Dienstag, 8. Juli 2008
951748 (MS08-037) - Sicherheitslücke in DNS-Implementierung (Windows XP SP2) - 08.07.08
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke in der DNS-Implementierung schließen soll, durch die ein Angreifer remote und vom Benutzer unbemerkt eine Systemaktion oder ein Systemverhalten auf Microsoft Windows-Systemen falsch darstellen kann ("Spoofing"). Siehe Security Bulletin MS08-037 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Sicherheitsupdate, das eine Lücke in der DNS-Implementierung schließen soll, durch die ein Angreifer remote und vom Benutzer unbemerkt eine Systemaktion oder ein Systemverhalten auf Microsoft Windows-Systemen falsch darstellen kann ("Spoofing"). Siehe Security Bulletin MS08-037 (englisch bzw. deutsch).
Aktuell: ja
direkter Download oder über Windows Update
Ersetzt:
Sicherheitsupdates KB922819 (MS06-064) und KB941644 (MS08-001)
Enthält:
6to4svc.dll (5.1.2600.2975 - 18.06.2006)
afd.sys (5.1.2600.3394 - 20.06.2008)
dnsapi.dll (5.1.2600.3394 - 20.06.2008)
mswsock.dll (5.1.2600.3394 - 20.06.2008)
tcpip.sys (5.1.2600.3394 - 20.06.2008)
tcpip6.sys (5.1.2600.3394 - 20.06.2008)
Bekannte Probleme:
Siehe MSKB-Artikel KB951748 bzw. KB953230.
Zusätzlich scheinen derzeit insbesondere Anwender von "ZoneAlarm" (wieder einmal) Probleme damit zu haben, nach der Installation dieses Updates online zu kommen. Mittlerweile gibt es Updates von Check Point für diese (meiner Meinung nach weitgehend überflüssige) Personal Firewall Software "ZoneAlarm", siehe Pressemitteilung (deutschsprachig), Eintrag im MSRC-Blog von Microsoft, sowie das überarbeitete Security Bulltion hierzu. Die leider auch in diesem Zusammenhang gelegentlich zu lesende "Empfehlung", KB951748 (MS08-037) einfach wieder zu deinstallieren und alles sei wieder gut, ist keine Lösung, sondern gefährdet das System massiv, siehe auch Artikel von Heise Online. Die Ursache für diese Probleme liegt nicht in KB951748 (MS08-037) begründet, vielmehr werden sie von im Hintergrund laufender "Sicherheitssoftware" verursacht!
Sicherheitsupdates KB922819 (MS06-064) und KB941644 (MS08-001)
Enthält:
6to4svc.dll (5.1.2600.2975 - 18.06.2006)
afd.sys (5.1.2600.3394 - 20.06.2008)
dnsapi.dll (5.1.2600.3394 - 20.06.2008)
mswsock.dll (5.1.2600.3394 - 20.06.2008)
tcpip.sys (5.1.2600.3394 - 20.06.2008)
tcpip6.sys (5.1.2600.3394 - 20.06.2008)
Bekannte Probleme:
Siehe MSKB-Artikel KB951748 bzw. KB953230.
Zusätzlich scheinen derzeit insbesondere Anwender von "ZoneAlarm" (wieder einmal) Probleme damit zu haben, nach der Installation dieses Updates online zu kommen. Mittlerweile gibt es Updates von Check Point für diese (meiner Meinung nach weitgehend überflüssige) Personal Firewall Software "ZoneAlarm", siehe Pressemitteilung (deutschsprachig), Eintrag im MSRC-Blog von Microsoft, sowie das überarbeitete Security Bulltion hierzu. Die leider auch in diesem Zusammenhang gelegentlich zu lesende "Empfehlung", KB951748 (MS08-037) einfach wieder zu deinstallieren und alles sei wieder gut, ist keine Lösung, sondern gefährdet das System massiv, siehe auch Artikel von Heise Online. Die Ursache für diese Probleme liegt nicht in KB951748 (MS08-037) begründet, vielmehr werden sie von im Hintergrund laufender "Sicherheitssoftware" verursacht!
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Achtung! das Update funktioniert nicht mit Zonealarm (zumindest Versionen 7.0.462 und 473). Sind beide installiert, komme ich nicht mal bis zu meinem Router. Einer Google-Suche zufolge bin ich nicht der einzige, der dieses Problem hat. Wie es mit SP3 aussieht, kann ich nicht sagen. Zonealarm ist ja nun wirklich kein seltenes Programm. Ich frage mich, wie ernsthaft Microsoft seine Updates testet.
Moin,
sorry, wenn ich mir erlaube, das Folgende einfach zu schreiben: Mit ZoneAlarm hat man sich generell ein Problem auf das System geladen. Werden durch Updates Dateien auf dem System ausgetauscht (was ja nun nicht gerade unüblich, sondern der Sinn von Updates ist), blockiert ZoneAlarm je nach Konfiguration diese neue Dateien nur allzu gerne, weil es meint, Schadsoftware habe bzw. könnte diese Dateien ausgetauscht haben. Siehe z.B. auch http://patch-info.de/artikel/2008/06/10/497
Die beste Lösung für solche Probleme ist der Verzicht auf bzw. das Deinstallieren einer Personal Firewall Saftware und stattdessen das Aktivieren der Windows Firewall, die zuverlässig gegen unerwünschte Zugriffe von außen schützt. Die zweitbeste Variante ist eine sinnvolle Konfiguration der "OSFirewall-Einstellungen". Siehe auch http://forum.zonelabs.org/zonelabs/board/message?board.id=cfg&message.id=52727
Sorry, falls es etwas harsch klingen mag, aber die Ursache für solche Probleme liegen nunmal zu 99,99% wirklich in solchen (von echter Schadsoftware mehr oder minder leicht zu umgehenden) "Schutzmaßnahmen" von Personal Firewall Saftware und eben nicht an/in den Updates selbst.
Ich habe den Artikel zum Update dennoch um diesen Hinweis ergänzt.
