[Strider]

Das hier bestätigt ja wieder, dass Diskussionen zum Thema Virenscanner/Firewall immer ausarten.
Ohne Beleidigung oder sarkastische/provozierende Ausdrücke könnt ihr wohl nicht diskutieren, oder? Muss dieser Thread denn auch noch geschlossen werden, nur weil ihr nicht fähig seid, ruhig und sachlich zu argumentieren und die Meinung anderer zu respektieren?

btw Frank3000, denk daran, deine Beiträge zu editieren anstatt 3 Mal hintereinander ein Beitrag zu erstellen.

[Ich]

Zitat

>>Hardware Router für 30 Euro
So, so, der ist dann auch für ISDN geeignet, oder wie?

Wie schon vorher so nett beschrieben muss man sich nicht zwingend einen DSL Router, wenn man ISDN hat

Zitat

>>richtige Konfiguration einer Firewall und ihrer Funktionsweise haben selbst in diesem IT Forum nichtmal 1% der User.
Na, dann kannst Du uns ja wohl genau erklären, wie man richtig konfiguriert!?

Wieso? Fifl Anleitungen gibts doch genug im Internet und fertige Router haben meißt ein Handbuch und sind in der Standardconfig schon 95% sicherer als ein frisch installiertes System, welches direkt am Netz klebt... ob nun mit DTF oder ohne spielt hierbei keine Rolle, sondern die Tatsache, dass das System mit Admin Rechten nicht direkt am Netz klemmt und seine Dienste breitbeinig feilbietet.

Zitat

Ja stimmt, ich bin schon 5 mal verhaftet worden, und meine Freunde und Verwandte denen ich den Rechner eingerichtet habe auch.

Sarkasmus hilft dir sicherlich weiter, WENN es denn mal passiert ... Das ändert aber nichts an der Tatsache, dass eine kleine Investition in ein externes Gerät dein Netzwerk in jedem Fall sicherer macht

[Frank3000]

Wenn ich gefragt werde ob ich in der Lage bin ein Windowssystem ohne Hilfe aufzusetzen ist es doch nicht so verwunderlich daß ich mich angegriffen fühle, oder? Aber ich wollte das hier auch nicht so ausarten lassen, also sorry. Was das andere betrifft, ich mußte die bekannten Testseiten nicht in den letzten 5 minuten aufrufen weil ich die Ergebnisse kenne, da ich das immer mal wenn ich z.B. eine neue Firewall installiert habe teste. Und hier kommt meine IP, viel Spaß: 80.185.166.54

[PanteraBM]

Um ganz ehrlich zu sein, denke ich, dass sich viele hier auf die Seite von Rika schlagen, weil seine Beiträge immer so schön fachmännisch klingen.
Ich bin allerdings der Meinung, eine Firewall richtig konfiguriert ist durchaus was tolles. Es ist klar, dass ZoneAlarm hier keine Wunder bewirkt(wohl eher das Gegenteil), mit dem nötigen Know-How ist eine gute Firewall, welche gut eingerichtet ist(Router Firewall oder unter den Software Firewalls Tiny Firewall) sehr gut.
Ich frage mich auch, wo das Problem liegt: einige User wollen Dienste konfigurieren und Zusatztools für die Sicherheit verwenden, andere eine Router-Firewall. Ich denke, beide Parteien werden geschützt sein.
Die Gruppe, welche gegen die Firewalls sprechen, zielen ja meist auf Anfänger ab, welche nicht Wissen für was Port 135, Post 80 usw. da ist und nicht im Stande sind eine Firewall ordernlich zu konfigurieren. Ich wage mal zu behaupten, dass es auch solche User gibt, welche das nötige Know-How haben und eine Router-Firewall ordentlich konfigurieren können bzw. ein System sicher machen können... mit Firewall. Denn hier hat sich ganz klar die Meinung verbreitet: Firewalluser = dummer User = User mit unsicherem PC, was aber keinesfalls so pauschal gesagt werden kann.
Mir ist klar, dass jetzt wieder die Verfechter der Firewall kommen und ihre Argumente niederschreiben... naja

[ph030]

@ PanteraBM

Rein prinzipiell kann ich mich deinem Post zwar anschließen, aber was geht, unter der Berücksichtigung aller hier aufgezählter Tatsachen, in deinem Kopf vor, wenn Du gefragt wirst "Welches ist die beste Desktopfirewall?"?

Zumindest bei mir gehen dann alle roten Lämpchen an!

