[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren

[TobHH]

? soll das heißen, dass Avast bei jedem Update einen neuen Updater erzeugt? Was ist denn das für eine merkwürdige Logik.

Wie genau heißt denn die Datei, die eine Verbindung zu den Update-Servern herstellt? (TCPView gibt dir darüber Auskunft). Der Updater z.B. vom Adobe Reader liegt auch nicht im Reader-Standardordner, sondern unter "C:\Program Files\Common Files\Adobe\Updater6. Ich wette, dass Avast das genauso hält; such mal im Common Files-Ordner nach einem Ordner von Avast.

Die Datei heißt "avast.setup" und wird in dem Ordner angelegt, den ich angegeben habe.

Und eigentlich kann die Firewall nur *.exe-Dateien zulassen; für eine Datei "avast.setup" lässt sich keine Regel erstellen.

Das stimmt so nicht, man beachte den grau hinterlegten Eintrag.



Um für diese Datei eine Regel zu erstellen, geht man wie immer vor, nur daß man dann, wenn man das Ordner-Verzeichnis ausgewählt hat, im Feld bei Dateiname "avast.setup" eingibt und dann Enter drückt. Zuerst muß das Update allerdings ausgeführt werden.

Es macht den gesamten Sinn einer Whitelist-Firewall zunichte, wenn man den Port 80 für alle Programme ohne feste Zieladressen freigibt; da kann man genausogut die Standard-Einstellungen der Win-FW aktiv lassen.

Und ich gebe hier auch nicht Port 80 für alle Programme frei, sonder nur für die eine Datei.

Geh mal in das Deutsche Avast Forum, da habe ich nämlich nachgefragt, warum ich keine Updates durchführen kann und da wurde mir das gesagt.

http://forum.avast.de/viewtopic.php?f=22&t=2355

 

[Scheinweltname]

Die Datei heißt "avast.setup" und wird in dem Ordner angelegt, den ich angegeben habe. [...]
Und ich gebe hier auch nicht Port 80 für alle Programme frei, sonder nur für die eine Datei.

das ist ja ein Murks. Aber gut, dass du das herausgefunden hast, werde einen Hinweis in Post #1 hinzufügen.

Funktioniert es denn dauerhaft, wenn du die Regel eingestellt hast (Port 80 für die Datei avast.setup), oder musst du bei jedem Update die Adresse in der Regel anpassen bzw. eine neue Regel erstellen?

(hab übrigens gedacht, dass man nur *.exes hinzufügen kann, weil nur *.exes auftauchen, wenn man auf "Durchsuchen" klickt. Um die "avast.setup" zuzulassen, muss man dessen Adresse direkt per Copy&Paste einfügen).

 

[TobHH]

Hallo,

das funktioniert dauerhaft wenn diese Regel erstellt ist.

Ich zitiere mich mal ganz kurz selber:

Um für diese Datei eine Regel zu erstellen, geht man wie immer vor, nur daß man dann, wenn man das Ordner-Verzeichnis ausgewählt hat, im Feld bei Dateiname "avast.setup" nur ohne die "" eingibt und dann Enter drückt. Zuerst muß das Update allerdings ausgeführt werden.

So wie ich das hier geschrieben habe, hat es bei mir funktioniert, daß habe ich vorher allerdings auch nicht gewusst.



Habe ich dann einfach mal ausprobiert.

EDIT: Die datei wird Temporär in dem Ordner wenn man das Update startet angelegt und ruft dann, die Updateinformationen von den Servern von Avast ab. Nach dem Updatevorgang wird diese automatisch wieder gelöscht.

EDIT 2: Habe noch mal 'nen Screenshot angehangen wie ich das meine.

 

[Falkner]

Habe noch eine IP für die Liste.

Hardwareversand.de = 81.7.220.128/26

Müsste richtig sein ^^



Edit:

Was ich noch gern wissen würde:

Wenn man gewisse Seiten öffnet, dann zeigt TCPView IPs mit Port 80 und 443 an.

Port 443 steht für verschlüsselte Übertragung.

Müsste ich jetzt einmal die CIRD für der IP mit Port 80 und einmal die CIRD der IP mit Port 443 ausrechnen damit ich mich z.B. auf Amazon oder Hardwareversand auch einlogen kann ?


Für Amazon.de errechne ich immer diese IP 87.238.80.0/23
Dennoch kann ich Amazon nicht mit dieser IP aufrufen.
Hat Amazon.de eventuell noch weitere IPs ? Ich komme immer nur auf die oben genannte...



Und noch eine Frage:

Wo sind die Unterschiede zwischen der Vista und Win7 Firewall ?
Auf Screenshots sieht die Vista-Firewall der von Win7 eigentlich genau gleich aus.
Sind sie aus der Sicht der Sicherheit gleich ?

