# windows klonen

## ro

Hi,

Also ich hab hier folgendes Problem: zahlreiche Kunden von mir haben Windows-Systeme. Die Wartung dieser ist wirklich ein Krampf, alleine schon weil ich einige km zurücklegen muss. Nun ist es so, dass viele wirkliche Anfänger sind und die es sicher nicht merken würden wenn auf einmal Linux drauf wär. Von Desktopseite her ist mir XFCE bekannt, aber gibts da noch ein paar andere Dinge, zB dass ich in der Shell oder sonst auch bei den Pfaden "\" statt "/" hab und vorne evtl. ein "C:" oder so? Ich möchte einfach möglichst viel an Windows angepasst haben, hoffe ihr versteht was ich meine. Freue mich über jede konstruktive Antwort (Links, Bücher, Howtos etc.)

----------

## Aproxx

Also bestehende Software wirst du mit 99,9%iger Sicherheit nicht mit Windowspfaden zum Laufen bringen, was meiner unbedeutenden Meinung auch gut ist.

----------

## Salathe

Moin Moin 

Für den Desktop würde ich mir mal XPde ansehen 

www.xpde.com

Die Source ist in Portage vorhanden. Ich habe es selbst noch nicht getestet, aber die Screenshots machen einen guten Eindruck. 

Ein Problem wird sein, den Leuten beizubringen, dass sie keine Windowsprogramme mehr installieren können. Wenn es Workstations oder Internet-PCs sind, spielt das nicht so eine grosse Rolle. Aber ich denke gerade an diverse Spiele. 

Das mit den Pfaden müsste vom Desktop übernommen werden. So dass es für den Benutzer so aussieht als ob er ein Laufwerk C: hätte, es aber in der Shell noch immer nur den / giebt. So wie es KDE auch darstellen kann.

Ausserdem giebt es eine Distribution Namens LindowsOS, oder gab es zumindest mal. Diese versucht möglichst nahe an Windows ran zu kommen. Ich weiss aber auch nicht wie gut diese Distribution ist.

Gruss Salathe

----------

## STiGMaTa_ch

 *ro wrote:*   

> Nun ist es so, dass viele wirkliche Anfänger sind und die es sicher nicht merken würden wenn auf einmal Linux drauf wär.

 

Wieso kommen Leute immer nur wieder auf solch Hirnrissige Ideen? Anstatt das du den Leuten ein X für ein U vormachst würdest du dich gescheiter mal mit Windows auseinander setzen! Es ist durchaus möglich ein Windows System "sicher" zu machen. Auch der Remote Support kann gewährleistet werden ohne, dass man der ganzen Welt Tür und Tor öffnet. Gut, vielleicht nicht alleine durch die Microsoft eigenen Bordmitteln, aber das verlangt auch niemand.

Und was machst du, wenn dieser "Anfänger" plötzlich beschliesst einen Kurs zu machen und merkt dass bei ihm alles anders ist? Was machst du, wenn ihm sein bester Freund von Office XP vorschwärmt und sich der "Anfänger" entschliesst, dass zu kaufen? Was wenn der Kunde durch Ausbildung, andere Kunden oder Lieferanten plötzlich gezwungen ist ein Windows Tool X zu nutzen?

Du würdest mehr davon haben, wenn du dich mit dem sichern eines Windows Systemes auseinander setzen würdest, als dass du die Kunden bescheisst.

Und jeder der dir Tipps gibt sollte sich wirklich mal Gedanken darüber machen, ob das wirklich der Weg sein soll, wie Linux den Leuten näher gebracht wird...

Just my 2 Cents

----------

## schachti

Prinzipiell finde ich die Idee nicht gut - aus solchen Leuten, denen Linux mehr oder weniger aufgezwungen wird, werden nachher nur unzufriedene User, für die in Foren, Newsgroups etc. verhältnismäßig viel Support-Aufwand getrieben werden muß. Wenn jemand nicht von sich aus die Motivation besitzt, sich mit Linux auseinanderzusetzen, sollte man ihn bei seinem Windows lassen.

Back to topic: Für Firefox gibt es ein IE-Theme, mit dem der Firefox den Internet Explorer wohl recht gut imitiert: http://www.firefoxie.net/.

----------

## schachti

Sorry, da war ich zu schnell - das Ding gibt's nur für Windows.   :Rolling Eyes: 

----------

## ro

 *STiGMaTa_ch wrote:*   

>  *ro wrote:*   Nun ist es so, dass viele wirkliche Anfänger sind und die es sicher nicht merken würden wenn auf einmal Linux drauf wär. 
> 
> Wieso kommen Leute immer nur wieder auf solch Hirnrissige Ideen? Anstatt das du den Leuten ein X für ein U vormachst würdest du dich gescheiter mal mit Windows auseinander setzen! Es ist durchaus möglich ein Windows System "sicher" zu machen. 
> 
> ....
> ...

