Diskussion über Desktop Firewalls
#646
geschrieben 15. Juni 2006 - 18:49
Norten PFW warnt einen wenn ein Angriff stattfindet und bevor einer einen kommentar zu Norten ablässt Ihr brauch mir nix zu erzählen wie unsicher, systemfressend usw das sein soll, durch eine richtige konfig ist norten extrem schneller und sicherer als mit der 08/15 Einstellung
Anzeige
#647
geschrieben 15. Juni 2006 - 19:00
ICE sagte:
Und eine PFW schafft das, oder wie?
ICE sagte:
Norton
ICE sagte:
Schneller ja, sicherer, nun ja, das Programm beeinflusst die Gesamtsicherheit dann nicht mehr ganz so negativ -- oder so.
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#648
geschrieben 15. Juni 2006 - 19:32
#649
geschrieben 15. Juni 2006 - 19:52
Ich für meinen Teil kenne genügend Leute die nur ne HW haben aber schon sehr oft gehackt wurden.... Finde wer ne HW Firewall hat der sollte zusätzlich ne SoftwareFirewall isntallieren
#650
geschrieben 15. Juni 2006 - 19:58
Stefan der held sagte:
Ja, klar, die phösen Hacker!!1elf
Stefan der held sagte:
Was für eine bemerkenswert sinnlose Aussage. Kannst du das begründen? Ich nehme mal an dass für dich jede NAT-Schachtel eine Hardware-Firewall ist, anders kann ich mir deinen Post nicht begründen.
Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 19:59
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#651
geschrieben 15. Juni 2006 - 19:58
Eine wirkliche Hardware-Firewall ist etwas zu Kostspielig für den Privatgebrauch, das was Landläufig als Hardware-Firewall bezeichnet wird ist ein Internet Accsess Router ,mit SPI Firewall, was nicht mit einer wirklichen Hardware-Firewall zu vergleichen ist.
http://de.wikipedia....rdware-Firewall
#652
geschrieben 15. Juni 2006 - 20:33
Zitat (Graumagier: 15.06.2006, 20:58)
Was für eine bemerkenswert sinnlose Aussage. Kannst du das begründen? Ich nehme mal an dass für dich jede NAT-Schachtel eine Hardware-Firewall ist, anders kann ich mir deinen Post nicht begründen.
Reden tue ich von dem Firewall konzept ua.von Netgear Routern.
Und zur zusätzlichen Softwarefirewall auf dem Endrechner: Ich halte daher davon viel, weil dies nochmal zusätzlich eine Hürde für Angreifer bildet. Und vorallem: Jedes Programm was sich von meinem Rechner dann versucht ins INet einzuwählen (und meine Firewall und Windows auf neuem Stand sind) ebenfalls durch diesen Paketfilter muss Dort kann ich dann reagieren und den IVerker sperren bzw. das LAN Kabel ziehen. Ohne Softwarefirewall bekomm ich solche Meldungen nciht.
Wovon ich selber allerdings abrate sind komplettlösungen also "Internetsecurity" proggis. Da wenn cih durhc ein Programm gekommen bin, sich für mcih Tür-und-Tor öffnet und von der Kombi Antivir+Zonearlarm zum Beispiel kann ich nur raten.
#653
geschrieben 15. Juni 2006 - 20:46
Stefan_der_held sagte:
*Seufz*, ein Router ist kein Firewall-Konzept, und haben tut er erst recht keines.
Stefan_der_held sagte:
Eher nicht, im schlimmsten Fall stellt die PFW sogar eine Lücke dar. Du solltest dich mal mittels der einschlägigen Links informieren.
Stefan_der_held sagte:
Tut mir leid, aber das ist einfach zu viel.
Stefan_der_held sagte:
Nochmals: Lies die zuhauf vorhandenen Links und du wirst merken, welchen Schwachsinn du schreibst.
Stefan_der_held sagte:
Dieser Absatz ist sogar noch sinnloser (und lustiger ) als die vorangegangenen, aber zumindest stimmt die Grundaussage
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#654
geschrieben 15. Juni 2006 - 21:12
Denken wir uns mal zurück in eine Zeit, als jeder noch Windows 9x oder 2000 einsetzte. Hardware-Router waren damals Seltenheit - Breitbandinternetzugänge wie DSL kamen gerad erst auf den Massenmarkt.
$ONU wählt sich also mit seiner ELSA oder AVM ISDN Karte, alternativ mit seinem 56k Modem ins Internet ein, und öffnet dabei alle Ports die der Rechner nunmal so öffnen kann zum WAN hin. Ohne eine PFW wäre der User da ziemlich aufgeschmissen.
