Firewall Wirklich Erforderlich?
#1
geschrieben 30. August 2008 - 21:37
Irgendwo habe ich mal neulich gelesen, das der Einsatz einer PF nicht wirklich erforderlich ist. So soll beispielsweise das Antiviren-Programm Antivir (bei Chip-Online stets Nr.1 in den Downloadcharts) einen Echtzeit-Scanner selbst in der Freeware-Version beinhalten, der mich fragen läßt, ob eine PF nicht dadurch schon überflüssig wird. Als Beispiel möchte ich mal Zonen-Alarm nennen, der in verschiedenen Foren schon als Programm beurteilt wird, das mitunter oft mehr Probleme bereitet als löst.
Wie seht Ihr das? Wäre für Eure Einschätzungen sehr dankbar.
Gruß,Stefan
Anzeige
#2
geschrieben 30. August 2008 - 21:59
Bei diesem Thema streiten sich die Geister und es wurde auch schon in etlichen Foren heiß disskutiert.
Ich habe keine PF installiert und auch die interne Windows Firewall deaktiviert.
Ich persönlich denke, dass es kein Problem ist wenn:
1. Alle Sicherheitsupdates installiert sind
2. Unötige Dienste deaktiviert und offene Ports geschlossen werden
http://www.winfaq.de/faq_html/Content/tip2...p?h=tip2322.htm
3. Ein Router verwendet wird (NAT)
4. Eine Antivirensoftware installiert ist
5. ein "sicherer" Browser verwendet wird (Firefox, Opera)
und 6. man nicht auf alles klickt, was einem entgegen blinkt.
Wenn du allerdings hinter einem Modem sitzt, würde ich trotzdem die Windowsinterne FW aktivieren.
Von zusätzlich installierten FW (ZoneAlarm, norton etc.) halte ich garnichts, da sie das Sicherheitsrisiko eher erhöhen und das System erheblich verlangsamen.
Hier einiges zum Thema Sicherheit und PersonalFW:
http://oschad.de/wiki/index.php/Port
http://www.ntsvcfg.de/linkblock.html
Gruß Tamos
Dieser Beitrag wurde von Tamos bearbeitet: 30. August 2008 - 22:00
#3
geschrieben 31. August 2008 - 10:24
Schon so lange ich denken kann halte ich es Sicherheitstechnisch wie folgt:
- Bitdefender Prof. mit Echtzeitüberwachung
- Spybot+ Adaware (Spybot: Resident aktiv)
- Neueste Firmware auf Fritzbox 7050
- Firefox 3; stets aktualisiert
- allerdings: Windowsfirewall deaktiviert (XP SPII).
Ich kann nur sagen, das ich Virenmäßig keine Schwierigkeiten mit dieser Kombination hatte/habe, aber fragen wollte ich Euch doch mal.
Gruß,Stefan
#4
geschrieben 31. August 2008 - 10:45
- bei bestehenden WLAN, Schutz wenn das WLAN gehackt wurde
- bei LAN Netzwerk (auch ohne MS Dateifreigabe), Schutz gegen Viren/Trojanern die schon einen anderen LAN Rechner infiziert haben
- bei statisch weitergeleiteten (offenen) Ports (Virtual Server) im Router, DoS Schutz durch blocken
- wenn der Router gehackt wurde, auch durch DoS Angriffe oder selbst ein defektes Netzteil kann zum Ausfall der Firewall führen, wobei der Router Switch oft weiter arbeitet
... alles was ich vergessen habe.
Für all die Fälle reicht die eingebaute PF von Windows !
Bessere kostenlose PF Software gibt es von Sygate und Comodo, solange die Software stabil und schnell ist, spricht da nix gegen.
Du kannst auch einen billig Router als PF benutzen, das schränkt aber das LAN Netzwerk ein, du kommst zu anderen Rechnern die aber nicht auf deinen Rechner.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 10:52
#5
geschrieben 31. August 2008 - 11:21
Das Thema hatten wir schon sehr oft.
