[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren

[Scheinweltname]

Ja, habe auch was an den Regel für cFosSpeed geändert, leider ohne Erfolg.

verstehe ich das richtig: Selbst, wenn du beide Cfos-Regeln deaktivierst, dann kannst du trotzdem noch nach Windows Updates suchen?

Oder werden auch die cfos-Regeln vorausgesetzt?

Könnte mir höchstens vorstellen, dass der svchost vielleicht von der Umleitung ausgenommen ist (wenn ich die Cfos-Website richtig verstanden habe, kann man Ausnahmen für die Umleitung einstellen. Würde mich nicht wundern, wenn der wichtigste aller Systemdienste standardmäßig als Ausnahme eingetragen ist). Dann bräuchte er eine eigene Regel.

Was ist denn mit dem Firefox? Kannst du damit Seiten aufrufen? Wenn ja: Geht es auch dann, wenn die cfos-Regeln deaktiviert sind?

 

[TobHH]

Habe jetzt gerade cFosSpeed komplett deinstalliert und die cFos Regeln auch nochmal gelöscht, aber kann mit dem Firefox immer noch keine Verbindung herstellen.

Edit: Habe jetzt mal ZoneAlarm installiert und da ist mir aufgefallen, das ZA beim öffentlichen Netzwerk die Netzwerkerkennung und Freigabe von Dateien anstellt.



Stelle ich das wieder aus, habe ich auch wieder kein Internetverbindung.

Liegt das vielleicht daran?

 

[Scheinweltname]

Habe jetzt gerade cFosSpeed komplett deinstalliert und die cFos Regeln auch nochmal gelöscht, aber kann mit dem Firefox immer noch keine Verbindung herstellen.

... dann bin ich echt überfragt. Wenn tatsächlich alle Einstellungen so sind, wie in Post #1 beschrieben und kein umleitender Filter mehr installiert ist, dann kann ich mir das nicht erklären. Hast du nach der Deinstallation von Cfos mal einen Neustart gemacht? Dürfte ja doch relativ tief ins System eingegriffen haben.

Was passiert denn, wenn du die Firewall wieder auf Standard zurückstellst? Funktioniert deine Netzwerkverbindung dann wieder ganz normal? Wenn ja, dann müsste es ja an den Firewalleinstellungen liegen ...

Eigentlich wäre der wahrscheinlichste Fehler einer in der DNS-Regel, das passt am besten zum beschriebenen Verhalten. Ist die Adresse wirklich richtig? (kein Zahlendreher oder so? Wirklich die DNS-Adresse und nicht Gateway oder DHCP-Server? ... wobei die vermutlich identisch sind). Hast du irgendwelche Einstellungen in deinem Router verändert?

Vielleicht ist es auch irgendeine Eigenart von Vista?

Es muss irgendeinen anderen Grund haben. Ich bin mir 100% sicher, dass die Einstellungen, die ich im HowTo vorstelle, fehlerfrei funktionieren (wenn sie denn alle auch richtig umgesetzt werden).

EDIT: Nein, die Netzwerkerkennung und Drucker- und Dateifreigabe haben keinen Einfluss auf den Internetzugriff. Ist übrigens extrem merkwürdig, dass ZoneAlarm das einschalten will (es sei denn, es hält die Internetverbindung für ein Privates Netzwerk; es sollte aber unbedingt "öffentlich" sein). Eine Firewall, die die Netzwerksicherheit automatisch reduziert? Irgendwie absurd.

Hast du allein durch die Installation von ZoneAlarm plötzlich eine Internetverbindung gekriegt? Oder wurde die WinFirewall abgeschaltet?

 

[TobHH]

Jo, habe ich alles gemacht, also neustart des systems usw.

Wenn ich die firewall auf die Standardeinstellungen zurücksetze, geht auch alles.

Kann ich dir evtl. mal die *.wfw-Datei zuschicken, und Du schaust Sie dir mal an?

Edit: Also ZA hat ein neues Netzwerk erkannt und da konnte ich dann auswählen zwische sicherer Zone (Privat) und öffentlich. Habe dann auf öffentlich gestellt.

Achso und ZA hat die Windows FW deaktiviert.

