Warum nur die Wenigsten eine Personal Firewall wirklich brauchen...

[pillars]

Sie sind dazu gedacht um die Gesamtsicherheit des Rechners zu erhöhen auch für unversierte Benutzer. Allerdings stellen PFW`s Fragen mit denen ein normaler Benutzer nicht klar (Darf sich svchost.exe verbinden?) kommt da dazu tiefgründiges Wissen notwendig ist warum sich was verbinden will.

Sie machen Probleme, so das Anwendungen die man eigentlich zulassen will nicht mehr oder nicht mehr fehlerrei funktionieren.

Hier sehr schön zusammengefasst: http://www.winfuture-forum.de/index.php?showtopic=58506. Da empfehle ich als Einstieg zu elsen
- Warum Ist Eine Pfw Schlecht
- Video Des Ccc Zu Desktop Firewalls
- Windows - Sicher konfiguriert.

Auch ganz gut: http://wiki.ubuntuusers.de/Sicherheitskonzepte und http://wiki.ubuntuusers.de/Personal_...%28Personal%29. (Nein es geht _nicht_ darum zu sagen nutzt Linux, sind nur sehr gute Erklärungen.)

Das Wiki ist auch recht neutral gehalten (informativ aber ohne Wertung ob nun sowas sinnvoll ist oder nicht).
http://de.wikipedia.org/wiki/Firewall
http://de.wikipedia.org/wiki/Personal_Firewall
http://en.wikipedia.org/wiki/Firewall_(networking)

Sehr gute Erklärung beim CCC http://www.ulm.ccc.de/PersonalFirewalls.

Wer also einen Packetfilter brauch (weil er Dienste/Ports im lokalen Netzwerk anbietet die er nicht im Internet anbieten will) dem empfehle ich die Windows Firewall oder einen Router mit NAT.

[AlanS]

Für mich persönlich reicht der Router als Firewall, allerdings habe ich auch eine Desktop-Firewall, weil ja schliesslich jede Menge Prg nach Hause telefonieren, und das kann man so am sichersten Kontrollieren, finde ich. Sollte man keinesfalls unberücksichtigt lassen.

[.G.i.R.]

Für mich persönlich reicht der Router als Firewall, allerdings habe ich auch eine Desktop-Firewall, weil ja schliesslich jede Menge Prg nach Hause telefonieren, und das kann man so am sichersten Kontrollieren, finde ich. Sollte man keinesfalls unberücksichtigt lassen.

Deswegen benutze ich auch einen.

[mathmos]

Man sollte aber auch berücksichtigen, dass eine Personal Firewall nie alle unerwünschten Verbindungen blockieren kann. Es gibt immer Mittel und Wege so ein Stück Software zu umgehen.

Von daher ist eine Personal Firewall für mich so nützlich wie ein Kropf.

cu
mathmos

[pillars]

Es geht ja hier absichtlich nur im Personal Firewalls. Ein Router ist ja eine "richtige" Firewall, also er läuft vor dem zu schützendem System. Er hat in der Regel eine Reihe von nützlichen Funktionen. Wenn man geflooded wird, dann dürfte nur der Router laggen oder abstürzen. Alle Dienste die man im Netzwerk freigibt sind aus dem Intetnet nicht erreichbar, sollten diese da diese nicht gepacht wurden durch einen Explosit verwundbar sein dann würde der Router dies verhindern da er auf dem entsprechenden Port keine Weiterleitung eingerichtet hat. Sollte auch mal der unwahrscheinliche Fall eintreten das es einen Explosit für den geschlossenen Windows Port gibt, dann wäre man dann auch geschützt. Natürlich nur soalnge wie man NAT nicht abschaltet bzw. Portfreigaben auf den falschen Ports einstellt. Aber es ging ja hier nur um Personal Firewalls und nicht um Router oder Hardwarefirewalls.

