<2002-01-20> Zonealarm-FAQ
            ==========================


 Inhalt
 ------

 1. Allgemeines

   1.1 Wozu diese FAQ?
   1.2 Versionshinweis
   1.3 Rechner und Browser (minimales Sicherheits-Know-How)


 2. Diese Newsgroup als Informationsquelle

   2.1 Charta dieser NG
   2.2 Wer postet hier?
   2.3 Was stimmt?
   2.4 Was stimmt nicht?

 
 3. Allgemeine Fragen zu Zonealarm

   3.1 Ist Zonealarm eine Firewall?
   3.2 Welche Firewall ist die Beste?
   3.3 Warum klappt das Update nicht?
   3.4 Sendet Zonealarm Informationen von meinem Rechner?
   3.5 Wie sicher ist Zonealarm?
   3.6 Was kann Zonealarm, was kann es nicht?
   3.7 Genügt Zonealarm allein für meine Sicherheit?
   3.8 Geht Zonealarm mit Windows XP?


 4. Konkrete Einstellungen an Zonealarm

   4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
   4.2 Soll ich automatische Softwareupdates aktivieren?
   4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
   4.4 Mein Napster geht nicht, was kann ich machen?
   4.5 Welche Größe für das Logfile?


 5. Meldungen von Zonealarm

   5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
   5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
   5.03 Wie soll ich die "erweiterte Information" verstehen?
   5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
   5.05 Wann soll ich mich beschweren?
   5.06 Wo soll ich mich beschweren?
   5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
        im Internet machen wollte. Was ist los?
   5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
        Kann ich ihm dauerhaften Zugang erlauben?
   5.09 Kann ich Programme wieder sperren, denen ich Zugang
        erlaubt habe?
   5.10 Kann ich das dauerhafte Erlauben von Internetzugang
        grundsätzlich abschalten?


 6. Vertrauensfragen

   6.1 Vertrauen in Software
   6.2 Vertrauen in Downloadquellen
   6.3 Vertrauen in Informationsquellen
   6.4 Open Source, pro und contra


 7. Kontakte

   7.1 Informationen und Download im www
   7.2 Autor Info



 **************
 1. Allgemeines
 **************

 1.1 Wozu diese FAQ?
 -------------------
 Diese FAQ soll helfen die Möglichkeiten, Grenzen und Risiken
 jeweiliger Einstellungen von Zonealarm kennen zu lernen. Sie soll
 gleichfalls übermäßig guten wie übermäßig schlechten
 Kommentaren einen sachlichen Riegel vorsetzen und nicht zuletzt
 ein Grundwissen vermitteln, um bei weiteren Diskussionen zu diesem
 Thema eine passende Diskussionsbasis zu bieten.

 Viele Punkte lassen sich auf andere Desktop Firewall Systeme
 übertragen, allein schon weil eine objektive Betrachtung
 der Möglichkeiten und Unmöglichkeiten von Zonealarm einen
 Blick weit über die Software hinaus erfordern.

 Ein wesentlicher Bestandteil ist der Versuch, mit diesem
 Dokument den Blickwinkel zu erweitern, die vielen Aspekte
 zu überschauen, die aus einer einfach erscheinenden Frage
 resultieren können. Das kann bisweilen erst zu neunen vielleicht
 für das jeweilige Ziel viel interessanteren Fragen führen.

 Natürlich soll sie vorrangig die häufig gestellten Fragen zu
 Zonealarm, Desktopfirewalls und allgemeinen Einsteigerfragen
 zum Thema der Privaten Sicherheit im Netz beantworten.


 In jedem Fall spiegelt sie die Meinung des Autors wieder, der
 sachlichen Argumenten ebenso aufgeschlossen ist, wie er
 Behauptungen oder Möglichkeiten nicht als allgemeingültige
 Tatsachen darzustellen beabsichtigt.



 1.2 Versionshinweis
 -------------------
 Die Zonealarm-FAQ ist wie im Usenet weit verbreitet mit einer
 Version in Datumsform "" ausgestattet. Dies
 soll ein einfaches Filtern der FAQ nach zwei Methoden ermöglichen:

 a) Wer die FAQ gar nicht lesen will, kann seinen Filter auf
    " Zonealarm-FAQ" ausrichten.

 b) Wer die FAQ nicht unnötig nachladen will, kann seinen Filter
    auf das vollständige Subject " Zonealarm-FAQ"
    ausrichten.
    Somit wird er durch eine Subjectänderung auf eine neue Version
    aufmerksam und braucht keine identischen Versionen zu laden.



 1.3 Rechner und Browser (minimales Sicherheits-Know-How)
 --------------------------------------------------------
 Sensible Daten sind auf dem Surf-PC schlecht aufgehoben.
 Spiele und Softwaretests sollte man vom Arbeitsrechner fernhalten.
 Von den im Folgenden genannten Lücken genügt *eine* um damit
 ersthaften Schaden anzurichten!

 JavaScript ist ein Sicherheitsrisiko, in erster Linie weil es dafür
 missbraucht werden kann die ActiveX-Einstellungen zu ändern.

 Eingeschaltetes ActiveX bedeutet, dass du es jetzt ausschaltest
 oder hier nicht weiterlesen brauchst. Es ist ein Freibrief alles
 auf deinem Rechner tun zu dürfen. Die sogenannte Sicherheitsstufe
 funktioniert nicht. Zumindest in einigen Browsern genügt JavaScript
 um ActiveX einzuschalten.

 Beides sollte maximal per "Eingabeaufforderung" aktiviert werden.

 Der Internetexplorer bietet bei den Sicherheitseinstellungen eine
 "Internetzone" und eine "lokale Zone". ACHTUNG! Die "lokale Zone"
 ist extrem unsicher eingestellt und gilt leider bei jeglichem
 Aufruf durch Programme des eigenen Rechners. Alle Sicherheits-
 Einstellungen müssen für beide "Zonen" gleich eingestellt werden,
 da jeder indirekte Aufruf (Mailprogramm, Instandmessenger,...)
 auf die "lokale Zone" zugreift. Solche indirekten Zugriffe sind
 oft recht einfach anzuwenden bzw. optimale Basis für Würmer.

