Netzwerkviren blocken durch firewall?

[IchWeissNicht]

hallo winboard,
ich habe eine frage die mich eigentlich schon länger beschäftigt.
erstens: ist es möglich netzwerk viren wie z.b.Sasser zu blocken nur durch eine software Fw? also durch das blocken der lssas.exe(aus und eingehend)? oder benutzt der virus eine schwachstelle im windows die mit der lssas.exe im grunde nix zu tun hat?

zweitens: könnte man den sasser mit einer HW firewall bzw router blocken indem man den ausgehenden port den die datei benutzt sperrt und/oder alle eingehenden?

ich frage deshalb da ich vor schon etwas längerer zeit als dieser wurm das internet unsicher machte mein windows Xp neu aufsetzen musste und da ich keine offline updates auf dem rechner hate musste ich mit dem internet verbunden sein.
hatte damals ein gutes av programm von panda dass auch das netzwerk scannt, und ich war richtig froh dass ich es hatte denn während ich die updates geladen habe hatte ich alle 5 secunden nen virus allarm und das ging so weiter bis die updates fertig waren, so ca 30 minuten oda 1 std hat das gedauert.
dazu fällt mir gleich noch eine frage ein hätte ein av scanner wie z.b. antivir(ohne netzwerk scan) den wurm mit dem hintergrundwächter auch sofort erkannt´? oder erst nach einem vollständigen scan?

schon mal!

 

[AlienJoker]

Erstmal gibt es für Sasser/Blaster.w32 ja nen patch von MS der ihn aussperrt.

1. Softwarefirewall hilft nicht

2. Portsperren schützt nur begrenzt. Der kommt ja per Mail rein und wütet danach offline.

zum Schutz sind Virenscanner da. Die sollten den heute ALLE Problemlos erkennen, aber dafür hat jeder Virenscannerhersteller ne entsprechende Doku.

 

[Roger_S]

Zu deiner ersten Frage: Jein ! Eine SW-Firewall reicht prinzipiell, ausser der Virus nutzt eine Lücke oder Schwachstelle der Firewall oder von Windows oder du besuchst eine Virenverteilende Webseite.

Zu zweitens: Hab selbst einen DSL Router mit HW - Firewall und seitdem ist Ruhe. Aber wer will schon sicher sein, dass nicht irgend ein Schädling mal auch da durchkommt ?

Zu deiner letzten Frage: Ein Virenscanner kann manche Viren erst erkennen, wenn sie bereits auf dem System sind. Habe das mal mit FreeAV unter Win98 erlebt: die befallene Datei wurde unmittelbar bei/nach Infizierung erkannt, das System war aber trotzdem beschädigt. Das wurde erst mit Hardware Firewall besser.

 

[IchWeissNicht]

danke für die antworten,
also das ms nen patch dafür rausgebracht hat weiss ich natürlich, bin ja nich von gestern und bisl was versteh ich auch davon
eine Hw firewall hab ich natürlich auch aber auch eine Sw firewall.
dann ist es also so dass die software Fw eine netzwerkvirus nicht blocken kann?
wenn er bei der software FW angekommen ist ist er schon im system und dann is es zu spät?
eine HW FW hingegen kann ihn blocken? wenn wir ein ungepatchtes system nehmen und der sasser wurm (greift doch den lssas dienst an?), der aber nicht mit dem internet verbunden ist also geblockt wird (ganzer prozess bei SW und der port durch HW FW) kann der wurm trotzdem ins system?

@roger_S
du meisnt also das ein virenscanner ohne netzwerk schutz den virus erst erkennt nachdem er sich eingenisstet hat und anfängt zu "arbeiten"?

@alienJoker
solche netzwerk würmer wie sasser/blaster verbreiten sich auch per mail? wusste ich garnicht, aber wenn alle eingehenden ports zu sind durch ne hardware Fw wie geht das?
das thema interresiert mich wirklich, ich brauche mehr details

 

[seppjo]

dann ist es also so dass die software Fw eine netzwerkvirus nicht blocken kann?
wenn er bei der software FW angekommen ist ist er schon im system und dann is es zu spät?
eine HW FW hingegen kann ihn blocken? wenn wir ein ungepatchtes system nehmen und der sasser wurm (greift doch den lssas dienst an?), der aber nicht mit dem internet verbunden ist also geblockt wird (ganzer prozess bei SW und der port durch HW FW) kann der wurm trotzdem ins system?

Ports 135-139 und 445 Sperren. Das kann auch eine ganz poblige SW FW.

 

[IchWeissNicht]

Ports 135-139 und 445 Sperren. Das kann auch eine ganz poblige SW FW.

ja aber blockt sie auch einen netzwerk virus der sich über den /die ports verbreitet?

 

[AlienJoker]

kommt drauf an, wenn der Wurm die Firewall nicht umgehen kann. Die Hardwarefirewall sollte dieses Problem aber zuverlässig lösen.

 

[seppjo]

@IchWeissNicht,
wenn der Virus nicht extra so geschrieben wurde das er die Firewall hackt kann er sich nicht ausbreiten.
(Was man übrigens auch bei Hardware Firewalls machen kann. Ganz nebenbei erwähnt. Hardware ist einfach nur die elegantere Lösung. Weder sicherer noch sonst irgendwas. Außer du kaufst ein Gerät das schon ordentlich was kostet.)
Wie soll er auch, die Ports sind ja gesperrt. Getestet hab ich das schon mit MSblast und Sasser. Funktioniert!

 

[IchWeissNicht]

vielen dank @alienjoker und seppjo genau das wollte ich hören.
ich war mir bei dem thema etwas unsicher aber nun hab ichs schriftlich
dann bin ich ja mit meienm netgear router auf der sicheren seite. habe mir übrigens heute die kerio firewall instaliertund erstmal ale verbindungen von aussen geblockt und dannach die programme einzeln nach aussen durchgelassen, ledeglich die svchost.exe habe ich in beide richtungen offen in der lokalen zone da sonst keine verbindung zum router besteht.

is das in etwa die richtige einstellung? oder worauf sollte ich bei der kerio noch achten?


MFG, Dave

 

[AlienJoker]

Bei Kerio sollte man auf jeden Fall den Nachfrage-Modus anstellen (Im anwendungsfenster bei "Jede andere Anwendung" das Fragezeichen hinklicken) und die Sichere Zone nicht für die Internetverbindung verwenden.
Der Verhaltensblocker hat mich zu sehr genervt, also hab ich ihn ausgemacht. Das ist nur was für eingeschränkte user, wo nicht so viele Verschiedene Anwendungen laufen und keine Installationen und so.

 

[IchWeissNicht]

ich habe bei der vertrauten zone den hacken bei der lan verbindung wegemacht und bei "jede andere verbindung" habe ich bei vertraut ankommend und abgehend auf zulassen und internet abgehend nachfragen und ankommend ablehnen. wäre das ok? oder sollte ich doch alles auf anfrage stelen?

der verhaltensblocker habe ich übrigenns auch ausgestellt da er mich zu sehr an den tea timer vom spybot errinert der mir damals sehr viele problene bereitet hat, seitdem is der auch aus.

€ eine frage noch: unter "vertraut" und lan verbindung, muss da die ip meines rechners stehen oder die des routers?