Bye,
Freudi
sorry, wenn ich mir erlaube, das Folgende einfach zu schreiben: Mit ZoneAlarm hat man sich generell ein Problem auf das System geladen. Werden durch Updates Dateien auf dem System ausgetauscht (was ja nun nicht gerade unüblich, sondern der Sinn von Updates ist), blockiert ZoneAlarm je nach Konfiguration diese neue Dateien nur allzu gerne, weil es meint, Schadsoftware habe bzw. könnte diese Dateien ausgetauscht haben. Siehe z.B. auch http://patch-info.de/artikel/2008/06/10/497
Die beste Lösung für solche Probleme ist der Verzicht auf bzw. das Deinstallieren einer Personal Firewall Saftware und stattdessen das Aktivieren der Windows Firewall, die zuverlässig gegen unerwünschte Zugriffe von außen schützt. Die zweitbeste Variante ist eine sinnvolle Konfiguration der "OSFirewall-Einstellungen". Siehe auch http://forum.zonelabs.org/zonelabs/board/message?board.id=cfg&message.id=52727
Sorry, falls es etwas harsch klingen mag, aber die Ursache für solche Probleme liegen nunmal zu 99,99% wirklich in solchen (von echter Schadsoftware mehr oder minder leicht zu umgehenden) "Schutzmaßnahmen" von Personal Firewall Saftware und eben nicht an/in den Updates selbst.
Ich habe den Artikel zum Update dennoch um diesen Hinweis ergänzt.
Bye,
Freudi
(1) Es ist nicht nur wichtig zu kontrollieren, wer vom Internet auf den PC zugreift, sondern auch, welche Programme/Dienste vom PC aus auf das Internet zugreifen. Letzteres leistet die eingebaute Windows Firewall (zum Unverständnis mancher Experten und Benutzer) NICHT. Sollte sich z.B. ein Keylogger am Antivirenprogramm vorbeigeschmuggelt haben und versuchen, die gesammelten Daten an seinen Herrn und Meister zu übertragen, würde die Windows Firewall keine Warnung ausgeben. Aber auch unterhalb dieser Bedrohungsschwelle möchte ich mitbekommen, welche Programme (iTunes usw.) wann auf das Internet zugreifen.
(2) Aktuell ist es bei mir das erste Mal, daß ein Windows- oder IE-Update mit Zonealarm konfligiert. Bislang hat ZA immer brav nachgefragt, ob auch das geänderte Programm Internetzugang erhalten soll, und nicht einfach blockiert. Die Frage, warum Microsoft beim Testen seines Updates die Inkompatibilität nicht aufgefallen ist und sich VOR Veröffentlichung des Updates mit Zonelabs in Verbindung gesetzt hat, bleibt. In diesem Augenblick gibt es vermutlich hunderte/tausende Benutzer, die keine Ahnung haben, warum sie nicht mehr ins Internet kommen.
(3) Ein praktischer Tip: Es hilft auch, wie ich eben festgestellt habe, in Zonealarm die "Sicherheit für die Internetzone" von "Hoch" auf "Mittel" zu stellen. Warum es so funktioniert, ist mir ein Rätsel. Damit ist natürlich eine Sicherheitseinbuße verbunden, das muß jeder für sich selbst wissen, wie er bis zu einem hoffentlich bald erscheinenden ZA-Update mit der Situation umgeht. In meinem Fall verlasse ich mich notgedrungen auf die Hardware-Firewall im Router. Vielleicht hilft auch das Workaround in dem von Dir angegebenen Posting, ich habe es aus verschiedenen Gründen nicht ausprobiert.
(2) Aktuell ist es bei mir das erste Mal, daß ein Windows- oder IE-Update mit Zonealarm konfligiert. Bislang hat ZA immer brav nachgefragt, ob auch das geänderte Programm Internetzugang erhalten soll, und nicht einfach blockiert. Die Frage, warum Microsoft beim Testen seines Updates die Inkompatibilität nicht aufgefallen ist und sich VOR Veröffentlichung des Updates mit Zonelabs in Verbindung gesetzt hat, bleibt. In diesem Augenblick gibt es vermutlich hunderte/tausende Benutzer, die keine Ahnung haben, warum sie nicht mehr ins Internet kommen.
(3) Ein praktischer Tip: Es hilft auch, wie ich eben festgestellt habe, in Zonealarm die "Sicherheit für die Internetzone" von "Hoch" auf "Mittel" zu stellen. Warum es so funktioniert, ist mir ein Rätsel. Damit ist natürlich eine Sicherheitseinbuße verbunden, das muß jeder für sich selbst wissen, wie er bis zu einem hoffentlich bald erscheinenden ZA-Update mit der Situation umgeht. In meinem Fall verlasse ich mich notgedrungen auf die Hardware-Firewall im Router. Vielleicht hilft auch das Workaround in dem von Dir angegebenen Posting, ich habe es aus verschiedenen Gründen nicht ausprobiert.
Moin nochmal,
zu (1)
Software, die in der Lage ist, unerwünscht Verbindungen von einem System aus mit der Außenwelt aufzunehmen, ist im Regelfall auch in der Lage, dies an Firewall Software vorbei zu tun. Dies umso mehr, je maliziöser die Software ist. Die Windows Firewall blockiert den unerwünschten Zugriff von außen - und soll auch nicht mehr tun.
zu (2)
Siehe abermals den Abschnitt "Bekannte Probleme" in http://patch-info.de/artikel/2008/06/10/497 - es gibt immer wieder und siet jeher zahlreiche Diskussionen nach der Installation von Kumulativen Updates für den IE7, welche durch "Sicherheitssoftware" behindert wird.
zu (3)
Soweit ich den ZoneAlarm/Check Point-Foren entnommen habe, werden durch das "Herunterstufen" der Sicherheitseinstellung auf "mittel" einige Ports geöffnet.
Bye,
Freudi
P.S.: Den verlinkten Heise Online-Artikel hast Du wirklich gelesen? Es lohnt sich - auch um zu verstehen, dass es sich um eine konzertierte Aktion mehrerer Hard- und Softwarehersteller handelt. Ich sehe MS nicht in der Pflicht, sich vor dem Updaten eines Systems und Schließen gravierender Sicherheitslücken die Zustimmung von allen möglichen und unmöglichen Herstellern von ("Sicherheits")Software einzuholen.
zu (1)
Software, die in der Lage ist, unerwünscht Verbindungen von einem System aus mit der Außenwelt aufzunehmen, ist im Regelfall auch in der Lage, dies an Firewall Software vorbei zu tun. Dies umso mehr, je maliziöser die Software ist. Die Windows Firewall blockiert den unerwünschten Zugriff von außen - und soll auch nicht mehr tun.
zu (2)
Siehe abermals den Abschnitt "Bekannte Probleme" in http://patch-info.de/artikel/2008/06/10/497 - es gibt immer wieder und siet jeher zahlreiche Diskussionen nach der Installation von Kumulativen Updates für den IE7, welche durch "Sicherheitssoftware" behindert wird.
zu (3)
Soweit ich den ZoneAlarm/Check Point-Foren entnommen habe, werden durch das "Herunterstufen" der Sicherheitseinstellung auf "mittel" einige Ports geöffnet.
