Der (Un)Sinn Personal Firewall

Janosch schrieb:
Hatten wir neulich schon mal irgendwo.

Machen personal firewalls überhaupt Sinn?
Zum Vergrößern anklicken....

In den allermeisten Szenarien: Nö. Sie erhöhen die Komplexität des Systems und damit die Wahrscheinlichkeit, dass es ausnutzbare Schwachstellen hat.
Und sei es "nur" die Schwachstelle vor dem Rechner:
"Das Programm iexplorer.exe möchte Daten mit dem Internet austauschen: Zulassen oder Verweigern?"

Ich schätze mal dreist, dass 99,9% der Durchschnittsanwender das überzählige r nicht bemerken würden.
 
marv42dp schrieb:
Janosch schrieb:
Hatten wir neulich schon mal irgendwo.

Machen personal firewalls überhaupt Sinn?
Zum Vergrößern anklicken....

In den allermeisten Szenarien: Nö. Sie erhöhen die Komplexität des Systems und damit die Wahrscheinlichkeit, dass es ausnutzbare Schwachstellen hat.
Und sei es "nur" die Schwachstelle vor dem Rechner:
"Das Programm iexplorer.exe möchte Daten mit dem Internet austauschen: Zulassen oder Verweigern?"

Ich schätze mal dreist, dass 99,9% der Durchschnittsanwender das überzählige r nicht bemerken würden.
Zum Vergrößern anklicken....

Welches r?
 
So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe. Will sagen, was ich anfordere landet letztendlich bei mir im Speicher, zumindest hat man mir das mal so erklärt. Ich lasse mich aber gern eines besseren belehren, da ich nur sehr wenig von der Materie verstehe und auch endlich mal etwas mehr Durchblick haben möchte (ist durchaus ernst gemeint). Leider steigt mein Hirn bei so überkomplizierten Erklärungen schnell mal aus, deshalb weiß ich darüber auch nur verschwindend wenig.

Ich habe mal gehört das es da einen israelischen Hersteller gibt der sehr gute Brandmauern bastelt, so komisches application-state Zeugs ist allerdings Hardware. Ich habe leider den Link verkramt, aber man muss ja auch nicht wirklich alle Seiten ansurfen die es gibt, zumindest heute nicht mehr. Hat mir auch mal irgendwer erzählt.

XYZ
 
Toni W. schrieb:
So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe.
Zum Vergrößern anklicken....

Auch dann, aber nicht nur.

Will sagen, was ich anfordere landet letztendlich bei mir im Speicher, zumindest hat man mir das mal so erklärt. Ich lasse mich aber gern eines besseren belehren, da ich nur sehr wenig von der Materie verstehe und auch endlich mal etwas mehr Durchblick haben möchte (ist durchaus ernst gemeint).
Zum Vergrößern anklicken....

Stimmt durchaus, es sei denn Du hast die Firewall so konfiguriert, dass sie die Antworten blockiert. Das, nämlich das Blockieren von eingehenden Verbindungen können die meisten Desktop-Firewalls zuverlässig, wenn auch keine besser als die in Windows integrierte - Letzteres ist der Grund, warum man keine andere braucht.

Ich habe mal gehört das es da einen israelischen Hersteller gibt der sehr gute Brandmauern bastelt, so komisches application-state Zeugs ist allerdings Hardware.
Zum Vergrößern anklicken....

Das eigentliche Problem liegt darin, dass zu viele Menschen irrtümlich (und von den Herstellern suggeriert) glauben eine Firewall sei lediglich ein Stück Soft- oder Hardware.
Eine Firewall im eigentlichen Sinne ist aber ein Sicherheitskonzept, Hard- und Software sind nur Mittel zur Umsetzung dieses Konzeptes.
Das Konzept beschreibt die vom Anwender benötigten Dienste und die Maßnahmen, die sicherstellen, dass nur diese Dienste angeboten werden und nur befugte Personen/Programme Zugriff auf die Dienste hat.
Konkret heisst das, dass selbst die beste Soft- und Hardware nur so gut "schützen" kann, wie das Konzept dahinter es zulässt.
 
marv42dp schrieb:
Toni W. schrieb:
So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe.
Zum Vergrößern anklicken....
Auch dann, aber nicht nur.
Zum Vergrößern anklicken....

Du meinst dieses paket filter Zeugs, richtig ? (wenn ich deine Antwort jetzt richtig interpretiere)

""Will sagen, was ich anfordere landet letztendlich bei mir im Speicher....""

Stimmt durchaus, es sei denn Du hast die Firewall so konfiguriert, dass sie die Antworten blockiert. Das, nämlich das Blockieren von eingehenden Verbindungen können die meisten Desktop-Firewalls zuverlässig, wenn auch keine besser als die in Windows integrierte - Letzteres ist der Grund, warum man keine andere braucht.
Zum Vergrößern anklicken....

Ok, so habe ich das auch mit der Windows eigenen Firewall verstanden, also das sie gut gegen eingehende Verbindungen ist. Was ist aber mit diesen application-state Zeugs, heist das nicht das jede Anwendung eine eigene Firewall hat ? Währe das nicht besser ?

...Konkret heisst das, dass selbst die beste Soft- und Hardware nur so gut "schützen" kann, wie das Konzept dahinter es zulässt.
Zum Vergrößern anklicken....

Ich muss zugeben, ich weiß ehrlich gesagt gar nicht was ich "wirklich" brauche, vieleicht kannst du uns normalen Anwendern ja mal ein wenig Hilfestellung geben. Was brauche ich eigentlich und was nicht ? Das ist sicher von den Surfgewohnheiten abgängig, aber ich und sicher auch andere hier währen für eine kleine Einführung und Antwort dankbar.