 

1.) es geht nicht darum dass ich mich mit windows auseinandersetz...das mach ich schon zu lange und viel zu oft, hauptsächlich sogar.

2.) man kann ein normales windows desktopsystem bei weitem nicht so absichern wie ein linux-system

Hier mal ein Beispiel das ich grade gestern (wo ich übrigens wieder mal auf den gedanken gekommen bin und das jetzt mit meinen kunden ernsthaft durchziehn werde): User A sucht im Internet nach irgendwas (hat eine Kaspersky Firewall + Antivirus). Stößt auf irgendeine Seite. Ein brandaktueller Virus (trotz mind. 1 Antivirus-Update pro Woche) nistet sich ein. Der User fährt den PC herunter. Fährt ihn anschließend wieder hoch. Antivirus-Programm in der Taskleiste neben der Uhrzeit. Leider nur das Symbol, der speicherresistente Virus hat den Antivirenscanner erkannt und lädt das Programm nicht, ein automatischer Virencheck über Laufwerk C: endet ohne besondere Vorkomnisse. Komisch aber, dass der Rechner alle 5 Sekunden versucht, sich über Modem ins Internet einzuwählen. Tja, normalerweise müsste man meinen, mit Strg+Alt + Entf käme man in den Task-Editor -> negativ, der Virus lässt den Editor für einen Bruchteil einer Sekunde erscheinen und beendet das Programm. Naja, was macht man als nächstes? Regedit, immer ein heißer tipp. Auch das ist nicht möglich. Danach habe ich festgestell, dass bei den erweiterten Startoptionen keine Möglichkeit besteht, im abgesicherten Modus zu starten und die Dienste einzeln zu starten (wie bei Win 2k möglich). Ein Virenscan im abgesicherten Modus endet ohne besondere Vorkomnisse. Keine Chance. Da hilft nur neu formatieren und aufsetzen. Ich werde für meine Arbeitszeit zwar gut bezahlt, aber ich habe genug zu tun, vor allem interessantere Arbeiten. Sicher, wenn ich mich in vor eine Windowskiste hänge passiert mir auch nichts ... aber einem Otto-Normal-Verbraucher halt schon, und deshalb bin ich schlichtweg der Meinung dass die meisten meiner Privatkunden (Berufsgruppen: Lehrer, Kindergärtner, Handarbeiter, Gastgewerbe) mit den Aufgaben Textverarbeitung (Openoffice), Digicam, MP3-Player, Internetsurfen, minimale Bildbearbeitung, Drucken - sonst eigentlich nix - einfach besser dran wären. Und übrigens: bescheissen tu ich nicht: Ich erkläre den Kunden schon, dass ich ein neues System installiere, nur soll der halt möglichst wenig unterschied merken. Zudem werden die meisten Kurse im Umkreis von ca. 8 km von mir gehalten, wodurch ich die meisten Kunden gewinne. Nur mal so viel dazu, vielleicht hilft das, mich zu verstehen.

Und nochwas: ich arbeite momentan an einer Gesamtlösung als Fire- und Viruswall (SMTP/POP/HTTP Proxy der alle Daten nach Viren durchsucht), das ist ein weiterer Schritt zur Absicherung, aber an Privatkunden werd ich das Teil nur schwer bringen können.

----------

## Deever

@ro: http://www.ntsvcfg.de

Gruß,

/dev

----------

## musv

Stigmata hat meiner Meinung nach vollkommen recht. 

Wenn die Leute keine Ahnung haben von Linux geschweige denn von Windows, dann werden die mit einem Linux ohne Viren mehr Probleme haben als mit einem Windows mit Viren. 

Konfigurier die Firewall beim Win richtig. Pack 'nen Virenscanner drauf. Das sollte für die meisten Sachen reichen. Und wenn doch mal was passiert, kannst du immer noch ein Backup wieder zurückspielen. Zum Virenfinden gibt's außerdem auch 'ne Knoppixversion mit Virenscanner (hab mich damit noch nicht auseinandersetzen müssen).

Und wenn du überhaupt keinen Ausweg mehr siehst, dann installier Win98. Für das gibt's mittlerweile auch keine Viren mehr. 

Mit Linux handelst du Dir bei solchen Leuten nur noch mehr Ärger ein. Siehe hier: https://forums.gentoo.org/viewtopic-t-412670.html

----------

## STiGMaTa_ch

 *ro wrote:*   

> Ein brandaktueller Virus (trotz mind. 1 Antivirus-Update pro Woche) nistet sich ein.

