ZoneAlarm, ein Erfahrungsbericht für Normaluser

Eintracht

R.I.P.
Vergiftete Geschenke.. Firewall muss her.. (pro ZoneAlarm Professional)

Mein besonderer Dank gilt PGSM (Cosmo News Forum), der die Tests aufgezeichnet und die Installationsanweisungen dokumentiert hat. Den Originaltext vom Cosmo-Board habe ich nach Absprache leicht modifiziert, die von ihm genannten URL´s sind nur noch bedingt gültig. Am Ende des Artikels stehen URL´s, von denen das im Text genannte Programm und die gesamte Dokumentation bezogen werden kann (ca. 1,4 MB).

Eine Firewall ist ein Kontrollprogramm, das von ihnen nicht gebilligten Internet-Traffic blockieren soll. Dazu gibt es zwei Wege
a) Blockierungen festzulegen und alles übrige zu erlauben, oder
b) Erlaubnisse zu regeln und alles übrige zu blockieren.

Sofern die b-Variante Blockierungen klar aufzeigt und eine evtl. Erlaubnis-Ergänzung selten erforderlich und zudem leicht handhabbar ist, ist dies der sicherste Regel-Verfahrensweg.

Bekannte Firewalls sind AtGuard3.22 und ZoneAlarm. Aber weder ist es richtig, dass AtGuard (baugleich mit Norton Firewall) rein Port-bezogen ist, noch dass ZoneAlarmPro (ZAP) rein Anwendungs-bezogen ist. Auch können weder AtGuard noch ZAP die aktuelle IP-Adresse verbergen, sonst würden die Incoming-Datenpakete Sie nie erreichen - hier besteht auch kein akuter Handlungsbedarf, da deutsche Internet-Provider solche Angaben nach drei Monaten löschen müssen und dem möglichen Anlegen von User-Profilen durch Datenschutzgesetze Grenzen gesetzt sind - zumindest große Provider werden sich daran halten.

Absolute Profis und Warez-Spezialisten jetzt weghören, dafür alle Normalanwender hinhören:

So schwer ist es gar nicht, Sie können eine gute Sicherheit in ein bis maximal zwei Stunden herstellen, ohne zum Firewall-Administrator zu werden und trotzdem durchzublicken und danach das Internet zu genießen. Dies sage ich, nachdem ich fast drei Monate zwischen AtGuard 3.22 und ZAP geschwankt habe - AtGuard kann in Feinheiten durchaus mehr leisten als ZAP zB. Referrer entfernen (auf welcher WebSeite waren Sie zuletzt?), bestimmte Web-Seiten ausschließen, die Übertragung der EMail-Adresse verhindern usw..., aber solche Feinheiten sind für Normalverbraucher nicht mehr von so großer Bedeutung, zumal das Erstellen der AtGuard-Rules und spätere Verstehen eine Menge Zeit kosten. Und was nützen mir 56KB-AtGuards-fertige Regeln, wenn ich bei Zugriffsproblemen auf Web-Seiten nicht damit klarkomme, was anders einzustellen ist.

Dennoch kann nicht verschwiegen werden, dass AtGuard mehr Restrisiken abfängt als ZAP, aber für diese minimalen Restrisiken und die höher zu veranschlagenden Risiken aus Betriebssystem-Fehlern, Treiberfehlern, mangelhaften Software-Installationen usw. ist die Rückkehr-Möglichkeit durch zeitnahe Datensicherungen VIEL ZWINGENDER EINSCHLIESSLICH eines aktuellen Virenprüfers! UND ich bin sicher, bei wirtschaftlichem Erfolg von ZAP wird auch von dort nachgelegt werden.

ZAP ist von sechs normalen Anwendern zwei Monate getestet worden - Fazit: Es läuft genauso klaglos, unauffällig und wartungsarm wie ZANormal (also genau das Richtige für Normalanwender), aber mit weit höherer Sicherheit, da z.B. auch Spyware wie Realplayer jetzt sowohl bei der Programmkontrolle als auch der Portkontrolle auflaufen. Bei Angriffen von innen durch eine von ihnen vertrauensvoll angewählte Web-Seite kann NUR ZAP Sie schützen (NICHT ZA 2.1.44)!