Gruß Manu

PS:

@ Frank3000
Hatte mich übrigens bereits mittels "Edit" entschuldigt!

Dieser Beitrag wurde von ph030 bearbeitet: 22. September 2004 - 14:50

[ph030]

@ NoXX

Das meintest du jetzt aber als Witz, oder

[Frank3000]

Zitat (ph030: 22.09.2004, 15:52)

@ NoXX

Das meintest du jetzt aber als Witz, oder 

Da muß ich mich jetzt aber mal anschließen Deine Entschuldigung habe ich gelesen, akzeptiert und mich dann auch für meine Entgleisung entschuldigt.

[Rika]

@Frank3000:

Zitat

Da müßte ich ja ständig angegriffen werden und mein Rechner ein paar mal am Tag in die Knie gehen

Mit Verlauch, aber das ist Unsinn hoch zehn.

Zitat

Ob mein Rechner befallen ist oder nicht merke ich schon, keine Sorge

Wenn ich 1 € bekäme für jedes Mal...

Zitat

und ein von Euch beschriebener Angriff der sich durch 100% ige Systemauslastung äußert würde mir wohl auch kaum verborgen bleiben

Schön, nur hast du den Rest überlesen. Ich beschrieb auch einen Angriff, der die Firewall inklusive ihrer Regeln komplett durchtunnelt.

Zitat

was sagt das denn dann über die Verfasser dieser Tips aus? Und über die Programmierer die in Monatelanger Arbeit solche Software programmieren?

IMHO war das Fazit dieser Diskussionen immer daß die Programmierer sehr viel Ahnung von Windows-Programmierung und sehr wenig Ahnung von Netzwerken haben. Sprich: Bloatware

Zitat

Ich möchte hier mal einen Vorschlag aus einem anderen Thread aufnehmen. Alle die Experten hier sollen doch mal eine Seite programmieren die verschiedene Angriffe simuliert. Wenn diese dann wirklich meine Firewall aushebeln glaube ich Euch.

Das hatten wir doch schon mal in einem anderen Thread...
Wie dem auch sei, nicht nur daß man das beweisen kann (Tipp: fragrouter existiert), eigentlich musst du uns beweisen daß es nicht möglich ist ein WinXP-System allein mit Bordmitteln ohne eine PFW sicher zu bekommen, was anundfürsich total lächerlich ist.

@ph030:
Dein Professor ist nicht etwas Lutz Donnerhacke? Welcher Professor in Deutschland macht denn sowas sonst noch? Klar, bei uns an der TU der Prof. Pfitzmann, aber sonst?

Ansonsten nein, keine Mittagspause, erst vor 'ner halben Stunde aufgestanden.

@BAstil: Da wäre ich vorsichtig, denn ein Paketfilter auf dem Rechner ist ein hostbasierender Paketfilter und als solcher in der Literatur ebenfalls als minimale Sicherheitsmaßnahme bekannt. Allein darauf folgt nicht daß der tyische PFW-Müll einen brauchbaren HBPF darstellt, weil dieser ja vor allem auf Funktion (d.h. er soll keine zusätzliche Sicherhietslücken bringen) und Schlankheit (d.h. klein und möglichst einfach, damit er die Sicherheitsvorteile nicht durch seine Komplexität wieder negiert) getrimmt sein. Deshalb kann bei richtiger Nutzung zumindest die XP-IVFW oder der IPFilter durchaus sinnvoll sein.
Wobei die XP-IVFW wegen der Menge der daran gebundenen Dienste IMHO durchaus schon zu komplex ist.

Ansonsten dachte ich auch daß das mit der Unsichtbarkeit (keine Antwort -> er versteckt sich) und dem NAT soweit schon erläutert worden wäre.

@Ich: Etwas vorsichtig wäre ich da aber schon, z.B. gehen viele der zunächst plausiblen Annahme nach daß die Bindung eines Dienstes an ein Interface vom anderen Interface aus nicht sichtbar wäre. http://www.securityfocus.com/archive/1/271...30/2002-06-05/0

@Superia:

Zitat

>>Hardware Router für 30 Euro
So, so, der ist dann auch für ISDN geeignet, oder wie?

Ich denke mal daß man Router eher nur dann braucht wenn man wirlich routen muss (d.h. notgedrungen IP-Masquerading für zwei oder mehr Clients einsetzt). Einen Router als billige Firewall zu missbrauchen ist, naja, etwas eigenwillig. Bei ISDN sieht die typische Lösung jedoch wie eine ISDN/Modem/Telefon-Kombianlage mit USB-Hub aus. ;-)

Zitat

>>richtige Konfiguration einer Firewall und ihrer Funktionsweise haben selbst in diesem IT Forum nichtmal 1% der User.
Na, dann kannst Du uns ja wohl genau erklären, wie man richtig konfiguriert!?