 

Siehst du, hier liegt doch schon das Problem. Ich habe mich halt mal eine ganze Woche (mehrheitlich privat) mit Virensacannern und Firewalls auseinander gesetzt. Habe mich dabei durch C't Magazine gekämpft und diverseste Tests gelesen. Zum Schluss habe ich mich für F-Secure entschieden (machen je nachdem bis zu 8 Updates Täglich, wenn es Hart auf Hart kommt!!) Die Software ist einfach zu bedienen und für grössere Firmen kann man Zentrale Verwaltungsserver installieren welche das updaten etc. automatisch vornehmen. Die Erkennungsrate ist extrem hoch gegenüber Spielzeug Antiviren wie Norton oder (sorry) Kaspersky. Und auch der Preis ist mit ~70 moderat.

Als Firewall habe ich mich für Kerio entschieden. Sehr effizient und kann sowohl Pakete auf Basis von Ports/Adressen sowie bereits geöffneten Verbindungen als auch anhand allow/disallow Listen für Programme konfiguriert werden. So kann man z.B. sicherstellen, dass nur Thunderbird POP, SMTP oder IMAP Ports auf dem Mailserver nutzt und kein anderes Programm (also selbst wenn ein Virus auf dem System wäre, er verbreitet sich nicht).

Dort wo sich der Aufwand lohnt wird SUS (Software Update Services) von Microsoft installiert, dann kann auch das updaten der einzelnen Maschinen elegant über einen Server gesteuert werden.

Dann ackert man sich durch CT's Artikel "Heute ein Admin" CT 23/05 und kann so die Benutzer OHNE Adminrechte arbeiten lassen. Zum Schluss wird der Belegschaft der eine oder andere Exploit auf einem windows Rechner demonstriert (Entweder selber vorbereitet oder via Heise Security), damit sie selber sehen können wie einfach man sich mit IEX etwas einfangen kann. So sind die Leute viel Zugänglicher für Firefox, Opera und Co.

Und ehrlich gesagt sind die grössten Probleme - welche ich bisher hatte -  nahezu nur Bedienfehler gewesen oder Ärger mit uralt Software (Office 95) auf Windows XP.

 *ro wrote:*   

> Sicher, wenn ich mich in vor eine Windowskiste hänge passiert mir auch nichts ... aber einem Otto-Normal-Verbraucher halt schon

 

Also meine User sind - was die Bedienung von PC's angeht - nicht besonders intelligenter als andere Benutzer auf der Welt. Trotzdem höre ich solche Schreckensmeldungen immer nur vom hören sagen  :Smile: 

 *ro wrote:*   

> Und übrigens: bescheissen tu ich nicht: Ich erkläre den Kunden schon, dass ich ein neues System installiere.

 

Also die Aussage gefällt mir schon besser  :Smile:  Dann kann man natürlich nicht von einem bescheissen reden. So wie du es halt im Anfangsthread geschrieben hattest, deutete das auf was anderes...

 *ro wrote:*   

> Zudem werden die meisten Kurse im Umkreis von ca. 8 km von mir gehalten, wodurch ich die meisten Kunden gewinne. Nur mal so viel dazu, vielleicht hilft das, mich zu verstehen.

 

Du Monopolist  :Very Happy: 

 *ro wrote:*   

> Und nochwas: ich arbeite momentan an einer Gesamtlösung als Fire- und Viruswall (SMTP/POP/HTTP Proxy der alle Daten nach Viren durchsucht), das ist ein weiterer Schritt zur Absicherung, aber an Privatkunden werd ich das Teil nur schwer bringen können.

 

Das stimmt schon. Aber seien wir mal ehrlich. Wenn du die oben genannten Vorschläge (Keine Admin Rechte, anständiger Antivir, anständige Firewall) im Privatkunden Bereich einsetzt, reicht das eigentlich völlig aus. Ich verwende dazu eine Kombination aus Kerio (für Privatanwender kostenlos), Free-av und AdAware Personal. Und bisher habe ich auch kaum Probleme gehabt.

Und da gibt es Leute welche ca. alle 2 Monate mal ins Netz einwählen um Mails abzurufen (und auch nur dann Viren updates zu holen) bis zu denen, welche jedes Scheiss Tool herunterladen und ausprobieren müssen. Bei letzt genannten musste ich früher öfter mal vorbei um ein Tabularasa zu machen. Aber seit ich den Leuten Norton Ghost aufschwatze und ihnen zeige wie Sie Images zurückholen können ist das Thema ebenfalls gegessen.

