Firewall Der Avm Fritz Produkte Wie sicher im Vergleich zu PFW's?
#1
geschrieben 08. Juni 2004 - 12:24
AVM bietet für seine DSL-Produkte eine integrierte Firewall bzw. neuerdings auch ein Tool namens WebProtect.
Wie sicher sind eurer Meinung nach diese Features im Vergleich zu normalen Software Firewalls wie ZoneAlarm oder Norton PF?
Kann man Gebrauch der AVM Tools auf die Software Firewall verzichten?
Ich weiß auch, daß Hardware Firewalls besser sind, aber bis zum Kauf des Routers müssen die Software-Varianten herhalten.
Die Frage bezieht sich natürlich auf ein komplett gepatchtes System
Vielen Dank vorab!
Gruß
Anzeige
#2
geschrieben 08. Juni 2004 - 16:16
>Firewalls wie ZoneAlarm oder Norton PF?
Genauso unsicher. Anfällig gegen DoS durch SYN/FIN/NULL-Flooding, teilweise damit sogar umgehbar, Refragmentation TCP Header Rewrite, MTU Regression DoS - und wenn erstmal etwas Böses auf dem Rechner drauf ist ist es sowieso zu spät, dann ist gar nix mehr zuverlässig.
>Kann man Gebrauch der AVM Tools auf die Software Firewall verzichten?
Ja. Hat aber nix mit den AVM Tools zu tun, sondern ist generell so.
>Ich weiß auch, daß Hardware Firewalls besser sind, aber bis zum Kauf des Routers
>müssen die Software-Varianten herhalten.
Du weißt aber offensichtlich nicht, daß Firewalling für den Heimbetrieb eine ziemlich übertriebene und ineffektive Sicherheitsmaßnahme darstellt. Und du kennst den Unterschied zwischen einem dedizierten Router und einer dedizierten Firewalling Appliance nicht.
>Die Frage bezieht sich natürlich auf ein komplett gepatchtes System
Na und? Das ist Windows! Und gegen zukünftige Fehler, die sich remote ausnutzen lassen, gibt's nur eine Maßnahme: Dienste abschalten und auf Müll-Software verzichten, ansonsten nützt dir auch das beste Firewalling nix. http://www.dingens.org und http://www.firefox-browser.de wären gute Ansatzpunkte.
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 16:16
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
geschrieben 08. Juni 2004 - 16:50
jetzt hat rika bestimmt noch einen kommentar dazu. oder!?
#4
geschrieben 08. Juni 2004 - 17:03
2. Das mit dem "Bin zufrieden" sagen meist die, die nicht merken, daß ihr tolles Programm schon längst umgangen wird. Oder wie war das noch mal mit Norton und "bin eigentlich ganz zufrieden"? Auf jeden Fall ist das genau gar kein Argument.
3. Jedes Programm hat Fehler, daher stellt ein zusätzliches Programm bzw. eine zusätzliche Programmfunktion einen Fehler dar. Denk mal drüber nach. Eine esentielle Sicherheitsstrategie besagt, daß man die Codemenge reduzieren sollte. Es existieren wunderschöne alternative Einwahlsoftware bzw. PPPoE-Treiber, die besser als Fritz DSL sind und keine unnötigen Features mitschleppen.
4. Zu AntiVir habe ich mich schon öfters geäußert. Boardsuche existiert.
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 17:05
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#5
geschrieben 08. Juni 2004 - 18:19
Erstmal danke für deine Antwort.
Wieso sagst du, daß Firewalling für den Homeuser eine übertriebene Maßnahme darstellt? Wenn ich mich richtig an deine bisherigen Statements zum Thema Firewall erinnere, rätst du doch zu einer Hardware-Firewall, oder?
Und du hast recht, den Unterschied zwischen einem dedizierten Router und einer dedizierten Firewalling Appliance kenne ich nicht, es wäre aber nett, wenn du es kurz erklären könntest.
Firefox benutze ich übrigens (klasse Browser), dein Tool bezüglich der Dienste hab ich mir auch schon angeschaut.
Auf Müll-Software bzw. ständiges Probieren von Shareware usw. verzichte ich ohnehin.
Nur by the way, laut Symantec Security Check (nicht schreien ) ist mein System nur mit den AVM-Tools sicher...
Gruß
#6
geschrieben 08. Juni 2004 - 18:45
2. Ein Router betreibt nur NAT bzw. IP Masquerading en generale, das ist nicht als Sicherheitsmaßnahme konzipiert und kann, insbesondere aus dem internen Netz, aber auch durch Übernahme von bereits bestehenden gewollten Verbindungen zwischen internem Netz und Rechner im Internet sowie durch eventuelle Implementierungsfehler umgangen werden. Eine dedizierte Firewall (der Begriff Hardware-Firewall ist irreführend, da auch diese letztendlich auf einer kleinen hochspezialiserten Software basiert) hingegen ist meist deutlich genauer auf saubere Implementierung sowie qualitativere Regelerstellung ausgelegt und kann je nach Modell auch Proxy-Funktionen übernehmen und damit gegen Sicherheitsprobleme auf Layer 5 & 6 schützen.
3. Symantec Security Check funktioniert nicht mit Firefox. Ich weiß auch nicht was der Zwang zu der kaputten ActiveX-Implementierung eines kaputten Pseudobrowser s überhaupt mit Sicherheit zu tun haben sollte - normalerweise sollte es shcon nach erfolgreichem Start einen Hinweis auf enorme Unsicherheit ausspucken... Zuverlässige Port-Scans macht man übrigens mit nmap, z.B. unter http://www.linux-sec....test.gwif.html
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 08. Juni 2004 - 19:03
Ist Outlook XP bzw. 2003 (das richtige) auch so unsicher? Outlook Express ist eine klare Sache, aber sollte Outlook nicht eine Liga höher spielen?