Bye,
Freudi
P.S.: Den verlinkten Heise Online-Artikel hast Du wirklich gelesen? Es lohnt sich - auch um zu verstehen, dass es sich um eine konzertierte Aktion mehrerer Hard- und Softwarehersteller handelt. Ich sehe MS nicht in der Pflicht, sich vor dem Updaten eines Systems und Schließen gravierender Sicherheitslücken die Zustimmung von allen möglichen und unmöglichen Herstellern von ("Sicherheits")Software einzuholen.
Hallo,
wenn du bei ZoneAlarm die Stufen unter --> Firewall --> Grundeinstellungen auf Mittel stellst
kommst du wieder ins Netz.
Sicher Zone --> mittel und du kommst zum Router
Internet Zone--> mittel und du bist wieder Online.
Gruss
Martin
wenn du bei ZoneAlarm die Stufen unter --> Firewall --> Grundeinstellungen auf Mittel stellst
kommst du wieder ins Netz.
Sicher Zone --> mittel und du kommst zum Router
Internet Zone--> mittel und du bist wieder Online.
Gruss
Martin
#1.2
am
11.07.2008 11:35
Moin Martin,
und wenn Du den Artikel oben nochmal liest, dann findest Du sogar Links zu Updates zur Behebung des Problems von ZoneAlarm
Mein ja nur,
Freudi
und wenn Du den Artikel oben nochmal liest, dann findest Du sogar Links zu Updates zur Behebung des Problems von ZoneAlarm
Mein ja nur,
Freudi
Presseinfo von Check Point (ZoneAlarm-Hersteller) eingepflegt und Text etwas umgestellt.
Und nochmal, mit dem Hinweis auf zwischenzeitlich verfügbare Updates für/von ZoneAlarm.
Morgen allerseits.
Fischer trifft mit seiner Aussage "In diesem Augenblick gibt es vermutlich hunderte/tausende Benutzer, die keine Ahnung haben, warum sie nicht mehr ins Internet kommen" genau ins Schwarze. ZA scheint doch die verbreitetste Firewall zu sein, ergo stehen nicht wenige user vor einer drehenden Sanduhr. Auch ich wurde von dem "Update" überrascht und es doch einige Zeit gekostet, um überhaupt den Grund zu finden - die Foren waren nicht erreichbar. Habe natürlich auch bemerkt, dass ich nicht mal mehr zum Router komme, wo ich auch den Fehler vermutete. Erst einen Tag später finde ich heraus, dass ich auf dem Holzpfad war. Ich denke schon, dass ein "Patch" vor der Auslieferung von M$ getestet werden müsste - die totale Blockade hätte so vorher entdeckt werden können. Ich verstehe den Wunsch nach einem schlanken System ohne Software-FireWall, dennoch gibt es ein paar Nicht-Technos wie mich, die sich einfach komfortabler fühlen mit FW. ZA zu deinstallieren und sich nur auf Windows FW zu verlassen ist keine Option, die Freude macht.
Fischer trifft mit seiner Aussage "In diesem Augenblick gibt es vermutlich hunderte/tausende Benutzer, die keine Ahnung haben, warum sie nicht mehr ins Internet kommen" genau ins Schwarze. ZA scheint doch die verbreitetste Firewall zu sein, ergo stehen nicht wenige user vor einer drehenden Sanduhr. Auch ich wurde von dem "Update" überrascht und es doch einige Zeit gekostet, um überhaupt den Grund zu finden - die Foren waren nicht erreichbar. Habe natürlich auch bemerkt, dass ich nicht mal mehr zum Router komme, wo ich auch den Fehler vermutete. Erst einen Tag später finde ich heraus, dass ich auf dem Holzpfad war. Ich denke schon, dass ein "Patch" vor der Auslieferung von M$ getestet werden müsste - die totale Blockade hätte so vorher entdeckt werden können. Ich verstehe den Wunsch nach einem schlanken System ohne Software-FireWall, dennoch gibt es ein paar Nicht-Technos wie mich, die sich einfach komfortabler fühlen mit FW. ZA zu deinstallieren und sich nur auf Windows FW zu verlassen ist keine Option, die Freude macht.
#3
am
10.07.2008 10:20
Moin, Fräulein Ärger
sicherlich wissen etliche nicht, dass die Ursachen für die Probleme nach der Installation irgendwelcher Updates für Windows nicht in diesen Updates begründet ist, sondern in ihrer "Sicherheitssoftware", die mit dem Update nicht zurande kommt. Aber es ist IMHO nicht die Aufgabe von Microsoft, Fehler zu beseitigen, welche die Hersteller von Drittsoftware begehen. Updates werden latürnich vor der Veröffentlichung getestet, aber es ist unmöglich, dies in allen möglichen Konfigurationen zu tun. Über die mit dem Update gefixte Lücke und darüber, dass es sich beim Veröffentlichungszeitpunkt der Updates um eine konzertierte Aktion mehrerer Hard- und Software-Hersteller handelte, hast Du sicher nachgelesen. Auch dass es zwischenzeitlich von Check Point Updates für dieses "ZoneAlarm"-Gedöns gibt, welche diese Software wieder funktionstüchtig und Windows damit online bringen soll, ist Dir sicher nicht entgangen - ich gehe einfach adavon aus, dass man Artikel vor dem Kommentieren liest
Und ja, ich bleibe dabei, dass eine Personal "Firewall" Software überflüssig ist. Die Windows Firewall blockiert zuverlässig unerwünschte Zugriffe von außen. Wenn unerwünschte Zugriffe nach außen verhindert werden sollen, hat man eh schon ein gewaltiges Problem auf dem System (einmal völlig davon abgesehen, dass sich Personal "Firewall" Software auch umgehen lässt und diese Methoden umso wahrscheinlicher eingesetzt werden, je maliziöser die fragliche Software ist).