Also wie gesagt, wenn man nur will, kann man auch ein Windows System relativ gut absichern. Ausserdem ist die wichtigste Waffe Information. Ich erschrecke die Leute gern mal ein wenig mit Exploit Demos oder nutze meinen Laptop um mittels smbclient und smbmount "mal schnell" zu demonstrieren wie "Offen" Ihr System ist und wie einfach es ist sehr "intime" Daten zu holen. Es ist immer wieder komisch wie "aufmerksam" die Leute danach zuhören. Auch kapieren diese dann sehr schnell, dass Sie von sich aus was machen müssen (AntiVir updates holen, Adaware Updates holen, windows Updates machen etc.). Aber vielleicht sind "meine" Kunden bisher einfach nur Ausnahmeerscheinungen gewesen...

Lieber Gruss

STiGMaTa

----------

## nic0000

 *Salathe wrote:*   

> Für den Desktop würde ich mir mal XPde ansehen 
> 
> www.xpde.com

 

Habe ich gemacht und kann es nicht empfehlen. Netter Versuch (ich habe allerdings nur das benutzt was in der portage war  :Sad: )

@ro

Ich bin auch der Meinung von Stigma. Du handelst dir Tonnenweise Probleme ein wenn du es ohne das Wissen der "Probanten" machst. Wenn du sie allerdings vorher aufklärst, die Vorteile erklärst und ihren Bedarf richtig einschätzt dann ist es durchaus ein gehbarer Weg. Aber nur wenn du dir die Zeit nehmen kannst dafür zu sorgen das die Benutzer nicht im Regen stehen. Sie müssen genau vorher wissen was es kann, wo der Vorteil liegt und was es kosten wird. Ohne das ist das nur ein Risiko für Linux und bevor ich das Image von Linux in "Gefahr" bringe, mache ich das was Stigma&Deever vorschlagen.

So am Rande:

Ich arbeite an einem Projekt welches zum Ziel hat Linux über Fernwartung für "unbedarfte Benutzer" verfügbar zu machen, bei Interesse einfach Melden.

----------

## Arudil

der typische "Office-User" kommt bestimmt auch mit nem Linux zurecht. Man muss ihm aber sagen, dass er kein Windows hat, sondern was 'besonderes'. Anpassen kann man KDE z.B. ja auch ganz toll, da fühlt sioch der Windau auch wohl: 

http://www.kde-look.org/content/preview.php?preview=3&id=29551&file1=29551-1.png&file2=29551-2.jpg&file3=29551-3.jpg&name=KDE+Windows+Makeover

(xpde empfehl ich nicht, bei mir ging da grob gesagt nix)

----------

## mrsteven

Arudil: Iiieh, schaut das ekelhaft aus...  :Razz:  Aber ansonsten gebe ich dir recht, wenn man den Usern wirklich sagt: "Hey, hier ist Linux drauf und das und das ist ein bisschen anders", dann gibt es eigentlich auch keine Probleme. Jeder, der mit Windows einigermaßen klarkommt, hat in der Regel auch keine größeren Probleme mit KDE, vorausgesetzt der User muss nicht gleich noch die Wartung des Systems mitübernehmen...  :Wink: 

----------

## ro

extrem cooler screenshot. das werd ich denen dann auf den desktop pflanzen. meinen usern ist es wirklich egal, was darauf läuft, solange es geht (und ich für diverse virenkram/ausnahme-/schutzfehler und andere bluescreens nicht mehr benötigt werde  :Wink: 

----------

## Carlo

 *ro wrote:*   

> Digicam, MP3-Player

 

Dann kommen aber extra Kosten (in Form von MPEG (,...) Lizenzen), auf dich bzw. deine Kunden zu; Über eine kommerzielle Distribution und/oder indem du dich selber darum kümmerst, was wiederum mehr Verwaltungsaufwand bedeutete.

 *STiGMaTa_ch wrote:*   

> Als Firewall habe ich mich für Kerio entschieden. Sehr effizient und kann sowohl Pakete auf Basis von Ports/Adressen sowie bereits geöffneten Verbindungen als auch anhand allow/disallow Listen für Programme konfiguriert werden. So kann man z.B. sicherstellen, dass nur Thunderbird POP, SMTP oder IMAP Ports auf dem Mailserver nutzt und kein anderes Programm (also selbst wenn ein Virus auf dem System wäre, er verbreitet sich nicht).

 

Über den Sinn und Unsinn von "Personal Firewalls" läßt sch trefflich streiten. Gegen ernsthafte Angriffe schützen sie sowieso nicht und auch maliziöse Massenware findet immer wieder Mittel und Wege (tunneln über http/IE etc.). Und gerade Kerio habe ich mit einer nicht geraden kurzen Liste an Sicherheitslücken in Erinnerung.

