Zone Alarm Pro crasht Windows 2000 Rechner mit ICS
Wolfram Goetz
ich habe hier einen Windows 2000 Pro-Rechner, über den zwei Windows 98 SE
Clients über ADSL und ICS ins Internet sollen (alle mit festen IPs). Auf dem
W2K-Rechner läuft Zone Alarm Pro 2.6.
ICS funktioniert ohne Firewall einwandfrei. Läuft ZA Pro, so crasht der
W2K-Rechner komplett, sobald ein Client versucht, eine Internetseite
aufzurufen. Die IP der gewählten Internetseite bekommt der Client offenbar
noch (lt. Statuszeile im Browser), dann ist Schluß.
In ZA Pro habe ich "ICS Gateway" angewählt und die IPs der beiden Clients
für die "Local Zone" angegeben. Das einzige, was mich irritiert, ist, daß
unter "Networks" nicht nur meine ADSL-DFÜ-Verbindung angegeben ist, sondern
auch ein "New Network" (IP 192.168.0.0). Meine festen IPs lauten 192.168.0.1
bis 3.
Weiß jemand, wo das Problem liegt (sitzt natürlich vor dem Rechner, ich weiß
;))?
Für jede Hilfe dankbar
Wolfram
Franz-Josef Vorspohl
Wolfram Goetz wrote:
> Hallo allerseits,
>
> ich habe hier einen Windows 2000 Pro-Rechner, über den zwei Windows 98 SE
> Clients über ADSL und ICS ins Internet sollen (alle mit festen IPs). Auf dem
> W2K-Rechner läuft Zone Alarm Pro 2.6.
Du hast mich mit den fest IP etwas erschreckt, klaerte sich aber im
weiteren (192.168.x.x)
ZA Pro deinstallieren und alle Freigaben und den MS-Client Richtung
Internet entfernen und gluecklich werden.
Franz-Josef Vorspohl
Wolfram Goetz
news:3CA1052E...@gmx.de...
> > ich habe hier einen Windows 2000 Pro-Rechner, über den zwei Windows 98
SE
> > Clients über ADSL und ICS ins Internet sollen (alle mit festen IPs). Auf
dem
> > W2K-Rechner läuft Zone Alarm Pro 2.6.
> ZA Pro deinstallieren und alle Freigaben und den MS-Client Richtung
> Internet entfernen und gluecklich werden.
Danke erstmal für die schnelle Antwort! Also... der MS-Client hängt bei mir
nur an der Verbindung zum LAN, es gibt auch keine Freigaben in Richtung
Internet, wenn ich das richtig sehe. Meinst Du das vielleicht anders, als
ich es jetzt verstehe?
Wolfram
Franz-Josef Vorspohl
Hi Wolfram,
Wolfram Goetz wrote:
>>ZA Pro deinstallieren und alle Freigaben und den MS-Client Richtung
>>Internet entfernen und gluecklich werden.
>>
> Danke erstmal für die schnelle Antwort! Also... der MS-Client hängt bei mir
> nur an der Verbindung zum LAN, es gibt auch keine Freigaben in Richtung
> Internet, wenn ich das richtig sehe. Meinst Du das vielleicht anders, als
> ich es jetzt verstehe?
Ne ist Ok so.
Ein paar Postings hoeher gibs ne FAQ zu ZA
Franz-Josef
Wolfram Goetz
> Ein paar Postings hoeher gibs ne FAQ zu ZA
Hmmm... die FAQ hab ich schon überflogen, aber da geht?s ja offenbar nicht
um ZA Pro.
Noch irgendwelche Vorschläge?
Wolfram
Thomas Kopton
> "Franz-Josef Vorspohl" <fj.vo...@gmx.de> schrieb im Newsbeitrag
> news:3CA10BB...@gmx.de...
Das ist keine Einleitungszeile, das ist ein Roman.
>> Ein paar Postings hoeher gibs ne FAQ zu ZA
>
> Hmmm... die FAQ hab ich schon überflogen, aber da geht?s ja
> offenbar nicht um ZA Pro.
>
> Noch irgendwelche Vorschläge?