Illya
 
Ich habe die Personal Firewalls sowieso nie als Sicherheitstool angesehen.
Ich habe trotzdem eine drauf, damit ich sehe welche Freeware gerne nach Hause sendet und ähnliches. Mir war dabei von Anfang an klar, das man das mit ein Minimum an Kreativität umgehen kann. Außerdem ist es doch ein nettes Sicherheitsplacebo für Computerbilduser, also die Mehrheit. :lol:
 
marv42dp schrieb:
"Das Programm iexplorer.exe möchte Daten mit dem Internet austauschen: Zulassen oder Verweigern"
Zum Vergrößern anklicken....
Verweigern. Hab ja "firefox.exe" :D Nee, stimmt schon, Otto NormalDAU denkt sich natürlich nix dabei und klickt sich fröhlich die Trojaner zusammen.

Da fällt mir ein: ich hatte mal mit nem total verseuchten Rechner zu tun, mit mehreren Dutzend Ungeziefern drauf, da lief auch ein Prozess namens "expolrer.exe". Als ich den im Taskmanager gekillt hab, ploppte sofort ein gleichnamiger neuer Prozess auf.

Persönlich reicht mir bisher die WinXP-Firewall aus. Solange man sich nicht auf dubiosen Seiten rumtreibt, gehts auch. Außerdem ist allein so ein DSL-Router eine ziemliche Hürde.
 
Toni W. schrieb:
marv42dp schrieb:
Toni W. schrieb:
So wie ich das mal verstanden habe nützt mir eine Firewall nichts wenn ich die lustigen kleinen Pakete selbst angefordert habe.
Zum Vergrößern anklicken....
Auch dann, aber nicht nur.
Zum Vergrößern anklicken....

Du meinst dieses paket filter Zeugs, richtig ? (wenn ich deine Antwort jetzt richtig interpretiere)
Zum Vergrößern anklicken....

Ja, hostbasierter Paketfilter heissen die Dinger - ZA & Co. sind solche.

Ok, so habe ich das auch mit der Windows eigenen Firewall verstanden, also das sie gut ist gegen eingehende Verbindungen ist. Was ist aber mit diesen application-state Zeugs, heist das nicht das jede Anwendung eine eigene Firewall hat ? Währe das nicht besser ?
Zum Vergrößern anklicken....

Im Prinzip versuchen hostbasierte Paketfilter (ausser der Windows-Firewall) genau das. Funktioniert aber nicht zuverlässig, da Software sich nicht ausreichend kontrollieren lässt.
Eine externe Box, die "application state" filtert ist prinzipbedingt nicht möglich, da Netzwerkverkehr von Außen nicht zuverlässig einer bestimmten Anwendung zugeordnet werden kann. Man braucht dafür also einen "Agent" auf dem Rechner, und dem kann Schadsoftware wiederrum vorgaukeln, dass sie legitim ist.

...Konkret heisst das, dass selbst die beste Soft- und Hardware nur so gut "schützen" kann, wie das Konzept dahinter es zulässt.
Zum Vergrößern anklicken....
Ich muss zugeben, ich weiß ehrlich gesagt gar nicht was ich "wirklich" brauche, vieleicht kannst du uns normalen anwendern ja mal ein wenig Hilfestellung geben. Was brauche ich eigentlich und was nicht ? Das ist sicher von den Surfgewohnheiten abgängig, aber ich und sicher auch andere hier währen für eine kleine Einführung und Antwort dankbar.
Zum Vergrößern anklicken....

Der Normalanwender braucht ausgehend nur
- Port 80 (http - aka www)
- Port 443 (https - aka ssl)
- Port 25 (smtp - Mailversand)
- Port 110 (pop3 - Mailempfang)
Diese Ports auch eingehend zu öffnen ist unter Windows völlig unproblematisch, da standardmässig keine Dienste daran lauschen.

Dummerweise lauschen unter Windows diverse Dienste an diversen Ports, und das ist der Grund für die Existenz der Windows-Firewall. Wer es schafft diese Dienste (sind zu viele, um sie hier zu nennen) von externen Interfaces zu entbinden, braucht nichtmal die Windows-Firewall zu aktivieren. Unter http://ntsvcfg.de gibt es ein Skript, das dies ermöglicht, allerdings ist das mit Vorsicht zu geniessen - es ist nicht immer nur das externe Interface betroffen, da manche Dienste sich nicht auf einzelne Interfaces beschränken lassen.
 
Ok, danke marv42dp, jetzt bin ich ein bischen schlauer. Deinen Link kenne ich noch von derfisch.de. Ich merke schon, ich habe zu lange rumgeblödelt und zuviel schleifen lassen. Ich muss wohl mal wieder was tun.

Danke für die Hilfe ;-)

Illya
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

shrimptraxx
Alte 612 Horn Hifi Pa DIY für Heim und Clubbetrieb geeignet?
Antworten
25
Aufrufe
2K
uehghdhg64zg
U
4
Variophon und Impulsformung revisited
2
Antworten
49
Aufrufe
4K
D1g1t4l D3t0x3r
D
NickLimegrove
"Am Rhein brennt das Walhall unserer Zeit" (Serverfarm/Straßburg)
2 3
Antworten
62
Aufrufe
4K
Doc Orange
Doc Orange
Ich@Work
Hardware-Tools die es mal gab und wieder geben sollte
Antworten
11
Aufrufe
2K
Mr. Roboto
Mr. Roboto
S
Inverting Amplifiyer TL072
Antworten
10
Aufrufe
2K
Sympton
S


Neueste Beiträge

News

Zurück
Oben