 Zusätzlich sollte die Datei wscript.exe (wsh.exe) aus dem
 Stammverzeichnis von Windows gelöscht werden, wenn man sie nicht
 unbedingt benötigt. Wer sich nicht sicher ist, kann sie auf eine
 Diskette kopieren und notfalls wieder herstellen.

 Es ist allerdings nicht nur über die als unsicher bekannten
 Mailprogramme, sondern über weitgehend alle Mailprogramme durch
 ausnützen von Bufferoverflows möglich, auf diesen Windows Scripting
 Host zuzugreifen und z.B. über diesen Zugriff Daten nachzuladen,
 die der Einrichtung einer Hintertür dienen.

 Auch dies ist ideale Basis für Würmer, grossflächig Schaden
 anzurichten. Bei Windows98 konnte man (Benutzerdefiniert) die
 Installation des Scriptinghost (Default) ausschalten, doch über
 die Installation jedes Internetexplorer ab Version 4 kommt dieser
 dann dennoch zur Installation!

 Nur wenige (meist ersetzbare) Programme und noch weniger
 Anwender benötigen diesen Scriptinghost. Er ist jedoch sehr
 mächtig und bei bösartigem Zugriff zu allem zu gebrauchen.

 Entsprechende Lücken zum Zugriff sind extrem verbreitet!
 Es ist über einen einfachen Trick mit nicht endenden
 Extension-Keys (die interne Dateiendung, die höheren Stellenwert
 als die in Dateinamen üblichen drei Endbuchstaben haben)
 möglich, Windows dazu zu veranlassen, entsprechenden Code
 mit allen Rechten an den Scriptinghost zu übergeben.

 Der Scriptinghost ist neben ActiveX das grösste Scheunentor
 zu deinem Rechner, der unter anderem auch Attacken auf die
 verwendete Firewall oder Virenscanner zum Kinderspiel macht.

 Die Funktion "Auto-Vervollständigen der URL", die meist in den
 erweiterten Optionen des Browsers zu finden ist, sollte ausgeschaltet
 sein. Sie kann bei Passworteingaben missbraucht werden, was übrigens
 besonders gern auch in Internetcafes missbraucht wird.

 Auch bei Java sind Sicherheitslücken bekannt geworden, die anraten
 lassen, dies ebenfalls nicht grundsätzlich überall zu aktivieren,
 sondern nur selektiv zuzulassen. Betroffen ist dabei konkret die
 Microsofts Version von der Java Virtual Machine.

 Doppelklick auf fremde Dateien ist ein enormes Risiko, da auch bei
 angezeigter Dateinamenerweiterung durch angehängte Registrycodes
 völlig andere Programmverknüpfungen damit erreicht werden.
 Öffne das Programm für das die Datei sein soll und damit die Datei.
 Kommt es dann zum Fehler, sollten die Alarmglocken klingen!

 Vorsicht bei Browser Plug-In! Diese sollten auf jeden Fall zumindest
 mit einem Virenscanner geprüft werden, um wenigstens bekannte
 Schadsoftware zu vermeiden. Plug-Ins auf irgend einer www-Seite zu
 laden, weil diese das so "vorschlägt" ist riskant. Da man von der
 damit verbundenen "Programmänderung" weiss und sie erlaubt, stehen
 Schadfunktionen - auch mit Zonealarm - alle Türen offen!

 Bildschirmschoner sind schön. Gleichzeitig haben sie übermässige
 Rechte auf dem Rechner und lassen sich auch von Laien optimal
 mit Trojanern verbinden und im Nezt verbreiten. Von der
 Verwendung von Bildschirmschonern aus nicht 100% sicherer
 Quelle ist dringend abzuraten.

 Nutzer von Windows NT, 2000 oder XP sollten auf jeden Fall für
 sich selbst einen "Benutzer" einrichten, der keine Installations-
 rechte besitzt. Damit Surft und Mailt es sich deutlich sicherer!
 Die Zeit sich für gewollte Installationen als Administrator
 anzumelden und anschliessend wieder zum Benutzer zu wechseln
 ist als MUSS zu sehen.

 Nutzer von Windows 2000 sollten beachten, dass die Datei und
 Druckerfreigabe grundsätzlich eine globale Freigabe ist.
 http://support.microsoft.com/default.aspx?scid=kb;DE;q204279




 *****************************************
 2. Diese Newsgroup als Informationsquelle
 *****************************************

 2.1 Charta dieser NG
 --------------------
 de.comp.security.firewall       Sicherheit trotz Netz.

 Charta:

 Thema der Gruppe ist die Trennung von Computernetzen durch
 Paketfilter, Proxies und komplexere Firewall-Lösungen, aber
 auch Host-basierte Filter können hier besprochen werden. Unter
 anderem wird in dieser Gruppe die Konzeption derartiger Systeme,
 deren technische Umsetzung sowie die Konfiguration konkreter
 Implementationen diskutiert.

 Fragen zu konkreter Software sollten im Betreff mit dem Namen oder
 einem gängigen Kürzel für diese Software versehen werden; dieses
 Kürzel ist in eckige Klammern zu setzen. Beispiel: "[netfilter] Wie
 bestimmte RPC-Requests wegwerfen?"



 2.2 Wer postet hier?
 --------------------
 Du, ich, jeder der sich an die Charta hält und bisweilen auch
 noch ein paar Leute mehr.

