WinFuture-Forum.de: Firewall Wirklich Erforderlich? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Firewall Wirklich Erforderlich?


#1 Mitglied ist offline   startrek 

  • Gruppe: aktive Mitglieder
  • Beiträge: 363
  • Beigetreten: 27. August 08
  • Reputation: 5

geschrieben 30. August 2008 - 21:37

Hallöchen, gleich hier mein nächstes Thema!

Irgendwo habe ich mal neulich gelesen, das der Einsatz einer PF nicht wirklich erforderlich ist. So soll beispielsweise das Antiviren-Programm Antivir (bei Chip-Online stets Nr.1 in den Downloadcharts) einen Echtzeit-Scanner selbst in der Freeware-Version beinhalten, der mich fragen läßt, ob eine PF nicht dadurch schon überflüssig wird. Als Beispiel möchte ich mal Zonen-Alarm nennen, der in verschiedenen Foren schon als Programm beurteilt wird, das mitunter oft mehr Probleme bereitet als löst.

Wie seht Ihr das? Wäre für Eure Einschätzungen sehr dankbar.

Gruß,Stefan
0

Anzeige



#2 Mitglied ist offline   Tamos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 181
  • Beigetreten: 27. Januar 07
  • Reputation: 0

geschrieben 30. August 2008 - 21:59

Hallo!
Bei diesem Thema streiten sich die Geister und es wurde auch schon in etlichen Foren heiß disskutiert.
Ich habe keine PF installiert und auch die interne Windows Firewall deaktiviert.

Ich persönlich denke, dass es kein Problem ist wenn:

1. Alle Sicherheitsupdates installiert sind
2. Unötige Dienste deaktiviert und offene Ports geschlossen werden
http://www.winfaq.de/faq_html/Content/tip2...p?h=tip2322.htm
3. Ein Router verwendet wird (NAT)
4. Eine Antivirensoftware installiert ist
5. ein "sicherer" Browser verwendet wird (Firefox, Opera)
und 6. man nicht auf alles klickt, was einem entgegen blinkt.

Wenn du allerdings hinter einem Modem sitzt, würde ich trotzdem die Windowsinterne FW aktivieren.
Von zusätzlich installierten FW (ZoneAlarm, norton etc.) halte ich garnichts, da sie das Sicherheitsrisiko eher erhöhen und das System erheblich verlangsamen.

Hier einiges zum Thema Sicherheit und PersonalFW:
http://oschad.de/wiki/index.php/Port
http://www.ntsvcfg.de/linkblock.html

Gruß Tamos

Dieser Beitrag wurde von Tamos bearbeitet: 30. August 2008 - 22:00

0

#3 Mitglied ist offline   startrek 

  • Gruppe: aktive Mitglieder
  • Beiträge: 363
  • Beigetreten: 27. August 08
  • Reputation: 5

geschrieben 31. August 2008 - 10:24

Vielen Dank, das sind brauchbare Informationen.

Schon so lange ich denken kann halte ich es Sicherheitstechnisch wie folgt:

- Bitdefender Prof. mit Echtzeitüberwachung
- Spybot+ Adaware (Spybot: Resident aktiv)
- Neueste Firmware auf Fritzbox 7050
- Firefox 3; stets aktualisiert
- allerdings: Windowsfirewall deaktiviert (XP SPII).

Ich kann nur sagen, das ich Virenmäßig keine Schwierigkeiten mit dieser Kombination hatte/habe, aber fragen wollte ich Euch doch mal.

Gruß,Stefan
0

#4 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.672
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 31. August 2008 - 10:45

Eine PF bietet in folgenden Fällen zusätzlichen Schutz:

- bei bestehenden WLAN, Schutz wenn das WLAN gehackt wurde

- bei LAN Netzwerk (auch ohne MS Dateifreigabe), Schutz gegen Viren/Trojanern die schon einen anderen LAN Rechner infiziert haben

- bei statisch weitergeleiteten (offenen) Ports (Virtual Server) im Router, DoS Schutz durch blocken

- wenn der Router gehackt wurde, auch durch DoS Angriffe oder selbst ein defektes Netzteil kann zum Ausfall der Firewall führen, wobei der Router Switch oft weiter arbeitet

... alles was ich vergessen habe.