----------

## STiGMaTa_ch

 *Carlo wrote:*   

> Über den Sinn und Unsinn von "Personal Firewalls" läßt sch trefflich streiten. Gegen ernsthafte Angriffe schützen sie sowieso nicht 

 

Komisch, dieses Argument höre ich immer wieder. Nur konnte es mir bisher keiner beweisen oder wirklich aufzeigen warum das so sein soll. Soviel ich weiss ersetzt Kerio nähmlich die lowlevel TCP/IP Komponenten von Windows durch modifizierte eigene Versionen und bietet so viel besseren Schutz als dies Programme wie Zonealarm etc. es tun...

Aber eben, wir sind hier nicht in einem Windows Forum  :Smile: 

 *Carlo wrote:*   

> und auch maliziöse Massenware findet immer wieder Mittel und Wege (tunneln über http/IE etc.).

 

Wie gesagt, Mit Kerio kannst du  entscheiden welche Software über Port 80 raus darf. Und IEX ist für mich nur für Windows Updates brauchbar. Daher kann man da schöne Regeln bauen, welche das besuchen anderer Pages nicht erlaubt. Im übrigen hättest du dieses Problem aber auch wenn du eine HW Firewall oder eine Linux/Unix Firewall einsetzen würdest.

 *Carlo wrote:*   

> Und gerade Kerio habe ich mit einer nicht geraden kurzen Liste an Sicherheitslücken in Erinnerung.

 

Naja, Kerio hat auch eine Unmenge an Produkten. die Personal Firewall hat relativ selten Sicherheitslücken gehabt welche auch immer sehr schnell behoben wurden. Dank automatischem Upgrade musste ich dafür nichtmal die Leute besuchen.

Lieber Gruss

STiGMaTa

----------

## Florian.K

 *Quote:*   

> Wie gesagt, Mit Kerio kannst du entscheiden welche Software über Port 80 raus darf. Und IEX ist für mich nur für Windows Updates brauchbar. Daher kann man da schöne Regeln bauen, welche das besuchen anderer Pages nicht erlaubt. Im übrigen hättest du dieses Problem aber auch wenn du eine HW Firewall oder eine Linux/Unix Firewall einsetzen würdest. 

 

Hm, so, du kannst entscheiden was über Port 80 Rausdarf.

Dir ist aber bewusst das der Port 80 nicht benötigt wird um über http zu Komunizieren?

Den brauchste nur wenn du auf deiner kiste nen Webserver Laufen hast.

 *Quote:*   

> Wie gesagt, Mit Kerio kannst du entscheiden welche Software über Port 80 raus darf. Und IEX ist für mich nur für Windows Updates brauchbar. Daher kann man da schöne Regeln bauen, welche das besuchen anderer Pages nicht erlaubt. Im übrigen hättest du dieses Problem aber auch wenn du eine HW Firewall oder eine Linux/Unix Firewall einsetzen würdest.
> 
> 

 

Ich sage mal so, was hindert denn Maleware daran einfach die  Desktop Firewall zu beenden? Es gibt für Windows Programme die beenden jeden Dienst (auch windowsdienste) ohne Probleme  (ich würde sagen option -rf ), warum soll das maleware nich können? Im de.comp.security.misc gab es mal 10 Zeilen Code der ne PFW beendet hat.

Na ja, Da wird in Windowsforen auch heftig drüber gestritten, ich bin der meinung das sie schwachsinn sind, und man  mit gescheiter Dinstekonfiguration viel besser dasteht.

Huch... es wird zu sehr OT mir sind ja im Linuxforum  :Embarassed: 

----------

## think4urs11

 *Florian.K wrote:*   

> Dir ist aber bewusst das der Port 80 nicht benötigt wird um über http zu Komunizieren?
> 
> Den brauchste nur wenn du auf deiner kiste nen Webserver Laufen hast.

 

Das will ich aber sehen wie du auf irgendeinen standardmäßig aufgesetzten Webserver im Internet (mit http) zugreifst wenn du 80/tcp outgoing nicht zuläßt - und darum ging es STiGMaTa_ch schließlich.

 *Florian.K wrote:*   

> Ich sage mal so, was hindert denn Maleware daran einfach die  Desktop Firewall zu beenden? Es gibt für Windows Programme die beenden jeden Dienst (auch windowsdienste) ohne Probleme  (ich würde sagen option -rf ), warum soll das maleware nich können? Im de.comp.security.misc gab es mal 10 Zeilen Code der ne PFW beendet hat.
> 
> 

 

Mit vernünftiger Konfiguration *kann* man auch Windows ziemlich sicher machen. (User mit eingeschränkten Rechten, saubere Dienstekonfigs, Berechtigungen in der Registry/Filesystem sauber dichtmachen etc.)