 

[Scheinweltname]

Für Amazon.de errechne ich immer diese IP 87.238.80.0/23
Dennoch kann ich Amazon nicht mit dieser IP aufrufen.
Hat Amazon.de eventuell noch weitere IPs ? Ich komme immer nur auf die oben genannte...

tu dir den Gefallen und versuch erst gar nicht, Amazon zu whitelisten . Hab ich lange vergeblich versucht, weil die elend viele verschiedene Hoster für alles nutzen. Es läuft am Ende darauf hinaus, dass du u.a. die gesamte Infrastruktur von Level 3 Communications freigeben müsstest, um wirklich alle möglichen Verbindungsziele von Amazon im Vorhinein abzudecken. Leider ist Level3 ein "Tier-1-Carrier" ("tier" bedeutet auf englisch "Stufe", "Schicht", "Ebene"; nicht mit "animal" zu verwechseln ), d.h. denen gehört quasi ein Teil des Internets ...

OrgName: Level 3 Communications, Inc.
OrgID: LVLT
Address: 1025 Eldorado Blvd.
City: Broomfield
StateProv: CO
PostalCode: 80021
Country: US
NetRange: 4.0.0.0 - 4.255.255.255
CIDR: 4.0.0.0/8

wenn man einen so riesigen Bereich freigeben würde, könnte man gleich auf eine Whitelist-Firewall verzichten. Ich würde nur in extremen Ausnahmefällen mehr freigeben als /16; Microsoft ist mit /14 schon eine Ausnahme.

ich hab es mal hinbekommen, dass ich zumindest in den meisten Fällen (die Ziele wechseln dynamisch) normal bei Amazon nach Produkten suchen konnte (ist schon ein Weilchen her) ... Bestellungen und co machten aber immer wieder Probleme. Kannst ja mal rumprobieren. Das waren die Adressen, die ich für Amazon freigegeben hatte:

• 87.238.82.0/23 (Amazon data services)
• 204.160.0.0/14 (level 3)
• 192.221.0.0/16 (level 3)
• 198.76.0.0/14 (level 3)
• 216.38.160.0/20 (Mirror Image)
• 216.137.32.0/19 (amazon.com)

EDIT: Gerade ein bisschen rumprobiert: Mittlerweile scheint auch Akamai viel traffic zu übernehmen. Wenn ich folgende Adressen noch ergänze, scheint Amazon jedenfalls bei der Produktsuche zu funktionieren (frag mich aber nicht, welche von den Adressen oben noch zwingend erforderlich sind ... und vermutlich kriegst du bei jedem dritten Versuch trotzdem nen Seitenladenfehler ...):

• 80.157.170.0/24 (Akamai Düsseldorf)
• 199.92.0.0/14 (level3)

Und noch eine Frage:
Wo sind die Unterschiede zwischen der Vista und Win7 Firewall ?
Auf Screenshots sieht die Vista-Firewall der von Win7 eigentlich genau gleich aus.
Sind sie aus der Sicht der Sicherheit gleich ?

Als ich noch Vista drauf hatte, wusste ich gar nicht, dass die FW mehr kann als die XP-Firewall : Aber ich vermute sehr stark, dass sich die Firewalls nur minimal unterscheiden. In jedem Fall dürfte aber die von Win7 ausgereifter sein (wenn überhaupt ein Unterschied besteht).

 

[Falkner]

Hab mit TCPView geschaut, welche Port sich öffnen wenn wow gestartet und eingelogt wird.

Für die WoW.exe st nur Port 3724, 1119, 6112 (TCP) freigeschaltet.



Obwohl nichts weiter freigeschaltet ist, öffnen sich wenn ich die wow.exe starte auch mehrere (3-4) IPs mit Port 80. Diese verschwinden dann auch nach einer Weile....

wenn ich mich eingelogt habe und auf einem Server spielen kann, öffnen sich auch da in Abständen IPs mit Port 80...


Normalerweise müssten doch alle Port bis auf die freigeschalteten gesperrt sein und wenn die wow.exe den Port 80 bräuchte, müsste es doch eine Warnung, Fehlermeldung etc. geben die mich darauf hinweist.

Hast du oder irgendjemand eine Idee woran das liegen könnte ?

Hier sieht man, dass die IPs zu akamai gehören...

Mir kommt das langsam so vor, als hätte akamai überall seine Finge drin ^^






EDIT:

Und was mich doch sehr stark wundert:!:

Beim runterladen des Patches, öffnen sich von selbst eingehende Regeln...
Ich dachte das wäre nicht möglich nach diesem HOW TO.

Wenn das WoW-Update das kann, dann können es doch auch andere Programme.
Ist da eventuell eine Sicherheitslücke vorhanden, in der sich Regeln selbst erstellen ?

Abgesehen davon, jedes Programm das Updates benötigt, hat bei mit eine ausgehende Regel in der Firewall und das reicht völlig aus.
Warum benötigen gewisse Programme... (in meinem Fall WoW) auch eingehende Regeln ?

