreigabe)

Nö, eigentlich nicht.

und zum anderen laufen die meisten neueren personal firewalls auf protokoll bzw. packet ebene und koennen z.b. auch icmp (ping) blocken.

Korrekt, aber ich wollte nicht zu ausführlich werden....
Der Sinn, normale ICMPs wie Ping oder Traceroute zu unterbinden, erschliesst sich mir aber trotzdem nicht so ganz.

naja bei den freeware pfws haelt sich das mit dem finanziellem vorteil im rahmen.

Die Pro-Varianten sind aber doch alle kostenpflichtig, wie auch die Symantec-Dinger und ähnliches, oder habe ich etwas verpasst?

allerdings sollte man den psychologischen faktor nicht unterschaetzen. dem anwender sollte halt nicht das gefuehl vermittelt werden, er verwandle seinen rechner durch einsatz einer pfw in fort knox.

Ich halte es fast schon für gefährlicher. Diese Programme übernehmen Kontrolle über (fast) den gesamten Netzwerk-Transfer. Habe ich Kontrolle über dieses Programm, kann ich auf beliebigen Ports Dienste starten oder nutzen, habe also weitaus mehr Möglichkeiten, als wenn ich "nur" Zugriff auf eine lokale App habe, die beim letzten Update vergessen worden ist.


Zum eigentlichen Frager: Schalte die "Firewall" einfach aus, wenn es Probleme gibt. Sicherheitstechnisch ändert sich dadurch eh nichts und wenn es beruhigender ist, dann kann man die ja danach wieder einschalten......

[Stevie]

Was macht denn eine gute Firewall anders als diese kleinen Programme, auch wenn sie auf einem anderen Computer laeuft (kann die DBox das eigentlich uebernehmen?) ? Eine gute Firewall wird doch auch nur Ports blockieren, oder nicht?

[Schamane21]

ja, man kann eine sogenannte "trusted Zone" einrichten

dafür im Control center links auf Firewall gehen. in dieser ebene gibt es zwei register Main und Zones.

In Zones könnt ihr diese "trusted Zones" eintragen

Nachtrag: Habe es noch nicht in verbindung mit der box probiert

[idplay]

Was macht denn eine gute Firewall anders als diese kleinen Programme, auch wenn sie auf einem anderen Computer laeuft (kann die DBox das eigentlich uebernehmen?) ? Eine gute Firewall wird doch auch nur Ports blockieren, oder nicht?

Eine gute Firewall (wobei Firewall = Konzept, Firewall != Programm) macht schon etwas mehr, aber es wird wohl zu sehr OffTopic, wenn ich das nun alles hier schreiben würde. Vielleicht als Stichworte zum Suchen auf google: OSI-Schichten Modell, Application Level Firewall, Stateful Inspection, Fragmentation-Attack, Screened Gateway

Das größte Problem bei ZoneAlarm und Co. ist, dass sie grundsätzlich auf dem gleichen Rechner mit den gleichen Rechten laufen, wie auch ein "böses" Programm. (Bei Win9x/Me systembedingt, bei NT-XP sind es Admin bzw. Power-User Rechte). Wenn z.B. ein Trojaner auf dem Rechner läuft, dann hat er die gleichen Rechte, wie die "Firewall" selbst, soll heissen: Beenden und modifizieren möglich.

Da ja mittlerweile ZoneAlarm zumindest diese Bugs beseitigt hat, kann ich mit ruhigem Gewissen auch einmal eine Suche nach "ZoneAlarm PROCESS_TERMINATE" und nach "ZoneAlarm Flawed Outbound Vulnerability" empfehlen. Es ist relativ einfach, eine Firewall abzuschiessen bzw. zu übernehmen, was noch wesentlich unangenehmer für den Nutzer ist (s. mein letztes Posting). Auch gibt es diverse Möglichkeiten, dem System eine "neue" Netzwerkschnittstelle vorzuspielen. Da diese Schnittstelle der Firewall unbekannt ist, umgehe ich damit ebenfalls das komplette Sicherheitskonzept. Zu guter letzt, kann ich natürlich auch das Popup-Fenster "Möchten Sie blabla zulassen..." abfangen und ein "Ja"-Klick emulieren. Klappt besonders gut, wenn ich vorher überprüfe, dass Du gerade ein anderes Fenster maximierst oder auf die Taskleiste verkleinerst. Auf den schönen schnellen Rechnern mit genug Arbeitsspeicher und schneller Grafikkarte, ist das Popup so schnell wieder vom Bildschirm weg (zumal Du ja selbst gerade ein Fenster veränderst; vielleicht noch mit netter Aninmation ), dass Du es in vielen Fällen gar nicht mitbekommst. (Das gilt im Übrigen alles nicht nur für ZoneAlarm sondern auch Sygate, Kero, usw.)