Für all die Fälle reicht die eingebaute PF von Windows !

Bessere kostenlose PF Software gibt es von Sygate und Comodo, solange die Software stabil und schnell ist, spricht da nix gegen.

Du kannst auch einen billig Router als PF benutzen, das schränkt aber das LAN Netzwerk ein, du kommst zu anderen Rechnern die aber nicht auf deinen Rechner.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 10:52

0

#5 Mitglied ist offline   kxxx 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.004
  • Beigetreten: 10. Dezember 03
  • Reputation: 11

geschrieben 31. August 2008 - 11:21

startrek sei so nett und beschäftige dich mal mit der Suchfunktion dieser Seite.
Das Thema hatten wir schon sehr oft.
Der Staat ist eine Notordnung gegen das Chaos (Gustav Heinemann, ehemaliger Bundespräsident)

Ich glaube mit dem Chaos wären wir oft besser bedient (kxxx, verarschter Bürger)
0

#6 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.917
  • Beigetreten: 14. Juli 07
  • Reputation: 275

geschrieben 31. August 2008 - 11:43

Beitrag anzeigenZitat (Spiderman: 31.08.2008, 11:45)

Eine PF bietet in folgenden Fällen zusätzlichen Schutz:

Na, da bin ich mal gespannt.

Zitat

- bei bestehenden WLAN, Schutz wenn das WLAN gehackt wurde

Nö, wie auch. Wenn das Wlan gehackt wurde wird unverschlüsselt gesendet. Oder schafft es neuerdings eine Firewall die in der Luft herumschwirrenden Signale nachträglich zu verschlüsseln? Ich denke nicht. Und zurück auf den Rechner gehts auch nicht, wenn die Ports zu sind, und die lassen sich schliessen durch deaktiveren der Dienste, dafür benötigts also schonmal keine Firewall. Mal ganz abgesehen davon das WPA und WPA2 immer noch als ungeknackt gelten, ordentliches Passwort natürlich vorausgesetzt.

Zitat

- bei LAN Netzwerk (auch ohne MS Dateifreigabe), Schutz gegen Viren/Trojanern die schon einen anderen LAN Rechner infiziert haben

Wie oben schon erwähnt, das lässt sich einfacher und effektiver durch deaktivieren der Dienste bewerkstelligen.

Zitat

- bei statisch weitergeleiteten (offenen) Ports (Virtual Server) im Router, DoS Schutz durch blocken

Denkfehler. Wenn ich die Ports im Router öffne, muss ich sie ebenso in der Personal-Firewall öffnen, sonst kommt nichts an. Also auch hier kein Schutz.

Zitat

- wenn der Router gehackt wurde, auch durch DoS Angriffe oder selbst ein defektes Netzteil kann zum Ausfall der Firewall führen, wobei der Router Switch oft weiter arbeitet

Wenn das Netzteil defekt ist kann der Router nicht arbeiten. Die Methode ist also fast so effektiv wie die Knippex, da benötigts dann ergo auch keine Firewall. Selbst wenn wider Erwarten der Router auch ohne Strom :) arbeiten sollte, haben wir ja immer noch sämtliche nicht benötigten Dienste deaktiviert und Ports geschlossen, so leicht gehts also immer noch nicht auf den Rechner. Übrigens ist mir noch nichtmal ein Switch bekannt, der ohne Strom arbeitet. Dürfte also schwer werden. Gibt zwar theoretisch Möglichkeiten einen Switch übers Netzwerkkabel mit Strom zu versorgen, allerdings sind die Endgeräte dafür dermassen teuer das sie eher nicht bei Heimanwendern zu finden sein dürften (IEEE 802.3af).