Die letzen beiden Ports UDP 1900 und TCP 2869 kenne ich gar nicht... Port 3724 gehört zu WoW.
Die letzen beiden Regeln waren nach der Selbsterstellung auch schon deaktiviert...habe sie also nicht selbst deaktiviert.

Die Screens sind etwas unscharf.
Klickt auf die Anhänge dann gehts.

 

[Scheinweltname]

Obwohl nichts weiter freigeschaltet ist, öffnen sich wenn ich die wow.exe starte auch mehrere (3-4) IPs mit Port 80. Diese verschwinden dann auch nach einer Weile....

es kann eigentlich nur sein, dass du die entsprechenden Akamai-Adressen in die "Traffic-zu-Microsoft"-Regel aufgenommen und entsprechend für alle Programme über Port 80 freigegegeben hast; der entsprechende CIDR-Bereich steht jedenfalls auch in Post #1.

Normalerweise müssten doch alle Port bis auf die freigeschalteten gesperrt sein und wenn die wow.exe den Port 80 bräuchte, müsste es doch eine Warnung, Fehlermeldung etc. geben die mich darauf hinweist.

nicht unbedingt. Bei Unreal Tournament merke ich den blockierten Port 80 nur dann, wenn ich im Spiel selbst von einem Server eine neue Map runterlade (extrem geringe Downloadrate).

Beim runterladen des Patches, öffnen sich von selbst eingehende Regeln...
[...]
Warum benötigen gewisse Programme... (in meinem Fall WoW) auch eingehende Regeln ?.

Für Benachrichtigungen in solchen Fällen ist diese Einstellung verantwortlich: Systemsteuerung --> Windows-Firewall --> Erweiterte Einstellungen --> Windows-Firewalleigenschaften --> (in jedem Profil) "Einstellungen: Anpassen ..." --> Benachrichtigung anzeigen.
Wenn das bei dir auf "ja" steht, hättest du eigentlich eine Nachricht bekommen müssen, als die Regel erstellt wurde.
Für WoW werden solche Regeln vermutlich erstellt, weil es einige Server-Funktionalitäten bietet, die man als Spieler nutzen könnte. Ich kenne das vom orbit Downloader. Der versucht für seine P2P-Komponente Regeln für eingehenden Traffic zu erstellen.

Aber wenn bei dir "Alle Blockieren" (statt "Blockieren (Standard)") für alle Profile für eingehende Verbindungen eingestellt ist, dann bleiben die Regeln für eingehenden Verkehr sowieso wirkungslos, weil auch diese Ausnahmen ignoriert werden.
Mit "Blockieren (Standard)") wird hingegen nur alles bis auf die eingetragenen Ausnahme-Regeln blockiert.
--> vgl. die Screenshots im Abschnitt "Konfigurationsschritte" in Post #1.

 

[Falkner]

es kann eigentlich nur sein, dass du die entsprechenden Akamai-Adressen in die "Traffic-zu-Microsoft"-Regel aufgenommen und entsprechend für alle Programme über Port 80 freigegegeben hast; der entsprechende CIDR-Bereich steht jedenfalls auch in Post #1.

Ja, mir fällt grad ein, dass ich die Regel für uneingeschränktes Surfen aktiv hatte...
Ich muss das nochmal probieren. Zum Glück habe ich das Update noch nicht fertig abgeschlossen, kann also noch weiter testen ^^

Aber ich denke, wenn ich für die wow.exe bzw. der Downloader den Port 80 freigebe, kann nicht schlimmes passieren, nehme ich an.

PS: Hab grad nochmal die IPs mit TCPView überprüft wenn ich den Download starte. Für den Download selbst habe ich die P2P Funktion im Downloader von WoW deaktiviert.

Einmal: 62.156.238.18 (netname: AKAMAI-TECHNOLOGIES-FRANKFURT-3) = 255.255.255.0 = 62.156.238.0/24
und
Einmal: 12.120.79.253 (OrgName: AT&T WorldNet Services) = 255.0.0.0 = 12.0.0.0/8

Diese IP 12.0.0.08 mcht mir Angst ^^ , zumal auchnoch alle Ports bei der Downloader.exe offen sind.


Zitat:

Zitat von Falkner
Normalerweise müssten doch alle Port bis auf die freigeschalteten gesperrt sein und wenn die wow.exe den Port 80 bräuchte, müsste es doch eine Warnung, Fehlermeldung etc. geben die mich darauf hinweist.

Zitat von Scheinweltname
nicht unbedingt. Bei Unreal Tournament merke ich den blockierten Port 80 nur dann, wenn ich im Spiel selbst von einem Server eine neue Map runterlade (extrem geringe Downloadrate).

Ja aber das ist ja was anderes.
Wenn ein Port für ein Programm gar nicht erst freigegeben ist, dann kann das Programm auch nicht darauf zugreifen. Zumindest nahm ich da bisher an. In meinem Fall war das wohl so, weil ich die Regel fürs uneingeschränkte Surfen noch aktiv hatte und die wow.exe bzw. der Downloader für den Ptach auf diese Regel zugreifen konnte.