Wie ist vorzugehen?

1. GANZ einfach
Internet-aktive Programme wie z.B. Browser nutzen Internet-Unterfunktionen ihres PCs (Ports). Hier setzt bereits das normale ZoneAlarm Maßstäbe, in dem nur ERLAUBTE Programme Ports (jedoch ALLE) benutzen können - Trojaner-Programmstartversuche von innen und CyberKiddies von aussen [immer noch zwei pro Stunde] bleiben einfach draußen: Es werden nämlich auch alle ankommenden Datenpakete von außen blockiert, die nicht mit dem Refer ihres Browsers hereinkommen.

2. EINFACH
Internet-Unterfunktionen sind als sogenannte Port-Aufrufe zwischen 0 und 1023 NORMIERT worden, die von den Betriebssystemen als Standard-Funktionen angeboten werden. Da MS unter weltweiter Beobachtung steht, können Sie davon ausgehen, dass bei den Standard-Ports keine Schlitzohrigkeiten verborgen sind.
ALLE PORTS ab 1024 bis 65535 können von der aufgerufenen Web-Seite oder gestarteten Programmen auf ihrem PC frei mit Internet-Funktionen beliebigen Inhalts belegt werden: Sie wissen also nicht, werden Sie evtl. nur ausgespäht oder ist ihr PC in 3 Sekunden tot oder irreparabel geschädigt oder mit einer Zeitbombe in 3 Tagen tot. Generell sollten daher die Ports ab 1023-65535 von ihnen NICHT ERLAUBT WERDEN.

3. NOCH EINFACHER und sicherer mit ZAP
In ZAP wird die notwendige Möglichkeit eingeräumt, Browser und andere Internet-wirksame Anwendungen auf bestimmte Ports ZU BESCHRÄNKEN. Nach fast dreimonatigen Tests für Netscape, Opera4.0 und MSIE5.5 kann ich feststellen: Mit der Einstellung ZAP-Funktion 'Allow access for ONLY the ports checked below' AUF NUR ZWÖLF NORMIERTE PORTS (und damit NICHT-ZULASSUNG! der 65.523 anderen Internet-Unterfunktionen) können Sie angstfrei und ohne Störungen surfen. Jede Port-Freigabe oberhalb von 1023 bedeutet, dass Sie einer WebSeite Internetfunktionen zugestehen, ohne zu wissen, was Sie erlauben. Konsequenz: Bei vertrauenswürdigen Web-Seiten können Sie Blockierungen aus nicht erlaubten Ports dennoch freischalten (sehr seltener Fall), im Zweifelsfall aber die Blockierung NICHT AUFHEBEN! Sinnvoll wäre hier eine ZAP-Erweiterung, bei welchen Web-Seiten Sie zusätzliche Ports erlauben. Aktuell lässt sich das generell damit lösen, dass Sie mehrere Browser benutzen und im nicht so häufig benutzten Browser zusätzlich benötigte und als vertrauensvoll eingeschätzte Port-Erlaubnisse freischalten [gleich Definition als Risiko-Browser]. Das Risiko, dass gerade dieser zusätzlich freigeschaltete Port von einer anderen Web-Seite missbräuchlich benutzt wird, liegt bei 0,0015% (1:65000). Aber wie gesagt, ZAP wird wohl noch nachlegen.

4. FAZIT
Ab der Erstinstallation von ZAP habe ich begonnen, mir alle Erfahrungen auch mit anschaulichen Bildschirmabdrucken zu sammeln - daraus einstand ein kompaktes Installationshandbuch auf acht Seiten zuzüglich Links auf wichtige weiterführende Seiten und Programm [alles Virus-checked vor ZIP].
ZAP kann einfach und vor allem EINSICHTIG eingerichtet und gepflegt werden. Was grausen mich da als Normalanwender die 56.000Bytes Import in die Registry für AtGuard 3.22.
Risiko-Mengengerüst: Zwei blockierte Script-Kiddies PRO STUNDE [die stoppt auch ZA 2.1.44], bis zu drei Port-Blockaden in einem Monat durch ZAP -aber die hätten es in sich haben können.