 

[Falkner]

@ Falkner: Du nutzt doch Norton AV, oder? Deaktivier mal ALLE Regeln bis auf die DNS-Regel. Und versuch dann, ob du trotzdem noch mit dem Firefox surfen kannst. ... wenn ich mich nicht irre, müsste das trotzdem noch gehen, weil der Datenverkehr über die *.exe von Norton läuft, die ja freigegeben ist.

Alles deaktiviert bis auf die DNS-UDP-53 Regel und ich kann keine Internetseite aufrufen. Habe dann noch die Norton AV Regel aktiviert , es erneut versucht aber auch dann lässt sich keine Seite öffnen.Wie soll denn der Datenverkehr über die Norton.exe ablaufen , vor allem wenn die Regel Deaktiviert ist ? Hätte mich schon gewundert wenn das ginge.

Bzw. öffne mal den Firefox und öffne ein paar Seiten, z.B. Computerbase. Welche *.exe steht in TCPView in der Zeile mit der IP-Adresse von CB? Steht bei der Firefox.exe unter Remote-Adresse nur "localhost" bzw. 127.0.0.1, oder steht da in einem der Beiträge auch die IP von Computerbase? Oder steht die Adresse in einer Zeile, die zu Norton AV gehört? Falls letzteres, dann würde auch Norton den Traffic umleiten und - leider - die Win-Firewall-Regeln mit Zieladressen wären wirkungslos, weil die Norton-exe ja für alle Adressen freigegeben ist

Habs ausprobiert.
Norton umgeht die deaktivierten Regeln nicht.
Wäre ja auch eine Sicherheitslücke...^^

 

[Scheinweltname]

hoffe das hilft dir.
Demnach umgeht Norton die deaktivierten Regeln nicht.
Wäre ja auch eine Sicherheitslücke...^^

sag das mal Kaspersky ^^

Aber find ich überraschend, dass Norton AV das nicht macht. Ich dachte, das Programm scannt Netzwerkverkehr ...

Dann brauchst du die Norton-exe gar nicht komplett freizugeben; die Update-Server reichen. Ist übrigens ein ziemlich merkwürdiges Icon für den Firefox ...

 

[Falkner]

sag das mal Kaspersky ^^

Aber find ich überraschend, dass Norton AV das nicht macht. Ich dachte, das Programm scannt Netzwerkverkehr ...

Dann brauchst du die Norton-exe gar nicht komplett freizugeben; die Update-Server reichen. Ist übrigens ein ziemlich merkwürdiges Icon für den Firefox ...

Ich bin mir gar nicht mal sicher, ob Norton AV den Netzverkehrt scannt ^^
es sei du meinst Downloads usw.

Zu Firefox, das ist die Alphaversion...
Im Oktober oder so kommt die richtigeVersion raus.
Soll angeblich einen XSS-Angriff Schutz haben


PS: Ich kenne die Updateserver von Norton nicht.^^
Aber Norton dürfe Updates beziehen mit und ohne Regel. Denke ich, und dass ohne ein Sicherheitsrisiko zu sein. Bin mir aber nicht sicher


EDIT:
Nein, habs grad getestet.
Habe die Norton Regel gelöscht und ich kann keine Updates machen.
Die Regel für Norton muss also vorhanden sein.
Die IP für die Updateserver habe ich nicht.
Aber das dürfte wohl egal sein, was meinst du `?
Norton stellt ja wohl keine Verbindung zu einem chinesen malserver her ^^

 

[Scheinweltname]

Zu Firefox, das ist die Alphaversion...
Im Oktober oder so kommt die richtigeVersion raus.
Soll angeblich einen XSS-Angriff Schutz haben

einen cross-site-scripting-Schutz hat der aktuelle FF auch schon ... EDIT: Ne doch nicht ^^. Muss man NoScript für installieren.

EDIT:
Die IP für die Updateserver habe ich nicht.
Aber das dürfte wohl egal sein, was meinst du `?
Norton stellt ja wohl keine Verbindung zu einem chinesen malserver her ^^

es sollte aber auch kein Problem sein, die IP-Adressen herauszufinden

(der süße grüne Rand stammt von Kaspersky )

 

[Falkner]

es sollte aber auch kein Problem sein, die IP-Adressen herauszufinden

Ich habs mal probiert aber nicht hinbekommen.
ich versuch das gleich nochmal.
Wenn ich die habe, poste ich sie hier.

