WinFuture-Forum.de: Diskussion über Desktop Firewalls - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 87 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • Letzte »

Diskussion über Desktop Firewalls


#1 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1

geschrieben 08. April 2005 - 08:41

Hallo


Da wir das Problem haben das jegliches Theme was sich um Firewalls (PFW) dreht, schnell in eine Diskussion ausartet, das aber dem Themenersteller meißtens nicht hilft, und es auch nicht die Lösung sein kann Diskussionen zu verbieten, habe ich diesen Sticky erstellt!


Hier könnt ihr Diskutieren (und nur hier) solange wie ihr wollt, allerdings muß die

Zitat

2. Netiquette
Im Forum ist die für Newsgroups übliche Netiquette zu wahren. Sie kommunizieren hier mit anderen Menschen, daher bitten wir Sie von Beleidigungen, Beschimpfungen oder ähnlichem abzusehen. Bei Missachtung der Netiquette muss mit Ermahnung, Verwarnung bzw. Ausschluss (Kick) seitens der Administration gerechnet werden.


eingehalten werden!



So ich hoffe das in Zukunft dem Fragesteller geholfen wird und hier Diskutiert wird!
0

Anzeige



#2 Mitglied ist offline   jerrison 

  • Gruppe: aktive Mitglieder
  • Beiträge: 104
  • Beigetreten: 15. März 05
  • Reputation: 0

geschrieben 08. April 2005 - 20:07

wie wäre es: VMWARE aufsetzen, ne virtuelle firewall installieren (smoothie, ipcop, whatever) und das als router nutzen.
die etwas andere PFW...okay, das Hostsystem ist vielleicht immer noch schwach, aber nicht so angreifbar wie ohne...denke ich mal, in der theorie.
0

#3 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 08. April 2005 - 20:21

Edit by simcard: Wenn dir dieser Thread nicht passt, sei bitte einfach ruhig und beteilige dich an den zahlreichen anderen Threads hier im Forum, danke! ;)

Dieser Beitrag wurde von simcard bearbeitet: 08. April 2005 - 20:29

0

#4 Mitglied ist offline   Bockfett 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.066
  • Beigetreten: 18. Februar 04
  • Reputation: 0

geschrieben 08. April 2005 - 20:25

Zitat (jerrison: 08.04.2005, 21:07)

wie wäre es: VMWARE aufsetzen, ne virtuelle firewall installieren (smoothie, ipcop, whatever) und das als router nutzen.
die etwas andere PFW...okay, das Hostsystem ist vielleicht immer noch schwach, aber nicht so angreifbar wie ohne...denke ich mal, in der theorie.
<{POST_SNAPBACK}>


Mal abgesehen davon, dass du dafür richtig viel Leistung brauchst (man nehme nur mal an, du möchtest ein Spiel online zocken, was so kaum noch möglich wäre), hat sie auch wenig Sinn, den die Daten gehen _zuerst_ durch den zu schützenden Host-PC und _dann_ in die VMware, wo eine eventuell installierte Firewall nichts mehr schützen kann.
0

#5 Mitglied ist offline   Indoril 

  • Gruppe: aktive Mitglieder
  • Beiträge: 236
  • Beigetreten: 28. November 04
  • Reputation: 0

geschrieben 08. April 2005 - 20:51

Ich nehme das Wort 'Grundsatzdiskussion' jetzt ernst ;)
Deshalb auch ersteinmal der grundsätzliche Unterschied zwischen dem allbekannten Begriff 'Firewall' und dem medien-gehypten Begriffen 'Personal Firewall' (PFW)', 'Desktop Firewall' bzw. 'Software Firewall' (ich denke, dass dies bei solch einer Diskussion ersteinmal allen klar sein sollte, damit wir über den selben Standpunkt diskutieren; korr. mich bei Fehlern).

Zu diesem Zweck möchte ich mal die Wikipedia zitieren (gekürzt aus dem ersten Absatz des Dokuments Firewall:

"de.wikipedia.org" sagte:

Als Firewall oder Zugangsschutzsystem bezeichnet man bei Rechnernetzwerken ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen, dessen korrekte Umsetzung und dauerhafte Pflege.

