Kaspersky Firewall kontrolliert nur AUSgehenden Traffic?

Bei meinen Bemühungen, meine Firewall möglichst strikt einzustellen, ist mir jetzt erst aufgefallen, dass man immer nur über ausgehende Verbindungen benachrichtigt wird. Und obwohl ich alle Programme blockiert und nur für wenige explizite Regeln definiert habe (allesamt über ausgehenden (Strom) traffic), kann ich trotzdem z.B. mit dem Firefox surfen (dabei gibt es nirgends eine Regel für eingehende Daten, alle Standard-Regeln sind "alles blockieren").

Gibt es irgendwo eine Regel: "Wenn vom Benutzer nichts explizit definiert ist, tu das-und-das"? Oder schließt die Richtung "ausgehend (Strom)" auch den Eingang mit ein?

ooh, noch ein post und ich hab die wunderbare Count-Anzahl 666

Kaspersky hat eine Whitelist fuer Vertrauenswuerdige Anwendungen. Dort wirst du FireFox finden, weswegen keine Nachfrage kommt. Bei mir hat Kaspersky frueher sogar, wenn ich in Steam die Serverliste aktualisiert habe, das Internet komplett abgekapselt => wurde damals als DDoS-Attacke gewertet. Eingehende Sachen wirst du wohl auch nicht merken, denn ich gehe davon aus, dass du einen Router mit integrierter Firewall hast. Die blockt ja die Sachen von auszen ab, die rein wollen. Ich nehme mal an, dass das ein Grund ist, warum viele meinen, dass die Windows Firewall reicht, wenn man einen Router hat.

Die Whitelist von Kaspersky ist bei mir - wissentlich - leer. Auch Firefox, ja sogar der svchost werden in all ihren Netzwerkaktivitäten per Regel kontrolliert.

Aber auch die Firewall und der Router des Uni-Netzwerks, aus dem ich surfe, lassen Datenstrom zu mir durch; denn ich empfange ja auch Daten. Selbst die voreingestellten Standard-Regeln wie "receiving e-mails" sehen die Richtung "ausgehend (Strom)" vor ...

Ich kann mir das eigentlich nur so erklären, dass sich die Anfragen, die man bekommt, bevor man Regeln definiert hat, nur auf das Herstellen der Verbindung beziehen (was ja nunmal dadurch geschieht, dass Programme auf meinem Rechner irgendwo Anfragen stellen); und sind diese Verbindungen einmal etabliert, werden darüber Daten in beide Richtungen ausgetauscht. Aber das ist nur eine Vermutung ...

Da eine Personal Firewall für Eingehende Angriffe eh sinnlos is, würde ich mir darüber sowieso keine Gedanken machen... Erst Recht nicht, wenn Du einen Router mit NAT und Firewall hast.

Falcon schrieb:

Da eine Personal Firewall für Eingehende Angriffe eh sinnlos is, würde ich mir darüber sowieso keine Gedanken machen...

Zum Vergrößern anklicken....

Da gab es mal das Jahr 2004 mit dem Wurm Sasser. Bei Sasser musste man keine infizierte Datei selber starten. SP2 für WinXP war noch nicht soweit und die Windows Firewall war noch nicht integriert.

Diese hätte vor einer Infektion geschützt und deinen Satz oben vollkommen den Boden entzogen.

*zumindest wenn man keinen Router benutzt

Ich schrieb ja auch von einer Personal Firewall. Und nein, eine Personal Firewall hätte ein Wurm wie Sasser auch aushebeln können. Im Jahr 2003 hatte ich das letzte mal ein Problem mit Virenbefall (eingeschleppt von einer LAN) und das hebelte meinen (damaligen) NAV2003 aus...

Ich gehe grundsätzlich davon aus, dass eine korrekt eingestellte NAT und Firewall vor dem eigenen Netz zu Hause sitzt. Ohne so etwas würde ich nicht ins Internet wollen.

Und eine Personal Firewall ist beispielsweise bei so etwas simplem wie einem DOS schon sinnlos.

Bei Kaspersky wurden mit der 8er-Version (die 2009er) einige Einstellungen verändert. So ist "nach Hause telefonieren" immer erlaubt, wenn einem Programm erst einmal die Starterlaubnis gegeben wurde.

Ändern kannst Du die Einstellungen mit der folgenden Anleitung.

Textauszug Kaspersky Forum, in Teilen verändert:


Wenn Sie die volle Kontrolle über Anwendungen im Netzwerk haben möchten in der Kaspersky Internet Security 2009, z.B. für "Nachausetelefonierer" Programme, gehen Sie bitte folgendermaßen vor:

1. Öffnen Sie die Kaspersky Internet Security 2009

2. Klicken Sie oben rechts auf "Einstellungen"

3. Bei "Schutz" >>> entfernen Sie auf der rechten Seite das Häkchen bei "Interaktiver Schutz" >>> "Aktion automatisch wählen"

4. Klicken Sie nun wieder links auf "Programmkontrolle" >>> "Aktivitätsfilterung" neben "Aktivitätsfilterung für Programme aktivieren" >>> "Einstellungen"

5. Klicken Sie bitte in der oberen Spalte bei "Vertrauenswürdige" mit der rechten Mouse Taste bei Netzwerk auf das grüne Häkchen >>> wählen Sie das gelbe Ausrufezeichen "Aktion erfragen"


6. Abschließend nun bitte auf "OK" klicken und zum Speichern der Einstellungen auf "Übernehmen" klicken.
Die Regeln werden immer nach unten vererbt so das nun jede Anwendung auch wenn diese als "Vertrauenswürdig" eingestuft worden


Ich meine wohl, dass die Einstellung den Datenfluss in beiden Richtungen regelt und analog in dem genannten Bereich Lokal- und Vertrauenwürdige Netzwerke geschaltet werden können.