 Um das etwas zu konkretisieren und die Sensibilität für die
 Inhalte zu wecken, will ich einige "Artgenossen" soweit möglich
 neutral nennen, wobei manchmal mehrere Punkte gleichzeitig
 übereinstimmen können:

 - Allgemeine Anfänger
 - IT-Speziallisten und solche auf gutem Weg es zu werden
 - Hacker oder Hacker nahestehende Personen, die mit "guten
   Tipps" schlechten Rat geben
 - Firewall Admins, von beruflich bis privat in allen "Güteklassen"
 - Kommerzielle Anbieter von Sicherheitssystemen, die alle
   Alternativen verteufeln, an denen sie selbst nichts verdienen
 - Multiple Persönlichkeiten, die versuchen Inhalte wahr
   darzustellen, indem diese "durch mehrere Leute genannt werden"
 - Nachplapperer, die eine vorherige Spezies wissentlich oder
   nicht wissentlich unterstützen
 - Leute die mit Kraftsprüchen um sich werfen
 - Leute unter falschem Namen
 - Leute, die sich plötzlich anders Verhalten, als man von ihnen
   erwartet.
 - User, die sich für das Thema interessieren, sei es aus Neugier
   oder aus der Absicht sich mit Aufbau, und Pflege eigener
   Sicherheit zu beschäftigen



 2.3 Was stimmt?
 ---------------
 Innerhalb dieser Newsgroup gehen die Meinungen nicht selten
 auseinander und nicht immer lässt sich ein Thema mit sachlichen
 Argumenten abschließen. Hier will ich ein paar Anregungen
 zum Umgang mit Information aus dieser Newsgroup geben, zu
 weiteren Vertrauensfragen gibt es einen separaten Punkt 6 in
 dieser FAQ.

 Nutze deinen gesunden Menschenverstand und viel mehr noch deinen
 Sachverstand. Notiere dir Inhalte in eigenen Worten, wäge sie
 ab und nutze weiter Verweise auf Informationsquellen. Sei dir
 bewusst, dass diese Informationsquellen, sofern sie im Internet
 stehen, unabhängig ihrer Auftrittsform ebenso wahr wie
 unwahr sein können.

 Es ist egal, ob Information aus Absicht oder Dummheit falsch
 oder unvollständig verbreitet wird. Nicht zuletzt ist dafür
 auch entscheidend, wie die jeweilige Information angenommen
 und umgesetzt wird.

 Die Auswahl der Informationsquellen und das Vertrauen in Hersteller
 von Software oder Downloadseiten ist eines der wesentlichen Aspekte
 bei Aufbau und Wartung von Sicherheitssystemen. Versuche dir
 zunächst in dieser Newsgroup ein Bild zu machen und lies auch
 diese FAQ mit skeptischem Blick!



 2.4 Was stimmt nicht?
 ---------------------
 Es gibt einige Methoden etwas wahr erscheinen zu lassen:

 - Werbung mit eigenem Namen, Ruf oder Qualifikation.
   (unverifizierbar!)
 - Ständiges Wiederholen von Aussagen.
 - Beleidigungen und Abwertungsversuche gegenüber Leuten, die
   andere als die eigene Meinung vertreten.
 - Produzieren mehrerer gleichlautender Meinungen, wobei der
   Vorsatz oder die Eigendynamik keine Rolle für irgend eine
   "Mehrwertigkeit" spielen.
 - "Offizielles" Erscheinungsbild von Postings (Ja, auch diese
   und jede andere FAQ ist damit gemeint und will kritisch
   gelesen werden!)

 Du kannst dir überlegen, warum das versucht wird (Punkt 2.2)
 oder vielmehr lernen solche Methoden zu erkennen und entsprechend
 damit umzugehen.
 Verliere dein Ziel nicht aus den Augen!



 *********************************
 3. Allgemeine Fragen zu Zonealarm
 *********************************

 3.1 Ist Zonealarm eine Firewall?
 --------------------------------
 Jein. Es ist ein Paketfilter mit zusätzlichen Schutzmechanismen,
 die durch Identifizierung von Programmen, die eine Internet-
 verbindung aufzubauen versuchen, einige Risiken mindert.

 Da Zonealarm direkt auf dem Rechner läuft, auf dem auch die
 Internetanwendungen und sonstigen Programme liegen, nennt man
 das Konzept "Desktopfirewall".

 Das Konzept einer Firewall, keine ungewollten Daten durchzulassen,
 kann niemals aufgehen, wenn auf dem gleichen Rechner andere, nicht
 mal beständig definierte, Dienste und Programme laufen.

 Andererseits kann eine Desktopfirewall vom Anwender verursachte
 Fehler mit durchaus respektablen Chancen ebenso kompensieren, wie
 das mit einer "richtigen" Firewall möglich wäre.

 Daher spricht man im Volksmund von einer Firewall. Anstatt sich
 nun zu sehr über die Einordnung Gedanken zu machen, empfiehlt es
 sich besser über die Möglichkeiten, Grenzen und Anwendung Gedanken
 zu machen.



 3.2 Welche Firewall ist die Beste?
 ----------------------------------
 Welches Auto ist das Beste? Ein Bus? Ein Rennwagen? Eines mit
 oder ohne Dach? Eines das mit Rapsöl fahren kann?...
 
 Was willst du schützen? Vor wem? Wie gut?
 Wie viel Aufwand willst du selbst dafür opfern?
 Was ist es dir wert? (Geld und Zeit)

 Eine allein vor sich hin werkelnde Firewall, die alles hinter
 sich ermöglicht und keiner Wartung oder Kooperation bedarf,
 die gibt es nur auf www.sweetdreams.grog

 Soviel sei jedoch gesagt: Dein eigenes aktives Mitdenken ist
 der Kern jeder Firewall. Mit "gute Firewall finden, installieren
 und dann sicher sein" bist du ganz sicher auf dem Holzweg!

 Weiterführende Info zu dieser Frage:
 http://www.home.pages.at/heaven/absolut.htm



 3.3 Warum klappt das Update nicht?
 ----------------------------------
 Es ist nötig, dass du vor dem Update Zonalarm beendest. Am
 einfachsten geht das über das Icon in der Taskleiste, im
 Kontextmenü der Punkt "shutdown".