Das größte Problem ist das per default viel zu viel unsicher konfiguriert ist. Eine Linuxmaschine die ähnlich lax konfiguriert ist hat genau die gleichen Probleme, es fällt nur nicht so sehr auf weil u.a. das Medienecho/die Userbase deutlich geringer ist.

Oder anders gesagt - bei Linux mußt du dich anstrengen dein System vergleichsweise ähnlich unsicher zu bekommen wie Windows - bei Windows ist es andersherum weil John Doe gerne bequem ist und MS das anbietet was die User (gerne?) kaufen.

----------

## STiGMaTa_ch

 *Florian.K wrote:*   

> Dir ist aber bewusst das der Port 80 nicht benötigt wird um über http zu Komunizieren?
> 
> Den brauchste nur wenn du auf deiner kiste nen Webserver Laufen hast.

 

Sniffe einfach mal eine simple Verbindung zwischen dir und diesem Forum mit. Wenn du während dieser Zeit NULL HTTP Verbindungen zum Port 80 dieses Webservers hast, dann kauf ich dir einen Porsche.

 *Florian.K wrote:*   

> Ich sage mal so, was hindert denn Maleware daran einfach die  Desktop Firewall zu beenden? Es gibt für Windows Programme die beenden jeden Dienst (auch windowsdienste) ohne Probleme  (ich würde sagen option -rf ), warum soll das maleware nich können? Im de.comp.security.misc gab es mal 10 Zeilen Code der ne PFW beendet hat.

 

Vielleicht weil der User keine Rechte dazu besitzt? Wie ich oben schon beschrieben habe, funktioniert dein Szenario vielleicht bei einem out of the Box Windows. Aber wenn du den Usern eben solche Rechte entziehst (siehe C't 23/05), dann machst du der Malware das leben extrem schwer. 

 *Quote:*   

> Na ja, Da wird in Windowsforen auch heftig drüber gestritten, ich bin der meinung das sie schwachsinn sind

  Wie gesagt, es stossen alle immer in das selbe Horn. Es ist halt viel einfacher alles zu verteufeln und sich auf Aussagen irgend welcher anderer zu berufen als sich einfach einmal selber mit der Thematik auseinander zu setzen.

Oder eben, wie es Think4UrS11 so schön gesagt hat:

 *Quote:*   

> Oder anders gesagt - bei Linux mußt du dich anstrengen dein System vergleichsweise ähnlich unsicher zu bekommen wie Windows - bei Windows ist es andersherum.

 

Lieber Gruss

STiGMaTa

----------

## Florian.K

 *Quote:*   

> Sniffe einfach mal eine simple Verbindung zwischen dir und diesem Forum mit. Wenn du während dieser Zeit NULL HTTP Verbindungen zum Port 80 dieses Webservers hast, dann kauf ich dir einen Porsche.
> 
> 

 

Dann haben wir aber an einander Vorbeigeredet, ich sagte doch wenn ein Webserver läuft braucht man das

 *Quote:*   

>  Wie gesagt, es stossen alle immer in das selbe Horn. Es ist halt viel einfacher alles zu verteufeln und sich auf Aussagen irgend welcher anderer zu berufen als sich einfach einmal selber mit der Thematik auseinander zu setzen. 

 

Nun so Pauschal würde ich das nicht sagen, ich habe auch mal eine benutzt, außerdem könnte man das auch rumdrehen, alle stossen ins selbe Horn und glauben das sie schützt  :Wink: 

----------

## STiGMaTa_ch

 *Florian.K wrote:*   

>  *Quote:*   Sniffe einfach mal eine simple Verbindung zwischen dir und diesem Forum mit. Wenn du während dieser Zeit NULL HTTP Verbindungen zum Port 80 dieses Webservers hast, dann kauf ich dir einen Porsche.
> 
>  
> 
> Dann haben wir aber an einander Vorbeigeredet, ich sagte doch wenn ein Webserver läuft braucht man das

 

Sorry, aber das stimmt so nicht. Eine Firewall wird nicht nur eingesetzt um Zugriff auf einen Dienst abzublocken, sondern kann genau so gut eingesetzt werden um den abgehenden Traffic zu erlauben oder eben zu sperren. Und genau darum geht es. Mit z.B. Kerio kann ich steuern WELCHE Software auf einen entfernten Port 80 zugreiffen darf und welche nicht. So ist z.b. bei mir der IEX dazu verdammt, nur Verbindungen zu den Windows Update Seiten aufrufen zu können. IEX Verbindungen zu beispielsweise diesem Forum werden geblockt. Dem Gegenüber steht die Rule, welche dem Firefox Vollumfänglichen Zugang zu allen Webseiten auf Port 80 gewährt. 