Du hast doch für dieses Produkt bezahlen müssen. Was sagt denn der
Hersteller zu deinem Problem?
Mal ernsthaft, wozu brauchst du denn diesen möchtegerne Paketfilter?
Du solltest dir vorher überlegen wovor du dich oder deine Rechner
schützen möchtest, was du erlauben oder nicht erlauben willst und erst
danach solltest du versuchen diese Richtlinien umzusetzten.
Wie in diesem Thread bereits angemerkt wurde, ist eine vernünftige
Konfiguration des Rechners das A und O. In den meisten Fällen ist ein
Produkt wie ZA überflüssig, ZA ist eigenlich in allen Fällen
überflüssig.
HTH, HAND
Thomas
Urs [Ayahuasca] Traenkner
> "Franz-Josef Vorspohl" <fj.vo...@gmx.de> schrieb im Newsbeitrag
> news:3CA10BB...@gmx.de...
Bring Deinem newsreader mal eine attribution _line_ bei, bitte.
Das ist ja grausig fuer die Augen.
> > Ein paar Postings hoeher gibs ne FAQ zu ZA
> Hmmm... die FAQ hab ich schon überflogen, aber da geht?s ja offenbar
> nicht um ZA Pro.
Macht ja auch nix. Weil:
> ich habe hier einen Windows 2000 Pro-Rechner, über
> den zwei Windows 98 SE Clients über ADSL und ICS ins
> Internet sollen (alle mit festen IPs). Auf dem
> W2K-Rechner läuft Zone Alarm Pro 2.6.
[und ZA crasht in Verbindung mit ICS den Rechner]
Wenn Du den Rechner ordentlich konfigurierst, dann benoetigst Du
ZA gar nicht. Ohnehin ist die Wahrscheinlichkeit, dass Du Dir mit
einem laufenden ZA im Betrieb gehoerig in den Fuss schiesst,
ziemlich gross.
Lies
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Angriff
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Konfiguration
Konfiguriere Dein Windows 2000 so, dass keine ungewollten Dienste
laufen.
http://www.kssysteme.de/htdocs/documents/w2kservices1.html
Stelle sicher, dass auf dem Win2k Server keiner Saugsessions
anstellt und womoeglich komische Software drauf installiert.
Dann laesst sich sicher dieses komische ICS so konfigurieren,
dass Du den Clients einen definierten Internetzugang zur
Verfuegung stellen kannst.
> Noch irgendwelche Vorschläge?
Wenn Dich die Problematik interessiert:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm
HTH, Gruss Urs...
--
Ehrlich, Adj. - Im Geschaeftsleben schwerbehindert.
Ambrose Bierce, "Des Teufels Woerterbuch"
Wolfram Goetz
Habe ZA jetzt deinstalliert, was mir ja schon Franz-Josef in seiner ersten
Antwort nahegelegt, ich aber nicht begriffen hatte.
Die Gruppen-FAQ habe ich übrigens per Suche in meinem OE / news.cis.dfn.de
zunächst nicht gefunden (nur jetzt erst per Google), die ZA-FAQ hatte ich
leider nur überflogen, da es offensichtlich dort nicht um ICS / ZA Pro ging.
Bitte insoweit um Nachsicht.
Den _grundsätzlichen_ Sinn oder Unsinn einer Desktop/Personal Firewall hatte
ich bis heute nicht in Frage gestellt. Das wird vielen Newbies so gehen, die
hier erstmals auftauchen. Vielleicht könnte ja jemand regelmäßig einfach
posten "Personal Firewalls sind Unsinn", mit einer kurzen Erklärung und
einem Link auf die FAQ ... dann würdet Ihr Euch sicher viele Anfängerfragen
ersparen ;)
Wünsche allen Frohe Ostern
Wolfram
Udo Zaydowicz
Heiko Schlenker wrote:
> * Wolfram Goetz <Wolfra...@gmx.de> schrieb:
>
>>Vielleicht könnte ja jemand regelmäßig einfach posten "Personal
>>Firewalls sind Unsinn",
>>
> Das geschieht bereits, z.B. in Form eines Artikels von Hendrik
> Brummermann mit der Betreffzeile "<datum> Personal Firewalls
> umgehen". Zuletzt am 1.3. gepostet.