Zu der Personal Firewall und Programm vom Telefonieren abhalten... Wenn ihr nen Router habt und der die ganze Zeit an ist oder an ist bevor der Pc hochgefahren ist dann seid ihr ja schon online. Damit das ganze überhaupt funktionieren könnte, müsste man also aufpassen das sich keines der bösen telefonierenden Programme im Autostart einträgt und damit eventuell vor der PFW gestartet wird und telefonieren kann. Auch müsste man dann konsquent erst Windows installieren, dann die PFW und dann erst alle Programme. Und jetzt seit mal ehrlich... Was macht ihr wenn $programm oder $onlinegame nicht geht... Ja... Mal kurz PFW abschalten. Hätte also so oder so nur nen Sinn wenn man es konsequent durchzieht. Aber dieser Absatz ist eher unwichtig.

Viel interessanter sind die Links zum CCC. Dort wird auch gezeigt wie trivial man trotzdem , trotz aktiver PFW Daten nach Aussen senden kann. Die Programme die man damit blockieren kann sind meistens gutartig. Was man damit blockiert ist die Updatefunktion.... Das beste Beispiel war der Vergangenheit der Realplayer. Man sagt der PFW blockieren, das Update geht auch nicht.... Aber der Realplayer telefoniert trotzdem, mithilfe des Browsers. Dies wird auch wenn ich mich recht entsinne im Video des CCC zu PFW`s gezeigt.

Warum verwendet man eigentlich Software der man nicht vertraut auf seinem produktiven System? Das mindeste wäre doch wohl eine VM, oder besser noch ein extra Computer für alle gecracke und illegale Software die telefoniert... Eine PFW ist aber ein denkbar schlechter Versuch die nicht-vertrauenswürdige Software zu zähmen.

[trojan]

.... Ein Router ist ja eine "richtige" Firewall, also er läuft vor dem zu schützendem System. ...

ein router ist gewiss nicht eine "richtige" firewall ... die "firewalls" in routern sind pillepalle verglichen mit den wirklichen firewalls auch die funktionen sind ein witz das einzige was ein normaler router kann ist "port forwarding" ... aber mehr auch nicht... und das ist definitiv keine firewall^^

[Alefthau]

Hi,

@Pallars

Eine gute PFW merkt wenn ein anderes Programm probiert über Port 80 (Browser)oder sonst einen Port zu senden.

Auch das beliebte Highjacking wird bemerkt und gemeldet.

Übrigens gibt es nun schon ewig und 3 Tage einen Exploit/Bug der es einem Ermöglicht trotz bzw durch die Windows eigene FW den Computer zu steuern...soviel nun zu dem Thema diese würde ausreichen!

Gruß

Alef

[pillars]

ein router ist gewiss nicht eine "richtige" firewall ... die "firewalls" in routern sind pillepalle verglichen mit den wirklichen firewalls auch die funktionen sind ein witz das einzige was ein normaler router kann ist "port forwarding" ... aber mehr auch nicht... und das ist definitiv keine firewall^^

Um das zu vermeiden habe ich ja "richige" in "" geschrieben. Das Problem bei der Diskussion sind die Begriffe. Eine Linux Kiste mit Zusatzfunktionen kann auch als 'Router' fungieren.

Auch "normal" ist ein guter Ausdruck. Ein "normaler" Router den man so mit dazu bekommt kann meistens wirklich nicht viel. Es gib aber doch auch welche im professionellen Bereich die man als "richitge Hardwarefirewall" bezeichnen kann, mit Zustzfunktionen wie Trafficshapping, ,SPI, Antivirus...

Selbstverständlich ist eine "richtig richtige" Firewall mit IDS, IPS und Honeypot und eigenem Monitor immer noch besser als ein Gerät ohne Monitor das über den Host konfiguriert wird (Router aka handelsüblicher Router den man bei Dsl Neuauftrag dazubekommt).

Wie man schon im Wiki sieht was ich eigenltich gerne als Begriffsdefinition nehme ist die Definition nicht eindeutig. Das einzig eingiermaßen eindeutige ist das eine Firewall im Gegenzug zu einer Personal Firewall vor dem zu schützendem System läuft.