PS: welchen E-Mailanbieter nutzt du ?

Edit:
ja, NoScript ist ja wohl standart ^^

ich lass mir ein T-shirt drucken mit der Aufschrift:

NoScript aktiv, ich lass mich nicht verarschen

 

[Scheinweltname]

Ich habs mal probiert aber nicht hinbekommen.
ich versuch das gleich nochmal.
Wenn ich die habe, poste ich sie hier.

sollte mit tcp-view doch eigentlich nicht schwer sein, oder?

PS: welchen E-Mailanbieter nutzt du ?

arcor Freemail ... seit meinen ersten Tagen im Internet (heißt heutzutage vodafone^^): https://www.arcor.de/login/login.jsp
bin ich auch sehr zufrieden mit.

EDIT: Du willst es sicher und nutzt eine ALPHA-Version eines Browsers?
Weiß du, wie normalerweise Schwachstellen in Programmen ausgenutzt werden? Durch Fehler wie Buffer Overflows, bzw. allgemein Fehler, mit der die Software nicht umgehen kann, weil sie nicht erwartet wurden und es im Programmcode keine Routinen gibt, um mit diesen Fehler umzugehen. Und die Wahrscheinlichkeit, dass eine Alpha-Version solche Fehler aufweist, dürfte doch um eine batzillion Mal größer sein als bei einem Stable-Release?! Nur wegen des xss-Schutzes würde ich nicht auf eine Alpha umsteigen ...

 

[Falkner]

sollte mit tcp-view doch eigentlich nicht schwer sein, oder?

So, ich weiß wo das Problem für mich lag und liegt um die richitge IP zu finden.

TCPView zeigt mir zwei IPs an wenn ich nen Norton LiveUpdate mache.
206.204.54.252:443

WHOIS zeigt an =
206.204.0.0 - 206.204.255.255
OrgName: ConXioN Corporation

ich errechne
206.204.0.0/16. Diese scheint aber nicht für die Updates zu sein. Da die Updates damit nicht funktionieren.



und
217.89.105.179:80

WHOIS zeigt an =
217.89.105.128 - 217.89.105.255
netname:AKAMAI-TECHNOLOGIES-HAMBURG-1

ich errechne
255.255.255.127. Das gibt es aber in der Wikiliste der CIRDs nicht.
soll man jetzt die nächste, höhere aus der Liste nehmen ?
Das wäre dann 255.255.255.128

arcor Freemail ... seit meinen ersten Tagen im Internet (heißt heutzutage vodafone^^): https://www.arcor.de/login/login.jsp
bin ich auch sehr zufrieden mit.

Ich hab eine E-mail bei t-online ... die ich so gut wie nie nutze und einige bei web.de^^
gefällt mir gar nicht ^;=
Möchte mir Thunderbird installieren und vernünftig einrichten.
Im web.de interface lässt sich zb. HTML für erhaltene e-mails nicht deaktivieren.
Das nervt mich, zumal es eine sicherheitslücke sein kann.

Ich werde die Alpfa deinstallieren.
War mehr oder weniger ein Test.
Wenn ich in der kommenden Woche meine exerne Platte habe (für Systemabbild), formatiere ich wieder alles. Dann kommt wider FF "normal" drauf.
Aber ob NoScript gegen Cross-site angriffe wirksam schützt, bin mir da nicht so ganz sicher ^^

 

[Scheinweltname]

ich errechne
206.204.0.0/16. Diese scheint aber nicht für die Updates zu sein. Da die Updates damit nicht funktionieren.

Die CIDR ist richtig, aber von Conxion hab ich noch nie gehört ... vielleicht - dafür spricht der SSL-Port 443 - sind das die Server, über die die Cloud-Funktionen von Norton laufen; also die Daten zu Dateien und Prozessen aus der Benutzercommunity; ähnlich wie das Kaspersky Security Network.