Zitat

... alles was ich vergessen habe.

Na, viel gibts nimmer, dafür aber genügend Gründe gegen eine PF. Als Beispiel: mehr Code auf dem Rechner = mehr Einfallquellen für unerwünschte Besucher. Weitere Gründe siehe unter anderem hier.

Zitat

Für all die Fälle reicht die eingebaute PF von Windows !

Da stimme ich sogar zu, aber auch nur weil der Code eh schon auf dem Rechner ist, desweiteren verspricht die wenigstens nichts, was sie nicht halten kann (100% Sicherheit bei Benutzung unserer Software ...).

Zitat

Bessere kostenlose PF Software gibt es von Sygate und Comodo, solange die Software stabil und schnell ist, spricht da nix gegen.

Siehe oben, spricht einiges dagegen.

Zitat

Du kannst auch einen billig Router als PF benutzen, das schränkt aber das LAN Netzwerk ein, du kommst zu anderen Rechnern die aber nicht auf deinen Rechner.

Kommt auf die Konfiguration an. Man sollte aber immer bedenken, egal ob PF, Router, Nat oder sonstiges: Die Sicherheitsvorkehrungen sind immer nur so gut wie der Anwender. Man kann seinen Rechner noch so absichern, wenn der Benutzer Code aus dubiosen Quellen, bewusst oder unbewusst herunterläd, kann die beste Soft/Hardware nichts retten.

Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 11:50

0

#7 Mitglied ist offline   poundhn 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. März 07
  • Reputation: 0

geschrieben 31. August 2008 - 12:26

Ich halte viel von Sicherheit, aber nichts von übertriebenen Konfigurationen. Ich arbeite ausschließlich als eingeschränkter Benutzer und habe zusätzlich die Sicherheitseinstellungen so gesetzt, dass man auch auf C:\ ins root als normaler Benutzer nicht schreiben darf, was leider in den Standard-ACLs so nicht definiert ist.

Als Router verwende ich eine Fritzbox mit aktuellen Firmware-Updates. Ich surfe nicht wireless und bin der Meinung dass als Software die aktivierte Windows-Firewall (XP) und Kaspersky Anti-Virus ausreichend ist.
0

#8 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.672
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 31. August 2008 - 12:37

Beitrag anzeigenZitat (Samstag: 31.08.2008, 12:43)

Na, da bin ich mal gespannt.

Nö, wie auch. Wenn das Wlan gehackt wurde wird unverschlüsselt gesendet. Oder schafft es neuerdings eine Firewall die in der Luft herumschwirrenden Signale nachträglich zu verschlüsseln? Ich denke nicht. Und zurück auf den Rechner gehts auch nicht, wenn die Ports zu sind, und die lassen sich schliessen durch deaktiveren der Dienste, dafür benötigts also schonmal keine Firewall. Mal ganz abgesehen davon das WPA und WPA2 immer noch als ungeknackt gelten, ordentliches Passwort natürlich vorausgesetzt.

WPA2 wurde eben schon geknackt, bei einen einfachen Passwort kein Problem.

Es gibt auch noch viele WLAN mit WEP, eine PF schützt auch ungesicherte und schwach geschützte WLANs.

Wieso sind Ports zu ?, ich habe z.B. ein FTP Server, selbst Spiele haben offene Ports, Webserver (Intranet), VNC, ICQ , Zeitserver ...

Beitrag anzeigenZitat (Samstag: 31.08.2008, 12:43)

Denkfehler. Wenn ich die Ports im Router öffne, muss ich sie ebenso in der Personal-Firewall öffnen, sonst kommt nichts an. Also auch hier kein Schutz.

Auch falsch eine PF erkennt den Dienst auf dem Rechner, und blockt wenn kein Dienst läuft, den Unterschied zwischen geschlossenen Ports und unsichtbaren(geblockten) Ports sollte man kennen.