Zu 2. Danke für die Erklärung
Zu 3. Sinnvollerweise hab ich den Symantec-Check mit dem IE 6 gemacht, wobei ich dir bezüglich ActiveX recht geben muß.
Der Test auf lunux-sec.net findet keine offenen Ports.
Dazu noch eine Frage: AVM spricht bei den DSL-Karten von einer Firewall.
Ist die hardwareseitig implementiert, oder wird nur die nur softwareseitig über die Fritz! Software bereitgestellt?
#8
geschrieben 08. Juni 2004 - 19:25
2. Dafür daß sie angeblich in einer höheren Liga spielen haben sie selbst den begin-end-Bug hervorragend übernommen, von den zig Sicherheitslücken im MIME-Parser mal ganz zu schweigen... Nebenbei funktioniert mit Outlook kein GnuPG und kein standardkonformes S/MIME.
3. Wenn nmap nix findet, dann ist das ein sehr zuverlässiges Resultat - die meisten Online-Portscans, insbesondere die von PFW-Herstellern interpretieren nämlich alles, was nicht "krass stealth" ist gerne fälschlicherweise als offen.
4. Rein softwareseitig... gleiches gilt übrigens auch für die angebliche Firewall in den neuen nForce3-Chipsätzen. Neben dem ohnehin bislang nicht so recht erkennbarbarem TCP/IP-Offloading [1] glaubt zumindest auch niemand an eine wenigstens teilweise vorhandene Hardwarebeschleunigung für die Firewalling-Funktionen.
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 19:27
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
geschrieben 08. Juni 2004 - 19:35
Zu 2. Kannst du kurz die Fachbegriffe für Nicht-Programmierer übersetzen?
Zu 4. Gerade was Nforce anbetrifft also nur ein Marketing-Hype? Schade eigentlich...
#10
geschrieben 08. Juni 2004 - 19:51
2.
(1) begin-end-Bug: http://piology.org/I....html#signature
(2) MIME: http://www.faqs.org/...mime-faq/mime0/
(3) MIME-Bugs:
Zitat
boundary="----_=_NextPart_000_01C4488C.6A1565A8"
------_=_NextPart_000_01C4488C.6A1565A8
Content-Type: [b]image/gif[B] <- harmlos
name="hallo.[B]gif[/b]" <- harmlos
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="hallo[b].scr[/b]" <- böse
Dieses schöne Programm wird dann als harmloses GIF-Bild angezeigt, lässt sich direkt mit Doppelklick öffnen und wird dann gemäß dem Dateinamen als Programm gestartet. Und das nur, weil sich Outlook mit sich selbst nicht einig ist...
(4) http://www.gnupg.org, http://www.imc.org/smime-pgpmime.html
3/4. Warum denn? Wie ich schon sagte, Firewalling braucht der Heimuser doch eh nciht...
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 19:52
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 08. Juni 2004 - 20:01
Sprich, ein sorgsamer Umgang steigert die Sicherheit ungemein...
Ansonsten, danke für die vielen Infos.
Ich lese das Forum schon lange, ist wirklich sehr hilfreich. Macht weiter so...
#12
geschrieben 08. Juni 2004 - 21:25
LOL. Naja, Oliver Schad's Seite ist derzeit down, deshlab nehme ich mal das:
Zitat
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
geschrieben 09. Juni 2004 - 00:43
Die hat mit WebProtect absolut nix zu tun.
Die gab es doch schon in den AVM Modems, da war von WebProtect noch gar nix bekannt.
WebProtect überwacht nur den Internetverkehr vom Rechner ins Internet.
#14
geschrieben 09. Juni 2004 - 08:07
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#15
geschrieben 13. Juni 2004 - 14:48
Interessantes Forum, bin ehrlich begeistert. Lange habe ich in meinem Kämmerchen vor mich hin gepriemt, erkenne, daß sehr viele Leute die gleichen Probleme und ähnliche Erfahrungen gemacht haben.
Ich für meinen Teil habe generell auf Komplett-Lösungen verzichtet. An jedem Komplettpaket gibt es bekanntlich irgendwelche Macken.
Ich setze sogar einen drauf, ich nutze NAV 2003. Hat aber einen ganz einfachen Grund, laut Planetopia war NAV der einzige Scanner, der nach Virenbefall nicht abzuschalten war durch den Schädling. Das hat mich beeindruckt und zu dieser Wahl greifen lassen. Als Zugangs-Software nutze ich KEN DSL 2.0.
Die integrierte Firewall läuft glänzend, obendrein sitzt nocheinmal Zone Alarm 4 Pro vor dem KEN-Server. Diese Konstellation hat mir bereits eine ganze Menge Ärger erspart. Meine Kinder und ich nutzen diesen Zugang seit längerer Zeit, sollte trotz Ad-aware 6.0 Prof doch mal ein kleiner Mistbock durchrutschen, gibt es immernoch so tolle Helfer wie CWShredder. Wie bereits geschrieben, habe ich mit dieser Konfiguration meines Netzes die besten Erfahrungen gemacht. Firewall von NAV2004 bekommt eine glatte Note "6". Die Aktualisierung der Klients wird bei mir automatisch durch die Autostart-Gruppe durchgeführt. Bei jedem Start wird die Virendefinition von meinem Server geladen. Somit wird das Live-Update von NAV nicht benutzt und alle Rechner sind immer auf dem neusten Stand. Die Virendefinition wird von mir alle zwei Tage per Hand erneuert.