Aber irgendwie weckt Conxion nicht so richtig viel Vertrauen in mir ...

ich errechne
255.255.255.127. Das gibt es aber in der Wikiliste der CIRDs nicht.
soll man jetzt die nächste, höhere aus der Liste nehmen ?
Das wäre dann 255.255.255.128

jupp, so hab ich auch gerechnet. Die CIDR 217.89.105.128/25 steht auch in der Liste in Post #1

Möchte mir Thunderbird installieren und vernünftig einrichten.
Im web.de interface lässt sich zb. HTML für erhaltene e-mails nicht deaktivieren.
Das nervt mich, zumal es eine sicherheitslücke sein kann.

ich war drauf und dran, dir in deinem Faden zum Thema zu Thunderbird zu raten ^^
Ich würde aber niemals POP3-Konten benutzen (damit werden Mails auf deinen Rechner heruntergeladen, anstatt zum Lesen auf dem Mailserver zu bleiben); d.h. der T-Online-Account fällt vermutlich raus, wenn du da nicht beim kostenpflichtigen E-Mail-Dienst angemeldet bist. Free-Mail-Nutzer können nur POP3 benutzen ... Auch web.de behält IMAP "Club-Mitgliedern" vor. Genauso GMX; auch da kriegen nur zahlende Kunden IMAP.
Arcor erlaubt auch Freemail-Kunden den Zugriff über SSL-IMAP und SSL-SMTP.

Aber ob NoScript gegen Cross-site angriffe wirksam schützt, bin mir da nicht so ganz sicher ^^

Warum sollte es das nicht tun? Es macht das sogar auf vertrauenswürdigen Seiten und selbst wenn alle Scripte auf der Seite erlaubt sind. Siehe Screenshot

 

[Falkner]

Die CIDR ist richtig, aber von Conxion hab ich noch nie gehört ... vielleicht - dafür spricht der SSL-Port 443 - sind das die Server, über die die Cloud-Funktionen von Norton laufen; also die Daten zu Dateien und Prozessen aus der Benutzercommunity; ähnlich wie das Kaspersky Security Network.

Ich denke nicht, dass diese IP für den Insight-Schutz (Comunity Watch) ist.
Aber die IP erscheint immer, wenn man Norton öffnet. Keine Ahnung wofür die genau ist.
Auf jedenfall trage ich die nirgends ein ^^



Aber was komisch ist und mir damals schon irritiert hat.
Ich habe die IP 217.89.105.128/25 nur in die Norton Regel gepackt.
Am Anfang haben die liveUpdates funktioniert.
Jetzt seit 17 Minuten nicht mehr. Auch das manuelle Ausführen nicht.
Deswegen hatte ich damals die 217.89.105.128/25 wieder aus der Norton-Regel entfernt.
Kann ja nix passieren denke ich, wenn man keine Zieladresse dort eingibt.

ich war drauf und dran, dir in deinem Faden zum Thema zu Thunderbird zu raten ^^
Ich würde aber niemals POP3-Konten benutzen (damit werden Mails auf deinen Rechner heruntergeladen, anstatt zum Lesen auf dem Mailserver zu bleiben); d.h. der T-Online-Account fällt vermutlich raus, wenn du da nicht beim kostenpflichtigen E-Mail-Dienst angemeldet ist. Free-Mail-Nutzer können nur POP3 benutzen ... Auch web.de behält IMAP "Club-Mitgliedern" vor. Genauso GMX; auch da kriegen nur zahlende Kunden IMAP.
Arcor erlaubt auch Freemail-Kunden den Zugriff über SSL-IMAP und SSL-SMTP.

Ja, ich habe mich gestern ziemlich lange damit beschäftigt zu kapieren wie das alles funktioniert. Habe auch eine Anleitung von firefox selbst gefunden.
Anleitung

Nur muss ich gucken welchen Anbieter ich wähle.
Google-Email scheint gut zu sein. Aber die spionieren mir zu viel ^^
Eventuell Yahoo, Arcor schaue ich mir auch mal an.

Warum sollte es das nicht tun? Es macht das sogar auf vertrauenswürdigen Seiten und selbst wenn alle Scripte auf der Seite erlaubt sind. Siehe Screenshot

Meine Paranoia, du weißt doch... ^^
Wieso ist dein NoScript auf deutsch ?
Bei mir ist immer alles auf englisch.


Edit:


Und so eine Warnung erscheint bei mir auch nie wie bei dir.