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP
-P INPUT -p unknown DROP
-P INPUT -p TCP -s 0.0.0.0/32 -d localip -state RELATED,ETABLISHED -f A/F/R/P ACCEPT
-P INPUT -p TCP,UDP -s dnsserver -d localip -sourceport 53 ACCEPT
-P INPUT -p TCP -s 0.0.0.0/32 -d localip -destinationport 113 reject-with-tcprst
-P INPUT -p TCP -s 0.0.0.0/32 -d localip -destinationport 0-1024 DROP
-P INPUT -p TCP -s 0.0.0.0/32 -d localip -destinationport 1025-65535 reject-with-tcprst
-P INPUT -p TCP -s 0.0.0.0/32 -d localip -destinationport 4661,4662,4665,4672,[weitere Ports von P2P-zeug] DROP
[Liste mit Regeln für ICMP]
[eigene Regeln]

@PanteraBM:
Die klugen User wissen aber warum sie für diese Zwecke sich eben nicht mit dem PFW-Müll rumärgern wollen. Wirklich. Und solche Leute sind sind auch darüber im Klaren daß eine Firewall ohne sehr gut durchdachte Konfiguration nix wert ist... und sowas kriegen die meisten User definitiv nicht hin... und nein, daran ändert auch ein pseudointelligenter Klicki-Bunti-Wizard nichts. Allein die Standardregeln sind zu 100% unbrauchbar. Und wenn ich dann noch sehe wie die Sygate PFW behauptet etwas gegen ARP- und IP-Spoofing unternehmen zu können, dann kann ich nur noch lachen.

Dieser Beitrag wurde von Rika bearbeitet: 22. September 2004 - 15:09

[PanteraBM]

@ph030

Okay, also sind wir uns da schonmal einig. Mir kommt es nur so vor, dass hier im Forum die Meinung herrscht: Firewalls sind generell schlecht, und dem ist definitiv nicht so(was viele Informatik-Freunde ich ich persönlich bestätigen können). Dass man dann auch etwas Zeit investieren muss, bis alles funktioniert und (falls noch nicht vorhanden) sich mit dem Hintergrund etwas ausseinander setzen sollte, ist klar. Mit einem Rundum-Sorglos Packet, wie es ein ZoneAlarm und Co. bietet, hat man freilich keinen Schutz.
Ich halte es so: doppelt gemoppelt hält besser.Ich habe eine Routerfirewall, einen Virenscanner der bei jedem Windowsstart nach Updates sucht und danach einmal zur vollen Stunde(ja, es ist Kaspersky), dazu XP AntiSpy, Alternativ Browser, Updatedownloads von MS automatisiert und einige andere Einstellungen, welche meinen PC absichern.
Seit Ewigkeiten hatte ich keine Probleme mit Malware, hier können natürlich wieder die Stimmen der Firewall-Verfechter auftauchen, dass ich das ja gar nicht wisse und ich sowieso ein dummer User bin, der keine Ahnung hat, ich habe allerdings mein System soweit aufgeräumt, dass ich merke, wenn sich etwas verändert.



Edit: Da war Rika mal wieder schneller. Ich hör gleich auf mit der Arbeit und dann gehts ab zur Bandprobe, deshalb habe ich keine Zeit mich zu deinem Post zu äussern, ich werd mir das am Abend genauer ansehen.

Dieser Beitrag wurde von PanteraBM bearbeitet: 22. September 2004 - 15:17

[ph030]

@ Frank3000

Gut, wir ham uns alle wieder lieb! Wenn du mal in der Nähe bist, dann trinke mer n Bierche

@ Rika

Meinst du den "Pfitzmann" von der TU Dresden? Der soll ja ganz gut abgehen manchmal

Ich bin an der Uni in FfM, die spinnen schon manchmal, aber wenn ich gelegentlich mal bei den Kollegen der TU Darmstadt vorbeischau, kommt mir das Grausen

Dieser Beitrag wurde von ph030 bearbeitet: 22. September 2004 - 15:13

[Frank3000]

Zitat (Rika: 22.09.2004, 16:02)

@Frank3000:

Das hatten wir doch schon mal in einem anderen Thread...
Wie dem auch sei, nicht nur daß man das beweisen kann (Tipp: fragrouter existiert), eigentlich musst du uns beweisen daß es nicht möglich ist ein WinXP-System allein mit Bordmitteln ohne eine PFW sicher zu bekommen, was anundfürsich total lächerlich ist.

