Vernünftige Firewall

[CyberFred]

@nic_power:

Es ist aber relativ leicht, die Firewall zu umgehen. Beispielsweise gibt es viel Spyware, die als Plugin des IE fungiert. Dass man bei seiner Firewall der iexplore.exe alle Rechte gibt, kannst du sowas damit einfach nicht unterbinden. Ich persönlich benutze solche Programme einfach nicht bzw. stelle die PhoneHome-Funktionen aus.

ciao

[nic_power]

Hallo,

Ich rede hier auch nicht von Spyware, sondern von ganz normaler Software, die eben mal schnell ins Internet connected. Es gibt viele Programme, die während der Installation (ohne das Du das direkt beeinflussen kannst, ohne nachzufragen und ohne Dein Wissen) Verbindung mit irgendeinem Server aufnehmen.

Nic

[dummabua]

ich muss mich jetzt auch mal einmischen,

ich denke das firewalls sehr wohl was bringen, auserdem wurden Personal Firewalls auch nur für den privaten gerbauch gemacht und nicht für produktiv systeme. ich kann sachen wie "deine firewall bringt dir sowieso nix du nOOb" nicht mehr hören. in einem anderen forum wurde mal gesagt "mit firewalls ist es wie mit tee, die idioten tun zucker rein (zone alarm) die pseudo kenner kandis (tiny personal) und die echten kenner --> gar nichts. da muss ich mir an den kopf fassen, auch wurde dann als antwort ein spruch gegeben, dem ich mich völlig anschliesse und der lautete "wenn mann so handeln würde wie du, dann könnte mann auch sagen ich fahr so gut motorad und deshalb nehme ich keinen helm. Ich sehe sehr wohl einen grund für eine firewall auf seinem PC. es kann nun mal ned jeder sein system mit einer DMZ und hardwarefirewall und was weiss ich abschotten, sowas is für firmen, deren produktiv systeme eher einen speziellen hackangriff rechtfertigen würden. ich sehe das so:

mein media player connected zum dowload server -> das mag ich nicht -> deny

mein rechner soll keine pings beantworten -> ping of death -> ICMP deny

wenn ich neue unbekannte programme teste -> in die sanbox damit (in der ich sagen kann was das ding darf und was nicht)

kommt ein script kiddie (was 99% aller angriffe sind) ->alert -> block ->trojan port stealthed -> keine chance

kommen werbe popups -> ip nachschaun -> ip eine inbound deny regel zuweisen->kein popup mehr

um nur einige zu nennen

mir is auch klar das eine PF keine richtige firewall ersetzten kann, aber den schutz den ein internet user braucht (privat) wird von firewqalls sehr gut abgedeckt und das reicht auch für den privaten gebrauch.

[shad0w]

schoen geschrieben, aber diese meinung teile ich ganz und gar nicht.

Ich hatte auch mal tiny personal firewall und ein paar andere pf installiert bis es mich fast zu tode genervt hat, dass staendig diese abfragen kommen was ich haben will und was nicht. dann hab ich den ganzen mist weggelassen, media player connected ins internet -> was solls?, kiddies fuehren portscans durch -> was solls?. Wenn wirklich mal einer bei ist der ahnung hat wird die firewall kein firewall sein, sondern hoechstens nen 10cm wassergraben ueber den der angreiffer springen muss.

Nun hab ich kein windows mehr -> kein mediaplayer, der ins inet connected, keine popups (mozilla) und auch sonst keine programme, die gegen meinen willen ins inet connecten. Davor hab ich eben noch ne *bsd firewall stehen, weil ich nen rechner zu viel hatte und security mich schon immer interessiert hat.

meine meinung.

[dummabua]

is deine meinung und die akzeptier ich

ich sag ja ned das ihr meiner meinung sein müsst, ich sag nur meinen standpunkt

wenn du kein windows verwenset, dann wirst du ne firewall ned so nötig haben wie mit windows.

media player connected -> mir nicht egal, weil immer schom rumge****t wurde, was der überträgt und was nicht also lieber nummer sicher

portscann -> ok sind vielleicht script kiddies, aber was gehen die meine ports an, gar nichts also nix gibds ->schon wieder eine angriffsrelevante information weniger...

aber über den nutzen und unnutzen von PF`s wurde schon so viel diskutiert, das muss sich hier nicht wiederholen... meine wird weiterhin laufen.