Abgesehen von ganz wenigen Punkten, die sich nur auf PFWs auf
Win-Systemen ohne Rechteverwaltung beziehen (können), sagt dieser
Artikel nicht aus, daß PFW Unsinn sind. Vielmehr sagt er aus, daß, um
bei Deiner Interpration zu bleiben, *alle* Firewalls Unsinn sind.
Farvel, Udo
Joens Peller
> Antwort nahegelegt, ich aber nicht begriffen hatte.
Du hast auf jeden Fall keinen Fehler gemacht.
> posten "Personal Firewalls sind Unsinn", mit einer kurzen Erklärung und
Wer kümmert sich jetzt um
"de.comp.security.personal.firewall"
oder so ähnlich...
?
jp
Franz-Josef Vorspohl
Joens Peller wrote:
> Wer kümmert sich jetzt um
>
> "de.comp.security.personal.firewall"
Du? ;-)
Franz-Josef
Wolfgang Ewert
> Wer kümmert sich jetzt um
> "de.comp.security.personal.firewall"
> oder so ähnlich...
Flachse Hierarchie:
de.comp.games.personal.firewall
Wolfgang
Franz-Josef Vorspohl
Wolfgang Ewert wrote:
>>"de.comp.security.personal.firewall"
> Flachse Hierarchie:
> de.comp.games.personal.firewall
Dann schlagen immer noch alle hier auf ;-)
Franz-Josef
Joerg W Mittag
> Wer kümmert sich jetzt um
>
> "de.comp.security.personal.firewall"
>
> oder so ähnlich...
"de.comp.security.personal.fire-at-will" (-;
jwm
Joens Peller
Habe von diesen "Firewalls" keine Ahnung. Sorry.
jp
Wolfgang Ewert
> >>"de.comp.security.personal.firewall"
> > Flachse Hierarchie:
> > de.comp.games.personal.firewall
>
>
> Dann schlagen immer noch alle hier auf ;-)
Ja, und werden verarztet (wobei diese Medizin halt bitter schmeckt).
Wolfgang
Lutz Donnerhacke
>Abgesehen von ganz wenigen Punkten, die sich nur auf PFWs auf
>Win-Systemen ohne Rechteverwaltung beziehen (können), sagt dieser
>Artikel nicht aus, daß PFW Unsinn sind. Vielmehr sagt er aus, daß, um
>bei Deiner Interpration zu bleiben, *alle* Firewalls Unsinn sind.
Nein.
Udo Zaydowicz
Lutz Donnerhacke wrote:
> * Udo Zaydowicz wrote:
[Personal Firewalls umgehen]
>>Vielmehr sagt er aus, daß, um
>>bei Deiner Interpration zu bleiben, *alle* Firewalls Unsinn sind.
>>
> Nein.
Es gibt also Firewalls, die sich nicht umgehen lassen, obwohl
jemand/irgendetwas mit Admin-Rechten es versucht, oder obwohl die
Umgehung indirekt und im Rahmen der FW-Regeln erfolgt?
Hätte ich wirklich nicht gedacht.
Farvel, Udo
Lutz Donnerhacke
Ja, die gibt es. Das ist aber eine Frage der Policy. Und die kann einen
Alarm bei Änderung des Regelwerks vorschreiben. Und das kann man erzwingwn.
Udo Zaydowicz
Lutz Donnerhacke wrote:
Könnte man sicher erzwingen.
Die Policy bzw. das Regelwerk wird allerdings von jemanden mit
Admin-Rechten erstellt. Mit diesen Rechten kann man mit der Firewall
machen, was man will; z.B. auch den Alarm deaktivieren.
Und, dieser Alarm nützt niemanden, wenn die Umgehung im Rahmen bzw.
unter Nutzung des bestehenden Regelwerkes erfolgt.
Ich bleibe also dabei: Jede *Firewall* kann umgangen werden. Der
Unterschied zwischen unterschiedlichen FW(-Konzepten)liegt letztlich nur
darin, wie schwierig es ist und/oder mit welcher (ggf. kriminellen)
Energie man an die Sache gehen muß. Daß es bei der 'typischen PFW' recht
einfach ist, ist für diese Feststellung eher irrelevant, obwohl
natürlich zutreffend.