Ich glaube mit dem Chaos wären wir oft besser bedient (kxxx, verarschter Bürger)
#6
geschrieben 31. August 2008 - 11:43
Zitat (Spiderman: 31.08.2008, 11:45)
Na, da bin ich mal gespannt.
Zitat
Nö, wie auch. Wenn das Wlan gehackt wurde wird unverschlüsselt gesendet. Oder schafft es neuerdings eine Firewall die in der Luft herumschwirrenden Signale nachträglich zu verschlüsseln? Ich denke nicht. Und zurück auf den Rechner gehts auch nicht, wenn die Ports zu sind, und die lassen sich schliessen durch deaktiveren der Dienste, dafür benötigts also schonmal keine Firewall. Mal ganz abgesehen davon das WPA und WPA2 immer noch als ungeknackt gelten, ordentliches Passwort natürlich vorausgesetzt.
Zitat
Wie oben schon erwähnt, das lässt sich einfacher und effektiver durch deaktivieren der Dienste bewerkstelligen.
Zitat
Denkfehler. Wenn ich die Ports im Router öffne, muss ich sie ebenso in der Personal-Firewall öffnen, sonst kommt nichts an. Also auch hier kein Schutz.
Zitat
Wenn das Netzteil defekt ist kann der Router nicht arbeiten. Die Methode ist also fast so effektiv wie die Knippex, da benötigts dann ergo auch keine Firewall. Selbst wenn wider Erwarten der Router auch ohne Strom arbeiten sollte, haben wir ja immer noch sämtliche nicht benötigten Dienste deaktiviert und Ports geschlossen, so leicht gehts also immer noch nicht auf den Rechner. Übrigens ist mir noch nichtmal ein Switch bekannt, der ohne Strom arbeitet. Dürfte also schwer werden. Gibt zwar theoretisch Möglichkeiten einen Switch übers Netzwerkkabel mit Strom zu versorgen, allerdings sind die Endgeräte dafür dermassen teuer das sie eher nicht bei Heimanwendern zu finden sein dürften (IEEE 802.3af).
Zitat
Na, viel gibts nimmer, dafür aber genügend Gründe gegen eine PF. Als Beispiel: mehr Code auf dem Rechner = mehr Einfallquellen für unerwünschte Besucher. Weitere Gründe siehe unter anderem hier.
Zitat
Da stimme ich sogar zu, aber auch nur weil der Code eh schon auf dem Rechner ist, desweiteren verspricht die wenigstens nichts, was sie nicht halten kann (100% Sicherheit bei Benutzung unserer Software ...).
Zitat
Siehe oben, spricht einiges dagegen.
Zitat
Kommt auf die Konfiguration an. Man sollte aber immer bedenken, egal ob PF, Router, Nat oder sonstiges: Die Sicherheitsvorkehrungen sind immer nur so gut wie der Anwender. Man kann seinen Rechner noch so absichern, wenn der Benutzer Code aus dubiosen Quellen, bewusst oder unbewusst herunterläd, kann die beste Soft/Hardware nichts retten.
Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 11:50
#7
geschrieben 31. August 2008 - 12:26
Als Router verwende ich eine Fritzbox mit aktuellen Firmware-Updates. Ich surfe nicht wireless und bin der Meinung dass als Software die aktivierte Windows-Firewall (XP) und Kaspersky Anti-Virus ausreichend ist.
#8
geschrieben 31. August 2008 - 12:37
Zitat (Samstag: 31.08.2008, 12:43)
Nö, wie auch. Wenn das Wlan gehackt wurde wird unverschlüsselt gesendet. Oder schafft es neuerdings eine Firewall die in der Luft herumschwirrenden Signale nachträglich zu verschlüsseln? Ich denke nicht. Und zurück auf den Rechner gehts auch nicht, wenn die Ports zu sind, und die lassen sich schliessen durch deaktiveren der Dienste, dafür benötigts also schonmal keine Firewall. Mal ganz abgesehen davon das WPA und WPA2 immer noch als ungeknackt gelten, ordentliches Passwort natürlich vorausgesetzt.
WPA2 wurde eben schon geknackt, bei einen einfachen Passwort kein Problem.