Heutzutage hat zumindest WinXP eine simple, aber dennoch vorhandene und funktionale PFW an Bord. Die ist jetzt zwar nicht der absolute Bringer aber 99% aller Bots und Scriptkiddies hält sie schonmal vom Einwahl-User fern. Insofern macht das verwenden einer PFW also schon einen gewissen Sinn (übrigens ebenso recht sinnvoll wenn man sich an einem öffentlichen Hotspot befindet). Hier gilt ganz simpel die Devise "Besser als nix".
Für den Homeuser, der ja mittlerweile eh meist DSL16000 am Start hat empfiehlt sich darüberhinaus ein ganz simpler NAT Router. Dieser stellt alleine durch sein Vorhandensein eine wichtige Schutzmaßnahme dar, indem keine ankommenden Pakete ins Intranet geleitet werden, also der Computer des Users nicht direkt mit dem Netz kommuniziert. In so einem Falle kann man seine PFW also theoretisch auch gänzlich weglassen.
Viel wichtiger ist es aber darüberhinaus auch, dass der User aktiv an der Sicherheit mitarbeitet. Das soll heißen: mit eingeschränkten Rechten arbeiten, nicht jede E-Mail Anlage ohne Nachzudenken öffnen, nicht den IE zu verwenden (oder zumindest einige Features wie ActiveX einzuschränken oder zu deaktivieren) und und und... Die beste Sicherheitslösung hilft nichts wenn der User aktiv dagegen ankämpft .
Aber um nochmal zur PFW zurückzukommen: Selbst wenn man glaubt, man bräuchte eine, reicht die WinXp-interne doch für alles aus - wozu also unnötiges Geld ausgeben (vor allem wenn ein NAT Router ungefähr das selbe kostet )?
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:14
#655
geschrieben 15. Juni 2006 - 21:16
Doppelwinkel sagte:
Blödsinn, wieso sollten plötzlich alle Ports geöffnet sein, nur weil keine Hardware-Firewall vorhanden ist?
Doppelwinkel sagte:
Die wirklich großen Pandemien der letzten Zeit liesen sich allesamt mit dem zeitgerechten Einspielen von Plugins überstehen. Insofern machen PFWs einfach keinen Sinn, weil der Nutzen den Schaden, den sie anrichten, nicht aufwiegt.
Doppelwinkel sagte:
Frage: Was ist das Problem dabei, wenn Pakete ins LAN kommen? Und: Was hat ein NAT-Router mit Sicherheit zu tun?
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#656
geschrieben 15. Juni 2006 - 21:22
Zitat (Graumagier: 15.06.2006, 22:16)
Die wirklich großen Pandemien der letzten Zeit liesen sich allesamt mit dem zeitgerechten Einspielen von Plugins überstehen. Insofern machen PFWs einfach keinen Sinn, weil der Nutzen den Schaden, den sie anrichten, nicht aufwiegt.
Frage: Was ist das Problem dabei, wenn Pakete ins LAN kommen? Und: Was hat ein NAT-Router mit Sicherheit zu tun?
Seit wann redet man von Plugins wenn man einen Hotfix meint.
Technisch gesehen ist oder zumindest war eine Einwahlverbindung gleich einer Plain-Ethernet-Verbindung, d.h. alle Schnittstellen die ein PC zum LAN bereitstellt wie z.b. Port 139 für SMB wären dadurch auch ins WAN freigegeben. Durch das NATing endet die Route eines eingehenden Paketes beim Router und eben nicht am eigentlichen Host.
Ein bisschen informieren vor dem Posten soll schon vielen weitergeholfen haben. Ein simpler Paketfilter ist immerhin sicherer, als eine gänzlich offene Verbindung zum WAN - denn selbst Hotfixe kommen erst einige Tage nach dem Bekanntwerden der Sicherheitslücke heraus.
Und um nochmal darauf hinzuweisen - ich rede NICHT von irgendeiner Zonealarm Geschichte sondern durch das bisschen Paketfilter das MS seinen produkten beilegt - den man z.B. auch sehr bequem per Policy abschalten oder an seinen DNS Namespace anpassen kann.
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:23
#657
geschrieben 15. Juni 2006 - 21:34
Doppelwinkel sagte:
LOL, seitdem man übermüdet ist
Doppelwinkel sagte:
Schön, dann schaltet man SMB ab...