Beitrag anzeigenZitat (Samstag: 31.08.2008, 12:43)

Wenn das Netzteil defekt ist kann der Router nicht arbeiten. Die Methode ist also fast so effektiv wie die Knippex, da benötigts dann ergo auch keine Firewall. Selbst wenn wider Erwarten der Router auch ohne Strom :) arbeiten sollte, haben wir ja immer noch sämtliche nicht benötigten Dienste deaktiviert und Ports geschlossen, so leicht gehts also immer noch nicht auf den Rechner. Übrigens ist mir noch nichtmal ein Switch bekannt, der ohne Strom arbeitet. Dürfte also schwer werden. Gibt zwar theoretisch Möglichkeiten einen Switch übers Netzwerkkabel mit Strom zu versorgen, allerdings sind die Endgeräte dafür dermassen teuer das sie eher nicht bei Heimanwendern zu finden sein dürften (IEEE 802.3af).

Es gibt Fälle in denen das Netzteil (5V) nach dem Defekt noch 3-3,5 Volt liefert, und damit ging nur der Switch, ich spreche da aus Erfahrung.

Ich könnte jeden Punkt beweisen, und weiß was ich behaupte.

Es geht nur um einen zusätzlichen Schutz durch eine PF, andere Maßnahmen haben damit nix zu tun.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 12:50

0

#9 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.917
  • Beigetreten: 14. Juli 07
  • Reputation: 275

geschrieben 31. August 2008 - 13:20

Beitrag anzeigenZitat (Spiderman: 31.08.2008, 13:37)

WPA2 wurde eben schon geknackt, bei einen einfachen Passwort kein Problem.

Und was soll dann eine Firewall helfen? Das mit dem Passwort schrieb ich ja bereits.

Zitat

Es gibt auch noch viele WLAN mit WEP.

Naja, wir wollen ja auch mal auf dem Boden bleiben, vor allem weil da dann eh weder eine Firewall noch sonstwas hilft, das ist entweder Unwissenheit, Blödheit oder beabsichtigt vom User.

Zitat

Wieso sind Ports zu ?, ich habe z.B. ein FTP Server, selbst Spiele haben offene Ports, Webserver (Intranet), VNC, ICQ ...

So lang die Software hinter dem Port vertrauenswürdig ist spricht doch auch gar nichts gegen einen offenen Port. Wer potentielle Schadsoftware wie z.b. ICQ einsetzt hat sich wohl nicht genügend über die brauchbaren Alternativen erkundigt.


Zitat

Auch falsch eine PF erkennt den Dienst auf dem Rechner, und blockt wenn kein Dienst läuft, den Unterschied zwischen geschlossenen Ports und unsichtbaren(geblockten) Ports sollte man kennen.

Siehe oben. Desweiteren ist ein unsichtbarer Port eh grösster Mist, der Webserver erkennt ein schwarzes Loch wo keines sein dürfte und weiss spätestens dadurch, das da was lauert.

Zitat

Es gibt Fälle in denen das Netzteil (5V) nach dem Defekt noch 3-3,5 Volt liefert, und damit ging nur der Switch, ich spreche da aus Erfahrung.

Ok, aber der Switch vermittelt nur im internen Netz, nach aussen ist dann immer noch Knippex, weil Vermittlung nach aussen so nicht möglich ist. Es müsste sich also schon ein Schadrechner im internen Netz befinden, und der dann auch noch durch die Ports beziehungsweise die vertrauenswürdige Software kommen. Wer nicht vertrauenswürdige Software einsetzt: der hat natürlich Pech, ok. Aber selbst diese liesse sich vom Rest des Rechners abkapseln, wenn sie denn unbedingt eingesetzt werden müsste.

Zitat

Ich könnte jeden Punkt beweisen, und weiß was ich behaupte.

Achso, und ich bin total bescheuert, weil ich den Satz nicht hinter meine Behauptungen geschrieben habe? Auch recht.