Und genau dafür ist eine PersonalFirewall wie die von Kerio nützlich.

 *Florian.K wrote:*   

>  *STiGMaTa_ch wrote:*    Wie gesagt, es stossen alle immer in das selbe Horn. Es ist halt viel einfacher alles zu verteufeln und sich auf Aussagen irgend welcher anderer zu berufen als sich einfach einmal selber mit der Thematik auseinander zu setzen.  
> 
> Nun so Pauschal würde ich das nicht sagen, ich habe auch mal eine benutzt, außerdem könnte man das auch rumdrehen, alle stossen ins selbe Horn und glauben das sie schützt 

 Wie du sagst... könnte man... tun wir hier aber nicht. Ich kann dir beweisen, dass die Kerio Firewall mich schützt. Kannst du mir das Gegenteil beweisen?   :Cool: 

Lieber Gruss

STiGMaTa

----------

## Florian.K

Nein kann ich nicht, dazu fehlen mir die Möglichkeiten.

----------

## schachti

 *STiGMaTa_ch wrote:*   

> 
> 
> Ich kann dir beweisen, dass die Kerio Firewall mich schützt.
> 
> 

 

Auf den Beweis bin ich jetzt aber gespannt...

----------

## nic0000

 *STiGMaTa_ch wrote:*   

>  *Florian.K wrote:*   Dir ist aber bewusst das der Port 80 nicht benötigt wird um über http zu Komunizieren?
> 
> Den brauchste nur wenn du auf deiner kiste nen Webserver Laufen hast. 
> 
> Sniffe einfach mal eine simple Verbindung zwischen dir und diesem Forum mit. Wenn du während dieser Zeit NULL HTTP Verbindungen zum Port 80 dieses Webservers hast, dann kauf ich dir einen Porsche.

 

Ich glaube er meint das es auch generell durch andere Ports getunnelt werden kann. 

Die Personal Firewall sollte das umtunneln nicht erlauben, ich bin aber bei Windows nicht mehr aktuell genug.

----------

## Florian.K

Nachtrag:

Hier ist ein Video des CCC Ulm, das ein bissel was zu PFW's zeigt, schau es dir mal an.

http://ulm.ccc.de/old/chaos-seminar/personal-firewalls/recording.html

Und zum Thema Port 80:

Siehst du hier irgentwo auf meinem PC nen Port 80? Ich nicht, nur auf dem Webserver, und das sagte ich ja, ist normal.

Also http geht bei mir aktuell über 42220, und ich habe nix umgestellt

```
flux flo # netstat --numeric-ports

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State      

tcp        0      0 192.168.1.2:60209       jabber.ccc.de:5223      ESTABLISHED 

tcp        0      0 192.168.1.2:60092       irc.kuja.in:6667        ESTABLISHED 

tcp        0      0 192.168.1.2:42220       66.249.93.99:80         ESTABLISHED 

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags       Type       State         I-Node Path

unix  2      [ ]         DGRAM                    2124   @/org/kernel/udev/udevd

unix  3      [ ]         STREAM     CONNECTED     12733  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     12732  

unix  3      [ ]         STREAM     CONNECTED     11685  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     11684  

unix  3      [ ]         STREAM     CONNECTED     11648  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     11647  

unix  3      [ ]         STREAM     CONNECTED     11596  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     11595  

unix  3      [ ]         STREAM     CONNECTED     11556  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     11555  

unix  3      [ ]         STREAM     CONNECTED     11521  /tmp/.X11-unix/X0

unix  3      [ ]         STREAM     CONNECTED     11504  

```

Also kann auch jede belibige Maleware und Software (es sei denn sie ist anständig und kennt ET nicht), über jeden Port von den ~65000 die es gibt Komunizieren, und wenn du grade ne verbindung über z.b 42220 (wie ich) hast, kann er auch nicht von der PFW geblockt werden

----------

## nic0000

 *Florian.K wrote:*   

> Also kann auch jede belibige Maleware und Software (es sei denn sie ist anständig und kennt ET nicht), über jeden Port von den ~65000 die es gibt Komunizieren, und wenn du grade ne verbindung über z.b 42220 (wie ich) hast, kann er auch nicht von der PFW geblockt werden

 

ehehe, genau das geht nicht so. Die PFT guckt sich an WOHIN das Packet gehen soll *und* welches Programm fragt.