 

[Scheinweltname]

Ich denke nicht, dass diese IP für den Insight-Schutz (Comunity Watch) ist.
Aber die IP erscheint immer, wenn man Norton öffnet. Keine Ahnung wofür die genau ist.
Auf jedenfall trage ich die nirgends ein ^^

hab grad mal a bisserl recherchiert. ConXion wurde 2004 von NaviSite gekauft; und das scheint ein großer Hoster zu sein. Vielleicht doch ganz vertrauenswürdig.
http://en.wikipedia.org/wiki/NaviSite

Außerdem ist mir eine News über den Weg gelaufen, dass Symantec die Zertifikate-Sparte von Verisign gekauft hat ... jetzt muss ich dann wohl bald auch Symantec-IPs freigeben, wa
http://www.heise.de/newsticker/meld...t-VeriSigns-Sicherheitsgeschaeft-1003860.html

Wieso ist dein NoScript auf deutsch ?
Bei mir ist immer alles auf englisch.
[...]
Und so eine Warnung erscheint bei mir auch nie wie bei dir.

gute Frage ... vielleicht hängt es vom Firefox ab. Ist der bei dir auf englisch? Wann hast du denn das letzte Mal NoScript aktualisiert? Kann auch sein, dass ich irgendwann mal irgendwas eingestellt hab, was von den Standard-Einstellungen abweicht.

 

[Falkner]

Außerdem ist mir eine News über den Weg gelaufen, dass Symantec die Zertifikate-Sparte von Verisign gekauft hat ... jetzt muss ich dann wohl bald auch Symantec-IPs freigeben, wa
http://www.heise.de/newsticker/meld...t-VeriSigns-Sicherheitsgeschaeft-1003860.html

Was heißt das genau `?
Werden die Verisign IPs in unseren Regeln überflüssig ?
Am besten du steigst ganz auf Norton um ^^

gute Frage ... vielleicht hängt es vom Firefox ab. Ist der bei dir auf englisch? Wann hast du denn das letzte Mal NoScript aktualisiert? Kann auch sein, dass ich irgendwann mal irgendwas eingestellt hab, was von den Standard-Einstellungen abweicht.

Ich schaue jeden Tag nach Updates ^^
Arbeite gerade diese Einstellungen durch. Sind zwar nur die erweiteretn, aber besser als nichts



PS:

Übrigens habe ich die Plugins im Browser deaktiviert.
Den Mozilla Defaukt-plug in (der ersetzt fehlende plugins, damit diese nicht extra runtzergeladen werden oder so... )
und den shockwave flash.
flash und den reader von Adobe habe ich auch runtergeschmissen ^^

alles zu sicherheitskritisch und benötige ich nicht ^^

 

[TobHH]

So, habe es geschafft. Es lag an einer falschen Einstellung.

Habe den Protokolltyp jetz mal auf TCP und bei Remoteport auf Alle Ports gestellt und jetzt geht es. Bei den Remote-IP-Adressen mußte ich auch auf beliebig stellen aber ob das so richtig ist ?!?

Edit: Mußte jetzt allerdings feststellen, daß ich nicht alle Seiten aufrufen kann.

 

[Scheinweltname]

So, habe es geschafft. Es lag an einer falschen Einstellung.

Habe den Protokolltyp jetz mal auf TCP und bei Remoteport auf Alle Ports gestellt und jetzt geht es. Bei den Remote-IP-Adressen mußte ich auch auf beliebeig stellen aber ob das so richtig ist ?!?

??

Bei welcher Regel hast du TCP eingestellt? Deine Regeln sahen doch richtig aus. Nutzt du jetzt ZoneAlarm, oder doch die WindowsFirewall? Oder beide?

Eine Whitelist-Firewall macht nicht viel Sinn, wenn man nicht so genaue Regel-Vorgaben macht, wie möglich. Wenn deine Regeln nur deshalb nicht funktioniert haben, weil du Remote-Adressen eingetragen hast, dann hast du falsche Adressen eingetragen; oder die richtigen falsch geschrieben (mit CIDR-Ausdruck?).

Man kann mit wenig einschränkenden Regeln zwar das Nach-Hause-Telefonieren von Software verhindern (auch von Malware), aber die Firewall ist löchriger, weil Malware immer noch andere Prozesse infizieren kann, die komplett freigegeben sind.