Zitat

Es geht nur um einen zusätzlichen Schutz durch eine PF, andere Maßnahmen haben damit nix zu tun.

Das bisschen zusätzlicher Schutz hebt sich aber zumindest mit der Gefahr einer unsauberen Programmierung der PF mindestens auf. Mir ist auch keine PF bekannt, die ihren Quellcode offenlegt. Dann wäre das zumindest nachvollziehbar. Und behaupte jetzt bitte nicht dass die Offenlegung Gefahren birgt, das Gegenteil ist der Fall, da mehr Leute den Code prüfen können. Schönes Beispiel das es funktioniert wäre z.b. Linux, FF usw..

Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 13:23

0

#10 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.672
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 31. August 2008 - 14:18

Beitrag anzeigenZitat (Samstag: 31.08.2008, 14:20)

Und was soll dann eine Firewall helfen? Das mit dem Passwort schrieb ich ja bereits.

Naja, wir wollen ja auch mal auf dem Boden bleiben, vor allem weil da dann eh weder eine Firewall noch sonstwas hilft, das ist entweder Unwissenheit, Blödheit oder beabsichtigt vom User.

So lang die Software hinter dem Port vertrauenswürdig ist spricht doch auch gar nichts gegen einen offenen Port. Wer potentielle Schadsoftware wie z.b. ICQ einsetzt hat sich wohl nicht genügend über die brauchbaren Alternativen erkundigt.

Was hat der Nachbar auf meinen Servern zu suchen ?

Die PF meldet den Verbindungsversuch, und ich sehe das Sicherheits Problem, das kann auch vom Router oder jedem anderen PC im LAN kommen.

Gegen das Internet schützt der Router, WLAN ist aber LAN = kein Schutz durch den Router, warum also nicht einen zweiten Router oder eine PF ?

Beitrag anzeigenZitat (Samstag: 31.08.2008, 14:20)

Siehe oben. Desweiteren ist ein unsichtbarer Port eh grösster Mist, der Webserver erkennt ein schwarzes Loch wo keines sein dürfte und weiss spätestens dadurch, das da was lauert.

Es geht nicht um die Sichtbarkeit, sondern darum, dass keine Antwort gesendet wird.

Im LAN / WLAN sind DoS Angriffe durch Broadcasts möglich, die PF blockt selbst ICMP, wenn es nicht sinnvoll ist.

Ob ein Paket sinnvoll oder nicht ist, entscheidet der Paketfilter mit SPI.
http://de.wikipedia....cket_Inspection

Beitrag anzeigenZitat (Samstag: 31.08.2008, 14:20)

Ok, aber der Switch vermittelt nur im internen Netz, nach aussen ist dann immer noch Knippex, weil Vermittlung nach aussen so nicht möglich ist.

Nein, das machen nur hochwertige Geräte, mit physikalischer Trennung, so haben hochwertige Firewalls für WAN , jeden LAN Port und DMZ jeweils ein NIC.

Bei einen billigen Gerät ist z.B. ein 5 Port Switch drin, 1x WAN und 4x LAN, getrennt wird durch Software, die eben nicht mehr funzt.

Beitrag anzeigenZitat (Samstag: 31.08.2008, 14:20)

Achso, und ich bin total bescheuert, weil ich den Satz nicht hinter meine Behauptungen geschrieben habe? Auch recht.

Habe ich nicht behauptet, aber du zweifelst ja meine Aussagen an, die aus über 35 Jahren Erfahrung stammen.

Im Internet stehen auch viele falsche Infos, wer da alles glaubt ist selbst schuld.