Für Benachrichtigungen in solchen Fällen ist diese Einstellung verantwortlich: Systemsteuerung --> Windows-Firewall --> Erweiterte Einstellungen --> Windows-Firewalleigenschaften --> (in jedem Profil) "Einstellungen: Anpassen ..." --> Benachrichtigung anzeigen.
Wenn das bei dir auf "ja" steht, hättest du eigentlich eine Nachricht bekommen müssen, als die Regel erstellt wurde.

Ist in jedem Profil aktiv.
Eine Nachricht bekomme ich jedoch nicht.
Ich lösche die Regel aber sobald ich den Patchdownload starte, erstellen diese sich neu ohne Benachrichtigung.

Für WoW werden solche Regeln vermutlich erstellt, weil es einige Server-Funktionalitäten bietet, die man als Spieler nutzen könnte. Ich kenne das vom orbit Downloader. Der versucht für seine P2P-Komponente Regeln für eingehenden Traffic zu erstellen.

Extra nur für einen Download ?
Finde ich irgendwie Mist...
Das gibt meinem Sicherheitsempfinden einen kleinen Knick, denn ich ging davon aus, nur der User selbst könne Regeln erstellen. Wenn Programme das können, dann kann das vermutlich auch Malware die irgendwie auf den Rechner gellangt ist.

Aber wenn bei dir "Alle Blockieren" (statt "Blockieren (Standard)") für alle Profile für eingehende Verbindungen eingestellt ist, dann bleiben die Regeln für eingehenden Verkehr sowieso wirkungslos, weil auch diese Ausnahmen ignoriert werden.

Es steht bei jedem Profil "Alle Blockieren".
Wirkungslos werden diese Regel nicht sein... sonst würde der Patch nicht runtergeladen werden können, denke ich.

Komisch finde ich auch, dass von den 5 sich selbst erstellten Regeln, 2 von anfang an deaktiviert sind...(die mit den zwei komischen Ports^^).
Warum werden die überhaupt erstellt wenn sie deaktiviert sind ...

 

[Scheinweltname]

PS: Hab grad nochmal die IPs mit TCPView überprüft wenn ich den Download starte. Für den Download selbst habe ich die P2P Funktion im Downloader von WoW deaktiviert.

Einmal: 62.156.238.18 (netname: AKAMAI-TECHNOLOGIES-FRANKFURT-3) = 255.255.255.0 = 62.156.238.0/24
und
Einmal: 12.120.79.253 (OrgName: AT&T WorldNet Services) = 255.0.0.0 = 12.0.0.0/8

Diese IP 12.0.0.08 mcht mir Angst ^^ , zumal auchnoch alle Ports bei der Downloader.exe offen sind.
[...]
Es steht bei jedem Profil "Alle Blockieren".
Wirkungslos werden diese Regel nicht sein... sonst würde der Patch nicht runtergeladen werden können, denke ich.

reden wird hier wirklich von eingehendem Datenverkehr? Stehen die obigen IPs bei "Remote Address" oder bei "Local Address"? Du brauchst keinen eingehenden Datenverkehr, um die Patches herunterzuladen. Downloads (die ja von dir bzw. einem Programm auf deinem Rechner ausgehend gestartet wurden) sind immer ausgehender Traffic. Ich bezweifle ganz ganz stark, dass die automatisch erstellten Regeln für den eingehenden Verkehr trotz "Alle Bockieren" angewendet werden ... zumal ja die entscheidende Instanz auf deinem Rechner sowieso die Firewall von KIS ist. Wenn da keine Regeln für eingehenden Traffic für den WoW-Downloader drinstehen, kann wird eingehender Traffic dafür eh blockiert; egal was in der WindowsFW drinsteht.

Wenn ein Port für ein Programm gar nicht erst freigegeben ist, dann kann das Programm auch nicht darauf zugreifen. Zumindest nahm ich da bisher an.

das ist auch so

Das gibt meinem Sicherheitsempfinden einen kleinen Knick, denn ich ging davon aus, nur der User selbst könne Regeln erstellen. Wenn Programme das können, dann kann das vermutlich auch Malware die irgendwie auf den Rechner gellangt ist.

ich kann mir das nur so erklären, dass der Patch-Downloader vermutlich mit Admin-Rechten läuft. Es würde mich sehr irritieren, wenn ein Programm mit eingeschränkten Rechten die Firewallregeln ändern könnte. Ich hab jedenfalls bislang immer Nachrichten bekommen, wenn eine neue Regel erstellt werden sollte.
EDIT: ich sehe gerade, dass bei der Melde-Option der Firewall drinsteht, dass nur dann eine Meldung kommt, wenn ein Programm aktiv daran gehindert wird, eingehende Verbindungen zu empfangen (wenn noch keine Regel besteht). Vermutlich kriegst du keine Meldung, weil sowieso alle eingehenden Verbindungen ausnahmslos und automatisch blockiert werden ("Alle Blockieren") und dieser Fall (eingehende Verbindung herstellen) entsprechend gar nicht eintreten kann. Du kannst ja mal versuchsweise die Einstellungen auf "Blockieren (Standard)" zurückstellen, die Regeln für den Downloader löschen und ihn dann nochmal installieren/ ausführen. Wenn er tatsächlich eingehende Verbindungen empfangen will, dann müsstest du eigentlich die Meldung kriegen, dass das Programm blockiert wurde und ob du es zulassen möchtest.