[...] Firewalls greifen hier ein; sie sitzen an den Schnittstellen zwischen einzelnen Netzen und kontrollieren den Netzwerkverkehr zwischen den Netzen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr weiterzuleiten.


Das bedeutet also, dass Firewalls (ich unterscheide nun strikt zwischen Firewall und PFW!) ein Konzept darstellen, dass nicht nur durch Technik sondern auch durch Organisation über den zu schützenden Zeitraum gepflegt und ggf erweitert/verändert/angepasst/etc werden muss.
Desweiteren ist der nächste Abschnitt wichtig: Firewalls greifen zwischen den zu schützenden Rechnern und Rechner-Netzwerken (Intranet/Internet/etc) ein und nicht auf dem zu schützenden Rechner.

Dies stellt einer der konzeptionellen Fehler von PFWs dar.
Weitere wären, dass sich "Sicherheit" nicht durch Pseudo-Dienste-Block-Software, die umgangen werden kann, erreichen lässt: hier muss wieder ein richtiges Sicherheitskonzept greifen.
Das Software mitunter Fehler enthällt und gerade unsauber implementierte Software Firewalls ein gesteigertes Sicherheitsrisiko darstellen, dürfte klar sein.
Auch lassen sich Fenstermeldungen bekanntlich unterdrücken und nett geschriebene Texte, die das Erlauben von Internetzugriffen per schnellem Mausklick erlauben, werden von $ONU mangels Sachkenntnis nicht korrekt beantwortet oder $ONU erlaubt schlicht jedem Programm den Netzwerkzugriff, der nicht bei 3 auf den Bäumen ist.

Meiner Meinung nach ist den Personal Firewalls bzw. deren Programmierern ein weiterer Punkt vorzuhalten: Psychologie.
Nicht nur die gelbe Pappschachtel (Symantec-Produkte) verspricht (nicht nur indirekt) leicht konfigurierbare und "Klick-und-fertig" Sicherheit mit dem Einstatz solcher Software. Das KANN NICHT funktionieren. Sicherheit lässt sich nunmal nur durch den Einstatz von Brain 1.0 (sorry, für die Verwendung dieses ausgelutschten Witzes) dem Idealzustand nahe bringen. PFWs suggerieren aber das Gegenteil (hier ist auch die "Fach"-Presse nicht ganz unschuldig).
$ONU (vielleicht auch nur $DAU) mit wenig Zeit glaubt das gerne.


-----
[OT] Danke für die Erstellung dieses Threads. Ich hoffe, dass hier eine wirkliche Diskussion draus wird ;)
0

#6 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.734
  • Beigetreten: 20. Juli 04
  • Reputation: 61

geschrieben 08. April 2005 - 20:51

Zitat (Bockfett: 08.04.2005, 21:25)

Mal abgesehen davon, dass du dafür richtig viel Leistung brauchst (man nehme nur mal an, du möchtest ein Spiel online zocken, was so kaum noch möglich wäre), hat sie auch wenig Sinn, den die Daten gehen _zuerst_ durch den zu schützenden Host-PC und _dann_ in die VMware, wo eine eventuell installierte Firewall nichts mehr schützen kann.<{POST_SNAPBACK}>
Ich stimme dir vollkommen zu. Viel besser ist es, sich einen alten, relativ schwachen Rechner zu suchen / zusammenzuschrauben, so um die 133-333MHz und den als Router und Firewall zu verwenden. Ich habe mir das auch schon immer mal vorgenommen, nur leider mangelt es mir an Zeit und Lust das ganze zu verwirklichen. teile hätte ich allerdings genug für 3 solche Dinger, da ich die hier jährlich auf'm Sperrmüll einsammeln kann (der wird bei uns einmal pro Jahr für die ganze siedlung an einem Festgelegten Termin abgeholt, da kann man immer gut gucken, ob man was davon gebrauchen kann ;) (sofern man schneller is' als die Polen ;))). Für alle Leute die nicht so die möglichkeit haben an Teile zu kommen sind aber auch die örtlichen Abfallwirtschaftshöfe sehr zu empfehlen (einfach mal hingehen und nachfragen was die so an PC-Schrott haben und dann ein wenig mitnehmen und basteln).

