[Spoo]

eine Hardwarefirewall ist eigentlich sinnvoller , sinnvoll ist eine PFW nur wenn ein bestimmtes Prog nicht nach Haus telefonieren soll was eine hardwarefirewall nicht immer zu blocken schaft

Norten PFW warnt einen wenn ein Angriff stattfindet und bevor einer einen kommentar zu Norten ablässt Ihr brauch mir nix zu erzählen wie unsicher, systemfressend usw das sein soll, durch eine richtige konfig ist norten extrem schneller und sicherer als mit der 08/15 Einstellung

[Graumagier]

ICE sagte:

sinnvoll ist eine PFW nur wenn ein bestimmtes Prog nicht nach Haus telefonieren soll was eine hardwarefirewall nicht immer zu blocken schaft

Und eine PFW schafft das, oder wie?

ICE sagte:

Norten

Norton

ICE sagte:

durch eine richtige konfig ist norten extrem schneller und sicherer als mit der 08/15 Einstellung

Schneller ja, sicherer, nun ja, das Programm beeinflusst die Gesamtsicherheit dann nicht mehr ganz so negativ -- oder so.

[Overflow]

Zitat (ICE: 15.06.2006, 19:49)

Norten PFW warnt einen wenn ein Angriff stattfindet

Oh ja, es reicht schon meist wenn den Rechner jemand pingt, um Norton einen Angriff vermuten zu lassen...Sehr seriös....

[Stefan_der_held]

Bei all der huldigung von HW-Firewalls:

Ich für meinen Teil kenne genügend Leute die nur ne HW haben aber schon sehr oft gehackt wurden.... Finde wer ne HW Firewall hat der sollte zusätzlich ne SoftwareFirewall isntallieren

[Graumagier]

Stefan der held sagte:

Ich für meinen Teil kenne genügend Leute die nur ne HW haben aber schon sehr oft gehackt wurden....

Ja, klar, die phösen Hacker!!1elf

Stefan der held sagte:

Finde wer ne HW Firewall hat der sollte zusätzlich ne SoftwareFirewall isntallieren

Was für eine bemerkenswert sinnlose Aussage. Kannst du das begründen? Ich nehme mal an dass für dich jede NAT-Schachtel eine Hardware-Firewall ist, anders kann ich mir deinen Post nicht begründen.

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 19:59

[flo]

Vielleicht sollten wir den Begriff "Hardware-Firewall" erstmal definieren:

Eine wirkliche Hardware-Firewall ist etwas zu Kostspielig für den Privatgebrauch, das was Landläufig als Hardware-Firewall bezeichnet wird ist ein Internet Accsess Router ,mit SPI Firewall, was nicht mit einer wirklichen Hardware-Firewall zu vergleichen ist.

http://de.wikipedia....rdware-Firewall

[Stefan_der_held]

Zitat (Graumagier: 15.06.2006, 20:58)

Ja, klar, die phösen Hacker!!1elf
Was für eine bemerkenswert sinnlose Aussage. Kannst du das begründen? Ich nehme mal an dass für dich jede NAT-Schachtel eine Hardware-Firewall ist, anders kann ich mir deinen Post nicht begründen.

Reden tue ich von dem Firewall konzept ua.von Netgear Routern.

Und zur zusätzlichen Softwarefirewall auf dem Endrechner: Ich halte daher davon viel, weil dies nochmal zusätzlich eine Hürde für Angreifer bildet. Und vorallem: Jedes Programm was sich von meinem Rechner dann versucht ins INet einzuwählen (und meine Firewall und Windows auf neuem Stand sind) ebenfalls durch diesen Paketfilter muss Dort kann ich dann reagieren und den IVerker sperren bzw. das LAN Kabel ziehen. Ohne Softwarefirewall bekomm ich solche Meldungen nciht.

Wovon ich selber allerdings abrate sind komplettlösungen also "Internetsecurity" proggis. Da wenn cih durhc ein Programm gekommen bin, sich für mcih Tür-und-Tor öffnet und von der Kombi Antivir+Zonearlarm zum Beispiel kann ich nur raten.

[Graumagier]

Stefan_der_held sagte:

Reden tue ich von dem Firewall konzept ua.von Netgear Routern.

*Seufz*, ein Router ist kein Firewall-Konzept, und haben tut er erst recht keines.

Stefan_der_held sagte:

Ich halte daher davon viel, weil dies nochmal zusätzlich eine Hürde für Angreifer bildet.