 Ohne diese Massnahme betrachtet Zonealarm das Update als
 Angriffsversuch auf seine Dateien, den es verhindert.



 3.4 Sendet Zonealarm Informationen von meinem Rechner?
 ------------------------------------------------------
 Ja. Mindestens einmal wird eine Registriernummer verschickt, das
 steht auch so in der Lizenz des Programms und ist nicht mehr als
 eine Nummernidentifikation deines Zonealarm.

 Bei der Einstellung "automatisch nach Updates suchen" (nicht
 machen, selber mitdenken!) beziehungsweise beim manuellen Update
 wird natürlich die Versionsnummer versandt.

 Eine Spyware-Funktion, die personenbezogene Information, Surf-
 gewohnheiten oder gar Daten von der Platte versendet, ist in den
 bisherigen Versionen unwahrscheinlich. Durch Zwischenschalten
 eines weiteren Paketfilters bzw. eines Snifferprogramms kann
 die Kommunikation von Zonealarm untersucht werden und dabei
 erhält man nur besagte Registrierung beim ersten Verbindungsaufbau
 sowie gegebenenfalls die Versionsinfo bei Anforderung von
 Updates.

 Anderslautende Behauptungen kursieren jedoch auch im Netz.
 Beschreibungen verifizierbarer Testumgebungen fehlen jedoch
 dazu. Man muss davon ausgehen, dass die Betreffenden über
 die Registrier- und Versionsanfragen gestolpert sind und diese
 Daten inhaltlich nie betrachtet haben.
 Allerdings sind bei der Default-Installation zwei Checkboxen
 gesetzt (Diese Kästchen mit Haken drin), die man deaktivieren
 muss um diese Verbindungen zu vermeiden.



 3.5 Wie sicher ist Zonealarm?
 -----------------------------
 Da Sicherheit nicht in Metern gemessen werden kann, ist diese
 Frage nicht mit einem kurzen Satz zu beantworten. Der nächste
 Punkt dieser Faq nennt Möglichkeiten und Unmöglichkeiten des
 Programms.
 Einfach installiert und "irgendwie" konfiguriert kann Zonealarm
 dich mit ein wenig Glück in einer Extremsituation durchaus mal
 schützen, mit etwas weniger Glück vielleicht erst in eine solche
 Situation bringen, in dem es dir Sicherheits/gefühl/ vermittelt.

 Unter Beachtung der empfohlenen Hinweise bleiben mit Sicherheit
 einige Risiken bestehen. Weitere Informationen zu den Grenzen
 findest du in der FAQ "Personal Firewall umgehen"
 http://people.freenet.de/nhb/pf-umgehen.txt
 von Hendrik Brummermann.

 Angenommen der Fall, du irrst dich einmal gewaltig beim Vertrauen
 in eine Software oder stolperst über eine Sicherheitslücke in
 einer Software und installierst dir auf diesem Weg ungewollt
 einen Trojaner, der auf deinem Rechner als Dienst (z.B. als
 Dateiserver oder Fern-Administrations-Tool) dienen soll, dann
 besteht ausgesprochen hohe Wahrscheinlichkeit, dass du diesem
 Dienst mit Zonealarm einen Strich durch die Rechnung machst.
 Das ist jedoch nur eine Hürde gegen ettliche Attacken.

 Vergleiche es mit einem Airbag, der dich aus einer Richtung
 schützen kann (nie perfekt), für andere Richtungen jedoch keine
 Hilfe bringt oder sogar etwas stören kann. Wenn du wegen seiner
 Installation das Rasen beginnst und dich übermäßig sicher
 fühlst, dann ist er nicht gut für dich. Wenn du ihn als hoffentlich
 nie benötigten Mechanismus betrachtest, kann er dem einen oder
 anderen Nutzer mal große Hilfe leisten.



 3.6 Was kann Zonealarm, was kann es nicht?
 ------------------------------------------
 Gehen wir von einem unkompromittierten Zonealarm auf nicht
 kompromittiertem Betriebsystem aus und schauen, was es dann
 kann:

 Es kann zunächst mal sämtliche Internetverbindung blockieren.

 Es kann Programmen nach Name, Dateigröße, Erstellungsdatum 
 und Pfad dauerhaft Netzzugang erlauben. Zudem wird eine
 Prüfsumme des Programmes verglichen, um bei dessen Änderung
 den Anwender zu warnen und nur nach erneuter Rückfrage das
 Programm Verbindung in's Netz aufbauen lassen.

 Es erkennt Programme, wenn sie eine Netzverbindung aufbauen
 wollen, erkennt den Name, mit dem sich dieses Programm
 meldet und bildet eine Prüfsumme von dem Programm, um
 Täuschunsversuche zu erkennen.

 "Erlaubt" man so einem Programm die Verbindung, so öffnet
 Zonealarm alle nötigen Ports, jedoch nur zu diesem Programm.
 Ist dieses Programm mit einer Schadfunktion versehen, findet
 diese Schadfunktion ebenfalls eine Verbindung!

 Schwächen oder auftretende Angriffspunkte können über gezielte
 Abwehrmechanismen mit Updates kompensiert werden.

 "Nuken" (zufälliges oder wenn deine IP bekannt ist auch gezieltes
 abstürzen lassen eines Windows-PC) geht nicht, solange Zonealarm
 an ist. Die sogenannte "Druckerfreigabe/Laufwerksfreigabe" die
 eigentlich nur lokal funktionieren sollte funktioniert wirklich
 nur noch lokal.
 Dieses Problem lässt sich auch durch entsprechende Konfiguration
 der Bindungen in den Netzwerkeinstellungen ohne Zonealarm vermeiden.