Dieser Beitrag wurde von TheSuicider bearbeitet: 08. April 2005 - 20:53

Eingefügtes Bild
Eingefügtes Bild
0

#7 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1

geschrieben 08. April 2005 - 20:55

Zitat

T] Danke für die Erstellung dieses Threads. Ich hoffe, dass hier eine wirkliche Diskussion draus wird smile.gif


Das ist das Ziel
0

#8 Mitglied ist offline   jerrison 

  • Gruppe: aktive Mitglieder
  • Beiträge: 104
  • Beigetreten: 15. März 05
  • Reputation: 0

geschrieben 08. April 2005 - 22:37

Zitat

Mal abgesehen davon, dass du dafür richtig viel Leistung brauchst (man nehme nur mal an, du möchtest ein Spiel online zocken, was so kaum noch möglich wäre), hat sie auch wenig Sinn, den die Daten gehen _zuerst_ durch den zu schützenden Host-PC und _dann_ in die VMware, wo eine eventuell installierte Firewall nichts mehr schützen kann.


nehm ich mal an, dass ich wirklich nur surfen will mit dieser kiste und ich keine lust habe mich mit 2 pc´s rumzuschlagen dann wäre ich doch mit ner virtuellen firewall "sicherer" als ohne...
testweise habe ich so´n teil auch aufgesetzt, gescannt mit nmap, nessus, etc...konnte allerdings keine schwachstellen feststellen. wie würde ich denn jetzt den host zu fassen kriegen wenn der doch hinter der virtuellen maschine steckt? ein praktisches beispiel hätte gerne, oder nen link der mich aufklärt. ich lern ja gerne dazu.

Zitat

133-333MHz und den als Router und Firewall zu verwenden


lässt du darauf dann dansguardian laufen kannste die kiste knicken ;)...
von clamav und snort mal gar nicht erst anfangen zu sprechen.


EDIT by Flo01: Na war der Editierbutton außer Betrieb? ;)

Dieser Beitrag wurde von Flo01 bearbeitet: 08. April 2005 - 22:57

0

#9 Mitglied ist offline   Indoril 

  • Gruppe: aktive Mitglieder
  • Beiträge: 236
  • Beigetreten: 28. November 04
  • Reputation: 0

geschrieben 08. April 2005 - 22:50

Zitat (jerrison: 08.04.2005, 23:38)

lässt du darauf dann dansguardian laufen kannste die kiste knicken ;)...
von clamav und snort mal gar nicht erst anfangen zu sprechen.

Ich glaube, er dachte da eher an IPCop oder vielleicht auch m0n0wall (dafür sind die Kisten dann mehr als brauchbar).
0

#10 Mitglied ist offline   sкavєи 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.734
  • Beigetreten: 20. Juli 04
  • Reputation: 61

geschrieben 08. April 2005 - 23:08

Zitat (jerrison: 08.04.2005, 23:37)

lässt du darauf dann dansguardian laufen kannste die kiste knicken ;)...<{POST_SNAPBACK}>

Aha! ;) Wieviele Rechner hast du denn bitte sehr zu Hause stehen?

DansGuardian.org sagte:

DansGuardian 2 probably requires as a minimum 150Mhz per 50 users and 32Mb per 50 users plus 150Mhz and 64Mb. The memory requirement is more for the cacheing proxy than DansGuardian. A minimum of maybe 4Gb hard drive is required. If you have fast Internet connectivity (like 512Kbit/sec or more) then think about allocating more CPU.
Das passt doch mit 333MHz ;) . aber Indoril hat Recht ich redete von IPCop ;) .
Eingefügtes Bild
Eingefügtes Bild
0

#11 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 09. April 2005 - 00:56

@jerrison: Die LAND-Attacke ist mal wieder in. Da kommen die Daten gar nicht erst bis zum Gastsystem.

