Kerio, Outpost oder ZoneAlarm ???

#1 Hallo,


auf der Suche nach einem guten Ersatz für meine bisher genutzte Firewall Kerio 2.1.4 (ich verwende parallel dazu noch das IDS BlackIce) habe ich mir die neue Version Kerio 2.1.5 , die neue Agnitum Outpost 1.0 und die Zonealarm 3.7.195 mal was näher angeschaut!!!
Ich bin auf die Seite von PcFlank gegangen und habe alle Onlinescans durchgeführt mit den folgenden Ergebnissen: Zonealarm und die Outpost haben alle Tests anstandslos bestanden ! Kerio 2.1.5 hat beim Exploits-Test wohl irgendeinen Angriff durchgelassen (weiß nicht genau welchen, da ich "select all" gewählt habe), da plötzlich die BlackIce Alarm geschlagen hat. Somit war dieser Test auch bestanden, aber nur wegen BlackIce dachte ich. Als ich BlackIce deaktiviert habe und den Test nochmals wiederholt habe, war zu meiner Verwunderung der Test trotzdem bestanden. Wie kommt das? Hat Kerio denn da jetzt eine Schwäche oder nicht?
Dann habe ich noch den Leaktest, den Fireholetst und den Yaltatest gemacht. Die beiden ersten Tests wurden von allen Firewalls abgewehrt. Der Yaltatest jedoch wurde von Kerio und Outpost komplett (weder classic noch enhanced) nicht bemerkt ! Zonealarm hat von Yalta wenigstens den "classic leak test" bemerkt. Ich habe gehört, daß diese drei Tests nicht sehr aussagekräftig sein sollen!
Trotzdem bin ich mehr als überrascht !!! Eigentlich ist Zonealarm zwar ganz gut, hat aber den Ruf einer Anfängerfirewall und zudem soll sie gerade mit BlackIce zusammen oft rumzicken und nicht einwandfrei arbeiten. Deshalb habe ich mich immer fern von Zonealarm gehalten.
Da ich nur ein Laie bin in diesem Bezug, hoffe ich, daß mir jemand weiterhelfen kann. Da momentan leider NetworkSecure (BlueMerlin) geschlossen ist, habe ich irgendwie keinen richtigen Anhaltspunkt mehr bezüglich einer guten Firewall.

Dann möchte ich noch wissen, ob die Anwendung "blackd.exe" von der BlackIce ein Phone-Home-Utility ist und ob ich es mit der z.B. Kerio sperren kann, ohne daß der Schutz von BlackIce beeinträchtigt wird? Diese exe-Anwendung versucht sich nämlich ständig mit dem Internet zu verbinden.
Hat BlackIce überhaupt solch ein Phone-Home-Programm (ProUtil?;RapApp?) und kann ich es ohne Verlust der Schutzwirkung sperren ???
Gibt es eigentlich regelmäßige Updates für Kerio (in Monatsabständen)???
Oder ist die Kerio 2.1.5 das alleinige Update der 2.1.4 ? Meine Frage zielt darauf ab, ob ich, wenn ich Kerio kaufe (momentan verwende ich sie als Privatnutzer kostenlos), öfter Updates erhalte?

So, das sind jetzt ziemlich viele Fragen und ich hoffe, jemand kann meinen Wissensdurst stillen.
Das wäre echt toll !!!

Vielen Dank schon mal für die Hilfe :o)


Burnin`B

#2 Das Kerio bei einem PCFlank Exploit patzt wäre mir neu. Hab gerade nochmal nachgeschaut und bei mir wurde kein Exploit gefunden.

Der Yaltatest ist mir bis heute sehr suspekt. Wenn ich Kerio auf "Ask me first" stelle behauptet Yalta schon das die Nachricht gesendet wurde bevor ich überhaupt einen Button angeklickt habe. Ich hab schon mehrfach versucht mit Ethereal nachzuvollziehen das, dass UDP-Paket wirklich losgeschickt wurde hab es aber nie gefunden. Geh ich auf "Deny unknown" kommt hingegen nichts durch.

Also die Kerio Version 2.14 gab es ziemlich lange bevor das Bugfix-Release 2.15 rauskahm. Inzwischen wird bei Kerio auch an einer Version 3 gebastelt die allerdings schon ewig und drei Tage Beta-Status hat.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Hmm, eigentlich sollten alle drei Firewalls mit Yalta (auch "enhanced") klarkommen. Der "classical" scheint tatsächlich ein wenig zu mogeln, wie asdrubael sagte. Leider kann ich den "enhanced" nicht testen, weil ich WinXP hab.