Es gibt auch noch viele WLAN mit WEP, eine PF schützt auch ungesicherte und schwach geschützte WLANs.
Wieso sind Ports zu ?, ich habe z.B. ein FTP Server, selbst Spiele haben offene Ports, Webserver (Intranet), VNC, ICQ , Zeitserver ...
Zitat (Samstag: 31.08.2008, 12:43)
Auch falsch eine PF erkennt den Dienst auf dem Rechner, und blockt wenn kein Dienst läuft, den Unterschied zwischen geschlossenen Ports und unsichtbaren(geblockten) Ports sollte man kennen.
Zitat (Samstag: 31.08.2008, 12:43)
Es gibt Fälle in denen das Netzteil (5V) nach dem Defekt noch 3-3,5 Volt liefert, und damit ging nur der Switch, ich spreche da aus Erfahrung.
Ich könnte jeden Punkt beweisen, und weiß was ich behaupte.
Es geht nur um einen zusätzlichen Schutz durch eine PF, andere Maßnahmen haben damit nix zu tun.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 12:50
#9
geschrieben 31. August 2008 - 13:20
Zitat (Spiderman: 31.08.2008, 13:37)
Und was soll dann eine Firewall helfen? Das mit dem Passwort schrieb ich ja bereits.
Zitat
Naja, wir wollen ja auch mal auf dem Boden bleiben, vor allem weil da dann eh weder eine Firewall noch sonstwas hilft, das ist entweder Unwissenheit, Blödheit oder beabsichtigt vom User.
Zitat
So lang die Software hinter dem Port vertrauenswürdig ist spricht doch auch gar nichts gegen einen offenen Port. Wer potentielle Schadsoftware wie z.b. ICQ einsetzt hat sich wohl nicht genügend über die brauchbaren Alternativen erkundigt.
Zitat
Siehe oben. Desweiteren ist ein unsichtbarer Port eh grösster Mist, der Webserver erkennt ein schwarzes Loch wo keines sein dürfte und weiss spätestens dadurch, das da was lauert.
Zitat
Ok, aber der Switch vermittelt nur im internen Netz, nach aussen ist dann immer noch Knippex, weil Vermittlung nach aussen so nicht möglich ist. Es müsste sich also schon ein Schadrechner im internen Netz befinden, und der dann auch noch durch die Ports beziehungsweise die vertrauenswürdige Software kommen. Wer nicht vertrauenswürdige Software einsetzt: der hat natürlich Pech, ok. Aber selbst diese liesse sich vom Rest des Rechners abkapseln, wenn sie denn unbedingt eingesetzt werden müsste.
Zitat
Achso, und ich bin total bescheuert, weil ich den Satz nicht hinter meine Behauptungen geschrieben habe? Auch recht.
Zitat
Das bisschen zusätzlicher Schutz hebt sich aber zumindest mit der Gefahr einer unsauberen Programmierung der PF mindestens auf. Mir ist auch keine PF bekannt, die ihren Quellcode offenlegt. Dann wäre das zumindest nachvollziehbar. Und behaupte jetzt bitte nicht dass die Offenlegung Gefahren birgt, das Gegenteil ist der Fall, da mehr Leute den Code prüfen können. Schönes Beispiel das es funktioniert wäre z.b. Linux, FF usw..
Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 13:23
#10
geschrieben 31. August 2008 - 14:18
Zitat (Samstag: 31.08.2008, 14:20)
Naja, wir wollen ja auch mal auf dem Boden bleiben, vor allem weil da dann eh weder eine Firewall noch sonstwas hilft, das ist entweder Unwissenheit, Blödheit oder beabsichtigt vom User.
So lang die Software hinter dem Port vertrauenswürdig ist spricht doch auch gar nichts gegen einen offenen Port. Wer potentielle Schadsoftware wie z.b. ICQ einsetzt hat sich wohl nicht genügend über die brauchbaren Alternativen erkundigt.
Was hat der Nachbar auf meinen Servern zu suchen ?
Die PF meldet den Verbindungsversuch, und ich sehe das Sicherheits Problem, das kann auch vom Router oder jedem anderen PC im LAN kommen.