Komisch finde ich auch, dass von den 5 sich selbst erstellten Regeln, 2 von anfang an deaktiviert sind...(die mit den zwei komischen Ports^^).
Warum werden die überhaupt erstellt wenn sie deaktiviert sind ...

die beiden Dienste zu diesen Regeln (SSDP-Suche und UPnP) dürften, wenn du dich am HowTo orientierst, abgeschaltet sein. Vielleicht sind sie deswegen deaktiviert. Ich habe allerdings noch nie erlebt, dass Windows selbstständig Regeln wiederherstellt, die ich gelöscht hatte; meine Liste für eingehende Regeln ist und bleibt leer.

 

[Falkner]

reden wird hier wirklich von eingehendem Datenverkehr? Stehen die obigen IPs bei "Remote Address" oder bei "Local Address"? Du brauchst keinen eingehenden Datenverkehr, um die Patches herunterzuladen. Downloads (die ja von dir bzw. einem Programm auf deinem Rechner ausgehend gestartet wurden) sind immer ausgehender Traffic. Ich bezweifle ganz ganz stark, dass die automatisch erstellten Regeln für den eingehenden Verkehr trotz "Alle Bockieren" angewendet werden ... zumal ja die entscheidende Instanz auf deinem Rechner sowieso die Firewall von KIS ist. Wenn da keine Regeln für eingehenden Traffic für den WoW-Downloader drinstehen, kann wird eingehender Traffic dafür eh blockiert; egal was in der WindowsFW drinsteht.

Es sind ja eingehende Regeln die erstellt werden sobald ich den Download starte, daher gehe ich auch von eingehendem Datenverkehr aus. Würden diese nicht benötigt, würde der Download wohl auch nicht staten. (nehme ich an)

Für das Updates benötige ich eine ausgehende Regel die ich selbst erstelle und zwar für diese *exe = WoW-3.2.0-deDE-downloader.exe. Und für diese *exe werden eben auch noch automatisch die eingehenden Regel erstellt... auf dem Screen im vorherigen Post kannst du ja die 5 eingehenden Regeln sehen. Post #126


Ja, die IP Adressen 62.156.238.18 und 12.120.79.253 stehen bei TCPView unter Remote Address

KIS habe ich nicht mehr intsalliert.
Bin zu dem Entschluss gekommen, dass ich das nicht benötige und die Win-FW für mich ausreicht. Zumal ich bei KIS etwas durcheinander kam.

ich kann mir das nur so erklären, dass der Patch-Downloader vermutlich mit Admin-Rechten läuft. Es würde mich sehr irritieren, wenn ein Programm mit eingeschränkten Rechten die Firewallregeln ändern könnte. Ich hab jedenfalls bislang immer Nachrichten bekommen, wenn eine neue Regel erstellt werden sollte.

Die Regeln erstellen sich auch ohne dass ich "rechtklick" -> "Als Admin ausführen" klicke...

EDIT: ich sehe gerade, dass bei der Melde-Option der Firewall drinsteht, dass nur dann eine Meldung kommt, wenn ein Programm aktiv daran gehindert wird, eingehende Verbindungen zu empfangen (wenn noch keine Regel besteht). Vermutlich kriegst du keine Meldung, weil sowieso alle eingehenden Verbindungen ausnahmslos und automatisch blockiert werden ("Alle Blockieren") und dieser Fall (eingehende Verbindung herstellen) entsprechend gar nicht eintreten kann. Du kannst ja mal versuchsweise die Einstellungen auf "Blockieren (Standard)" zurückstellen, die Regeln für den Downloader löschen und ihn dann nochmal installieren/ ausführen. Wenn er tatsächlich eingehende Verbindungen empfangen will, dann müsstest du eigentlich die Meldung kriegen, dass das Programm blockiert wurde und ob du es zulassen möchtest.

Es sieht so aus...:

Stelle ich in den Profilen "Blockieren (Standard)" ein, kommt tatsächliche eine Meldung , dass eine Verbindung hergestellt werden will.
Allerdings eine Meldung für eine andere *exe des Spiels (launcher.exe)...
die Regeln für die WoW-3.2.0-deDE-downloader.exe wird weiterhin erstellt und die Verbindungg ist akiv. Hier in Screens zu Erklärung.