Ich habe nie behauptet daß es nicht möglich ist sein System mit Windows Boardmitteln dicht zu machen. Wobei es für weniger erfahrenen Anwender bestimmt wesentlich leichter ist eine Desktopfirewall zu nutzen, die auch in den Standarteinstellungen schon ganz gut arbeitet. Aber Du und andere haben behauptet daß meine Desktopfirewall mich so gut wie gar nicht schützt. Also müßt Ihr diese Behauptung beweisen, wieso sollte ich irgendetwas beweisen was Du und nicht ich glaube?
Das man eine Software auch umgehen bzw abschalten kann ist ja nichts neues, aber dafür müßte ein solch bösartiges Prog ja ersteinmal auf meinen Rechner kommen, an der Firewall vorbei. Ein Script zu schreiben das den Task von z.B. ZoneAlarm beendet ist ja nicht weiter schwer, aber das ist nicht sehr realistisch und fair dieses dann einfach auf dem Rechner auszuführen und dann siehste zu sagen. Wie ist es denn auf den Rechner gelangt? Wenn ich jeden E-Mailanhang zulasse dann muß ich mich nicht wundern, aber wer Wert auf eine Desktopfirewall legt wird bestimmt auch hier nicht jede Vorsicht über Bord werfen. Also bleibt die Frage wie dieses Script, Tool o.ä. auf den Rechner gekommen ist. Des weiteren lassen mich irgendwelche Feldversuche von Studenten noch nicht am Sinn einer solchen Firewall zweifeln. Und die Angriffe von bekannten Testseiten im Internet bringen diese nicht ins wanken. Und Testprogramme die von innen beweisen wollen daß mein Rechner offen ist stelle ich aus den schon genannten Gründen sowieso in Frage. Denn wenn ich ersteinmal irgendetwas auf dem Rechner habe ist ja sowieso schon etwas schief gelaufen. Eine Seite die, ohne daß ich nachhelfen und etwas installieren muß, meine Firewall ins wanken bringt habe ich noch nicht gefunden. Aber das ist ein typisches Problem von Studenten und sonstigen Theoretikern, die Realität findet nunmal nicht unter Laborbedingungen statt! So daß wirklich alles stimmen muß damit der Versuch funzt.

[Frank3000]

Zitat (ph030: 22.09.2004, 16:03)

@ Frank3000

Gut, wir ham uns alle wieder lieb! Wenn du mal in der Nähe bist, dann  trinke mer n Bierche 

Das ist doch mal ein netter Vorschlag
Es macht ja auch manchmal Spaß mal etwas kontrovers zu diskutieren

[ph030]

@ Frank3000

Na dann, wenn du mal in Frankfurt bist...sag Bescheid

Zitat

Es macht ja auch manchmal Spaß mal etwas kontrovers zu diskutieren

No comment

Dieser Beitrag wurde von ph030 bearbeitet: 22. September 2004 - 15:22

[Rika]

Zitat

Wobei es für weniger erfahrenen Anwender bestimmt wesentlich leichter ist eine Desktopfirewall zu nutzen

Moment mal. Du willst eine "Firewall" als Sicherheitsmaßnahme einsetzen ohne erstmal grundlegendere Sicherheitsmaßnahmen getroffen zu haben? Sorry, aber das ist wirklich lächerlich.
Auch ist dir die Bedeutung des Begriffes "Zuverlässigkeit" für die Sicherheit eines Systems nicht klar.

Zitat

die auch in den Standarteinstellungen schon ganz gut arbeitet.

Toll, und wer wischt jetzt den Kaffee von meinem Bildschirm?

Zitat

Also müßt Ihr diese Behauptung beweisen, wieso sollte ich irgendetwas beweisen was Du und nicht ich glaube?

Du verwechselst Hypothese und Nullhypothese. Letzteres ist die Grundannahme.

Zitat

Aber das ist ein typisches Problem von Studenten und sonstigen Theoretikern, die Realität findet nunmal nicht unter Laborbedingungen statt! So daß wirklich alles stimmen muß damit der Versuch funzt.

Richtig, in der Praxis stehen auch noch schlechte Konfiguration, versaute Windows-Mühlen und dumme Nutzer als zusätzliche Probleme da, die es noch schlimmer machen.