Der (Un)Sinn Personal Firewall

Dieses Thema im Forum "PC" wurde erstellt von Janosch, 14. Januar 2008.

  1. marv42dp

    marv42dp aktiviert

    In den allermeisten Szenarien: Nö. Sie erhöhen die Komplexität des Systems und damit die Wahrscheinlichkeit, dass es ausnutzbare Schwachstellen hat.
    Und sei es "nur" die Schwachstelle vor dem Rechner:
    "Das Programm iexplorer.exe möchte Daten mit dem Internet austauschen: Zulassen oder Verweigern?"

    Ich schätze mal dreist, dass 99,9% der Durchschnittsanwender das überzählige r nicht bemerken würden.
     
  2. Anonymous

    Anonymous Guest

    Welches r?
     
  3. e6o5

    e6o5 -

    Die Datei heisst iexplore.exe!
     
  4. Anonymous

    Anonymous Guest

    Na kuck an, ich wär da wahrscheinlich schon reingefallen. :oops:
     
  5. C0r€

    C0r€ -

  6. Anonymous

    Anonymous Guest

    So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe. Will sagen, was ich anfordere landet letztendlich bei mir im Speicher, zumindest hat man mir das mal so erklärt. Ich lasse mich aber gern eines besseren belehren, da ich nur sehr wenig von der Materie verstehe und auch endlich mal etwas mehr Durchblick haben möchte (ist durchaus ernst gemeint). Leider steigt mein Hirn bei so überkomplizierten Erklärungen schnell mal aus, deshalb weiß ich darüber auch nur verschwindend wenig.

    Ich habe mal gehört das es da einen israelischen Hersteller gibt der sehr gute Brandmauern bastelt, so komisches application-state Zeugs ist allerdings Hardware. Ich habe leider den Link verkramt, aber man muss ja auch nicht wirklich alle Seiten ansurfen die es gibt, zumindest heute nicht mehr. Hat mir auch mal irgendwer erzählt.

    XYZ
     
  7. marv42dp

    marv42dp aktiviert

    Auch dann, aber nicht nur.

    Stimmt durchaus, es sei denn Du hast die Firewall so konfiguriert, dass sie die Antworten blockiert. Das, nämlich das Blockieren von eingehenden Verbindungen können die meisten Desktop-Firewalls zuverlässig, wenn auch keine besser als die in Windows integrierte - Letzteres ist der Grund, warum man keine andere braucht.

    Das eigentliche Problem liegt darin, dass zu viele Menschen irrtümlich (und von den Herstellern suggeriert) glauben eine Firewall sei lediglich ein Stück Soft- oder Hardware.
    Eine Firewall im eigentlichen Sinne ist aber ein Sicherheitskonzept, Hard- und Software sind nur Mittel zur Umsetzung dieses Konzeptes.
    Das Konzept beschreibt die vom Anwender benötigten Dienste und die Maßnahmen, die sicherstellen, dass nur diese Dienste angeboten werden und nur befugte Personen/Programme Zugriff auf die Dienste hat.
    Konkret heisst das, dass selbst die beste Soft- und Hardware nur so gut "schützen" kann, wie das Konzept dahinter es zulässt.
     
  8. Anonymous

    Anonymous Guest

    Du meinst dieses paket filter Zeugs, richtig ? (wenn ich deine Antwort jetzt richtig interpretiere)

    Ok, so habe ich das auch mit der Windows eigenen Firewall verstanden, also das sie gut gegen eingehende Verbindungen ist. Was ist aber mit diesen application-state Zeugs, heist das nicht das jede Anwendung eine eigene Firewall hat ? Währe das nicht besser ?

    Ich muss zugeben, ich weiß ehrlich gesagt gar nicht was ich "wirklich" brauche, vieleicht kannst du uns normalen Anwendern ja mal ein wenig Hilfestellung geben. Was brauche ich eigentlich und was nicht ? Das ist sicher von den Surfgewohnheiten abgängig, aber ich und sicher auch andere hier währen für eine kleine Einführung und Antwort dankbar.

    Illya
     
  9. Neo

    Neo aktiviert

    Ich habe die Personal Firewalls sowieso nie als Sicherheitstool angesehen.
    Ich habe trotzdem eine drauf, damit ich sehe welche Freeware gerne nach Hause sendet und ähnliches. Mir war dabei von Anfang an klar, das man das mit ein Minimum an Kreativität umgehen kann. Außerdem ist es doch ein nettes Sicherheitsplacebo für Computerbilduser, also die Mehrheit. :lol:
     
  10. motone

    motone recht aktiv

    Verweigern. Hab ja "firefox.exe" :D Nee, stimmt schon, Otto NormalDAU denkt sich natürlich nix dabei und klickt sich fröhlich die Trojaner zusammen.

    Da fällt mir ein: ich hatte mal mit nem total verseuchten Rechner zu tun, mit mehreren Dutzend Ungeziefern drauf, da lief auch ein Prozess namens "expolrer.exe". Als ich den im Taskmanager gekillt hab, ploppte sofort ein gleichnamiger neuer Prozess auf.

    Persönlich reicht mir bisher die WinXP-Firewall aus. Solange man sich nicht auf dubiosen Seiten rumtreibt, gehts auch. Außerdem ist allein so ein DSL-Router eine ziemliche Hürde.
     
  11. marv42dp

    marv42dp aktiviert

    Ja, hostbasierter Paketfilter heissen die Dinger - ZA & Co. sind solche.

    Im Prinzip versuchen hostbasierte Paketfilter (ausser der Windows-Firewall) genau das. Funktioniert aber nicht zuverlässig, da Software sich nicht ausreichend kontrollieren lässt.
    Eine externe Box, die "application state" filtert ist prinzipbedingt nicht möglich, da Netzwerkverkehr von Außen nicht zuverlässig einer bestimmten Anwendung zugeordnet werden kann. Man braucht dafür also einen "Agent" auf dem Rechner, und dem kann Schadsoftware wiederrum vorgaukeln, dass sie legitim ist.

    Der Normalanwender braucht ausgehend nur
    - Port 80 (http - aka www)
    - Port 443 (https - aka ssl)
    - Port 25 (smtp - Mailversand)
    - Port 110 (pop3 - Mailempfang)
    Diese Ports auch eingehend zu öffnen ist unter Windows völlig unproblematisch, da standardmässig keine Dienste daran lauschen.

    Dummerweise lauschen unter Windows diverse Dienste an diversen Ports, und das ist der Grund für die Existenz der Windows-Firewall. Wer es schafft diese Dienste (sind zu viele, um sie hier zu nennen) von externen Interfaces zu entbinden, braucht nichtmal die Windows-Firewall zu aktivieren. Unter http://ntsvcfg.de gibt es ein Skript, das dies ermöglicht, allerdings ist das mit Vorsicht zu geniessen - es ist nicht immer nur das externe Interface betroffen, da manche Dienste sich nicht auf einzelne Interfaces beschränken lassen.
     
  12. Anonymous

    Anonymous Guest

    Ok, danke marv42dp, jetzt bin ich ein bischen schlauer. Deinen Link kenne ich noch von derfisch.de. Ich merke schon, ich habe zu lange rumgeblödelt und zuviel schleifen lassen. Ich muss wohl mal wieder was tun.

    Danke für die Hilfe ;-)

    Illya
     

Diese Seite empfehlen