Bye,
Freudi
sicherlich wissen etliche nicht, dass die Ursachen für die Probleme nach der Installation irgendwelcher Updates für Windows nicht in diesen Updates begründet ist, sondern in ihrer "Sicherheitssoftware", die mit dem Update nicht zurande kommt. Aber es ist IMHO nicht die Aufgabe von Microsoft, Fehler zu beseitigen, welche die Hersteller von Drittsoftware begehen. Updates werden latürnich vor der Veröffentlichung getestet, aber es ist unmöglich, dies in allen möglichen Konfigurationen zu tun. Über die mit dem Update gefixte Lücke und darüber, dass es sich beim Veröffentlichungszeitpunkt der Updates um eine konzertierte Aktion mehrerer Hard- und Software-Hersteller handelte, hast Du sicher nachgelesen. Auch dass es zwischenzeitlich von Check Point Updates für dieses "ZoneAlarm"-Gedöns gibt, welche diese Software wieder funktionstüchtig und Windows damit online bringen soll, ist Dir sicher nicht entgangen - ich gehe einfach adavon aus, dass man Artikel vor dem Kommentieren liest
Und ja, ich bleibe dabei, dass eine Personal "Firewall" Software überflüssig ist. Die Windows Firewall blockiert zuverlässig unerwünschte Zugriffe von außen. Wenn unerwünschte Zugriffe nach außen verhindert werden sollen, hat man eh schon ein gewaltiges Problem auf dem System (einmal völlig davon abgesehen, dass sich Personal "Firewall" Software auch umgehen lässt und diese Methoden umso wahrscheinlicher eingesetzt werden, je maliziöser die fragliche Software ist).
Bye,
Freudi
Tach auch
Das alles könnte man als super Werbung für einen Umstieg auf Linux verstehen. Hab gehört UBUBTU wird immer besser...
Das alles könnte man als super Werbung für einen Umstieg auf Linux verstehen. Hab gehört UBUBTU wird immer besser...
#3.1.1
am
10.07.2008 18:34
Moin,
man könnte es aber auch so verstehen, sich einfach nur kritisch(er) bei der Auswahl der auf dem System installierten systemnahen Software auseinanderzusetzen.
Bye,
Freu"Updates braucht jedes OS, und Probleme sind auf keinem auszuschließen"di
P.S.: Das Heise-Forum ist anderswo. Ich behalte mir vor, "Spaß"-Kommentare und dergleichen -ähm- kommentarlos zu löschen. Das Thema dieser kleinen Site sind Updates für Windows XP (und ein paar noch für Windows 2000) und nichts anderes. Danke für die Beachtung und das Verständnis.
man könnte es aber auch so verstehen, sich einfach nur kritisch(er) bei der Auswahl der auf dem System installierten systemnahen Software auseinanderzusetzen.
Bye,
Freu"Updates braucht jedes OS, und Probleme sind auf keinem auszuschließen"di
P.S.: Das Heise-Forum ist anderswo. Ich behalte mir vor, "Spaß"-Kommentare und dergleichen -ähm- kommentarlos zu löschen. Das Thema dieser kleinen Site sind Updates für Windows XP (und ein paar noch für Windows 2000) und nichts anderes. Danke für die Beachtung und das Verständnis.
Hallo Ottmar,
bin ein Bisschen spät mit meiner Anfrage, hab' aber nicht immer Zeit zum Recherchieren. Bitte gib' mir/uns eine Anleitung, wie man das ICMP Loch in der WindowsFW stopft. Der Haken zum Deaktivieren von ICMP Anfragen von außen läßt sich bei mir nicht deaktivieren. Fühle mich etwas unwohl..!
Vielen Dank im voraus!!
bin ein Bisschen spät mit meiner Anfrage, hab' aber nicht immer Zeit zum Recherchieren. Bitte gib' mir/uns eine Anleitung, wie man das ICMP Loch in der WindowsFW stopft. Der Haken zum Deaktivieren von ICMP Anfragen von außen läßt sich bei mir nicht deaktivieren. Fühle mich etwas unwohl..!
Vielen Dank im voraus!!
#4
am
17.07.2008 20:52
Moin Rudi,
es gibt kein "ICMP-Loch" in der Windows Firewall, genauso wenig wie ein "Ping" eine Sicherheitslücke darstellt.
Welche "Ausnahmen" finden sich unter "Systemsteuerung -> Windows Firewall -> Ausnahmen"? Welche "Bereiche" dafür jeweils?
Welche Einstellungen in der Windows Firewall -> "Erweitert -> ICMP" und welche ebenfalls unter "Erweitert -> Netzwerkverbindungseinstellungen -> Einstellungen" für die jeweilige Netzwerkverbindung?
Ohne ICMP "sehen" sich z.B. Rechner einer Arbeitgruppe nicht, weshalb ICMP automagisch zugelassen wird, sobald die "Datei- und Druckerfreigabe" als "Ausnahme" vorhanden ist (für das eigene Subnetz, also nicht von außen erreichbar). Auch funktionieren manche Programme bzw. die Verbindungsaufnahme nicht so, wie gewünscht, siehe z.B. auch http://support.microsoft.com/kb/842242 und
http://technet.microsoft.com/en-us/library/bb490616.aspx oder meinswegen auch http://www.netzwerktotal.de/netzwerkfaq/faq75.htm
Wenns die große Keule sein soll, http://support.microsoft.com/kb/875357
Bye,
Freudi
es gibt kein "ICMP-Loch" in der Windows Firewall, genauso wenig wie ein "Ping" eine Sicherheitslücke darstellt.
Welche "Ausnahmen" finden sich unter "Systemsteuerung -> Windows Firewall -> Ausnahmen"? Welche "Bereiche" dafür jeweils?
Welche Einstellungen in der Windows Firewall -> "Erweitert -> ICMP" und welche ebenfalls unter "Erweitert -> Netzwerkverbindungseinstellungen -> Einstellungen" für die jeweilige Netzwerkverbindung?
Ohne ICMP "sehen" sich z.B. Rechner einer Arbeitgruppe nicht, weshalb ICMP automagisch zugelassen wird, sobald die "Datei- und Druckerfreigabe" als "Ausnahme" vorhanden ist (für das eigene Subnetz, also nicht von außen erreichbar). Auch funktionieren manche Programme bzw. die Verbindungsaufnahme nicht so, wie gewünscht, siehe z.B. auch http://support.microsoft.com/kb/842242 und
http://technet.microsoft.com/en-us/library/bb490616.aspx oder meinswegen auch http://www.netzwerktotal.de/netzwerkfaq/faq75.htm
Wenns die große Keule sein soll, http://support.microsoft.com/kb/875357
Bye,
Freudi
Guten Abend Ottmar,
erstmal vielen Dank für die schnelle und kompetente Antwort! Ich muss zugeben, dass ich den Grund für das offene ICMP kurz nach Stellen meiner Frage selbst lesen durfte: Sobald port 445 für das Subnetz geöffnet wird, geht auch ICMP auf, allerdings für das GESAMTE Internet. Das hat mich noch mehr beunruhigt, denn das heißt doch auch, dass alle Rechner am Subnetz des momentan angewählten Providers zu MEINEM Subnetz gezählt werden und somit alle Teilnehmer sich bei mir beliebig austoben dürfen! Das gefällt mir gar nicht!