Hier Bild 1 mit "Alle Blockieren" in den Profilen eingestellt. Zwei Regeln für WoW-3.2.0-deDE-downloader.exe wurden erstellt. Seltsamerweise sind wie oben erwähnt, in diesem Screen auch zwei Regeln mit der Launcher.exe für das Spiel vorhanden. Die waren im anderen Screen von Post #126 nicht vorhanden. Habe dafür jetzt keine Erklärung warumd das ist.

Und hier Bild 2 mit "Blockieren (Standard)" in den Profilen eingestellt. Als die Meldung/Hinweis kam, habe ich auf abbrechen geklickt. Wenn man sich jetzt die eingehenden Regeln anschaut sieht man, dass die WoW-3.2.0-deDE-downloader.exe Regel weiterhin aktiv ist. Die beiden launcher.exe Regeln sind zwar auch vorhanden aber blockiert.

die beiden Dienste zu diesen Regeln (SSDP-Suche und UPnP) dürften, wenn du dich am HowTo orientierst, abgeschaltet sein. Vielleicht sind sie deswegen deaktiviert. Ich habe allerdings noch nie erlebt, dass Windows selbstständig Regeln wiederherstellt, die ich gelöscht hatte; meine Liste für eingehende Regeln ist und bleibt leer.

SSDP-Suche und UPnP Gerätehost sind deaktiviert.

 

[TobHH]

@Falkner

Bei mir kommt auch nie eine Meldung wenn ein neues Programm versucht eine Verbindung her zu stellen.

Und als ich GTA IV und GTA EFLC installiert habe, habe ich mich gewundert, warum er automatisch bei den eingehenden Regeln zwei neue erstellt hat.

Das finde ich auch alles sehr merkwürdig.

 

[Scheinweltname]

Die Regeln erstellen sich auch ohne dass ich "rechtklick" -> "Als Admin ausführen" klicke...

das finde ich krass ... das hab ich noch nicht erlebt. Ich bin aber weiterhin überzeugt, dass die Regeln nicht angewendet werden, wenn "Alle Bockieren" eingestellt ist (d.h. es würden trotz der Regel alle eingehenden Verbindungen blockiert). Wobei ich zugeben muss, dass es irritiert, wenn einfach so neue Regeln erstellt werden. Das besonders, weil die Standard-Regeln ("Blockieren (Standard)") die Firewall ja ziemlich löchrig für eingehenden Traffic machen würde, wenn jedes Programm sich nach Belieben als Ausnahme hinzufügen kann. Für Router-Nutzer spielt das keine große Rolle, weil deren Router alles unaufgeforderte von Außen blockiert ... aber es hinterlässt ein komisches Gefühl.

Ich kann es verstehen, wenn Installer, die Admin-Rechte besitzen (oder andere Komponenten des Programms mit Systemrechten laufen, z.B. bestimmte dazugehörige Dienste (wie bei Kaspersky)), Regeln erstellen können; aber Programme, die nur mit eingeschränkten Rechten unterwegs sind? Das kann nicht richtig sein.

EDIT: Offenbar erstellt Skype auch dauernd neue FW-Regeln ...

EDIT 2:

Blockieren aller eingehenden Verbindungen, einschließlich derer in der Liste der zugelassenen Programme
Mit dieser Einstellung werden alle unerwünschten Versuche blockiert, mit Ihrem Computer Verbindung aufzunehmen. Verwenden Sie diese Einstellung, wenn maximaler Schutz für den Computer erforderlich ist, z.B. während einer Verbindung mit einem öffentlichen Netzwerk in einem Hotel oder am Flughafen oder wenn sich ein Computerwurm über das Internet verbreitet. Bei dieser Einstellung werden Sie nicht benachrichtigt, wenn die Windows-Firewall Programme blockiert. Programme auf der Liste der zugelassenen Programme werden ignoriert.
Wenn Sie alle eingehenden Verbindungen blocken, können Sie nach wie vor die meisten Webseiten anzeigen sowie E-Mail und Sofortnachrichten senden und empfangen.

[...]

Wenn die Firewall alles blockieren soll, einschließlich Programmen, denen Sie vorher die Kommunikation durch die Firewall erlaubt haben, dann aktivieren Sie das Kontrollkästchen [*]: Alle eingehenden Verbindungen blockieren, einschließlich der in der Liste der zugelassenen Programme.

ich finde aber nirgends einen Eintrag darüber, wann und ob Programme selbstständig Regeln erstellen dürfen ...

[*] Das besagte "Kontrollkästchen" findet sich hier: Systemsteuerung -> Windows-Firewall -> "Benachrichtigungseinstellungen ändern" (man kann es aber auch direkt über "Alle Blockieren" in den Einstellungen der Profile unter den erweiterten Einstellungen ändern, so wie im HowTo beschrieben)

 

[Falkner]

So, ich habe jetzt mehrere Versuche gemacht indem ich einige Regel aktiv gelassen habe und andere wieder deaktiviert habe und immer wieder den Downloader das Updaten hab starten lassen... total nervig ^^


Festgstellt habe ich:

Auf jeden Fall muss die ausgehende Regel für WoW-3.2.0-deDE-downloader.exe aktiv sein.