Gegen möglicherweise "bösartige" Inhalte (ActiveX, VBScript, usw.) richten diese Firewalls systembedingt ohnehin nichts aus. Wenn aber der Inhalt erst einmal "hinter" der Firewall ist, dann ist es bis zur Aktivierung nur noch ein kleiner Schritt. Nach der Aktivierung greifen dann alle schönen Möglichkeiten meines letzten Abschnitts.

Abschliessend halte ich es dazu noch für falsch, den vielleicht unerfahrenen Nutzer dieser Firewalls durch "Hack-Alarme" der Art "ICMP echo-request attack from a.b.c.d blocked" einerseits zu verwirren und andererseits auch eine Bestätigung zu geben nach dem Motto: "Mensch, gut, dass ich meine Firewall habe", nur weil irgendjemand ein Ping gemacht hat. Das schärft nicht unbedingt die Sensibilität!

Einfache Ratschläge:
- Dienste, die Du nicht anbieten möchtest: deinstallieren bzw. abschalten, denn wo kein Dienst, da keine Angriffsfläche
- Dienste, die Du nur lokal anbieten möchtest: an lokale Netzwerkkarte binden und somit Verbindung über Modem., ISDN-Karte, Netzwerkkarte für DSL, usw. gar nicht erst ermöglichen

Werden danach keine Dienste mehr auf der externen Netzwerkschnittstelle angeboten, hast Du genau Null Vorteile durch diese Firewalls, da Verbindungsversuche eh scheitern mangels Dienst.

[rasc]

Es ist zwar langsam offtopic fuer dbox2...
... aber noch ein paar Worte.

Ich habe früher auch ZoneAlarm benutzt. Es ist besser als nichts.
Nur ist auch klar, Zone-Alarm gaukelt eine gweisse Sicherheit vor und ist nur begrenzt tauglich.

Das Problem ist, dass zwar Angriffe von Aussen einigermassen passabel geblockt und Zugriffe von innen immer erst nachgefragt werden, aber eben nur einmal.

Da MS sehr auf .net, Active-X, DCOM, etc. steht. laufen böse Applikationen halt auch gerne unter der Flagge des IE. Und der hat halt meistens in Zonealarm seine Standard-Berechtigung.

Damit stehen schädlichen Aktionen natürlich Tür und Tor offen, ohne dass es der Benutzer - der sich ja in Sicherheit wiegt - merkt...

Ausserdem merkt Zonealarm keine UDP-Angriffe... (oder geht das inzwischen)

[Liontamer]

Eins können solche einfachen "Firewalls" aber: Sie blocken halbswegs sicher Angriffe irgendwelcher Lamer, die mit Tools wie Netbus SubSeven oder Back Orifice versuchen, andere Rechner auszuspionieren. Solche Kiddies sind einfach nervend!

Derjenige, der auf meinem Rechner an einer Firewall wie ZoneAlarm, Tiny personal Firewall, Norton Personal Firewall etc. vorbei kommt, dem sei es auch gegönnt. Leute mit dem entsprechenden knowhow respektiere ich sehr! Wollen sie auf meinen Rechner, dann sollen sie das tun.

[Lechuk]

Eines hat doch mein bildlicher Vergleich gebracht.
Einige haben etwas gelernt-sogar ich.
Der lange Post etwas weiter oben war doch schon aufschlußreich.

Ich hoffe das noch mehr Leute hier im Forum diesen Thread lesen
und sich ihren Reim darauf machen.
Ich finde das ganze garnicht so offtopic.
Solange die neuen Linux D-Box User auf ihre Antworten warten,
schaut sicher der eine oder andere hier in diesen Thread.
Von denen dann werden widerum einige mit-und nachdenken.
Insofern hat es sicherlich etwas gebracht.

Vieleicht werden auch einige mal darüber nachdenken nicht die
Internetverbindungsfreigabe zu nutzen,sondern sich einen Router
hinzustellen (speziell ISDN) und so ein lokales Netzwerk einrichten.
Soll ja noch welche geben mit ISDN.

[Lechuk]

*schieb*