Noch spannender wird die Sache, wenn ich unter "../Erweitert/Netzwerkeinstellungen"[Einwahlverbindung]/Einstellungen/Dienste" nachsehe: Dort ist KEIN Dienst und keine Ausnahme aktiviert, ebenso sind alle ICMP Optionen deaktiviert. Nachdem aber Browser, mailclient, AV-updater und NTP problemslos funktionieren, obwohl diese Dienste gar nicht zugelassen sind, stellen sich mir Fragen über Fragen ...
Um aber die erbetene Hilfestellung zu unterstützen, folgen hier die gewünschten Angaben:
Unter Firewall/Ausnahmen sind nur Active Sync und Drucker/Dateifreigabe aktiviert, mit Bearbeiten v. letzterem sehe ich, dass ports 137-139,445 für das "Subnetz" geöffnet sind. (Sonst funktioniert das LAN nicht, klar) - Active sync ist eine portlose USB Verbindung mit einem PDA
Unter Firewall/erweitert/ICMP ist die oberste Checkbox aktiviert (als Folge des offenen ports 445), läßt sich nicht deaktivieren, außer durch Schließen von port 445
Die anderen Einstellung sind bereits oben beschrieben.
Um der nächsten wahrscheinlichen Frage vorzugreifen: Die Einwahlverbindung ist mit TCP/IP, QoS und MS-Netzw-Client verbunden, nicht mit Dateifreigaben.
Es gibt keine online-Spiele, keinen Messenger, kein ICQ, keine Tauschbörsen, einziges Gimmick ist ein RDP-Client über VPN. Rechner ist Schlepp-Top v. 12/05, XPSP3, noch nie neu aufgesetzt, Modem AVM via BT.
Werde daher den links nachgehen, die Du gepostet hast, hab' sie erst nur überflogen und nicht gleich gefunden, wonach ich suchte. Auch wenn sich daran nichts ändert, Lesen soll klug machen .. Die Artikel beschreiben, wie man Löcher bohrt, aber nicht wie man sie stopft, außerdem habe ich group policies nicht installiert. Sollte ich?
Da der Rechner an zwei sehr unterschiedlichen Standorten betrieben wird (einmal mit festen ip-Adressen im LAN und Dial-up mit DNS ins Internet, andernfalls am Firmennetz mit DHCP, HW-Firewall, Breitband, etc) sind die Dateifreigaben für's LAN natürlich aktiviert.
Die Windows-FW kennt scheinbar nur die Unterscheidung Subnetz und Internet und versteht alle Adressen, die mit den gleichen Oktetten der eigenen (vom Provider empfangenen) Adresse beginnen als Teil meines Subnetzes. Das wäre mir doch zu absurd! Natürlich liegt das auch daran, dass hier kein NAT-Router arbeitet, aber den gibt's für ISDN eben nicht, oder er kostet sehhhr vieeel Geld! Breitbandzugang ist schon auf politischer Ebene für IMMER ausgeschlossen, da 1100 m vom nächsten DSLAM entfernt und der Ort hat unter 10k Einwohner. EDGE-Zugang ist theoretisch möglich, bietet aber auch kein NAT. Die Windows FW gibt auch nirgends einen Hinweis, dass sie nur mit NAT richtig arbeiten könnte.
Jetzt kannst Du mich entweder davon überzeugen, dass ich zuviele grundlegende Dinge nicht verstanden hab' oder dass ich eben als Schmalbandler kein Recht auf Datensicherheit hätte, oder mir eine gute personal firewall empfehlen
oder mir den Bau eines ISDN-NAT-routers vorschlagen (Jana-server??Linux-router?) Ganz ehrlich, ich hoffe auf ersteres!
Ich fürchte, bei aller Geselligkeit, gebe ich (und eine ganze Menge Schmalbandler) seit dem Patch-day hier regelmäßig LAN-Parties mit 65535 oder mehr Teilnehmern, soviel Bier schaffe ich gar nicht her! Bist Du um 4.45 Uhr früh noch oder schon an den Tasten?
Danke nochmal!!
Rudi
erstmal vielen Dank für die schnelle und kompetente Antwort! Ich muss zugeben, dass ich den Grund für das offene ICMP kurz nach Stellen meiner Frage selbst lesen durfte: Sobald port 445 für das Subnetz geöffnet wird, geht auch ICMP auf, allerdings für das GESAMTE Internet. Das hat mich noch mehr beunruhigt, denn das heißt doch auch, dass alle Rechner am Subnetz des momentan angewählten Providers zu MEINEM Subnetz gezählt werden und somit alle Teilnehmer sich bei mir beliebig austoben dürfen! Das gefällt mir gar nicht!
Noch spannender wird die Sache, wenn ich unter "../Erweitert/Netzwerkeinstellungen"[Einwahlverbindung]/Einstellungen/Dienste" nachsehe: Dort ist KEIN Dienst und keine Ausnahme aktiviert, ebenso sind alle ICMP Optionen deaktiviert. Nachdem aber Browser, mailclient, AV-updater und NTP problemslos funktionieren, obwohl diese Dienste gar nicht zugelassen sind, stellen sich mir Fragen über Fragen ...
Um aber die erbetene Hilfestellung zu unterstützen, folgen hier die gewünschten Angaben:
Unter Firewall/Ausnahmen sind nur Active Sync und Drucker/Dateifreigabe aktiviert, mit Bearbeiten v. letzterem sehe ich, dass ports 137-139,445 für das "Subnetz" geöffnet sind. (Sonst funktioniert das LAN nicht, klar) - Active sync ist eine portlose USB Verbindung mit einem PDA
Unter Firewall/erweitert/ICMP ist die oberste Checkbox aktiviert (als Folge des offenen ports 445), läßt sich nicht deaktivieren, außer durch Schließen von port 445
Die anderen Einstellung sind bereits oben beschrieben.
Um der nächsten wahrscheinlichen Frage vorzugreifen: Die Einwahlverbindung ist mit TCP/IP, QoS und MS-Netzw-Client verbunden, nicht mit Dateifreigaben.
Es gibt keine online-Spiele, keinen Messenger, kein ICQ, keine Tauschbörsen, einziges Gimmick ist ein RDP-Client über VPN. Rechner ist Schlepp-Top v. 12/05, XPSP3, noch nie neu aufgesetzt, Modem AVM via BT.