Dafür scheitern Kerio2 und Outpost1 an Firehole. Vielleicht hast du da irgendwas falsch interpretiert, burninb.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 @burninb

Bezüglich BlackIceDefender
Da ich die FW nie getestet habe,2 Fragen.
Ist da eine Updatefunktion vielleicht aktiviert?
Hat es auch eine Trace-Route Funktion die aktiviert ist ?
Ansonsten hat eine FW nichts im Internet verloren.Die Schutzfunktion sollte durch das Blocken nicht beeinträchtigt werden.
Übrigens,über den (Un)Sinn einer PFW gibt es unterschiedliche Meinungen.Einigkeit gibt es aber in der Auffassung daß vom gleichzeitigen Gebrauch von 2 FW's abzuraten ist.
Daß Du auch ohne BlackIce den Test bestanden hast hat eine einfache Erklärung.
BlackIce hat die Pakete vor Kerio abgefangen.Als dann BID ausgeschaltet war hat sie KPF abgefangen.
Übrigens gibt es auch andere Tests für PFW's die nicht bei PC Flank aufgelistet sind und die keine PFW besteht.(Sandboxlösungen vielleicht ausgenommen)
PFW's sind keine Virenscanner die tägliche,wöchentliche oder monatliche Updates benötigen
Nur wenn an einer neuen Version mit neuen Features gebastelt wird mehren sich die Updates.
Kerio 2.1.5 ist daher ein Bugfix der alten Version.
Die Entwicklung der Kerio 2.1.5 scheint abgeschlossen zu sein.
Da die 3-er Version auf ein anderes Konzept aufgebaut ist dürfte es für Kerio wenig sinnvoll sein an zwei Engines gleichzeitig weiterzubasteln

Gruß
Ajax

#5 Hallo,

erstmal Danke an alle, die mir so schnell und hilfreich geantwortet haben!!!

@ asdrubael: Ajax hat das mit dem angeblichen Patzer beim Exploit-Test ja erklärt, deshalb denke ich, daß die Kerio einwandfrei arbeitet. Danke trotzdem für`s nachschauen und testen ;o)
Naja, wie schon gesagt, habe ich gehört, daß Yalta nicht sehr aussagekräftig ist. Wollte halt noch einen weiteren, fachmännischen Rat dazu hören.

@ forge77: Hm, da werde ich wohl echt was flasch interpretiert haben. Ich bin da wie gesagt noch in der "eigenen, persönlichen Betaphase", was solche Sicherheitsmechanismen und deren Verständnis betrifft, auch wenn ich schon einige Monate aus dieser Phase nicht rauskomme :o) Aber, ohne Fleis kein Preis.....

@ Ajax: Die Updatefunktion habe ich deaktiviert! Ja, eine Trace-Route Funktion besitzt die BlackIce! Soviel ich weiß, wird die aber erst aktiv, wenn ein Angriff stattfindet. Hier ist es aber so, daß "blackd.exe" bei jeder Interneteinwahl und dann in regelmäßigen Abständen versucht sich zu verbinden. Wohin weiß ich nicht genau. Verwende momentan Outpost und da steht folgendes:

"Blackd.exe......*NETBIOS......dial-193-...-...-...netcologne.de......NETBIOS_NS........Ausgehend........UDP"


Gut, dann weiß ich wenigstens, warum meine Vermutung, daß Kerio den Exploit-Test nicht bestanden hat, falsch war.
Was heißt denn Bugfix? Ist diese Version von Kerio also besser als die davor?
Was kann ich denn machen, um meinen PC vor diesen anderen Tests/Angriffen zu schützen, von denen Du sprichst? Ich habe wirklich nichts zu verbergen auf meinem PC, aber ich möchte doch ausreichenden Schutz gegen fremden Zugriff haben!



Also habe ich das jetzt richtig verstanden, daß ihr alle auch Kerio oder Outpost verwendet und somit kann ich davon ausgehen, daß die Wahl einer dieser Firewalls eine gute Wahl ist ???!!!???!!!

Bis dann...

Gruß
Burnin`B

#6 Hallo nochmal !!!
Beim Durchstöbern des Forums bin ich auf was gestoßen, was mich echt ins Grübeln gebracht hat und ich jetzt doch ziemlich perplex auf meinem Stuhl vor dem PC sitze ....!
Ich habe einen Beitrag von "Thor" gefunden vom 7.2.03 unter dem Titel "Sygate doch die beste Firewall"

Hm, :o) ihr könnt euch sicher erinnern!

Ich will da auch nicht näher auf die Diskussionen eingehen, frage mich jetzt nur, wie ich meine Firewall konfigurieren soll?
Ich werde mich da auch versuchen was reinzuarbeiten (was ich ja schon etwas getan habe), aber ich bin echt verunsichert, ob ich das auch alles wirklich richtig mache mit der Konfiguration.
Muß ich denn für alles schon im Voraus Regeln erstellen, oder soll ich warten, bis z.B. Kerio mich fragt, ob ich eine best. Verbindung zulassen soll?
Was sollte ich als Regel auf jeden Fall selber und im Voraus erstellen, was sinnvoll ist?
Was ist mit dem Anbieten von Diensten gemeint? Bietet meinPC automatisch solche Dienste an (ich verwende WIN 98) ? Und, was muß ich im Voraus einstellen, damit diese Dienste nicht angeboten werden ins Internet? Oder kann ich abwarten, bis Kerio mich danach fragt, ob ich diesen oder jenen Dienst zulassen will?
Muß ich mir wegen dem NetBios sorgen machen, d.h. da irgendwelche Voreinstellungen vornehmen? Und was ist mit Kernel32 und solchen Dingen?
Und, wie sieht ein sauberer PC aus? Ist damit gemeint, daß man keine Dialer, Spyware, Trojaner usw. auf dem PC haben darf?