 DOS-Attacken benötigen eher mehr Aufwand, da Zonealarm Anfragen an
 nicht verwendete Ports ohne weitere Überprüfung sofort verwirft. Das
 bedeutet, dass die Anfragen an deinen Rechner weniger Last
 verursachen. Eventuell kompensieren die Logfileeinträge diesen Effekt
 teilweise. Die "durchgelassenen" Pakete verursachen dafür etwas mehr
 Last.


 Schauen wir nun, was Zonealarm nicht kann:

 Ist ein Programm selbst kompromittiert, erkennt Zonealarm das
 nicht. Verbreitete Software (Browser) kann ein Angreifer als
 vorhanden voraussetzen und hintergehen. Aktuell ist eine
 solche Attacke jedoch nicht bekannt. Schadfunktionen in Plug-Ins
 für Browser sind leider alles andere als neu. Hat man einem
 Browser mit so einer Schadfunktion die Verbindung erlaubt, dann
 kann Zonalarm nicht helfen!

 Trojaner als solches werden nicht erkannt. Netzserver Funktionen
 sind nur eine Form von Schadfunktion. Auch hier /erkennt/
 Zonealarm nicht den Trojaner, sondern den Verbindungsaufbau.

 "Doppelklick" auf Mailatachements kann Zonealarm nicht verhindern.
 Es kann dich weder dafür schlagen, noch die folgenden Aktionen
 beeinflussen.

 Es kann durch Würmer verursachten Mailflut oder Virenflut, die
 über dein Mailprogramm oder Mailserver geht, nicht verhindern.

 Theoretisch kann ein Angreifendes Programm (Das du in irgend
 einer Form aktiviert hast) ganz gezielt die von dir verwendete
 Hardware ansprechen, das heißt es kann selbst Modem oder
 Netzkartentreiber mitbringen. Allerdings ist solch ein Hintergehen
 nicht einfach zu verdecken und es besteht die Wahrscheinlichkeit,
 dass es dabei in Zonealarm zu einer Fehlfunktion kommt, die
 alle Verbindungen einfrieren lässt.

 Zonealarm kann nicht prüfen, ob unterwegs jemand an der Routing-
 Tabelle manipuliert hat und der Updateaufruf umgeleitet wird.
 



 3.7 Genügt Zonealarm allein für meine Sicherheit?
 -------------------------------------------------
 Nein. Hier muss noch einmal der Vergleich mit einem Airbag
 herhalten. In erster Linie liegt deine Sicherheit an deinem
 Verhalten. Steuerst du planlos im Zickzack von der Strasse,
 wird dir die gelegentlich geschonte Nase wenig nützen.
 Wirft dir jemand eine Stange Dynamit zum Fenster rein, nützt
 der Airbag gar nicht. Bleibst du auf dem Bahnübergang stehen,
 hilft er dir auch nicht gegen den von der Seite kommenden
 Zug.

 Zurück zur Praxis. In erster Linie liegt deine Sicherheit
 an deinem Verhalten. Installierst du planlos Dienste und
 Programme, so bist du deren Sicherheitslücken und Risiken
 ungebremst ausgesetzt.

 Neben diesem eigenen Verhalten sollte ein aktueller Virenscanner
 mit aktueller Viren Database nicht nur zum Inventar gehören,
 sondern auch benutzt werden - insbesondere empfiehlt es sich
 nach Installationen anderer Software ein Update der Viren-
 Database neu einzuspielen und danach den Rechner zu scannen.

 "Zonealarm allein" genügt auch für seinen Teil der Aufgabe nicht,
 du musst es wirklich /nutzen/. Das hat nichts mit "Autostart"
 zu tun, sondern allein mit deinen Einstellungen und Reaktionen.

 Sehr vorteilhaft ist es auch sich über Sicherheitslücken von
 den sonstigen eingesetzten Softwareprodukten zu informieren.

 Zitat:
 "IT-Sicherheit kann ich nicht kaufen, die muss ich leben"
 (Wolfgang Brockhaus, Geschäftsführer von TÜV Nord Security)




 3.8 Geht Zonealarm mit Windows XP?
 ----------------------------------
 Ab Version 2.6.214 wird Windows XP unterstützt.




 ***************************************
 4. Konkrete Einstellungen an Zonealarm
 ***************************************

 4.1 Kann ich Programmen "Zugriff auf's Internet erlauben"?
 ----------------------------------------------------------
 Ja. Dann wenn du gerade in dem Moment selbst das Programm
 aufgerufen hast. Es gibt die Option "Dieses Programm für
 Internetverbindungen merken", das hat den Nachteil, dass
 man generell nicht mehr informiert wird, wenn das Programm
 eine Verbindung herstellen will. Andererseits bemerkt
 Zonealarm Veränderungen an dem Programm und meldet die
 speziell, wenn man diesem Programm Verbindung erlaubt hat
 und es sich geändert hat.



 4.2 Soll ich automatische Softwareupdates aktivieren?
 -----------------------------------------------------
 Nein. Aber vergiss sie nicht ganz! Eine permanente Abfrage nach
 Softwareupdates bringt das Risiko mit sich, dass du in temporären
 Fallen landest, so wie auf einer umgeleiteten Adresse oder dass
 du eine kompromittierte Version lädst.
 Solche Attacken sind selten von langer Dauer, es wäre Unsinn,
 unnötig ein ständiges Risiko einzugehen.



 4.3 Soll ich mir die Meldungen von Zonealarm anzeigen lassen?
 -------------------------------------------------------------
 Es spricht nichts dagegen, nur _bitte_ vor du irgend jemand wegen
 deinen Meldungen belästigst, lies Punkt 5 dieser FAQ!

 Die Meldungen sind informativ, nur leider nicht nur missverständlich
 sondern oft restlos falsch formuliert.

 Das Anzeigen Lassen der Logfiles ermöglicht es, Floodingversuche
 zu erkennen und die Verbindung abzubrechen (siehe 4.5).