5. TESTEN SIE ihre aktuell benutzte Firewall:
Wenn Sie auf folgende zwei URLs ohne Alarmmeldungen/Blockaden zugreifen können, dann haben Sie entweder die falsche Firewall oder die falschen Einstellungen!
Kostenlose EMail-Adressen mit 100MB und schnellem Server, brandneue MP3s, Sexy girls.. giftige Geschenke.. Und keine Ehrfurcht vor den Großen - auch Firmen-Firewalls haben teilweise beträchtliche Lücken!
a) www.Idrop.com Member:richtig password:lustig [blocked Port TCP 8099], wird wohl nur Daten sammeln zum Verkauf, aber Nutzung auf eigenes Risiko.
b) F**://F**.tvtotal.de/pub/robertoblanco/dewiesn.zip [Download MP3-Musik-Parodie von Stefan Raab und Roberto Blanko, 10 blocked Ports TCP 61xxx - wahrscheinlich harmloses Ausspähen, aber mit Restrisiko. Je nach Internetnutzung werden Sie mtl. auf 1-3 derartige Web-Seiten mit ggf. beträchtlichen Risiken treffen.
c) Nachrichlich weitere EMail-Provider/Webspace-Seiten mit Spy-Ports: www.MailStates.com/MailTexas.com u.ä., www.in-box.net [nach Anmelden wirksam, MailTexas z.B. Port 8383]. Ferner gilt der (mit ZAP enttarnbare) Ausspäh-Hinweis insbesondere für alle "kostenlos" im Internet angebotenen Anwendungen, insbesondere in Verbindung mit Internet-unterstützenden Funktionen. Selbst einen kostenlosen deutschen Browser mit Spy-Eigenschaften habe ich schon gefunden - ZA2.1.44 kann solche Machenschaften NICHT entdecken!
Die Masse der Internet-Surfer wird gnadenlos ausgeforscht.

6. Nun sollten Sie zur Tat schreiten.
Auf der untenstehenden URL finden Sie ALLES, um in ein bis maximal zwei Stunden eine ordentliche Firewall einzurichten, die Sie nicht zum ständigen Firewall-Administrator verdammt, sondern eine sichere und entspannte Internet-Nutzung schenkt

Nach herunterladen der Dateien und entpacken in ein temporäres Plattenverzeichnis finden Sie im temporären Verzeichnis ZWEI Druck-Möglichkeiten: ZAPro-Install\ZAPro_Installation_Ports_Browser.htm [empfohlen für IE5.5 Querformat, IE5.0 nicht getestet] sowie die baugleiche ZAPro-Install\ZAPro_Installation_Ports_Browser.RTF [Netscape und andere, es wird automatisch Wordpad gestartet, Datei - Drucken - Eigenschaften - Querformat - Alles (drucken). Auch diese ZA-Short.rtf finden Sie nochmals im Verzeichnis "ZAPro-Install".

ZAP ist das Kontrollprogramm, das die Produktionssicherheit ihres PCs und die Privatsphäre im Internet schützt, ohne dass Sie zum Firewall-Administrator mutieren müssen.
JEDERMANN/-FRAU wird ermuntert, seine (ihre) Internet-Sicherheit und Privatsphäre (wieder)herzustellen.

Die Dokumentation kann hier bezogen werden.

Die Links sind leider tot :(
 
Zuletzt bearbeitet von einem Moderator:
Geschrieben von vielen Anwendern; es ist schon erstaunlich, wieviel bemerkenswerte Beiträge zusammen gekommen sind. Die Aussagen gelten sinngemäß für viele Firewall-DesktopAnwendungen. Sollte etwas Wichtiges aus unbekannten Boards übersehen worden sein - am besten hinzusetzen.

Hinweis: Die neuesten Beiträge stehen meist vorn - Stand 26.01.2000 bis zurück 1.11.2000, 9 Seiten Text.