Eine gute PFW merkt wenn ein anderes Programm probiert über Port 80 (Browser)oder sonst einen Port zu senden.
Auch das beliebte Highjacking wird bemerkt und gemeldet.

Klar, aber wenn man das so geschickt macht wie der Realplayer, in dem man kommuniziert in dem man eine Bilddatei lädt dann ist das schon recht schwer.

Eine Auswahl von den genialen Ideen wie man PFW`s unter Win umgehen kann findet man auf der firewall leaktester webseite. Die Leaktests wurden jetzt zwar schon die meisten von den $PFW Herstellern unterbunden... Aber...

Da die meisten Programme auch eine API haben und sich so "von Aussen" steuern lassen und Windows da es Closed Source ist nicht perfekt dokumentiert ist wird es immer wieder neue Lücken geben.

Am Ende kommt immer mehr Code für die PFW`s zusammen und sie wird selber zum Angriffsziel. Siehe solche Sachen wie Explosit für Outpost via Dll Injection.

Übrigens gibt es nun schon ewig und 3 Tage einen Exploit/Bug der es einem Ermöglicht trotz bzw durch die Windows eigene FW den Computer zu steuern...soviel nun zu dem Thema diese würde ausreichen!

Das würde mich mal interessieren. Bitte Link nachreichen?

Zweite Frage... Und das kann man dann mit einer PFW schütezn?

[arkelanfall]

Selbstverständlich ist eine "richtig richtige" Firewall mit IDS, IPS und Honeypot und eigenem Monitor

Wie "eigener Monitor"?

mmer noch besser als ein Gerät ohne Monitor das über den Host konfiguriert wird (Router aka handelsüblicher Router den man bei Dsl Neuauftrag dazubekommt).

Kein ernstzunehmender Admin läuft in den Serverraum um mal kurz Filterregeln anzupassen. Wofür gibts ssh? Wenn man sich direkt an den Rechner hinhängen muss, dann ist - vulgär ausgedrückt - normalerweise die Kacke gehörig am Dampfen.

[Mastermind XXL]

Allerdings stellen PFW`s Fragen mit denen ein normaler Benutzer nicht klar (Darf sich svchost.exe verbinden?) kommt da dazu tiefgründiges Wissen notwendig ist warum sich was verbinden will.

Naja, im bestenfall erlaubt man dem Dienst dem Zugriff. Aber macht das die Firewall unsicherer? Ohne würde sich der Dienst auf jedenfall ins Netz verbinden. Mit Firewall vielleicht.

[pillars]

Wie "eigener Monitor"?

Kein ernstzunehmender Admin läuft in den Serverraum um mal kurz Filterregeln anzupassen. Wofür gibts ssh? Wenn man sich direkt an den Rechner hinhängen muss, dann ist - vulgär ausgedrückt - normalerweise die Kacke gehörig am Dampfen.

Achja, wie toll man sich hier missverstehen kann. Ich muss noch an meinen Formulierungen arbeiten.

Also... Wenn ich bei mir zu Hause eine "richtige" Firewall haben will mit maximalen Schutz und maximalen Funktionsumpfang dann wäre das sicher eine Linux/BSD Kiste. Diese steuere ich nur in dem ich den Monitor umstöpsle, oder einen eingenen habe.... Denn, wenn ich die von meinem Pc aus steuere ist schon wieder ein höhrers Sicherheitsriskiko da ich ja die Firewall von meinem Pc aus steuern kann.

In einer großen Firma wo ein Admin für viele Bürohengste zuständig ist gibt es wahrscheinlich nur einen Admin Pc wo der Admin sitzt und von da aus die Hardware Firewall einstellen kann. Natürlich wäre es ja nach Sicherheitsbedrüfniss sinnvoll diesen Computer nicht auch noch für Mail/Browser/Office/Games/Downloads zu nutzen...

Das war mein Punkt.

Naja, im bestenfall erlaubt man dem Dienst dem Zugriff. Aber macht das die Firewall unsicherer? Ohne würde sich der Dienst auf jedenfall ins Netz verbinden. Mit Firewall vielleicht.