 4.4 Mein Napster geht nicht, was kann ich machen?
 -------------------------------------------------
 Das was dir Zonealarm empfiehlt, aus lassen.

 Wenn du dennoch Napster laufen lassen willst, brauchst du kein
 Zonealarm, da man mit einer Tür(Zonealarm) keine beseitigten
 Hauswände(Napster in Betrieb) ersetzen kann.



 4.5 Welche Größe für das Logfile?
 ---------------------------------
 Die Größe des Logfiles läßt sich einstellen, das hat zunächst den
 Vorteil, dass es übersichtlicher bleibt, nicht unendliche Speicher
 benötigt und Attacken, es zum Überlauf zu bringen, erflolglos bleiben.
 Will ein Angreifer konkrete Daten verwischen, kann er das auch für
 sich verwenden, in dem er für übermässig viele Logeinträge sorgt.

 Dadurch werden die älteren Einträge aus dem File gelöscht. Solange
 man sich die "Alarmmeldungen" Zeigen lässt, merkt man dies jedoch
 an rasch steigender Zahl ("Meldung x von yyy", wobei y eine
 mehrstellige Zahl wird). In so einem Fall ist das Unterbrechen der
 Verbindung zu erwägen, um den Beginn des Logfiles zu erhalten und
 bei stark steigender Zahl von Meldungen auch um einer Überlastung
 des Systems vorzubeugen.

 100 kB darf man dem File schon gönnen, das ermöglicht ca. 1000
 Einträge vor dem Überschreiben. Beachte, dass ein allzu großes
 Logfile die Rechnerperformance negativ beeinflussen kann.



 **************************
 5. Meldungen von Zonealarm
 **************************

 5.01 Mein Zonealarm meldet einen Trojaner, was soll ich tun?
 ------------------------------------------------------------
 Nichts. Zonealarm kann gar keine Trojaner melden, die Meldung
 ist falsch. Zonealarm meldet eine Anfrage auf einem Port, der
 standardmäßig von einem Trojaner verwendet wird. Der Trojaner
 hat aber kein Patent auf diesen Port, dort könnte jedes andere
 Programm genau so aktiv sein.

 Zonealarm hat diese Anfrage an den Port als gefährlich eingestuft,
 macht damit jedoch nichts anderes als mit jeder anderen überflüssigen
 Anfrage auch - Es lässt sie in's leere laufen.

 Wenn du glaubst, Trojaner zu haben, dann such mit Virenscannern,
 die erkennen zumindest den bekannten Teil.

 Wenn dich die Meldungen nervös machen, schalte sie ab. Die Scans
 können Angriffe sein, so wie jedes bei dir vorfahrende Auto das
 eines Einbrechers sein kann. Im Netz ist nun mal Verkehr und du
 hast obendrein vermutlich eine dynamische IP, das heißt, die
 Anfrage könnte aus einer vorherigen Verbindung eines anderen Users
 kommen.



 5.02 Ich werde wild gescannt. Sind Hacker auf meinem System?
 ------------------------------------------------------------
 Wer auf deinem System ist braucht dich nicht zu scannen. Es kann
 natürlich eine Suche nach Lücken auf deinem System sein, aber du
 wirst doch keine haben, oder?

 Besonders in den ersten Minuten nach Einwahl häufen sich solche
 "Scanorgien". Wenn du eine dynamische IP hast und dein Vorgänger
 hatte ein Napster laufen, kannst du prächtige Sammlungen von
 Pings bekommen ;-)

 Schalte die Meldungen ab, wenn sie dich nervös machen oder
 stören und lass die Anfragen in's leere laufen, wo sie vermutlich
 auch ohne Zonealarm gelandet wären.
 
 Zonealarm meldet nun mal alle Anfragen, die es nicht zuordnen kann
 und die im Normalfall in's Leere gehen. Solltest du wirklich
 Schwachstellen hinter diesen Ports haben, hast' Glück gehabt.



 5.03 Wie soll ich die "erweiterte Information" verstehen?
 ---------------------------------------------------------
 Gar nicht. Lass sie einfach oder frage die Leute, die das
 verzapft haben vor Ort und Stelle.



 5.04 Wie bekomme ich heraus, wer da meinen Rechner scannt?
 ----------------------------------------------------------
 Du kannst anhand der IP nur den Adressbereich herausbekommen,
 also den Internet Service Provider, kurz ISP genannt. Der
 ISP ist nicht berechtigt, dir die Daten des Kunden zu nennen.
 So eine Rückverfolgung geht nur, wenn eine Straftat vorliegt
 und ein Richter oder Staatsanwalt eine Ermittlung anordnet.
 Auch in dem Fall wird dir der Kunde höchstens indirekt über
 das Gericht bekannt. Unter Umständen kann die IP-Adresse
 der eingehenden Pakete gefälscht sein.



 5.05 Wann soll ich mich beschweren?
 -----------------------------------
 Solange das keine regelmäßigen übermäßigen Scans sind, solltest
 du nichts tun und falls es wirklich extrem ist (und du immer
 mit der selben IP oder in einem sehr kleinen IP-Bereich im
 Netz bist) bittest du den Provider über den die Scans kommen,
 dass er das mal bremst. 

 50 Scans sind /nicht/ übermäßig! Übermäßig fängt da an, wo deine
 eigene Performance über mehr als einige Minuten belästigt wird
 oder ein regelmäßiger Automatismus in größerer Zahl von Scans
 zu erkennen ist.

 Bitte belästige keine Leute wegen ein paar Scans! Du bist im
 Internet? OK. Es gibt 65536 Ports, ca. 2 Milliarden Internetuser,
 unzählige Server und Programme! Administratoren haben wirklich
 besseres zu tun, als Email wegen einiger Portscans zu beantworten!