Unzensiert gesammelt, übernommen und reduziert auf das Wesentliche.
Disclaimer "Gesammelt": Sofern nicht Getestet dran steht ohne Obligo. Und falls Fehler enthalten sind - seht es nach - die Frau will auch ernährt sein und der Hund spazierengeführt...
Generell gilt, eine Firewall ohne die richtigen Fein-Regeln ist KEIN SCHUTZ.

Konkrete Punkte:
DER (bisher FEHLENDE) MUTEX-Schutz bei ZoneAlarm und /Pro
ZAMutex.exe getestet
ZoneAlarm und Aureate Spyware
Ich bekomme immer neue Port-Blockings von ZAP - wie soll ich denn rausfinden..
Zonealarm bringt nur Bluescreens bei W2k
..ich habe Atguard nie benutzt, weil ich desöfteren gelesen, dass..
ZA-Pro-Einstellungen für einige Programme?
ZAP-Rules für RealPlayer
FW-Auswahlkriterien
Vernünftiges Gesamtkonzept, das bereits bei der nstallation des Betriebssystems anfängt
Mindeststandards
Tommys persönlicher idealfall einer firewall
Die Stateful-Inspection
Beste firewall?
Einige rulesets für at-guard gesaugt - das Ergebnis ist erschreckend
Zonealarm und CuteFTP - kann nichts uploaden
Neuen Trojaner aufspüren?
Frage zu ZAP und WIN2K
FTP-Server trotz ZoneAlarm?
Problem mit ZA Pro (BlueScreen)
Zonealarm und IP-Berechtigung
ZoneAlarmPro 1.0 sonderbares Icon
Wenn eine neue Anwendung über ZAP um Erlaubnis nachfragt - zuerst blocken!
Software, die Verbindung zum Hersteller aufnimmt
ZoneAlarm pro: Einstellungen fuer FTP Clienten?
Windows2000, Whistler (2257) und Firewalls!
Tommys Rules für Atguard und andere Firewalls
3 goldene @guard regeln: [Anmerkung: Und die sieben Hauptregeln]

ZAP-KOMPAKT.zip 0,5MB schliesst folgendes ein:
a) ZAP-Install-Anleitung.rtf für Normalanwender auf 10 Seiten mit Bildern
b) Ports_legitime_Nutzung.htm - Hinweise zu den WellKnown-Ports
c) ZA-Erfahrungen.rtf aus vier Monaten ZA2.1x-LOG - zwei Blockierungen pro Stunde/wer war das? Überraschung - 75 Prozent stammen von Marketing-Spys! Den Tipp zum Auswerten der Angreifer gab der EDV-Leiter von Stiftung Warentest.
d) AP-Nachtrag.rtf wie in obigen Highlights beschrieben
e) ZAMutex.exe zum Schließen einer Sicherheitslücke, leider bisher nur für ZAP verfügbar.

Es handelt sich also auschließlich um cleane Sicherheits-Informationen.

FW-Admins von Firmen - beachtet auch das aktuelle Topic
pub15.ezboard.com/fsecuri...=340.topic
"Neuartiges Remote-Control-Tool geht per TCP 80 durch alle (zentralen) Firewalls hindurch!"
Mögliche Konsequenz: Zusätzliche Desktop-Firewall auf jedem lokalen PC?! Outgoing TCP 80 sperren?

Das alles als Zip-file 570 K
http://buerger.metropolis.de/carolamaria/ZAP-Kompakt.zip
[Editiert von Eintracht am 15-03-2001 um 17:07]
 
Hallo hoven,

Herzlich Willkommen hier auf dem board! :)

Mit Rechtsklick - "Speichern unter...." funktioniert es bei mir!

CU
 
Hallo Zocker,

Danke für den Tip.

Gruß

Hoven

:eek: (komm mir vor wie ein Anfänger)
 
Gruß aus Dresden

Ein herzliches Dankeschön für diese Informationen.

Dazu meine Frage: Ist Eintracht wirklich Männer-Beauftragter? Und wozu ist das auf
dieser Web-Seite notwendig? Wo es so viele gute Informationen gibt, sollte doch
Männern nichts Böses geschehen!