Werde daher den links nachgehen, die Du gepostet hast, hab' sie erst nur überflogen und nicht gleich gefunden, wonach ich suchte. Auch wenn sich daran nichts ändert, Lesen soll klug machen .. Die Artikel beschreiben, wie man Löcher bohrt, aber nicht wie man sie stopft, außerdem habe ich group policies nicht installiert. Sollte ich?
Da der Rechner an zwei sehr unterschiedlichen Standorten betrieben wird (einmal mit festen ip-Adressen im LAN und Dial-up mit DNS ins Internet, andernfalls am Firmennetz mit DHCP, HW-Firewall, Breitband, etc) sind die Dateifreigaben für's LAN natürlich aktiviert.
Die Windows-FW kennt scheinbar nur die Unterscheidung Subnetz und Internet und versteht alle Adressen, die mit den gleichen Oktetten der eigenen (vom Provider empfangenen) Adresse beginnen als Teil meines Subnetzes. Das wäre mir doch zu absurd! Natürlich liegt das auch daran, dass hier kein NAT-Router arbeitet, aber den gibt's für ISDN eben nicht, oder er kostet sehhhr vieeel Geld! Breitbandzugang ist schon auf politischer Ebene für IMMER ausgeschlossen, da 1100 m vom nächsten DSLAM entfernt und der Ort hat unter 10k Einwohner. EDGE-Zugang ist theoretisch möglich, bietet aber auch kein NAT. Die Windows FW gibt auch nirgends einen Hinweis, dass sie nur mit NAT richtig arbeiten könnte.
Jetzt kannst Du mich entweder davon überzeugen, dass ich zuviele grundlegende Dinge nicht verstanden hab' oder dass ich eben als Schmalbandler kein Recht auf Datensicherheit hätte, oder mir eine gute personal firewall empfehlen
oder mir den Bau eines ISDN-NAT-routers vorschlagen (Jana-server??Linux-router?) Ganz ehrlich, ich hoffe auf ersteres!Ich fürchte, bei aller Geselligkeit, gebe ich (und eine ganze Menge Schmalbandler) seit dem Patch-day hier regelmäßig LAN-Parties mit 65535 oder mehr Teilnehmern, soviel Bier schaffe ich gar nicht her!
Bist Du um 4.45 Uhr früh noch oder schon an den Tasten?Danke nochmal!!
Rudi
#4.1.1
am
19.07.2008 02:54
Moin Rudi,
uff, eine Menge Lesestoff...
Zunächst einmal, was Port 445 und ICMP angeht: ja, siehe eben auch http://technet.microsoft.com/en-us/library/bb490616.aspx
"If any policy setting opens TCP port 445, Windows Firewall automatically allows incoming ICMP Echo messages, even if the Windows Firewall: Allow ICMP exceptions setting is disabled. Policy settings that can open TCP port 445 include Windows Firewall: Allow file and printer sharing exception, Windows Firewall: Allow remote administration exception, and Windows Firewall: Define port exceptions.
Other Windows Firewall policy settings affect only incoming messages, but several of the options of the Windows Firewall: Allow ICMP exceptions setting affect outgoing communication."
Jetzt bezieht sich dieser Absatz zunächst einmal auf Gruppenrichtlinien. Da Du davon schreibst, dass der Laptop auch in einem Firmennetzwerk betrieben wird: Kommen dort Gruppenrichtlinien zum Einsatz (womöglich hinter einem Domain-Server)? Falls ja, wäre dies ein Ansatzpunkt.
Ansonsten schreibst Du aber auch, dass die "Datei- und Druckerfreigabe" als Ausnahme zugelassen ist, was aber (wie erwähnt) bereits genügt, um ICMP automagisch zuzulassen.
Jetzt stellt sich nur die Frage, stellen ICMP-Pakete (von innen oder außen) eine Gefahr für die Netzsicherheit dar? Ist also ein "ping" oder ein "tracert/traceroute" gefährlich? IMHO nein, eine Antwort auf ein Ping besagt lediglich, dass der Rechner vorhanden ist, nicht mehr und nicht weniger (auch wenn sogenannte "Personal Firewall Software" mit ihren "Stealth"-Modi und/oder nervenden Popups etwas anderes suggerieren will). Siehe auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html oder meinswegen auch http://www.sides.de/nw_icmp.php etc.pp.
Möglicherweise muss ich einen missverständlichen Einschub aus meinem Vorkommentar klarstellen:
Wenn ich schrieb, "Ohne ICMP "sehen" sich z.B. Rechner einer Arbeitgruppe nicht, weshalb ICMP automagisch zugelassen wird, sobald die "Datei- und Druckerfreigabe" als "Ausnahme" vorhanden ist (für das eigene Subnetz, also nicht von außen erreichbar)", dann meinte der Einschub " nicht von außen erreichbar" nicht ICMP, also ping/traceroute, sondern den für die Datei- und Druckerfreigabe geöffneten Port, also die Ports 445 und ggf. 135. Es spielt dabei keine Rolle, für welche Verbindung die Datei- und Druckerfreigabe als Ausnahme zugelassen ist, sondern ob sie in irgend einer Verbindung aktiviert ist.
Bye,
Freu"In ein Seminar sollte die Kommentarfunktion eigentlich nicht ausarten "di
P.S.:
Wozu hast Du nochmal den "MS-Netzw-Client" in Deiner RAS-Verbindung ausgewählt? Der ist dort im Regelfall keineswegs notwendig, zumindest dann nicht, wenn nicht auch über die RAS-Verbindung auf andere Rechner im gleichen (lokalen) Netzwerk zugegriffen werden soll.
P.P.S.:
SP3 wird übrigens anderswo abgehandelt, KB951748 für SP3 bleistiftsweise unter http://patch-info.de/artikel/2008/07/08/518
Nein, ich kann Kommentare nicht "verschieben"
uff, eine Menge Lesestoff...
Zunächst einmal, was Port 445 und ICMP angeht: ja, siehe eben auch http://technet.microsoft.com/en-us/library/bb490616.aspx
"If any policy setting opens TCP port 445, Windows Firewall automatically allows incoming ICMP Echo messages, even if the Windows Firewall: Allow ICMP exceptions setting is disabled. Policy settings that can open TCP port 445 include Windows Firewall: Allow file and printer sharing exception, Windows Firewall: Allow remote administration exception, and Windows Firewall: Define port exceptions.
Other Windows Firewall policy settings affect only incoming messages, but several of the options of the Windows Firewall: Allow ICMP exceptions setting affect outgoing communication."