Ich will hier bloß nicht die Diskussion von damals aufflammen lassen. Bitte nicht!!!!!!!!!!!
Ich bin nur was verunsichert, was die Konfiguration der Firewall betrifft. Ich dachte bisher nämlich, daß ich das relativ gut gelöst habe, trotz meiner geringen Kenntnisse.

Ok, dann freue ich mich schon auf die Antworten!

Viele Grüße

Burnin`B

#7 Es macht Sinn, sich für eins zu entscheiden, sofern beide Programme auf dem selben Rechner betrieben werden. (BlackIce oder Kerio)

Zitat

Was sollte ich als Regel auf jeden Fall selber und im Voraus erstellen, was sinnvoll ist?

Da wo Du Dir sicher bist, erstelle es selbst. z.B Mailprogramm nur auf Port 25, 110. Hilfe zu ICMP-Regeln findest Du hier: http://www.protecus.de/Firewall_Security/icmp.html Ich selbst erstelle meist keine Regeln und warte, wie das Programm sich verhält, ob es mehr macht als es sollte - (verbindungstechnisch)

Zitat

Was ist mit dem Anbieten von Diensten gemeint? Bietet meinPC automatisch solche Dienste an (ich verwende WIN 98)

Win98 bietet keine Dienste an, wie es NT, 2000 oder XP tun. Netbios allerdings sollte , da nicht abschaltbar, explizit geblockt werden. (Näheres, s. Link oben)

Zitat

Und was ist mit Kernel32 und solchen Dingen?

Folgendes Verfahren: Systemdateien erst mal blocken. Sollte alles weiterhin gut laufen...
kann eine Verbotsregel bestehen bleiben. Es ist allerdings nie schlecht sich zusätzlich Informationen zu beschaffen, für was die entspr. Datei steht.

Zitat

Ist damit gemeint, daß man keine Dialer, Spyware, Trojaner usw. auf dem PC haben darf?

So würde ich das auch sehen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8

Zitat

Netbios allerdings sollte , da nicht abschaltbar, explizit geblockt werden.

Sicher? Afaik sollte das auch unter Win9x gehen.
Ich weiß nur nicht genau, ob man auch die Bindungen an die verschiedenen Netzwerk-Adapter selbst bestimmen kann - was aber nur dann wichtig wäre, wenn man auf Netbios fürs LAN nicht verzichten kann/möchte.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#9 Wenn ich mich an meine alten win98 Zeiten zurück erinner,
dann ist das möglich.

Wenn ich mich nicht irre, konnte man für jedes tcp/ip protokoll netbios aktivieren, oder eben nicht.

Also auch zwischen Lan und Internet unterscheiden.
__________
So wird mein Post von allen gelesen..

#10 Würde mich wirklich interessieren, wie man Netbios unter Win98 abschaltet.
Mir ist kein Weg bekannt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Dann mal danke für die Hilfe @joschi !!!
Der Link ist sehr gut, da läßt sich richtig gut was mit anfangen ;o)
Ich probier mal die Firewalls alle durch und schaue, mit welcher ich am besten klar komme.
Mein Rechner ist frei von dem ganzen Schrott wie Spyware usw. deshalb denke ich, habe ich einen sauberen Rechner!


Danke und Grüße

Burnin`B

#12 -Deaktivierung von NetBios unter win98
Unter Start/Einstellungen/Systemsteuerung/Netzwerk/Konfiguration/TCP/IP/Eigenschaften/
NetBIOS: NetBIOS über TCP/IP aktivieren AUS

@burninb
Bugfix=Fehlerbehebung
In diesem Fall wurde eine Sicherheitslücke behoben.
Es sind keine Testangriffe.Es werden nur Möglichkeiten vorgeführt wie ein
Programm daß bereits auf deinen PC installiert ist,unbemerkt (von deiner
FW Daten verschicken könnte.Hier geht es nicht um fremden Zugriff

http://board.protecus.de/t2053.htm

Gruß
Ajax

#13 Das Feld habe ich auch, aber es ist alles grau unterlegt, keine Möglichkeit etwas zu verändern
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 Eigentlich hatte ich früher nur die win98sec.Ed,da ging es bestimmt.
Sorry,dann geht es mit win98 scheinbar doch nicht.

#15 @ Ajax

Hm, bei mir ist das auch nur grau unterlegt!!! Habe aber auf einem anderen Rechner Win98 second Edition und da hat es echt funktioniert.
Nur, was für Nachteile habe ich denn, wenn das deaktiviert ist?
Und was für Vorteile? Kann ich es ständig deaktiviert lassen?

Na gut, dann ist das mit dem z.B. Firehole-Test sowas wie nen Test, der zeigen soll, daß ein z.B. Trojaner die Firewall tunneln kann.

THX vielmals !!!

Gruß
Burnin`B