Ich hatte noch die Regel für uneingeschränktes Surfen aktiv da Port 80 benötigt wurde... Hätte ich jetzt auch nur für den Downloader zulassen können aber ich war zu faul^^

Dealtiviere, blockiere oder lösche ich die eingehenden Regeln die sich selbst erstellt haben, läuft das Updates dennoch weiter.

Deaktiviere ich hingegen die weiter oben genannten ausgehenden Regeln, erhöht sich die Downloadzeit des Patches und es kommt irgenwann die Meldung, dass der Tracker nicht mehr antwortet o.s.ä.


Daher frage ich mich, warum die eingehenden Regeln überhaupt erstellt werden wenn der Download auch ohne diese funktioniert. Allerdings habe ich den Download der Patches noch nicht beendet. Vielleicht werden eingehenden Regel ja zum Abschluss des Downloads benötigt... aber ich bezweifle es in gewisse Weise...






PS: Wichtig für alle WoWler hier... Solltet ihr ein Update beendet haben und es folgt ein weiteres Update, dann wird in eurem WoW-Ordner eine neue/weitere Patch.exe erscheinen die ihr in euere ausgehende Regel packen müsst. Die alte Regel mit der *exe des alten Patches funktioniert dann nicht. Anscheinend läd das Spiel einen kleinen Teil eines neues Patches automatisch in den WoW-Ordner, warum auch immer. Aber damit der Download dann funktioniert, muss die .exe des aktuellen Patches in den Pfad der Regel eingegeben werden. Zumindest ist es bei mit so.

 

[Scheinweltname]

Dealtiviere, blockiere oder lösche ich die eingehenden Regeln die sich selbst erstellt haben, läuft das Updates dennoch weiter.

Deaktiviere ich hingegen die weiter oben genannten ausgehenden Regeln, erhöht sich die Downloadzeit des Patches und es kommt irgenwann die Meldung, dass der Tracker nicht mehr antwortet o.s.ä.

dann ist doch alles logisch! Anders hätte ich es auch nicht erwartet.
ausgehender Traffic = der User surft im Internet, lädt Dateien herunter usf. (alle Verbindungen werden nur hergestellt, weil der Nutzer ein Programm dazu veranlasst. D.h. die Verbindungsanfrage ging vom Rechner des Nutzers aus)
eingehender Traffic = der Rechner des Users fungiert als Server und nimmt Verbindungen von anderen Rechnern an (Verbindungen können auch von anderen Rechnern hergestellt werden, auch wenn man selbst keine Verbindungsanfrage gestellt hat. D.h. die Verbindungsanfrage ging von einem anderen Rechner/ Server aus; d.h. sie ging beim eigenen Rechner ein.).

Daher frage ich mich, warum die eingehenden Regeln überhaupt erstellt werden wenn der Download auch ohne diese funktioniert.

dass die eingehende Regel nicht notwendig ist, erklärt den Umstand, dass du keine Benachrichtigung bekommst: Es wird darüber keine Verbindung hergestellt, Windows braucht entsprechend nix aktiv zu blockieren und die Benachrichtigung bleibt aus.

Ich vermute mal, dass die Regeln vorsorglich erstellt werden; nach dem Motto: Irgendwann könnte man sie vielleicht brauchen.

Das erklärt allerdings nicht, warum diese Regeln so einfach von einem Programm erstellt werden können ...

 

[Falkner]

Ich glaube den Grund zu kennen warum sich eingehede Regeln von selbst erstellen.

Beim Downloader gibt es in den Einstellungen die Option: Peer-to-peer Datentransfer aktivieren


Ich vermute, dass diese Option bzw. Funktion dafür verantwortlich ist.
Zwar erstellen sich die eingehenden Regel auch bei deaktiviertem P2P-Datentranfer... aber dennoch laube ich, dass es daran liegt.

Mit P2P soll der Patch schnell runtergeladen werden können.
Und wie du bereits sagtest =

eingehender Traffic = der Rechner des Users fungiert als Server und nimmt Verbindungen von anderen Rechnern an

Mit diesen eingehenden Regeln können vermutlich andere WoW-Spieler den Download von mir runterladen wenn ich das richtig verstanden habe um die Blizzardserver zu entlasten, nehme ich an.

Eine anderer Grund fällt mir nicht ein.

Das erklärt allerdings nicht, warum diese Regeln so einfach von einem Programm erstellt werden können ...