Eher nicht, im schlimmsten Fall stellt die PFW sogar eine Lücke dar. Du solltest dich mal mittels der einschlägigen Links informieren.

Stefan_der_held sagte:

Und vorallem: Jedes Programm was sich von meinem Rechner dann versucht ins INet einzuwählen (und meine Firewall und Windows auf neuem Stand sind) ebenfalls durch diesen Paketfilter muss Dort kann ich dann reagieren und den IVerker sperren bzw. das LAN Kabel ziehen.

Tut mir leid, aber das ist einfach zu viel.

Stefan_der_held sagte:

Ohne Softwarefirewall bekomm ich solche Meldungen nciht.

Nochmals: Lies die zuhauf vorhandenen Links und du wirst merken, welchen Schwachsinn du schreibst.

Stefan_der_held sagte:

Wovon ich selber allerdings abrate sind komplettlösungen also "Internetsecurity" proggis. Da wenn cih durhc ein Programm gekommen bin, sich für mcih Tür-und-Tor öffnet und von der Kombi Antivir+Zonearlarm zum Beispiel kann ich nur raten.

Dieser Absatz ist sogar noch sinnloser (und lustiger ) als die vorangegangenen, aber zumindest stimmt die Grundaussage

[Doppelwinkel]

Ich bin zwar auch absoluter Gegner von Personal Firewalls, aber dennoch sollten wir uns mal die Fakten ansehen.

Denken wir uns mal zurück in eine Zeit, als jeder noch Windows 9x oder 2000 einsetzte. Hardware-Router waren damals Seltenheit - Breitbandinternetzugänge wie DSL kamen gerad erst auf den Massenmarkt.

$ONU wählt sich also mit seiner ELSA oder AVM ISDN Karte, alternativ mit seinem 56k Modem ins Internet ein, und öffnet dabei alle Ports die der Rechner nunmal so öffnen kann zum WAN hin. Ohne eine PFW wäre der User da ziemlich aufgeschmissen.

Heutzutage hat zumindest WinXP eine simple, aber dennoch vorhandene und funktionale PFW an Bord. Die ist jetzt zwar nicht der absolute Bringer aber 99% aller Bots und Scriptkiddies hält sie schonmal vom Einwahl-User fern. Insofern macht das verwenden einer PFW also schon einen gewissen Sinn (übrigens ebenso recht sinnvoll wenn man sich an einem öffentlichen Hotspot befindet). Hier gilt ganz simpel die Devise "Besser als nix".

Für den Homeuser, der ja mittlerweile eh meist DSL16000 am Start hat empfiehlt sich darüberhinaus ein ganz simpler NAT Router. Dieser stellt alleine durch sein Vorhandensein eine wichtige Schutzmaßnahme dar, indem keine ankommenden Pakete ins Intranet geleitet werden, also der Computer des Users nicht direkt mit dem Netz kommuniziert. In so einem Falle kann man seine PFW also theoretisch auch gänzlich weglassen.

Viel wichtiger ist es aber darüberhinaus auch, dass der User aktiv an der Sicherheit mitarbeitet. Das soll heißen: mit eingeschränkten Rechten arbeiten, nicht jede E-Mail Anlage ohne Nachzudenken öffnen, nicht den IE zu verwenden (oder zumindest einige Features wie ActiveX einzuschränken oder zu deaktivieren) und und und... Die beste Sicherheitslösung hilft nichts wenn der User aktiv dagegen ankämpft .

Aber um nochmal zur PFW zurückzukommen: Selbst wenn man glaubt, man bräuchte eine, reicht die WinXp-interne doch für alles aus - wozu also unnötiges Geld ausgeben (vor allem wenn ein NAT Router ungefähr das selbe kostet )?

Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:14

[Graumagier]

Doppelwinkel sagte:

$ONU wählt sich also mit seiner ELSA oder AVM ISDN Karte, alternativ mit seinem 56k Modem ins Internet ein, und öffnet dabei alle Ports die der Rechner nunmal so öffnen kann zum WAN hin. Ohne eine PFW wäre der User da ziemlich aufgeschmissen.

Blödsinn, wieso sollten plötzlich alle Ports geöffnet sein, nur weil keine Hardware-Firewall vorhanden ist?

Doppelwinkel sagte:

Die ist jetzt zwar nicht der absolute Bringer aber 99% aller Bots und Scriptkiddies hält sie vom Einwahl-User fern.