 5.06 Wo soll ich mich beschweren?
 ---------------------------------
 Per Email bei abuse@. bitte unter
 Beachtung von Punkt 5.04 und 5.05

 Sollte es sich um konkrete Angriffe handeln (von Zonealarm
 sogenannte "Trojanerport"-Scans gehören /nicht/ dazu!), so
 ist security@. die passende Adresse.



 5.07 Ein Programm will Zugriff auf's Internet, obwohl ich nichts
 im Internet machen wollte. Was ist los?
 ----------------------------------------------------------------
 Wahrscheinlich ist es sogenannte Spyware oder ein Programm
 versucht eine Registrierung. Das ist ausgesprochen unschön, aber
 noch nicht direkt gefährlich. Es kann allerdings auch sein, dass
 du dir tatsächlich einen Fehler geleistet hast und einen Trojaner
 (mit-)installiert hast. 

 Ob du dich damit zufrieden gibst, dass vorhandene Spyware
 einfach keine Verbindung bekommt und dennoch weiter auf deinem
 Rechner herum scannt (und womöglich bei einer anderen Art von
 Verbindung ihre Daten versendet), das bleibt dir selbst überlassen.
 Du hast dann jedenfalls wieder etwas dazu gelernt.
 Besonders im Bereich mp3-Player und Downloadmanager wird dir
 Spyware begegnen.

 Solltest du tatsächlich einen Trojaner auf der Platte finden,
 installiere _komplett_ neu. Die Wahrscheinlichkeit, dass mehr
 als ein Schadprogramm  installiert wurde ist zu hoch.



 5.08 Ein Programm mit dem ich oft in's Internet will meldet sich.
 Kann ich ihm dauerhaften Zugang erlauben?
 -----------------------------------------------------------------
 Können kannst du das, es ist nicht zu empfehlen. Ganz besonders
 wenn es sich um verbreitete Programme wie Browser oder Emailclient
 handelt, solltest du das /nicht/ "dauerhaft erlauben".

 Das schafft einem Angreifer eine zusätzlich Hürde, dass er nicht
 unter dem Name mit gefälschter Parameterübergabe eine Verbindung
 aufbauen kann. Er könnte nur ein kurzes Zeitfenster verwenden,
 in dem du selbst das Programm aufrufst. Das allein reicht zwar
 für Attacken oder Dateitransfer (notfalls in Stücken), ist jedoch
 eine für Virenscanner (Trojanererkennung/Heuristik) leicht
 einzugrenzende erkennbare Aktivität.



 5.09 Kann ich Programme wieder sperren, denen ich Zugang
 erlaubt habe?
 --------------------------------------------------------
 Ja. Unter "Programme" sind neben dem Programmname drei Punkte,
 jeweils für Lokal- und Internetverbindung sind links Haken
 für "dauerhaft erlaubten" Verbindungsaufbau, rechts Fragezeichen
 für je aktuelles Nachfragen. In der Mittelposition kann man
 die Aktivitäten komplett sperren (in Verbindung mit "geliebter"
 Spyware ein nettes Feature gegen das "Festplattenkratzen" =:o)



 5.10 Kann ich das dauerhafte Erlauben von Internetzugang
 grundsätzlich abschalten?
 --------------------------------------------------------
 Leider nein. Dir bleibt nur die Hoffnung, dass falls das je mal
 jemand ausnützt, du vor du ausgerechnet dieses Schadprogramm
 installierst, ein gepatchtes Update geladen hast.



 *******************
 6. Vertrauensfragen
 *******************

 6.1 Vertrauen in Software
 -------------------------

 6.1.1  Kann man Software Bekannter Firmen trauen?
 -------------------------------------------------
 Leider genügt die Bekanntheit von Firmen weder für die Seriosität,
 noch für die Zuverlässigkeit und das Risikobewusstsein. Gäbe es
 eine Anleitung wie man Seriosität prüfen kann, könnte man genau
 nach dieser Anleitung Schadsoftware vertreiben. Insbesondere im
 Internet kann man leicht auf professionelles Erscheinungsbild von
 Seiten hereinfallen, besonders wenn dort der Inhalt anderer
 Firmenseiten gespiegelt wird.


 6.1.2 Verbreitete Software ist sichere Software?
 ------------------------------------------------
 Die Verbreitung allein ist kein Garant für die Sicherheit. Sie
 erhöht die Chance, dass Schadfunktionen bekannt werden. Allerdings
 setzt das voraus, dass du dich regelmäßig informierst.

 Insbesondere bei Trittbrettfahrern aktueller Spielehits ist besonders
 grosse Gefahr, dass diese für großangelegte Verbreitung von 
 Schadfunktionen verwendet werden.

 Je länger Software im Umlauf ist, ohne dass Schadfunktionen bekannt
 werden, umso größer wird die Wahrscheinlichkeit, dass sie keine
 Schadfunktion enthält.


 6.1.3. Software die viel kostet ist sicher?
 ------------------------------------------- 
 Du kannst bei mir gern 1000 DM für einen Trojaner bezahlen, wenn
 dich das beruhigt ;-)


 6.1.4. Originalverpackte Software ist sicher?
 ---------------------------------------------
 Man kann die Verpackung fälschen und die Schadfunktionen in der
 Herstellerfirma einschleusen. Im Vergleich zu Software aus dem
 Internet ist solche Software unvergleichlich sicherer.
 Insbesondere bei recht aufwendigen Projekten sind Schadfunktionen
 eher die Ausnahme - die jedoch vorkommt.


 6.1.5 Der Händler weiß das schon, nur die Transportfirma seines
 Lieferanten kennt er nicht?
 ---------------------------------------------------------------
 Im professionellen Bereich lassen sich die Aufwendigsten Hürden
 meist mit den billigsten Tricks hintergehen.

 Im privaten Bereich ist dies eher mit der vorherigen Frage
 beantwortet.