Doppelwinkel sagte:
Das hat mit NAT genau gar nichts zu tun.
Doppelwinkel sagte:
Das denke ich mir auch des Öfteren...
Doppelwinkel sagte:
Jupp, warum also kein günstiger Router?
Doppelwinkel sagte:
Dann kannst du ja sicher ein Beispiel nennen. Für Blaster war der Patch z.B. schon zwei Wochen im Voraus vorhanden.
Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 21:35
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#658
geschrieben 15. Juni 2006 - 21:45
Zitat (Graumagier: 15.06.2006, 22:34)
Ja, wir vielleicht. Aber eben nicht $ONU.
Ausserdem ist eine solche Aktion höchst unrecommended. Das klappt vielleicht wenn Du nur Deinen PC und den Deiner Freundin zu managen hast. Aber wenn du bei 200 Kunden jedes Mal einen anderen Pfusch machst öffnest Du dadurch erst recht Tür und Tor für das Chaos. Von daher auch höchst fragwürdig.
Zitat (Graumagier: 15.06.2006, 22:34)
Insofern schon, dass durch die Network Adress Translation ein öffentliches Netz in ein Privates Netz umgesetzt wird (und private Netze eben nicht geroutet werden). Daher macht es schon einen Unterschied, ob Du die 62.12.98.80 oder eben die 192.168.13.5 hast und Dein Router die öffentliche IP hat, da Pakete die direkt an den Host mit der Class C Adresse gesendet werden dort gar nicht ankommen können.
Zitat (Graumagier: 15.06.2006, 22:34)
"Weil des Geld kost'" und es beim Aldi nunmal keine Hardware-Router gibt . Bei Leuten, die sich gedanken machen und auch mal auf den Rat von jemandem aus den Business hört ist das erste was sie anschaffen ein gescheiter Router, also auch nix in Richtung D-Link oder Netgear. Aber $ONU macht sich ja gar keine Gedanken darüber, ob vielleicht mit vorhandenen Mitteln oder aber einer sinnvollen Invesititon etwas verbesser werden könnte. Ich sags ja die ganze Zeit schon: Die Routerverpackungen sind hat einfach nicht bunt genug .
Zitat (Graumagier: 15.06.2006, 22:34)
Da wären wir wieder beim Thema: Du musst Dir immer überlegen, dass Dein User macht. Wenn er die automatischen Updates nicht aktiviert hat (entweder weil er von dessen Existenz gar nicht weiss oder in der Computerbild gelesen hat dass MS angeblich seine Kunden ausspioniert), und er darüberhinaus noch lokaler Admin ist, hilft der beste Patch nix.
Von daher ist mein Standpunkt, dass (ich gehe mal von jemandem aus der sich direkt an seinem PC is Netz einwählt) die WinXP interne SW Firewall zumindest das schlimmste verhindert, aber natürlich nicht ausreichend ist.
Dieser Beitrag wurde von Doppelwinkel bearbeitet: 15. Juni 2006 - 21:50
#659
geschrieben 15. Juni 2006 - 21:56
Doppelwinkel sagte:
Und jetzt darfst du mal überlegen was aus Netzwerksicht der Unterschied zwischen "SMB abschalten" und "SMB mit PFW blocken ist".
Doppelwinkel sagte:
Insofern nicht als dass man dazu nicht zwangsläufig NAT benötigt, aber das ist auch nicht wirklich wichtig.
Doppelwinkel sagte:
Mit der Windows-FW kann man zumindest leben, auch wenn man natürlich darüber streiten kann, ob ein User ohne entsprechende ordentliche Konfiguration im Endeffekt besser dran ist als ohne.
Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juni 2006 - 21:57
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#660
geschrieben 15. Juni 2006 - 21:57
Zitat
UDP-Paket auf Port 666 mit gespoofter IP des DNS.
Zitat
Es heißt "pöhsen" Shift-1Shift-11elf
Zitat
Schön, aber in Realität sieht das ganz anders aus.
Zitat
Z.B. mit einer PFW lokale Rechteerweiterung ermöglicht.
BTW, hast du das Abschalten unnötiger Dienste absichtlich vergessen? Denn das wirft deine Argumentation über den Haufen.
Zitat
Nein.
Zitat
Ja. In Windows 95. Außerdem gibt's auf Port 139 kein SMB, sondern NetBIOS.
Zitat
Nitpick: Das geht leider nur global, nicht pro Interface. Aber selbst Samba macht NetBT auf Port 139 mit.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)