[dummabua]

mit einem landsmann "streit" ich am liebsten

ne quatsch, will gar ned streiten, wir sitzen doch alle im selben boot.

ich geb dir mit deiner meinung über prod. systeme recht, ich arbeite hier bei audi und wir haben hier produktiv systeme;) und die werden nicht von einer tiny bewacht:D

das dokument das zu gelinkt hats, habe ich schon 20 mal gelesen weil es bei jedem firewall verfechter in der sig steht, ich schliesse mich dem auch gröstenteils an, mein standpunkt ist nur das eine personal firewall wie der name schon sagt, für einen heimrechner gedacht ist, und die werden eben nicht so oft opfer von zb DoS attacken wie andere systeme, die meisten leute die im internet einfach mal ins blaue eine range durch portscannen haben sich einfach mal ein paar posts im www.ichbineinsrciptkiddie.de forum durchgelesen und sich zb einen sub7 oder was weiss ich gezogen, und vor diesen kids sollen diese firewalls beschützen, was sie auch in der regel gut machen. Ich habe NIE behauptet das eine firewall ein system sicher macht, weil ich weiss das sie es NICHT tut, an diesem aberglaube is aber eine "renomierte" pc zeitung mit 4 buchstaben schuld, die dem leser eine sicherheit vorgaukelt, die er nicht hat, und schon gar nicht mit diesen Computer **** software cd`s. ich bin mir bewusst, das PF`s keine richtige firewall ersetzten können, aber wir reden hier ja auch vom privaten und ned von der kommerziellen nutzung... und wie gesagt die script kiddie attacken wehren sie ab, nicht mehr und nicht weniger, oder meinst du das ein script kiddie mit dem Iexplorer plugin umgehen geschweige es nutzen kann um darüber eine attacke zu starten. und wenn eine firewall manche menschen nur dazu bringt sich mit ports IP`s Policys und dem ganzen anderen kram auseinander zu setzten, isat auch schon was gewonnen.

[shad0w]

schutz vor trojanern kann man aber auch einfacher haben.

1) dateien fremder herkunft nach viren pruefen.

2) kein ms outlook verwenden

ist auch ein vorteil unter linux: fuer die meisten dateien (tarballs) gibt es auf der homepage des distributors md5 werte, die man vergleichen kann. wenn der md5 nicht stimmt sollte man die datei direkt loeschen.

[nic_power]

@Gonfucius:

Ich denke hier ist allen klar, dass eine Personal Firewall keinen Ersatz für eine "richtige" Firewall sein kann. Dafür sind sie aber auch nie gedacht gewesen! Du solltest schon bedenken, dass PF und klassische FW unterschiedliche Konzepte und Zielgruppen verfolgen!

Eine Personal-Firewall sollte in erster Linie eingesetzt werden, um die typischen "Phone-Home"-Aktivitäten belieber Software underdrücken und beeinflussen zu können. Das ist mit einer "echten" FW nur sehr schwer bis gar nicht möglich.

Nic

[dummabua]

"Es tut mit ja wirklich leid aber ich haben noch nie gehört das ein Privatanwender Opfer einer DoS Attacke wurde"

das is genau das was ich damit sagen wollte

darum braucht ein privat anwender keine monster mega firewall sondern nur einen die ihn vor angriffen von script kiddies mit uralt troj schützt, nicht mehr und nicht weniger. weil die kiddies eben ned mehr kennen als sub7 netbus oder orifice

und du kannst sagen was du willst, aber in der beziehung haben die pfs ihren nutzen und die leute die explizit die kenntnisse haben in einen rechner einzudringen, des sind vielleicht 0,000001% prozent

[dummabua]

"Hab ich falsch aufgefasst, sorry."

es sei dir verziehen

und zum thema troj:

mir is auch klar das du die serverseite des trojs niemandem ohne sein aktives zutun untermogeln kannst, aber wie schnell is das passiert (email ->flascher absender)

nicht etz bei mir, ich mein allgemein.

[nic_power]

Hallo,

darum nehemn auch 90% Lynx als Browser um auf der sicheren Seite zu sein. SCNR.

Was hat Lynx mit Trojanern oder Spyware zu tun? Diese ist nicht an irgendwelche Browser gebunden. Abgesehen davon werden die wenigsten Windows-Nutzer (die Hauptzielgruppe für PF) lynx als Browser verwenden. Dafür gibt es auch keinerlei Notwendigkeit, da ausreichend Alternativen mit grafischer Oberflächen vorhanden sind (gilt übrigens auch für Linux & Co).