Du kannst mir deine *.wfw-Datei gerne mal schicken. Ansonsten werden wir den Fehler vermutlich nicht finden.

Was heißt das genau `?
Werden die Verisign IPs in unseren Regeln überflüssig ?

nicht in der näheren Zukunft. Der Deal wird erst Ende des Jahres umgesetzt. Und ich weiß ja nicht, ob Symantec auch die Server/Adressen von Verisign übernimmt. Jedenfalls heißt es, dass Programme, die die Gülitigkeit von digitalen Signaturen prüfen wollen, in Zukunft Symantec-Server kontaktieren müssen ...

Du hast keinen Flashplayer drauf? Dann kannst du dir ja nie Videos oder so ansehen?! Du solltest dir wirklich Kaspersky IS anschaffen und den Firefox in dessen Sandbox starten. Da kannste ihn normal benutzen, und trotzdem kann er keine Veränderungen am System vornehmen (obwohl, du hast ja x64-Windows, oder? Dann funktioniert das nur eingeschränkt ...).

 

[TobHH]

Also, bei der DNS-Regel habe ich die Änderungen vorgenommen, die ich geschrieben habe.

Habe die ZoneAlarm Firewall wieder deinstalliert und benutze nur die von Vista.

Edit: Habe dir die Firewall-Datei gerade mal zugeschickt.

 

[Scheinweltname]

Also, bei der DNS-Regel habe ich die Änderungen vorgenommen, die ich geschrieben habe.
DNS über TCP macht nicht so richtig viel Sinn; meines Wissens ist das normalerweise überflüssig (wohingegen UDP vorausgesetzt wird)

Ich kann in deiner *.wfw-Datei keine Fehler erkennen. Es gibt nur einen einzigen Unterschied zu meinen Einstellungen; nämlich dass in den IPSec-Einstellungen die IPsec-Ausnahmen deaktiviert sind. Das dürfte aber keinen Einfluss haben, weil normaler Internetzugriff nicht über IPsec abläuft ...

Außerdem ist mir aufgefallen, dass manche Programme bei dir in %Systemroot% liegen, wohingegen der Firefox auf E:\Programme(x86)\Mozilla ... ich dachte immer, die Systemplatte hieße immer C: ... hast du die falsche Firefox.exe eingetragen (vielleicht von einer parallelen Windows-Installation)?

Ansonsten wäre ich echt ratlos ... endgültig.

 

[Falkner]

nicht in der näheren Zukunft. Der Deal wird erst Ende des Jahres umgesetzt. Und ich weiß ja nicht, ob Symantec auch die Server/Adressen von Verisign übernimmt. Jedenfalls heißt es, dass Programme, die die Gülitigkeit von digitalen Signaturen prüfen wollen, in Zukunft Symantec-Server kontaktieren müssen ...

Hmm, hoffentlich geben sie dann dann auch schnell bekannt... für uns Whitelistnutzer ist das ja wichtig ^^

Du hast keinen Flashplayer drauf? Dann kannst du dir ja nie Videos oder so ansehen?! Du solltest dir wirklich Kaspersky IS anschaffen und den Firefox in dessen Sandbox starten. Da kannste ihn normal benutzen, und trotzdem kann er keine Veränderungen am System vornehmen (obwohl, du hast ja x64-Windows, oder? Dann funktioniert das nur eingeschränkt

Nope, auf dem Notebook habe ich das jetzt deinstalliert. Benötige ich nicht.
Norton IS 2010 fand ich scheiße, weil die Firewalleinstellungen zu unlogisch sind ?, kompliziert waren.
Bei Kaspersky IS 2010 hatte ich Verständnisprobleme was (ich weiß nicht mehr genau wie das hier) das Verteilen von Rechten an Systemdateien, und öffentliche Ordner usw.
Keine Ahnung wie die Option hieß.
Man konnte dort etwas erlauben, eingeschärnkt erlauben oder verbieten.
Aber ich habe nicht wirklich verstanden was ich dort eingestellt habe.

Ich lade mir später oder morgen KIS 10 bzw. 11 runter und schaue mir das nochmal in Ruhe an. Muss jetzt los, bis dann