Die wirklich großen Pandemien der letzten Zeit liesen sich allesamt mit dem zeitgerechten Einspielen von Plugins überstehen. Insofern machen PFWs einfach keinen Sinn, weil der Nutzen den Schaden, den sie anrichten, nicht aufwiegt.

Doppelwinkel sagte:

Dieser stellt alleine durch sein Vorhandensein eine wichtige Schutzmaßnahme dar, indem keine ankommenden Pakete ins Intranet geleitet werden.

Frage: Was ist das Problem dabei, wenn Pakete ins LAN kommen? Und: Was hat ein NAT-Router mit Sicherheit zu tun?

[Doppelwinkel]

Zitat (Graumagier: 15.06.2006, 22:16)

Blödsinn, wieso sollten plötzlich alle Ports geöffnet sein, nur weil keine Hardware-Firewall vorhanden ist?
Die wirklich großen Pandemien der letzten Zeit liesen sich allesamt mit dem zeitgerechten Einspielen von Plugins überstehen. Insofern machen PFWs einfach keinen Sinn, weil der Nutzen den Schaden, den sie anrichten, nicht aufwiegt.
Frage: Was ist das Problem dabei, wenn Pakete ins LAN kommen? Und: Was hat ein NAT-Router mit Sicherheit zu tun?

Seit wann redet man von Plugins wenn man einen Hotfix meint.

Technisch gesehen ist oder zumindest war eine Einwahlverbindung gleich einer Plain-Ethernet-Verbindung, d.h. alle Schnittstellen die ein PC zum LAN bereitstellt wie z.b. Port 139 für SMB wären dadurch auch ins WAN freigegeben. Durch das NATing endet die Route eines eingehenden Paketes beim Router und eben nicht am eigentlichen Host.

Ein bisschen informieren vor dem Posten soll schon vielen weitergeholfen haben. Ein simpler Paketfilter ist immerhin sicherer, als eine gänzlich offene Verbindung zum WAN - denn selbst Hotfixe kommen erst einige Tage nach dem Bekanntwerden der Sicherheitslücke heraus.

Und um nochmal darauf hinzuweisen - ich rede NICHT von irgendeiner Zonealarm Geschichte sondern durch das bisschen Paketfilter das MS seinen produkten beilegt - den man z.B. auch sehr bequem per Policy abschalten oder an seinen DNS Namespace anpassen kann.

Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:23

[Graumagier]

Doppelwinkel sagte:

Seit wann redet man von Plugins wenn man einen Hotfix meint.

LOL, seitdem man übermüdet ist

Doppelwinkel sagte:

Technisch gesehen ist oder zumindest war eine Einwahlverbindung gleich einer Plain-Ethernet-Verbindung, d.h. alle Schnittstellen die ein PC zum LAN bereitstellt wie z.b. Port 139 für SMB wären dadurch auch ins WAN freigegeben.

Schön, dann schaltet man SMB ab...

Doppelwinkel sagte:

Durch das NATing endet die Route eines eingehenden Paketes beim Router und eben nicht am eigentlichen Host.

Das hat mit NAT genau gar nichts zu tun.

Doppelwinkel sagte:

Ein bisschen informieren vor dem Posten soll schon vielen weitergeholfen haben.

Das denke ich mir auch des Öfteren...

Doppelwinkel sagte:

Ein simpler Paketfilter ist immerhin sicherer, als eine gänzlich offene Verbindung zum WAN

Jupp, warum also kein günstiger Router?

Doppelwinkel sagte:

denn selbst Hotfixe kommen erst einige Tage nach dem Bekanntwerden der Sicherheitslücke heraus.

Dann kannst du ja sicher ein Beispiel nennen. Für Blaster war der Patch z.B. schon zwei Wochen im Voraus vorhanden.

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 21:35

[Doppelwinkel]

Zitat (Graumagier: 15.06.2006, 22:34)

Schön, dann schaltet man SMB ab...

Ja, wir vielleicht. Aber eben nicht $ONU.

Ausserdem ist eine solche Aktion höchst unrecommended. Das klappt vielleicht wenn Du nur Deinen PC und den Deiner Freundin zu managen hast. Aber wenn du bei 200 Kunden jedes Mal einen anderen Pfusch machst öffnest Du dadurch erst recht Tür und Tor für das Chaos. Von daher auch höchst fragwürdig.

Zitat (Graumagier: 15.06.2006, 22:34)

Das hat mit NAT genau gar nichts zu tun.