Und das ist genau der Punkt: Keiner, ich betone KEINER, kommt mit einem Trojaner von AUSSEN auf dein System. Es sei denn: Du selbst hast dir diesen Trojaner aktiv installiert.

Ihr solltet euch mal von dem Gedanken frei machen, dass sich software ausschließlich per EMail verbreitet und nur durch Interaktion mit einem Nutzer auf einem System installiert werden kann! Es gibt jede Menge Würmer, die autark systematisch Adressbereiche auf verwundbare Systeme scannen und sich dort einnisten (Code Red, Ramen, Sapphire, usw.). Die Schadroutinen sind beliebig austauschbar, bei Sapphire kann man nur von Glück reden, dass keine vorhanden war (vom schlampig programmierten Scanner mal abgesehen, der zu MSDP-SA Stürmen geführt hat).

Nic

[dummabua]

"Warum nimmst dann du sie her? Ganz abgesehen davon, wer seine E-mailadresse verfälscht um jemanden ein Trojaner zu vermachen, läßt sich sicher nicht von einem Spielzeug foppen! "

mit spielzeug mienst du wohl die firewall oder?

um eine email von einem beliebigen absender zu verschicken bedarf es keiner grossen cracker kunst

ich laase meine firewall aus diesen in den vorhergehenden posts laufenden gründen laufen

[nic_power]

Guten morgen,

Original geschrieben von Gonfucius

Welcher Privatanwender betreibt schon einen eigenen Webserver, FTP-Server etc. bietet also einen Dienst im Internet an? Oder vielleicht mal ganz deutlich: KEIN ANGEBOTENER DIENST --> KEINE ANGRIFFSMÖGLICHKEIT. Und da du diese Würmer explizit mit PFs in Verbindung gebracht hast (lassen wir mal die beiden Linuxwürmer außen vor),

Das Dienste, die nicht nach aussen hin angeboten werden kein Risiko darstellen ist jedem klar. Aber das war ja auch nicht die Kernaussage, auf die ich mich mit dem Posting bezogen habe (siehe oben).

Wenn Du hier im Forum regelmäßig liest, wirst Du aber auch feststellen das viele Leute zu Hause einen ftp oder www-Server betreiben. Hinzu kommt, dass viele Betriebssysteme Dienste installieren, ohne dass es dem Nutzer bewusst ist (dazu musst Du nur mal nach einer Neuinstallation nachsehen, was so alles auf dem System läuft).

wer seinen IIS mit einer PF schützen will gehört entlassen!

Spielt in diesem Zusammenhang keine Rolle, da es um Privatanwender geht.

Nic

[hades]

@Gonfucius:

SCNR moechte ich hier nicht nochmal sehen.

Das kannst Du in den heise-Foren oder im Usenet benutzen, aber hier nicht.

Sachverhalte koennen sehr gut mit Fakten dargelegt werden, dazu ist kein Sarkasmus noetig.

[jomama]

@gonfucius:

Warum regst du dich eigentlich so darüber aus, das mit PFWs Geld gemacht wird. Ich kenn keinen halbwegs vernünftigen User, der für sowas Geld ausgegeben hat. Wozu gibts denn alles kostenlos.

Und wenn dam ein 2,5 GHz Rechner steht, dann läufts halt als zusätzlicher Netzwerkmonitor mit. Stört doch nicht.

Wenn sich ein Privatnutzer, der eine PFW und einen Virenscanner installiert hat, vor Angriffen sicher fühlt, dann hat er schon Recht, weil kein halbwegs intelligenter Hacker, der dann wirklich was drauf hat, versuchen würde, da reinzukommen und Kochrezepte zu klauen.

Heisst also:

-keine zusätzlichen Kosten

-kein Risiko

-nur wenig Performanceeinbußen

Wo also liegt dein Problem?

[-iL-Susi]

Original geschrieben von zeku

Nur, um meinen Senf auch nochmal dazuzugeben:

Ich benutze die Sygate Personal Firewall und bin äußerst zufrieden. Einfach zu konfigurieren für den Einsteiger und auch für fortgeschrittene Konfigurierer noch prima

Dazu noch für den privaten Gebrauch komplett kostenlos.

Jepp!

So sehe ich das auch !

Super Zufrieden!

Susi

PS. hallöchen @all!!!