Blattwerk


Selbstverständlich lassen sich bestehende Programme auch einzeln einstellen. Mit der v.g. Einstellung gilt nach Telefon-Verbot auch für neu installierte Programme als Basiswert.

Das Nach-Hause-Telefonieren ist ja AUSgehender traffic, den hab ich sowieso schon kontrolliert (man kann nämlich auch allen Programme jeglichen Netzwerkverkehr verbieten, solange es einige explizite Regeln gibt).

Mir geht es um das "Angerufen-Werden": Wie kann ich per Firewall verhindern, dass mein Rechner Verbindungen von einem Server überhaupt erst annimmt? Denn ob er antwortet, oder nicht: Theoretisch könnte ich einen unkontrollierten Downstream, d.h. Download, haben, wenn mir dieser Server von sich aus etwas senden würde.

einzigste möglichkeit: den router am besten gescheit einstellen wenn dass nicht geht anderen router kaufen oder pc zum nen router machen. wenn man das nicht kann will geht halt nur nen andere software firewall.

Scheinweltname schrieb:

Mir geht es um das "Angerufen-Werden": Wie kann ich per Firewall verhindern, dass mein Rechner Verbindungen von einem Server überhaupt erst annimmt?

Zum Vergrößern anklicken....

Bedingt, mit PSFW Loesungen bist du niemals auf der 'sichersten' Seite, du kannst fuer Kaspersky ja auch fuer Anwendungen Beschraenkungen anlegen welche nur bestimmte Verbindungen/Netze zulassen, oder generell ganz.

Um die Meldungen zu deaktivieren die Kaspersky bei dir bei jedem Verbindungsversuch von außen anzeigt sollte der 'Trainingsmodus' deaktiviert werden, denn generell wird Kaspersky die Anfrage zB. auf deinen FTP von außen erkennen und Nachfragen ob du diese Aktivitaet von der jeweiligen Adresse zulassen moechtest. Wobei solch ein Punkt entfaellt besitzt du einen Router mit NAT bessernoch Ein & Ausgehendem Netfilter & SPI.


mfg

@ Scheinweltname

wie ich bereits geschrieben habe, gehe ich davon aus, dass über die Einstellungen - der ein- und ausgehende Datenverkehr - zu dem Programm unterbunden wird.


Erfolgt dann ein Angriff - und so ist der Zugriff ja zu werten - wird geblockt*. Schwer verständlich ist mir dabei, warum ein Softwareproduzent auf Millionen von Rechner "Angriffe" fährt, (fahren soll) um damit festzustellen, über welche IP er einen Nutzer seiner Software erwischt.

Nur einmal angenommen, der "Angriff" findet satt und kommt zum Ziel**, dann benötigt die Gegenseite immer noch ein Lebenszeichen. Will heißen, dass Programm muss über Deinen Rechner nach - außen - kommunizieren. Dann ist das Programm doch eine "Nachausetelefonierer". (Zum unterdrücken der Funktion, liefert AVM auch entsprechende Software mit den Boxen aus)


Blattwerk


* Im Rahmen der Möglichkeiten von KIS
** wie auch immer das bewerkstelligt wird

Blattwerk schrieb:

Nur einmal angenommen, der "Angriff" findet satt und kommt zum Ziel**, dann benötigt die Gegenseite immer noch ein Lebenszeichen. Will heißen, dass Programm muss über Deinen Rechner nach - außen - kommunizieren. Dann ist das Programm doch eine "Nachausetelefonierer".

Zum Vergrößern anklicken....

ok, dann bliebe die Frage, ob es tatsächlich möglich wäre, dass mir ein Server oder anderer Rechner einen Download bzw. irgendwelche Datenpakete aufzwingen kann (ohne "Lebenszeichen" meines Rechners), oder ob definitiv vorher IMMER eine Antwort meines Rechners kommen muss. Denn die Antwort unterbindet ja meine Firewall bzw. meine Regeln.
Kann man einem Rechner Datenpakete aufzwingen, OHNE dass der vorher antwortet?

Wenn der Rechner nicht oder nicht ausreichend geschützt ist, oder wenn sich Mechanismen - wie z.B. in Software und/oder Hardware-Firewalls enthaltene - überlisten, überbrücken, ausschalten ... lassen.

Ja - dann kann auch jemand auf Deinem Rechner Software installieren, den Rechner übernehmen, den Rechner fernsteuern, in ein Angriffsnetzwerk integrieren ...

Informationen zu Firewalls:

http://de.wikipedia.org/wiki/Firewall

http://www.bsi.bund.de/literat/studien/firewall/fwstud.htm


Blattwerk