Es grüßt euch Winnie aus Dresden - bald gibt es wieder die leckeren Stollen...
 
Die Überschrift müsste genau genommen das Lizenz-Programm ZoneAlarm PRO für Normalanwender heissen, denn wie ich gesehen habe, behandelt das verständliche Benutzerhandbuch mit Screenshots auch, welche Ports (Internet-Unterfunktionen) überhaupt zugelassen werden sollten. Was ich nützlich fand - mit diesem Grundverständnis konnte ich die für Privatanwender kostenlose Sygate 4.2 (XP-fähig) ganz leicht einstellen, zumal bei www.roskop-security.de eine kurzgefasste deutsche Anleitung mit Screenshots verfügbar ist.

Mir hat es jedenfalls eine Menge gebracht. Und was ich faszinierend finde, da sind unwiederholbare Beiträge von Boards dabei, die es zum Teil gar nicht mehr gibt.

Und weitergehende Fragen wurden mir freundlich und geduldig bei
http://pub15.ezboard.com/bsecurityboards [BTommysBoard] oder bei
http://www.Trojaner-Board.de beantwortet.
 
Zuletzt bearbeitet von einem Moderator:
Hi,
Habe mir vorgestern die ZoneAlarPro3 - Bedien-/Konfigurationsanweisung heruntergeladen. Finde ich sehr gut! Habe aber Probleme selbige auszudrucken. Acrobat 5 zeigt 2 Seiten an 30X,X mal 5010 o.s.ä. mm an. Ein etwas ungewöhnliches Format. Was muß ich tun, um die Bedienanleitung normal auf Din A4 ausdrucken zu können ?

Schönes WE
mfG
Bluecdr
 
Druck es doch einfach mal aus und schau, wie die ersten beiden Seiten aussehen - kannst ja dann notfalls den Stecker ziehen :)
Ich denke aber, es wird funktionieren.
 
guten Abend, alle zusammen!

erst mal ein thx an Eintracht für den ZAP-link, den hab ich schon lang gesucht, aber als rookie....

dann nochmal an's ganze Board einschließlich aller Members
(auch wenn ich nicht alle kenne),

ein RIESENKOMPLIMENT!!!
 
Willkommen Lede, und hier werden Themen schonungslos und kompetent ausdiskutiert!

"Zonealarm PRO ist Spyware" - nicht ganz zutreffend:
1. Nach deutschem Datenschutzrecht ist das Übermitteln von Daten ohne Einverständnis des Betroffenen UNZULÄSSIG!!! Insofern ist die Internet-Überprüfung nach Erneuerung der Lizenzdaten UNZULÄSSIG!!!
2. Nach einmaligem Blocken solcher Aktivitäten durch meine parallel installierte Firewall Sygate4.2 (ein geblocktes Paket) dürfte es sich nicht um das permanente Ausspähen von Nutzerverhalten handeln, sondern den Versuch, Mehrfach-Registrierungen festzustellen.

Da demnächst eine deutsche ZApro-Version angekündigt ist, dürfte sich dieses Problem hoffentlich erledigen.

Grüße
SilverSurfer99
 
Hallo Walter,
Eintracht kann sie dir sicherlich zukommen lassen.
Oder wir schieben sie auf den Boardserver.
Das klären wir, ein wenig Geduld :)

Gruß
Jensus
 
ZoneAlarm Deutsche Anleitung

Na toll! Beide Links am Ende des Artikels, die die genaue Anleitung für die Konfiguration von ZoneAlarm versprechen, sind "nicht ladbar". Und nun?
kolja :(
 
sehr sehr traurig

:((( ? kann man das wieder ändern ???

... herzustellen.

Die Dokumentation kann hier bezogen werden.

Die Links sind leider tot


Grüsze Sir Henry
 
Ja, die Links sind leider tot, und offenbar findet sich auch niemand mehr, der sich das damals gesichert hat. Es finden sich aber gerade zu ZoneAlarm noch einige Anleitungen hier im Forum, vielleicht schaust Du dort mal nach - und wenn konkrete Fragen sind, dann her damit :).
 
Oben