[beko]

Hm, ich benutze privat in unserem kleinen Heimnetzwerk einen Linuxrechner welcher mit iptables filtert. Einige Dienste sind auch nach außen hin offen, so z.b. der Apache. Auf der Kiste sitzt noch ein TCP-Wrapper und eine Portsentry (benutze ich 1. zum Loggen 2. zum Sperren, läuft mindestens auch mit Erkennung von Stealthscans) drauf. Da zumindest bei einem Scriptkiddie der erste Schritt ein Portscan sein dürfte hat sich das Problem dann meist schon hier erledigt Meine eigenen Rechner laufen ohnehin unter Linux.

Dann schwirren noch einige Win-Rechner im Netz herum. Diese bieten keine Dienste an und sind vom Internet aus auch nicht sichtbar. Zusätzlich ist noch der gute alte AtGuard installiert welcher eben vorwiegend aufpasst dass niemand nachn Hause telefoniert. Die Konfigurationsdateien von AtGuard werden von ESafe überwacht, welches gleichzeitig auf Viren scannt. Die Firewallfunktionen von esafe kann man jedoch vergessen, drum AtGuard esafe erkennt jedoch eventuelle unerwünschte Manipulation und da z.b. mein Vater auf sein Outlook Express besteht läuft eben genanntes in der Sandelkiste )

DoS-Attacken kassiere ich übrigens höchstens von der guten alten Telekom welche fleissig die Leitungen unterbricht ;)

beko, schwer paranoid da in der Freizeit Würmer, Trojaner und Viren von Nachbarschaftsrechnern treten darf

[nic_power]

Hallo,

@Gonfucius:

Da Du Dich ja offensichtlich sehr gut in der Materie auszukennen scheinst, würde mich mal interessieren, welche Sicherheits-Lösung Du einem Privatanwender empfiehlst. Insbesondere unter Berücksichtigung der folgenden Punkte:

1) Kontrolle über ausgehende Verbindungen (typische "Phone-Home" Aktivitäten verschiedenster Software)

2) Statistiken über Portscans, usw.

3) Auch für Otto-Normal-User halbwegs vernünftig bedienbar.

4) Kein zusätzlicher Hardwareaufwand.

5) Implementierbar auf Geräten die ohne Router direkt am Netz hängen.

Warum sind Performance und Preis für Dich irrelevant? Ich dachte immer, dies seien zwei entscheidende Faktoren bei der Auswahl von Software (gerade der Preis dürfte im Privatumfeld eine entscheidende Rolle spielen)?

Dabei ist natürlich auch zu berücksichtigen, dass es hier nicht um den absoluten Schutz geht (den gibts nämlich nicht), sondern nur um ein gewisses "mehr" an Sicherheit gegenüber einem System ohne PF.

Nic

[shad0w]

1) Kontrolle über ausgehende Verbindungen (typische "Phone-Home" Aktivitäten verschiedenster Software)

2) Statistiken über Portscans, usw.

3) Auch für Otto-Normal-User halbwegs vernünftig bedienbar.

4) Kein zusätzlicher Hardwareaufwand.

5) Implementierbar auf Geräten die ohne Router direkt am Netz hängen.

zu 1) ok, wenn nachgewiesen in allen faellen moeglich ist, mit einer pf ausgehende verbindungen zu blocken, dann koennte man den einsatz des programmes 'akzeptieren' (aus professioneller sicht, meine ich).

Aber da ich kein windows user bin, versteh ich ueberhaupt nicht, wieso man verbindungen nach aussen ueberhaupt blocken sollte.

zu 2) fuer was brauch otto-normal-verbraucher ne statistik ueber portscans??

zu 3) bei sicherheit galt schon immer, dass man sich mit der materie beschaeftigen muss, um sicher zu leben/surfen. Da brauch man keine vernuenftige bedienung.

zu 4) jo, aber nur hardware kann meines erachtens sicher filtern.

zu 5) geht nur mit pf, stimmt.

meine meinung.

so long

[shad0w]

@Gonfucius:

generell gibt es sehr viele windows programme die 'phone-home' aktivitaeten durchfuehren. Ich glaube es wurde auch schon ein link mit einem verzeichnis genannt, auf dem alle Programme dieser art stehen.

Wenn mich eine solche aktivitaet bei linux programmen stoert, hab ich ja den quellcode dazu und kann die funktion abschalten, wenn es nicht sogar im programm implementiert ist.

[hades]

Mit der eingangs geschilderten Frage hat das jetzt nichts mehr zu tun.

Das Thema war hier nicht Pro/Contra Personal Firewall, denn das wurde bereits in anderen Threads ausfuehrlich diskutiert.

~~~closed~~~