Problem 1: Diesen $Dienst könnte man dann eventuell nutzen um die PFW zu tunneln.

Problem 2: Der User kommt damit nicht klar. Wie kann jemand der nicht das Grundwissen (aka Was ist die interne Ip, was ist die externe, was ist 127.0.0.1, was ist ein Dienst, was ist ein Port, was ist eine Dll, was macht NAT.......) tiefgründige Entscheidungen über sein System erfolgreich fällen?

Im Zweifel kommen dann hier so Threads "Was sind das für Angriffe auf meine $PFW?" oder "Warum funktioniert $programm nicht mehr richitg?".

Problem 3: Der User fühlt sich sicherer und nutzt auch Software ohne sich über die Quellen bzw. die Software zu informieren und traut sich mehr zu.

Das meinte ich mit der Standardbenutzer für den die $PFW`s gemacht sind kommt damit nicht klar.

[thbrueck]

Das Thema bringt immer wieder die Diskussionen zum Kochen. Ich nutze keine PFW, verwende ein aktuell gepatchtes Windows- System, aktive aktuelle Antivirussoftware, treibe mich nicht auf xxx- und warez- seiten rum, installiere nicht jedes Tool bzw. Freeware mit Adware. Gelegentlich mache ich mit einem Antispyware- Scanner einen Systemcheck und kann bestätigen, dass auf diese Weise nicht wirklich was passiert ist. Die Hardware- Firewall im DSL- Router ist zwar nicht überragend, bietet aber den nötigen Grundschutz. Wenn man zudem noch darauf verzichtet, ständig mit Admin- Rechten online zu gehen, sehe ich eigentlich keinen Bedarf, das System zusätzlich mit einer PFW zu belasten, deren Konfiguration und Funktionsweise bisweilen mehr Probleme bereiten als verhindern kann.

Mein ausführliches Statement zu Personal Firewalls habe ich an anderer Stelle schon hinterlegt. Hier im Forum befindet sich bereits dorthin eine Verlinkung, aber weil auch hierzu gut passt, eben nochmal:
Personalfirewalls: sinnvoll oder sinnfrei

Greetz!
TB

[Tyler.Durden]

Naja einerseits werden die PFW´s verteufelt und anderer Seits wird sich auf diverse Freeware AV Software verlassen, welche sich mit einfachsten Mitteln aushebeln/umgehen läßt...

...aber Hauptsache "sicher"

cya

[Washburn]

Zu diesem Thema habe ich eine Frage.
Angenommen ich will sicher unterwegs im Internet, sowohl von innen als auch von außen sein.

Und deswegen habe ich ein PC, der nichts, außer Linux, und Internetzugang (Browser etc) hat.

Nun will ich allerdings nicht von diesem PC aus ins Internet gehen, sondern Über Netzwerk von meinem Richtigen PC aus, also so, dass ich es fast nicht bemerke, dass da ein weiterer PC zwischen ist.

Besteht NUN die Möglichkeit das Netzwerk so zu sichern, dass ich ABSOLUT im Bilde bin, was auf das Internet zugreift. Kann ich dann den Browser so einrichten, dass auch er nicht genutzt weden kann, um über ihn ins Internet zu gehen (Also natürlich von Programmen aus). Und umgekehrt: Kann etwas, was von außen kommt, und erstmal auf den Sicher eingerichteten ersten PC stößt durch das Netzwerk an meinem PC kommen?

Denn schliesslch empfange ich ja auch Datein, wenn ich über den Browser ins Internet gehe.

In wie fern ist meine Idee realisierbar?
Edti: Ich weiß, ganz sicher geht es nie und erst recht nicht, wenn man noch komfortabel surfen möchte. Aber ich stelle mir den 2. PC dann als eine Art bessere Firewall vor, und mich würde interressieren, ob an dieser Überlegung was dran ist.
Washburn

[thbrueck]

Du hast dir die Antwort eigentlich schon selbst gegeben.