Wenn man, wie Heiko es gemacht hat, argumentiert, daß eine PFW Unsinn
ist, weil man sie umgehen kann, dann muß man halt auch in den sauren
Apfel beissen, und einräumen, daß alle FWs Unsinn sind, weil man *alle*
FWs umgehen kann. Aber das kommt natürlich schlecht <eg>.
Farvel, Udo
Lutz Donnerhacke
>Die Policy bzw. das Regelwerk wird allerdings von jemanden mit
>Admin-Rechten erstellt.
Nein. Die Policy steht auf Papier. Der Admin hat diese umzusetzen. Und dann
gibt es noch die Phasen des Überwachens, (aktiven) Testes und des
Nachbesserns (der Policy). Und die macht i.d.R. nicht der Admin.
>Mit diesen Rechten kann man mit der Firewall machen, was man will; z.B.
>auch den Alarm deaktivieren. Und, dieser Alarm nützt niemanden, wenn die
>Umgehung im Rahmen bzw. unter Nutzung des bestehenden Regelwerkes erfolgt.
Nur, weil Du nicht weißt, wie man ein System sichert, ist es nicht unmöglich.
>Ich bleibe also dabei: Jede *Firewall* kann umgangen werden.
Natürlich. Am einfachsten durch den Haupteingang mit einem Blaumann und
einer Rohrzange in der Hand.
>Der Unterschied zwischen unterschiedlichen FW(-Konzepten)liegt letztlich
>nur darin, wie schwierig es ist und/oder mit welcher (ggf. kriminellen)
>Energie man an die Sache gehen muß. Daß es bei der 'typischen PFW' recht
>einfach ist, ist für diese Feststellung eher irrelevant, obwohl natürlich
>zutreffend.
Nicht ganz. Die typischen PFWs haben das Problem, ihre Policyversprechen
prinzipell nicht einhalten zu können. Und das ist der fundamentale
Kritikpunkt.
>Wenn man, wie Heiko es gemacht hat, argumentiert, daß eine PFW Unsinn ist,
>weil man sie umgehen kann, dann muß man halt auch in den sauren Apfel
>beissen, und einräumen, daß alle FWs Unsinn sind, weil man *alle* FWs
>umgehen kann. Aber das kommt natürlich schlecht <eg>.
Du solltest genauer hinhören und mitlesen, anstatt Deine Spekulation zur
Wahrheit zu erklären.
Felix von Leitner
> Hmmm... die FAQ hab ich schon überflogen, aber da geht?s ja offenbar nicht
> um ZA Pro.
Mein Gott, du installierst Müll, der Müll macht deinen Rechner kaputt,
und du fragst _hier_?! Mach den Müll wieder weg und dein System wird
wieder laufen (soweit man bei Windows überhaupt von "laufen" reden kann)
> Noch irgendwelche Vorschläge?
Belästige den Hersteller, nicht uns.
Wolfram Goetz
news:3ca2...@fefe.de...
> Belästige den Hersteller, nicht uns.
Zu spät ;)
Wolfram
Udo Zaydowicz
Udo Zaydowicz
Lutz Donnerhacke wrote:
> * Udo Zaydowicz wrote:
>
>>Die Policy bzw. das Regelwerk wird allerdings von jemanden mit
>>Admin-Rechten erstellt.
>>
> Nein. Die Policy steht auf Papier. Der Admin hat diese umzusetzen.
Das ist das, was ich meinte.
[...]
>>Mit diesen Rechten kann man mit der Firewall machen, was man will; z.B.
>>auch den Alarm deaktivieren. Und, dieser Alarm nützt niemanden, wenn die
>>Umgehung im Rahmen bzw. unter Nutzung des bestehenden Regelwerkes erfolgt.
>>
> Nur, weil Du nicht weißt, wie man ein System sichert, ist es nicht unmöglich.
Das mag ja sein, hat aber wenig bis nichts mit dem zu tun, was ich
schrieb. Insbesondere habe ich nicht geschrieben, daß es unmöglich sei,
ein System zu sichern.