 *Quote:*   

> 
> 
> tcp        0      0 192.168.1.2:42220       66.249.93.99:80         ESTABLISHED ]

 

also das hier ist wichtig:

```
66.249.93.99:80
```

Und das ist Port 80, also kein Porsche ;-(

Ist ja auch egal und total OT.

Mit euren Geblubber vergesse ich immer worum es überhaupt geht. 

Windows Clonen war das Thema, darum noch ein Nachtrag von mir.

Ich Persönlich finde es falsch den Probanten ein mit Windows optisch/funktionell gleichgeschaltetes Linux anzubieten. Es erweckt den eindruck das es das selbe währe. Es ist aber etwas anderes. Ich hatte früher auch gedacht es sei besser/einfacher. Es ist auch so einfach genug und besser einen devinitiven Schlussstrich zu ziehen. Alle meine User kamen so auf einmal mit dem einfach Mausklick klar, wohingegen unter Windows ich immer auf dem Doppelklick zurückschalten musste. Und dergleichen vieles mehr. Windows hemmt im Kopf. Neues System, neue Spielregeln. Unterm Strich ist es besser sie auf das default KDE/wasauchimmer Theme zu setzen. Viel wichtiger als das Aussehen ist die persönliche Betreuung und ein verlässlicher und kompetenter Ansprechpartner.

----------

## manuels

moin,

ein kleiner kommentar von mir:

ich habe meiner mutter mach der 1792434. neuinstallation von windows wg. viren etc. linux drauf gemacht. und sie kommt gut zurecht.

Ich habe kein 100%iges Windows-theme genommen, damit klar gemacht wird, dass es kein windows ist, generell z.b. die icons zum minimieren/maximieren/schliessen sind aber gleich.

Daher mein Eindruck: auch DAUs kommen mit Linux zurecht, man muss ihnen nur sagen, dass es auch Linux ist.

wenn mir leute sagen, dass DAUs nicht mit linux zurecht kommen, weil sie keine ahnung von der softwareinstallation etc. haben, muss ich antworten: das haben sie bei windows doch auch nicht.    :Razz: 

Tschö mit ö

Manuel

----------

## Florian.K

 *Quote:*   

> Und das ist Port 80, also kein Porsche ;-( 

 

Und das ist auf dem Webserver, und das habe ich ja schon 3 mal gesagt. Nur es wurde ja behauptet, wenn Port 80 "gesperrt" ist, dann kann nicht über http komuniziert werden.

 *Quote:*   

> ehehe, genau das geht nicht so. Die PFT guckt sich an WOHIN das Packet gehen soll *und* welches Programm fragt. 

 

Und? Wo ist das Problem? wenn du Port  80 Sperrst ist 42220 erlaubt oder? Und Zieladressen sperren PFW's nicht.

So und nun schluss mit [OT] sind ja schlielich in einem Linuxforum

----------

## think4urs11

 *Florian.K wrote:*   

> Nur es wurde ja behauptet, wenn Port 80 "gesperrt" ist, dann kann nicht über http komuniziert werden.

 

Stimmt ja auch, jedenfalls nicht über diesen Port - hatten aber auch alle so gesagt. Und interessanterweise lauschen nunmal 99,x% aller Webserver im Internet auf exakt diesen Port, ergo wenn ich 80/tcp *ausgehend* verbiete ist Schicht im Schacht.

Logisch wenn nur 80/tcp eingehend gesperrt ist geht es *aus*gehend natürlich ausgehend weiterhin - nur hat keiner je was anderes gesagt.

 *Florian.K wrote:*   

> Und? Wo ist das Problem? wenn du Port  80 Sperrst ist 42220 erlaubt oder? Und Zieladressen sperren PFW's nicht.

 

Ach nein? Und warum kann man dann z.B. bei Kerio (und wahrscheinlich einigen anderen auch) genau das konfigurieren? Was sollte denn sonst der Sinn einer PFW sein wenn nicht vor allem das nach-hause-telefonieren zumindest einzuschränken?

Wikipedia ist seltsamerweise auch dieser Meinung   :Arrow:  http://de.wikipedia.org/wiki/Personal_Firewall#Grundlegende_Funktionen

Man kann schlicht und ergreifend mit einer PFW Verkehr filtern anhand Source IP/Port *und* Destination IP/Port *und* Anwendung.

Letzteres wiederum ist das Feature das eine PFW von einem reinen (stateful) Paketfilter unterscheidet, sprich das kann diese zusätzlich.

 *Florian.K wrote:*   

> So und nun schluss mit [OT] sind ja schlielich in einem Linuxforum

 

agreed, aber vorher wollte ich das mal noch richtigstellen  :Rolling Eyes: 

----------

