Toni W. schrieb:
marv42dp schrieb:
Toni W. schrieb:
So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe.
Auch dann, aber nicht nur.
Du meinst dieses paket filter Zeugs, richtig ? (wenn ich deine Antwort jetzt richtig interpretiere)
Ja, hostbasierter Paketfilter heissen die Dinger - ZA & Co. sind solche.
Ok, so habe ich das auch mit der Windows eigenen Firewall verstanden, also das sie gut ist gegen eingehende Verbindungen ist. Was ist aber mit diesen application-state Zeugs, heist das nicht das jede Anwendung eine eigene Firewall hat ? Währe das nicht besser ?
Im Prinzip versuchen hostbasierte Paketfilter (ausser der Windows-Firewall) genau das. Funktioniert aber nicht zuverlässig, da Software sich nicht ausreichend kontrollieren lässt.
Eine externe Box, die "application state" filtert ist prinzipbedingt nicht möglich, da Netzwerkverkehr von Außen nicht zuverlässig einer bestimmten Anwendung zugeordnet werden kann. Man braucht dafür also einen "Agent" auf dem Rechner, und dem kann Schadsoftware wiederrum vorgaukeln, dass sie legitim ist.
...Konkret heisst das, dass selbst die beste Soft- und Hardware nur so gut "schützen" kann, wie das Konzept dahinter es zulässt.
Ich muss zugeben, ich weiß ehrlich gesagt gar nicht was ich "wirklich" brauche, vieleicht kannst du uns normalen anwendern ja mal ein wenig Hilfestellung geben. Was brauche ich eigentlich und was nicht ? Das ist sicher von den Surfgewohnheiten abgängig, aber ich und sicher auch andere hier währen für eine kleine Einführung und Antwort dankbar.
Der Normalanwender braucht ausgehend nur
- Port 80 (http - aka www)
- Port 443 (https - aka ssl)
- Port 25 (smtp - Mailversand)
- Port 110 (pop3 - Mailempfang)
Diese Ports auch eingehend zu öffnen ist unter Windows völlig unproblematisch, da standardmässig keine Dienste daran lauschen.
Dummerweise lauschen unter Windows diverse Dienste an diversen Ports, und das ist der Grund für die Existenz der Windows-Firewall. Wer es schafft diese Dienste (sind zu viele, um sie hier zu nennen) von externen Interfaces zu entbinden, braucht nichtmal die Windows-Firewall zu aktivieren. Unter
http://ntsvcfg.de gibt es ein Skript, das dies ermöglicht, allerdings ist das mit Vorsicht zu geniessen - es ist nicht immer nur das externe Interface betroffen, da manche Dienste sich nicht auf einzelne Interfaces beschränken lassen.