>>Ich bleibe also dabei: Jede *Firewall* kann umgangen werden.
>>
> Natürlich. Am einfachsten durch den Haupteingang mit einem Blaumann und
> einer Rohrzange in der Hand.
An so triviale Methoden hatte ich eigentlich nicht gedacht. Aber dieses
eine Beispiel genügt ja, um meine Aussage zu stützen <g>.
[...]
>>Wenn man, wie Heiko es gemacht hat, argumentiert, daß eine PFW Unsinn ist,
>>weil man sie umgehen kann, dann muß man halt auch in den sauren Apfel
>>beissen, und einräumen, daß alle FWs Unsinn sind, weil man *alle* FWs
>>umgehen kann. Aber das kommt natürlich schlecht <eg>.
>>
> Du solltest genauer hinhören und mitlesen, anstatt Deine Spekulation zur
> Wahrheit zu erklären.
Spekulation?
Ich sehe zum einen nur die gleiche Vorgehensweise wie bei Heiko (1
Kriterium -> Bewertung Unsinn), habe ich schließlich bei ihm abgeschaut
;-).
Und ich sehe zum anderen eine von Dir bestätigte Aussage, daß man FWs
umgehen kann.
Aber vielleicht habe ich nur ein Smiley übersehen. Deswegen zur Sicherheit:
Ist eine FW möglich, die man nicht umgehen kann?
Farvel, Udo
Joens Peller
Willst Du mich beleidigen?
:-)
jp
Franz-Josef Vorspohl
Joens Peller wrote:
> Willst Du mich beleidigen?
Ne, aber wenn es eine neue Gruppe geben soll, muss ich halt einer fuer
alle opfern ;-)
Franz-Josef
Franz-Josef Vorspohl
Joens Peller wrote:
> Willst Du mich beleidigen?
Ne, aber wenn es eine neue Gruppe geben soll, muss sich halt einer fuer
alle opfern ;-)
Franz-Josef
Lutz Donnerhacke
>Ist eine FW möglich, die man nicht umgehen kann?
Und nochmals die gleiche Antwort: Ja. Gegen Angriffe, wie sie im Konzept
stehen.
Josef Oswald
> Hallo allerseits,
>
> ich habe hier einen Windows 2000 Pro-Rechner, über den zwei Windows 98 SE
> Clients über ADSL und ICS ins Internet sollen (alle mit festen IPs). Auf dem
> W2K-Rechner läuft Zone Alarm Pro 2.6.
>
> ICS funktioniert ohne Firewall einwandfrei. Läuft ZA Pro, so crasht der
> W2K-Rechner komplett, sobald ein Client versucht, eine Internetseite
> aufzurufen. Die IP der gewählten Internetseite bekommt der Client offenbar
> noch (lt. Statuszeile im Browser), dann ist Schluß.
>
> In ZA Pro habe ich "ICS Gateway" angewählt und die IPs der beiden Clients
> für die "Local Zone" angegeben. Das einzige, was mich irritiert, ist, daß
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
ah das der W2K rechner crasht _irritiert nicht_?
liegt dies daran dass Win-produkte normalerweise abstürzen, und dass
man sich an diesen Umstand bereits _gewöhnt_ hat.
war bloß ne Frage :-)
> unter "Networks" nicht nur meine ADSL-DFÜ-Verbindung angegeben ist, sondern
> auch ein "New Network" (IP 192.168.0.0). Meine festen IPs lauten 192.168.0.1
> bis 3.
ZA Pro hat hier eigentlich einen schlechten Ruf, womöglich liegts an
solchen Problemen.
Leider kann ich nicht weiterhelfen da ich ein _anderes_ OS verwende
:-)
>
> Weiß jemand, wo das Problem liegt (sitzt natürlich vor dem Rechner, ich weiß
> ;))?
>
> Für jede Hilfe dankbar
>
> Wolfram
--
Josef Oswald
Strange it works but we don't know why:
it's Windows it does not have bugs only features....
the _most_ often _heard_ lie of the 20th. century..... will it
_continue_ in the third Millennium?