Jetzt bezieht sich dieser Absatz zunächst einmal auf Gruppenrichtlinien. Da Du davon schreibst, dass der Laptop auch in einem Firmennetzwerk betrieben wird: Kommen dort Gruppenrichtlinien zum Einsatz (womöglich hinter einem Domain-Server)? Falls ja, wäre dies ein Ansatzpunkt.
Ansonsten schreibst Du aber auch, dass die "Datei- und Druckerfreigabe" als Ausnahme zugelassen ist, was aber (wie erwähnt) bereits genügt, um ICMP automagisch zuzulassen.
Jetzt stellt sich nur die Frage, stellen ICMP-Pakete (von innen oder außen) eine Gefahr für die Netzsicherheit dar? Ist also ein "ping" oder ein "tracert/traceroute" gefährlich? IMHO nein, eine Antwort auf ein Ping besagt lediglich, dass der Rechner vorhanden ist, nicht mehr und nicht weniger (auch wenn sogenannte "Personal Firewall Software" mit ihren "Stealth"-Modi und/oder nervenden Popups etwas anderes suggerieren will). Siehe auch http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html oder meinswegen auch http://www.sides.de/nw_icmp.php etc.pp.
Möglicherweise muss ich einen missverständlichen Einschub aus meinem Vorkommentar klarstellen:
Wenn ich schrieb, "Ohne ICMP "sehen" sich z.B. Rechner einer Arbeitgruppe nicht, weshalb ICMP automagisch zugelassen wird, sobald die "Datei- und Druckerfreigabe" als "Ausnahme" vorhanden ist (für das eigene Subnetz, also nicht von außen erreichbar)", dann meinte der Einschub " nicht von außen erreichbar" nicht ICMP, also ping/traceroute, sondern den für die Datei- und Druckerfreigabe geöffneten Port, also die Ports 445 und ggf. 135. Es spielt dabei keine Rolle, für welche Verbindung die Datei- und Druckerfreigabe als Ausnahme zugelassen ist, sondern ob sie in irgend einer Verbindung aktiviert ist.
Bye,
Freu"In ein Seminar sollte die Kommentarfunktion eigentlich nicht ausarten
"diP.S.:
Wozu hast Du nochmal den "MS-Netzw-Client" in Deiner RAS-Verbindung ausgewählt? Der ist dort im Regelfall keineswegs notwendig, zumindest dann nicht, wenn nicht auch über die RAS-Verbindung auf andere Rechner im gleichen (lokalen) Netzwerk zugegriffen werden soll.
P.P.S.:
SP3 wird übrigens anderswo abgehandelt, KB951748 für SP3 bleistiftsweise unter http://patch-info.de/artikel/2008/07/08/518
Nein, ich kann Kommentare nicht "verschieben"
Guten Morgen Ottmar,
sorry, ich wollte das auch nicht übertreiben, trotzdem vielen Dank. Deine Fragen beantworte ich gerne noch und erlaube mir eine letzte zu stellen, dann geb' ich Ruhe
Im Firmennetz bin ich als Arbeitsgruppenrechner unterwegs, hänge daher nicht an einem Domänencontroller, Policies werden zudem nicht eingesetzt.
Den Haken bei MS-Network-Client in der RAS-Verbindung habe ich schon x-mal entfernt, er wird immer wieder gesetzt, ebenso das Aktivieren von 'NetBIOS über TCP/IP' im WINS-Reiter der erweiterten Einstellung von TCP/IP dieser RAS-Verbindung (was mich noch mehr stört!)
Die Geschichte mit ICMP und port 445 hab' ich nun gefressen, Danke!
Wenn mir ein ISP die Adresse 123.123.123.123 zuteilt, sehe ich diese im Eigenschaftsfenster der Verbindung. Was ich nicht sehe ist, welche Subnetzmaske gilt. Wenn die Windows-FW in Ausnahmen die Dateifreigaben für das "Subnetz" aktiviert hat, hätten doch alle Kunden des selben ISP in einem nicht zu kleinen Adressraum freien Zugang zu meinem Rechner, oder nicht? Um das herauszufinden, ging ich mit zwei Rechnern (ein XPSP3 und ein WIN98SE mit Sygate FW) ins Netz, natürlich OHNE Lan-Verbindung, das Logging in der XP-FW wurde hierfür aktiviert. Die Adressen unterschieden sich erwartungsgemäß nur im letzten Oktett. Ein Verbindungsausfbau von XP nach Win98 wäre dabei möglich gewesen (Sygate hat die Anfrage notiert und verhindert), in umgekehrter Richtung war keine Reaktion zu erkennen. Die XP-FW hat aber auch keinen Verbindungswunsch registriert.. Jetzt bin ich so schlau wie vorher! Daher meine abschließende Frage: Welche Adressen umfasst das (freigegebene) Subnetz wenn meine Adresse 123.123.123.123 ist? (Eine lokale/private Adresse gibt es dabei wegen dem abgesteckten LAN-Kabel nicht)
Du hast Recht mit dem Verweis auf den anderen Thread, aber die Fragen betreffen doch die FW als Ganzes. Falls Du ein Forum kennst, wo ich besser aufgehoben bin und dabei deutsch oder englisch spricht, lass' es mich/alle Mitleser bitte wissen! In jedem Fall danke ich ganz herzlich und wünsch' ein schönes WE!
Rudi
sorry, ich wollte das auch nicht übertreiben, trotzdem vielen Dank. Deine Fragen beantworte ich gerne noch und erlaube mir eine letzte zu stellen, dann geb' ich Ruhe
Im Firmennetz bin ich als Arbeitsgruppenrechner unterwegs, hänge daher nicht an einem Domänencontroller, Policies werden zudem nicht eingesetzt.
Den Haken bei MS-Network-Client in der RAS-Verbindung habe ich schon x-mal entfernt, er wird immer wieder gesetzt, ebenso das Aktivieren von 'NetBIOS über TCP/IP' im WINS-Reiter der erweiterten Einstellung von TCP/IP dieser RAS-Verbindung (was mich noch mehr stört!)
Die Geschichte mit ICMP und port 445 hab' ich nun gefressen, Danke!