Gegen das Internet schützt der Router, WLAN ist aber LAN = kein Schutz durch den Router, warum also nicht einen zweiten Router oder eine PF ?
Zitat (Samstag: 31.08.2008, 14:20)
Es geht nicht um die Sichtbarkeit, sondern darum, dass keine Antwort gesendet wird.
Im LAN / WLAN sind DoS Angriffe durch Broadcasts möglich, die PF blockt selbst ICMP, wenn es nicht sinnvoll ist.
Ob ein Paket sinnvoll oder nicht ist, entscheidet der Paketfilter mit SPI.
http://de.wikipedia....cket_Inspection
Zitat (Samstag: 31.08.2008, 14:20)
Nein, das machen nur hochwertige Geräte, mit physikalischer Trennung, so haben hochwertige Firewalls für WAN , jeden LAN Port und DMZ jeweils ein NIC.
Bei einen billigen Gerät ist z.B. ein 5 Port Switch drin, 1x WAN und 4x LAN, getrennt wird durch Software, die eben nicht mehr funzt.
Zitat (Samstag: 31.08.2008, 14:20)
Habe ich nicht behauptet, aber du zweifelst ja meine Aussagen an, die aus über 35 Jahren Erfahrung stammen.
Im Internet stehen auch viele falsche Infos, wer da alles glaubt ist selbst schuld.
Und die Informatiker des BSI sind auch blöd, die empfehlen ja auch eine PF.
http://www.bsi-fuer-...etzen/07_01.htm
Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 15:11
#11
geschrieben 31. August 2008 - 15:12
Zitat (Spiderman: 31.08.2008, 15:18)
Du warst also schon 1973 Netzwerktechniker oder hattest zumindest mit Netzwerken zu tun? Ui, jetzt ziehe ich aber den Hut vor dir und glaube dir ab sofort alles, was du erzählst. Entschuldige vielmals das ich deine Aussagen anzweifelte, wird nicht mehr vorkommen.
Sorry, aber mit so Leuten wie dir lassen sich keine fundierten Gespräche führen, denk du mal weiter über die Sicherheit deiner PF nach, ich sichere meinen PC weiterhin ohne PF ab. Ich hoffe du siehst mir das nach, aber das klappt inzwischen bei mir auch schon seit über 20 Jahren. Und das eine Mal, wo es nicht geklappt hat (Sasser) war es meine Schuld, der Patch war ja da, nur halt nicht auf meinem Rechner. Aber dafür gabs ein Backup.
Diskussion von meiner Seite beendet, gehört eh schon wieder in den Firewall-Sandkastenthread.
Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 15:13
#12
geschrieben 31. August 2008 - 16:17
Zitat (Spiderman: 31.08.2008, 13:37)
...
Ähm, wenn das Passwort so einfach ist, dass jeder es leicht erraten kann, dann hilft überhaupt keine Verschlüsselung und dann spielt es auch keine Rolle, wie sicher das System ist bzw. ob es WPA2 ist oder nicht. Das beste und modernste Sicherheitsschloß nutzt ja nichts, wenn der Schlüssel unter der Fußmatte liegt.
Der Optimist sagt: "Das Glas ist halb voll."
Der Realist sagt: "Bedienung, zwei Neue!"
#13
geschrieben 31. August 2008 - 21:36
#14
geschrieben 31. August 2008 - 22:29
Wer eine Firewlal haben möchte, soll sie sich ruhig installieren.
Das Teil ist manchmal auch nützlich, man sollte sich nur nicht völlig darauf verlassen.
#15
geschrieben 31. August 2008 - 22:30
Zitat (Spiderman: 31.08.2008, 15:18)
Einfache Dateifreigabe deaktivieren.
Unter Vista: Passwortgeschütze Freigabe.
Oder einfach nichts freigaben.
Du kannst nun sagen, Windows kann geachkt werden, dass es auch ohne Dateifreigabe möglich ist, aber denn ist deine PF ja praktisch auch gehackt. ICMP kann sogar die WindowsFirewall alias Paketfilter blocken.