Insofern schon, dass durch die Network Adress Translation ein öffentliches Netz in ein Privates Netz umgesetzt wird (und private Netze eben nicht geroutet werden). Daher macht es schon einen Unterschied, ob Du die 62.12.98.80 oder eben die 192.168.13.5 hast und Dein Router die öffentliche IP hat, da Pakete die direkt an den Host mit der Class C Adresse gesendet werden dort gar nicht ankommen können.

Zitat (Graumagier: 15.06.2006, 22:34)

Jupp, warum also kein günstiger Router?

"Weil des Geld kost'" und es beim Aldi nunmal keine Hardware-Router gibt . Bei Leuten, die sich gedanken machen und auch mal auf den Rat von jemandem aus den Business hört ist das erste was sie anschaffen ein gescheiter Router, also auch nix in Richtung D-Link oder Netgear. Aber $ONU macht sich ja gar keine Gedanken darüber, ob vielleicht mit vorhandenen Mitteln oder aber einer sinnvollen Invesititon etwas verbesser werden könnte. Ich sags ja die ganze Zeit schon: Die Routerverpackungen sind hat einfach nicht bunt genug .

Zitat (Graumagier: 15.06.2006, 22:34)

Dann kannst du ja sicher ein Beispiel nennen. Für Blaster war der Patch z.B. schon zwei Wochen im Voraus vorhanden.

Da wären wir wieder beim Thema: Du musst Dir immer überlegen, dass Dein User macht. Wenn er die automatischen Updates nicht aktiviert hat (entweder weil er von dessen Existenz gar nicht weiss oder in der Computerbild gelesen hat dass MS angeblich seine Kunden ausspioniert), und er darüberhinaus noch lokaler Admin ist, hilft der beste Patch nix.

Von daher ist mein Standpunkt, dass (ich gehe mal von jemandem aus der sich direkt an seinem PC is Netz einwählt) die WinXP interne SW Firewall zumindest das schlimmste verhindert, aber natürlich nicht ausreichend ist.

Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:50

[Graumagier]

Doppelwinkel sagte:

Ausserdem ist eine solche Aktion höchst unrecommended.

Und jetzt darfst du mal überlegen was aus Netzwerksicht der Unterschied zwischen "SMB abschalten" und "SMB mit PFW blocken ist".

Doppelwinkel sagte:

Insofern schon

Insofern nicht als dass man dazu nicht zwangsläufig NAT benötigt, aber das ist auch nicht wirklich wichtig.

Doppelwinkel sagte:

Von daher ist mein Standpunkt, dass (ich gehe mal von jemandem aus der sich direkt an seinem PC is Netz einwählt) die WinXP interne SW Firewall zumindest das schlimmste verhindert, aber natürlich nicht ausreichend ist.

Mit der Windows-FW kann man zumindest leben, auch wenn man natürlich darüber streiten kann, ob ein User ohne entsprechende ordentliche Konfiguration im Endeffekt besser dran ist als ohne.

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 21:57

[Rika]

Zitat

Oh ja, es reicht schon meist wenn den Rechner jemand pingt, um Norton einen Angriff vermuten zu lassen...Sehr seriös....

UDP-Paket auf Port 666 mit gespoofter IP des DNS.

Zitat

Ja, klar, die phösen Hacker!!1elf

Es heißt "pöhsen" Shift-1Shift-11elf

Zitat

indem keine ankommenden Pakete ins Intranet geleitet werden,

Schön, aber in Realität sieht das ganz anders aus.

Zitat

Die beste Sicherheitslösung hilft nichts wenn der User aktiv dagegen ankämpft

Z.B. mit einer PFW lokale Rechteerweiterung ermöglicht.
BTW, hast du das Abschalten unnötiger Dienste absichtlich vergessen? Denn das wirft deine Argumentation über den Haufen.

Zitat

Technisch gesehen ist oder zumindest war eine Einwahlverbindung gleich einer Plain-Ethernet-Verbindung

Nein.

Zitat

d.h. alle Schnittstellen die ein PC zum LAN bereitstellt wie z.b. Port 139 für SMB wären dadurch auch ins WAN freigegeben.

Ja. In Windows 95. Außerdem gibt's auf Port 139 kein SMB, sondern NetBIOS.

Zitat

Schön, dann schaltet man SMB ab...

Nitpick: Das geht leider nur global, nicht pro Interface. Aber selbst Samba macht NetBT auf Port 139 mit.