Wenn mir ein ISP die Adresse 123.123.123.123 zuteilt, sehe ich diese im Eigenschaftsfenster der Verbindung. Was ich nicht sehe ist, welche Subnetzmaske gilt. Wenn die Windows-FW in Ausnahmen die Dateifreigaben für das "Subnetz" aktiviert hat, hätten doch alle Kunden des selben ISP in einem nicht zu kleinen Adressraum freien Zugang zu meinem Rechner, oder nicht? Um das herauszufinden, ging ich mit zwei Rechnern (ein XPSP3 und ein WIN98SE mit Sygate FW) ins Netz, natürlich OHNE Lan-Verbindung, das Logging in der XP-FW wurde hierfür aktiviert. Die Adressen unterschieden sich erwartungsgemäß nur im letzten Oktett. Ein Verbindungsausfbau von XP nach Win98 wäre dabei möglich gewesen (Sygate hat die Anfrage notiert und verhindert), in umgekehrter Richtung war keine Reaktion zu erkennen. Die XP-FW hat aber auch keinen Verbindungswunsch registriert.. Jetzt bin ich so schlau wie vorher! Daher meine abschließende Frage: Welche Adressen umfasst das (freigegebene) Subnetz wenn meine Adresse 123.123.123.123 ist? (Eine lokale/private Adresse gibt es dabei wegen dem abgesteckten LAN-Kabel nicht)
Du hast Recht mit dem Verweis auf den anderen Thread, aber die Fragen betreffen doch die FW als Ganzes. Falls Du ein Forum kennst, wo ich besser aufgehoben bin und dabei deutsch oder englisch spricht, lass' es mich/alle Mitleser bitte wissen! In jedem Fall danke ich ganz herzlich und wünsch' ein schönes WE!
Rudi
#4.1.1.1.1
am
20.07.2008 04:39
Moin Rudi,
es gibt immer eine lokale IP-Adresse, zur Not ist es die 127.0.0.1
Ein in ein "Eingabeaufforderung"-Fenster geklöppeltes ipconfig -all gibt Aufschluss über die Subnetzmaske. Und latürnich hat diese eine "größere" Bedeutung nur in einem echten Netzwerk.
Was Dein Entfernen des MS-Client für Netzwerke in der RAS-Verbindung angeht: Mit ohne "QoS" das selbe -ähm- Problem?
Bye,
Freudi
es gibt immer eine lokale IP-Adresse, zur Not ist es die 127.0.0.1
Ein in ein "Eingabeaufforderung"-Fenster geklöppeltes ipconfig -all gibt Aufschluss über die Subnetzmaske. Und latürnich hat diese eine "größere" Bedeutung nur in einem echten Netzwerk.
Was Dein Entfernen des MS-Client für Netzwerke in der RAS-Verbindung angeht: Mit ohne "QoS" das selbe -ähm- Problem?
Bye,
Freudi
Hallo Ottmar,
danke, das war's: Subnetmask ist 255.255.255.255, damit ist die unfreiwillige LAN-Party abgesagt
Im Gegensatz zu den anderen Optionen der RAS-Einstllungen, ist der QoS Haken nicht zu entfernen, allerdings ist mir kein verbundenes Risiko bekannt. Hab' ich wieder was übersehen? Die anderen Einstellungen (MS-Client und NetBIOS) hab' ich akribisch nach Anleitung (danke für den link zu Frank Kaune!) vorgenommen, und die Bindungen waren tatsächlich auch nach einigen Neustarts nicht mehr da. Allerdings scheint der LCR, zu dem die Verbindung gehört, alle Mühen wieder zunichte zu machen: Mit dem ersten Anruf waren alle Settings wieder wie zuvor
Ein anderer (teuerer) LCR ließ sich nicht von NetBIOS trennen, damit waren weitere Versuche hinfällig.
In den weiteren Einwahlverbindungen (über Mobiltelefon, Firmennummer, etc.) waren die Bindungen auch nach Aufruf entfernt (nur QoS ist immer dabei). Diese eignen sich aber nicht zur alltäglichen Nutzung. Auf den LCR zu verzichten ist vergleichsweise realitätsfern wie umziehen oder zu einem Hotspot zu fahren. Ist das bestehende Risiko hoch genug, um andere technische Lösungen zu erwägen? Bitte verstehe, ich suche kein -ähm- Problem, ich will nur keines haben, von dem ich nichts weiß Das übliche vor dem Bildschirm kenne ich schon..
Rudi
danke, das war's: Subnetmask ist 255.255.255.255, damit ist die unfreiwillige LAN-Party abgesagt
Im Gegensatz zu den anderen Optionen der RAS-Einstllungen, ist der QoS Haken nicht zu entfernen, allerdings ist mir kein verbundenes Risiko bekannt. Hab' ich wieder was übersehen? Die anderen Einstellungen (MS-Client und NetBIOS) hab' ich akribisch nach Anleitung (danke für den link zu Frank Kaune!) vorgenommen, und die Bindungen waren tatsächlich auch nach einigen Neustarts nicht mehr da. Allerdings scheint der LCR, zu dem die Verbindung gehört, alle Mühen wieder zunichte zu machen: Mit dem ersten Anruf waren alle Settings wieder wie zuvor
Ein anderer (teuerer) LCR ließ sich nicht von NetBIOS trennen, damit waren weitere Versuche hinfällig.
In den weiteren Einwahlverbindungen (über Mobiltelefon, Firmennummer, etc.) waren die Bindungen auch nach Aufruf entfernt (nur QoS ist immer dabei). Diese eignen sich aber nicht zur alltäglichen Nutzung. Auf den LCR zu verzichten ist vergleichsweise realitätsfern wie umziehen oder zu einem Hotspot zu fahren. Ist das bestehende Risiko hoch genug, um andere technische Lösungen zu erwägen? Bitte verstehe, ich suche kein -ähm- Problem, ich will nur keines haben, von dem ich nichts weiß
Das übliche vor dem Bildschirm kenne ich schon..Rudi
#4.1.1.1.1.1.1
am
20.07.2008 15:37
Moin Rudi,
ich würde mir darum keinen weiteren Kopp machen
Bye,
Freudi
ich würde mir darum keinen weiteren Kopp machen
Bye,
Freudi
.. dann mach' ich mir auch keinen! Vielen Dank für Deine Zeit und Mühen! Alles Gute!
Rudi
Rudi
#4.1.1.1.1.1.1.1.1
am
21.07.2008 14:18
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Sicherheitsupdate, das zwei Lücken im TCP/IP-Treiber schließen soll, über die ein Angreifer in ein Windows-System eindringen und die Steuerung des Systems übernehmen [...]
Aufgenommen: 08.07.2008 19:15
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im TCP/IPv6-Protokoll schließen soll, über die ein Denial of Service ausgelöst werden kann. Siehe Security Bulletin MS06-064 (englisch [...]
Aufgenommen: 08.07.2008 19:15