Vielleicht sollte man bei Blizzard mal nachfragen ^^

 

[Scheinweltname]

Ich vermute, dass diese Option bzw. Funktion dafür verantwortlich ist.
Zwar erstellen sich die eingehenden Regel trotz deaktiviertem P2P-Datentranfer... aber dennoch laube ich, dass es daran liegt.
[...]
Mit diesen eingehenden Regeln können vermutlich andere WoW-Spieler den Download von mir runterladen wenn ich das richtig verstanden habe um die Blizzardrechner zu entlasten, nehme ich an.

so würde ich mir das auch denken

Vielleicht sollte man bei Blizzard mal nachfragen ^^

Der Grund für die Regelerstellung ist gar nicht so wichtig. Wichtiger ist, warum die Windows Firewall es einfach zulässt, dass Programme (wie ja auch Skype oder Orbit und vermutlich auch P2P-Programme) Regeln erstellen. Da müsste man sich eher mal an Microsoft wenden ... leider habe ich nicht die Erfahrung gemacht, dass man in öffentlichen Foren vernünftige Antworten auf Netzwerkfragen bekommt.

 

[Falkner]

Nochmal zum Verständnis:

Eingehender Verkehr ist nicht möglich da in den Profilen bei Eingehende Verbindung Alle Blockiren steht/eingestellt wurde.

Bedeutet, auch wenn ich selbst eine eingehende Regel erstelle, hätte sie keine Funktion obwohl aktiv ?

Irgendwie verstehe ich das nicht so ganz.

Schließlich kann ja auch nichts raus senden, außer ich erstelle eine ausgehende Regel für irgend etwas. Das müsste doch dann bei eingehenden Regel auch so sein.

 

[Scheinweltname]

Eingehender Verkehr ist nicht möglich da in den Profilen bei Eingehende Verbindung Alle Blockiren steht/eingestellt wurde.
Bedeutet, auch wenn ich selbst eine eingehende Regel erstelle, hätte sie keine Funktion obwohl aktiv ?

richtig

Irgendwie verstehe ich das nicht so ganz.

Schließlich kann ja auch nichts raus senden, außer ich erstelle eine ausgehende Regel für irgend etwas. Das müsste doch dann bei eingehenden Regel auch so sein.

eingehender Verkehr wird eben anders gehandhabt. Ausgehenden Traffic braucht jeder, der im Netz surfen will; eingehenden Traffic braucht nur ein Bruchteil aller Nutzer. Deshalb gibt es für eingehenden Traffic eine "Auch alle Erlauben-Regeln ignorieren"-Regel ("Alle Blockieren"); quasi als iditiotensichere Überregel, die im Zweifelsfall alles blockiert.

So eine Regel wäre für ausgehenden Traffic zwar möglich, aber wenig sinnvoll, weil man ja eigentlich immer für irgendwas ausgehenden Netzwerkkontakt braucht; andernfalls kann man gleich den Netzwerkadapter deaktivieren.

Du musst die Standard-Regeln der Firewall bedenken: Ausgehender Traffic wird ungefragt für alle Programme durchgelassen, was auf einem sauberen System auch kein Sicherheitsrisiko darstellt. Würde aber auch eingehender Traffic beliebig zugelassen, dann könnten Hacker übers Internet problemlos auf den Rechner zugreifen. Und wenn du dir in so einem Szenario einen unbedarften Nutzer vorstellst, dann ist so eine Überregel sehr sinnvoll, weil sie keine komplexen Umstellungen der Firewall voraussetzt (wie beim Whitelisting des ausgehenden Traffics), sondern lediglich ein Häkchen in einem Kästchen.

Übrigens gab es diese Überregel schon bei der Firewall von WinXP.

 

[Falkner]

Da müsste man sich eher mal an Microsoft wenden

werde es mal bei Gelegenheit machen

 

[Falkner]

Habe heute mein Systemabbild wieder aufgespielt und anschließend die Win7 Firewall konfiguriert.


1. Problem :

Empfohlene Windows Updates konnte ich ohne Probleme herrunterladen und installieren.
Zwei wichtige Updates lassen sich nicht herrunterladen
Sicherheitsupdate für Windows 7 für x64-basierte Systeme (KB2032276)
Windows-Tool zum Entfernen bösartiger Software x64 - Juli 2010 (KB890830)
Dieser Fehler erscheint = 80072efd. Normalerweise kommt diese Meldung, wenn svchost.exe keine Verbindung ins Internet findet. Aber das kann bei mir nicht der Fall sein da die empfohlenen Updates herruntergeladen werden konnten.


2. Problem :
Mir ist aufgefallen, dass sich die IP 199.7.71.0/22 (gehört zu VeriSign) die ich in der Regel "Vertrauenswürtige IPs" eingetragen habe von selbst in eine andere IP ändert und zwar in diese hier 199.7.68.0/22


Wie kann das sein ?

Jedes mal wenn ich diese Regel überprüfe, ist 199.7.71.0/22 in 199.7.68.0/22 geändert.



Hat jemand eine Idee ?