Und die Informatiker des BSI sind auch blöd, die empfehlen ja auch eine PF.

http://www.bsi-fuer-...etzen/07_01.htm

Dieser Beitrag wurde von Spiderman bearbeitet: 31. August 2008 - 15:11

0

#11 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.917
  • Beigetreten: 14. Juli 07
  • Reputation: 275

geschrieben 31. August 2008 - 15:12

Beitrag anzeigenZitat (Spiderman: 31.08.2008, 15:18)

Habe ich nicht behauptet, aber du zweifelst ja meine Aussagen an, die aus über 35 Jahren Erfahrung stammen.

Du warst also schon 1973 Netzwerktechniker oder hattest zumindest mit Netzwerken zu tun? Ui, jetzt ziehe ich aber den Hut vor dir und glaube dir ab sofort alles, was du erzählst. Entschuldige vielmals das ich deine Aussagen anzweifelte, wird nicht mehr vorkommen.
Sorry, aber mit so Leuten wie dir lassen sich keine fundierten Gespräche führen, denk du mal weiter über die Sicherheit deiner PF nach, ich sichere meinen PC weiterhin ohne PF ab. Ich hoffe du siehst mir das nach, aber das klappt inzwischen bei mir auch schon seit über 20 Jahren. Und das eine Mal, wo es nicht geklappt hat (Sasser) war es meine Schuld, der Patch war ja da, nur halt nicht auf meinem Rechner. Aber dafür gabs ein Backup.
Diskussion von meiner Seite beendet, gehört eh schon wieder in den Firewall-Sandkastenthread.

Dieser Beitrag wurde von Samstag bearbeitet: 31. August 2008 - 15:13

0

#12 Mitglied ist offline   Gitarremann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.263
  • Beigetreten: 04. Juni 06
  • Reputation: 3

geschrieben 31. August 2008 - 16:17

Beitrag anzeigenZitat (Spiderman: 31.08.2008, 13:37)

WPA2 wurde eben schon geknackt, bei einen einfachen Passwort kein Problem.
...


Ähm, wenn das Passwort so einfach ist, dass jeder es leicht erraten kann, dann hilft überhaupt keine Verschlüsselung und dann spielt es auch keine Rolle, wie sicher das System ist bzw. ob es WPA2 ist oder nicht. Das beste und modernste Sicherheitsschloß nutzt ja nichts, wenn der Schlüssel unter der Fußmatte liegt.
Der Pessimist sagt: "Das Glas ist halb leer,"
Der Optimist sagt: "Das Glas ist halb voll."
Der Realist sagt: "Bedienung, zwei Neue!"
0

#13 Mitglied ist offline   startrek 

  • Gruppe: aktive Mitglieder
  • Beiträge: 363
  • Beigetreten: 27. August 08
  • Reputation: 5

geschrieben 31. August 2008 - 21:36

Einen Streit wollte ich eigentlich nicht auslösen...... :D
0

#14 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.818
  • Beigetreten: 24. Juni 05
  • Reputation: 128

geschrieben 31. August 2008 - 22:29

Der ist bei dem Thema vorprogrammiert :D

Wer eine Firewlal haben möchte, soll sie sich ruhig installieren.
Das Teil ist manchmal auch nützlich, man sollte sich nur nicht völlig darauf verlassen.
0

#15 Mitglied ist offline   bartii 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.428
  • Beigetreten: 02. August 05
  • Reputation: 1

geschrieben 31. August 2008 - 22:30

Beitrag anzeigenZitat (Spiderman: 31.08.2008, 15:18)

Die PF meldet den Verbindungsversuch, und ich sehe das Sicherheits Problem, das kann auch vom Router oder jedem anderen PC im LAN kommen.

Einfache Dateifreigabe deaktivieren.
Unter Vista: Passwortgeschütze Freigabe.

Oder einfach nichts freigaben.

Du kannst nun sagen, Windows kann geachkt werden, dass es auch ohne Dateifreigabe möglich ist, aber denn ist deine PF ja praktisch auch gehackt. ICMP kann sogar die WindowsFirewall alias Paketfilter blocken.
Software is like sex. It is better when it's free.. (Linus Torvalds)
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0