 6.1.6 Ist Internetsoftware sicher, die von PC-Zeitschriften empfohlen
 wird?
 ---------------------------------------------------------------------
 Nein. Sowohl in Newslettern als auch für die Zeitungen kann man
 beliebig Tipps für Software geben. Die bläst man etwas auf und
 wartet bis der Tipp erscheint. Dann packt man an die aufgeblasene
 Stelle eine Schadfunktion. Auf diesem Wege kommen selbst
 altbekannte Schadfunktionen an die Benutzer, weil diese die Tipps
 für seriös halten.
 


 6.2 Vertrauen in Downloadquellen
 Kann man Programmen aus dem Internet überhaupt trauen?
 ------------------------------------------------------
 Wenn man seine Virenupdates aus dem Netz lädt, sollte man die
 Programme da prinzipiell auch laden können.

 Das heißt, dein Provider kann dich grundsätzlich angreifen.
 Er ist unterwegs nicht der einzige, doch der mit den besten
 Möglichkeiten. Er kann deinen Netzverkehr überprüfen und den
 verwendeten Virenscanner auslesen. Mit einer kleinen Änderung
 im Nameserver - natürlich exklusiv für dich - lädst du zukünftig
 seine eigenen dat-Files (prüft dein Scanner Checksum inclusive
 Datum?) die dann einen gewünschten Remote-Administrations-Trojaner
 nicht mehr kennen. Den Trojaner kann er dir dann bei nächster
 Gelegenheit unterschieben. Natürlich muss das nicht der Provider
 selbst sein, sondern nur jemand der sich Root-Rechte auf der
 Maschine verschafft hat.
 Ebenso könnte dir auf dem Weg ein "Zonealarm" mit völlig anderen
 Funktionen untergejubelt werden.

 Bei solch gezielten Angriffen sinken deine Chancen gewaltig,
 wobei sich jedoch ein Angreifer schwarz warten kann, bis du
 endlich nach einem Update, also "seinem Zonalarm" greifst. Ob
 er so lange Root-Rechte bei deinem Provider hat, ist eher zu
 bezweifeln.
 
 Solange du Software aus dem Internet verwendest bist du in
 nahezu jedem Fall sicherer dran, wenn du Virenupdates und
 Personal Firewall auch verwendest. Beides muss nicht grundsätzlich
 über das Internet geschehen. Dort wären sichere Verbindungen
 zu bevorzugen - leider fehlt diese Option in der Praxis oft.



 6.3 Vertrauen in Informationsquellen
 ------------------------------------
 Ein heikles Thema, teils in anderen Punkten dieser FAQ schon
 angedeutet. Eine vielleicht ungewöhnlich klingende Anregung dazu
 besagt, dass man Informationsquellen prinzipiell nicht glauben
 sollte, sondern die Information als Anregung der eigenen Kreation
 betrachten kann. Es ist im Prinzip egal, ob man aus verschiedenen
 kompromittierten Quellen Information sammelt, oder ob man nur
 vertrauenswürdige Information erhält. Solange die Information einzig
 Anstoß zur eigenen Kreation bleibt, kann sie nicht weit in die Irre
 leiten. Im Gegenteil, Irrleitungsversuchen können sich ausgesprochen
 kreativ auswirken, da man an ihnen schnell Grenzen erkennt, die man
 setzen möchte.

  

 6.4 Open Source, pro und contra
 -------------------------------
 Es gibt zwei widersprüchliche Theorien bei Software, die der
 Sicherheit dienen soll. Die Eine besagt, dass man bei Open Source
 (der Quellcode öffentlich) die Fehler erkennen kann und irgend jemand
 der diese Fehler erkennt, sie auch nennt und sie beseitigt werden.
 Zudem würden vorsätzlich eingebaute Schadroutinen erkannt. Die Andere
 besagt, dass in eben diesem öffentlich zugänglichen Code Fehler
 gefunden werden können und statt genannt zu werden könnten sie
 ausgenützt werden. Außerdem ließen sich mittels dieses öffentlichen
 Codes identisch scheinende Programme mit Schadroutinen einfach
 erstellen und verbreiten. Umgekehrt müssten destruktive Programmierer
 deutlich mehr Aufwand betreiben, wenn ihnen der Quelltext nicht
 vorliegt.

 Open Source prinzipiell als Vor- oder Nachteil für die Sicherheit zu
 betrachten scheint keine Antwort zu sein, die sich pauschalisieren
 oder als wesentliches Argument für oder gegen eine Software
 verwenden lässt.



 ***********
 7. Kontakte
 ***********

 7.1 Informationen und Download im www
 -------------------------------------
 Diese FAQ im www:
 http://www.home.pages.at/heaven/sec0092.htm
 http://www.pflock.de/computer/za_faq.htm

 Hersteller von Zonealarm:
 http://www.zonelabs.com/

 Deutschsprachige Anleitung zu Konfiguration und "Alarm-Meldungen":
 http://www.trojaner-info.de/zone/index.html
 oder das Gleiche (nerviges ActiveX):
 http://www.zonealarm.de/

 Abfrage von IP-Adressen
 http://www.iks-jena.de/cgi-bin/whois

 Firewall-FAQ von Lutz Donnerhacke
 http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

 FAQ "Personal Firewall umgehen" von Hendrik Brummermann
 http://people.freenet.de/nhb/pf-umgehen.txt


 
 7.2 Autor Info
 --------------
 Utz Pflock, Technischer Assistent für Informatik,
 unabhängig von der genannten Software und den Inhalten
 hinter den weiterführenden Links.
 http://www.pflock.de/

 Anregungen zur Faq sind willkommen, ich lese die Gruppe mit, auch
 wenn es wochenweise nicht so scheint ;-) Artikel die sich bei starkem
 Subjectwandel ohne Änderung des Selben verstecken, können jedoch
 übersehen werden. 
 email@pflock.de

 Zu guter Letzt will ich hier all den Schreibern in der Newsgroup
 für ihre hilfreichen Tipps und Anregungen danken.