Und deswegen habe ich ein PC, der nichts, außer Linux, und Internetzugang (Browser etc) hat.

Richte dir den Linux- Rechenknecht als Router ein, meinetwegen noch als Proxy und Firewall natürlich.

Das ist machbar, auch komfortabel...und vor allem besser als eine Personal Firewall!

Greetz!
TB

[trojan]

das einzige was man brauch ist die brain.exe

[Washburn]

Warum sollte man es so nicht machen?
Denn schliesslich kann man selbst durch intelligentrs Surfverhalten sein PC nicht alleine sicher machen. Und wenn man wie ich auf Wondows angewiesen ist, dann sollte man sich sich erst recht ein Paar Hilfsmittel zulegen.

@thbrueck: Soweit schon klar, aber wie das mit den Netzwerk usw. aussieht ist mir nicht klar. Und noch eine Frage: Wie soll der den bitte als Proxy funktionieren? Ich kriege doch so oder so die IP vom Provider.

[trojan]

...

@thbrueck: .....Wie soll der den bitte als Proxy funktionieren? Ich kriege doch so oder so die IP vom Provider.

und? den router kann man doch trotzdem mit zB squid als proxy laufen lassen oft aufgerufene seiten werden dann direkt aus dem lan geliefert. für leute mit einer kleinen leitung ist das auch interessant den squid einfach lokal aufs windows installieren und über den localhost-proxy surfen und cache auf 1gb einstellen da müssten dann die meisten besuchten seiten wunderbar platz finden (mach ich auch so)

[ruler³]

Personal Firewalls sollten zur Grundausstattung eines jeden Rechners gehören. Sie fragen wenigstens, ob der Trojaner ins Internet darf. Diese Frage würde nicht gestellt werden, wäre die Firewall nicht da. Bitte erzählt mir nicht dass Trojaner nie auf nen PC kommen und die Firewall anschliessend diese Frage stellt

Und da sie so gut wie keine Ressourcen benötigen (in heutigen Maßstäben) ist das gleich doppelt kein Problem.

[Washburn]

Auch ich sehe in PF´s ein nutzen. Zuerst kann man viele weitere Einstellungen machen, die über die Standardaufgaben weit herausgehen.

Sie blockt z.B. werbebanner, oder animierte Sachen, oder Ton, der auf Websites vorkommt. Oder man kann auch ganze Kategorien sich wegfiltern lassen.

Auch der PopUp-Blocker ist meisstens wesentlich besser, als der von Firefox.

Und es gibt eben auch eine Menge Programme, die eigentlich als sicher eingestuft sind, wo man aber trotzdem nicht möchte, dass sie auf das Internet zugreifen.

Allerdings ist es schon oft ärgerlich, wenn sich gerade eine Vollbildanwendung minimiert, weil sie versucht rundll auszuführen.

Oder solche vielaussagenden Meldungen: "025947554818-fi9uhgf versucht durch das öffnen von 681269.efiofr.3245 ein prozess zu starten, was die Sicherheit eventuell beeinträchtigen könnte" Und wenn der Nutzer das erst einmal blockt, und dann sieht, dass er gerade nichtdas machen kann, was er wollte, wird er es nochmal versuchen und das dann zulassen.

Ich bin froh, dass ich eine habe, allerding bieten sie nicht das, was sie versprechen.
Also für Angriffe aus dem Netz brauch an schon was anderes als ne PF.

und? den router kann man doch trotzdem mit zB squid als proxy laufen lassen oft aufgerufene seiten werden dann direkt aus dem lan geliefert. für leute mit einer kleinen leitung ist das auch interessant den squid einfach lokal aufs windows installieren und über den localhost-proxy surfen und cache auf 1gb einstellen da müssten dann die meisten besuchten seiten wunderbar platz finden (mach ich auch so)

Ich bin wohl nicht der schlauste, aber was genau habe ich dann davon? In wie fern steigert das die Sicherheit? Und Anonym, wie beim Proxy-Server bin ich dann ja nicht.