Indes, auf der von mir eingerichteten P150-Kiste laufen netfilter, snort, squid, privoxy und tripwire bei 1024/512 KBit/s Dauerbelastung. Was willst du dort eigentlich mit clamav? Das Ding als eine Router-Firewall plus HTTP-Proxy zu betreiben reicht doch schon aus.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#12 Mitglied ist offline   jerrison 

  • Gruppe: aktive Mitglieder
  • Beiträge: 104
  • Beigetreten: 15. März 05
  • Reputation: 0

geschrieben 09. April 2005 - 10:11

Zitat (Indoril: 08.04.2005, 23:50)

Ich glaube, er dachte da eher an IPCop oder vielleicht auch m0n0wall (dafür sind die Kisten dann mehr als brauchbar).
<{POST_SNAPBACK}>



eh...dansguardian ist ein addon zu besagten produkten...wobei ich nicht weiss ob es auch auf der monowall läuft, nie getestet, aber mit smoothwall auf jeden!

Zitat (Rika: 09.04.2005, 01:56)

@jerrison: Die LAND-Attacke ist mal wieder in. Da kommen die Daten gar nicht erst bis zum Gastsystem.

Indes, auf der von mir eingerichteten P150-Kiste laufen netfilter, snort, squid, privoxy und tripwire bei 1024/512 KBit/s Dauerbelastung. Was willst du dort eigentlich  mit clamav? Das Ding als eine Router-Firewall plus HTTP-Proxy zu betreiben reicht doch schon aus.
<{POST_SNAPBACK}>



gut ne LAND attacke kann schon sein, aber die muss schon gezielt geschickt werden und crashtdas system nur. damit hab ich aber nicht die viren, pferd und wurm problematik soweit ich verstehe.
müsste der angreifer dann auch nicht die interne IP vom Hostsystem kennen?

bei mir auf der kiste lief dansguardian echt schleppend...allerdings kann das auch daran gelegen haben dass ich die komplette blacklist aktiviert habe. da war der swap speicher schnell voll...
interessant war, dass mit ipcop und URL-Filter diese probleme nicht auftraten!
0

#13 _simcard_

  • Gruppe: Gäste

  geschrieben 10. April 2005 - 22:28

Übrigens (weiss nicht obs hier schon irgendwo geschrieben wurde) die "rumhafte" Computerbild hat in der letzten Ausgabe wieder Firewalls getestet, 7 von 8 bekamen wegen mangelndem Selbstschutz ein Mangelhaft, eine bekam ne 4. Keine konnte das Ausspionieren von Daten komplett schützen. Wenn hier irgendwo im Forum schonmal jemand über diesen Test geschrieben hat dann sorry (lösche da meinen Post wieder)
0

#14 Mitglied ist offline   Indoril 

  • Gruppe: aktive Mitglieder
  • Beiträge: 236
  • Beigetreten: 28. November 04
  • Reputation: 0

geschrieben 10. April 2005 - 22:57

Zitat (simcard: 10.04.2005, 23:28)

die "rumhafte" Computerbild hat in der letzten Ausgabe wieder Firewalls getestet, 7 von 8 bekamen wegen mangelndem Selbstschutz ein Mangelhaft, eine bekam ne 4. Keine konnte das Ausspionieren von Daten komplett schützen.

Interessant, danke für die Info!
Das geht schon in die Richtung, die ich in meinem Post weiter oben beschrieben habe, die nützlich sein könnte. Leider gibt es immer noch viel zu viele Zeitschriften, die PFWs nicht kompetent testen und meines Wissens keine (ich rede von PC-Anwender Zeitschriften, keinen für "Professionals" ;D ), die auch gut und _richtig_ erklärt warum dies so ist und brauchbare Alternativen aufzeigt.

[Edit] Jetzt bitte keinen Flame-War über div. Zeitschriften beginnen, so war das nicht gemeint :wink:

Dieser Beitrag wurde von Indoril bearbeitet: 10. April 2005 - 22:58

0

#15 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2

geschrieben 10. April 2005 - 23:02

Na das ist doch mal wieder toll: Ein "mangelhaft" dafür, daß etwas, was nicht funktionieren kann, nicht funktioniert. Statt mal hinzuschreiben daß es nicht funktionieren kann und daß das "mangelhaft" eher für das falsche Versprechen des Funktionierens vergeben werden sollte...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


  • 87 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • Letzte »

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0