Sinn und Unsinn von DW Einstellungen

[Internetfan1971]

Hallo!

Es freut mich wieder hier dabei zu sein!

Ich möchte hier zum Start ein altes Thema neu aufleben lassen: Sinn und Unsinn von. Desktop-Firewalls.

Ich bin vor einigen Tagen wieder auf das Thema durch die Web-Site http://www.tecchannel.de/ gestoßen.

Dort wurden sechs Desktop-Firewalls getestet.

http://www.tecchannel.de/software/405/index.html

tecChannel gibt den Kritikern durchaus bedingt recht DF zu kritisieren, ist aber nicht der Meinung DF wären schlicht überflüssig.

Argumente, die durchaus gegen eine DW sprechen (können)

- Allzu leicht seien solche Desktoptools zu umgehen, da sie mit statischen Filterfunktionen arbeiten

- So könnten sich problemlos Trojaner bei der Verbindungsaufnahme nach außen als Nutzprogramme ausgeben oder ihren Datenverkehr über erlaubte Verbindungen tunneln

Gegenargumente

- Zum einen verfügen nicht alle potenziellen Angreifer über tiefschürfende Protokollkenntnisse und ausgefeiltes Werkzeug - Stichwort: Script Kiddies

- Zum anderen bieten heute auch desktopbasierte Schutzprogramme ein beachtliches Repertoire an Abwehrmöglichkeiten. So finden sich im Testfeld sowohl Applikationen, die Angriffe portunabhängig durch ständige Verkehrsanalyse entlarven, als auch zwei Tools, die über MD5-Prüfsummen die Authentizität zugreifender Programme abklären

Die (Gegen)-Argumente habe ich einfach mal so übernommen. Sie können ja auch auf beiden Seiten ergänzt oder ja vielleicht auch widerlegt werden?

[Gast_Bo Derek_*]

Das für mich wichtigste Argument gegen eine Firewall ist wohl das fehlende Verständis derselben durch den davor sitzenden User. Die "beste" Firewall bringt nichts, wenn sie:

a) nicht konfiguriert werden kann bzw. wird,
B) der User genervt oder überfordert ist und lediglich die aufpoppenden Sicherheitsmeldungen "wegklickt" oder
c) der User sich in absoluter Sicherheit wiegt und deshalb sein Gehirn beim Surfen ausschaltet, ganz frei á la "ich hab die Ultrafirewall, mir kann eh niemand was"

Demgegenüber ist es für mich dennoch sehr komfortabel. So kann ich bei einem LAN die zulässigen Anschlüsse/Protokolle einschränken oder aber Informationen über den Systemstatus bzw. Logs anzeigen lassen. Klar, das geht auch mit anderen Tools, doch würde ich dieses Argument eher als Tautologie bezeichnen.

Es gibt sicher noch haufenweise Argumente für oder gegen DF, aber der Beitrag ist ja noch jung

[Gorgo]

Wie Bo schon richtig schreibt, ist es in meinen Augen auch vor allem Scheinsicherheit, die eine Firewall vermittelt!

Immer wieder erleben wir ja, dass gerade User kostenloser PFW Lösungen und User, die sogenannte Komplettlösungen alá Norton oder McAffee gekauft haben, sich hinter ihrer Wall sicher fühlen.

Die aufpoppenden Fenster werden weggeklickt und wenn mal ein Programm nach Hause telefonieren möchte,
weiß man in der Regel ja nicht was das ist und erlaubt es einfach.

So eingesetzt, ist eine PFW imho einfach sinnfrei.

[Gast_cruz_*]

Es gibt sicher noch haufenweise Argumente für oder gegen DF, aber der Beitrag ist ja noch jung

Genau, wizard war noch nicht da *fg*.

.cruz

[Gast_Gladiator_*]

Genau, wizard war noch nicht da *fg*.

Genau DAS wollte ich grade eben auch schreiben

[Heike]

Ich sehe mittlerweile FW als fast sinnlos an, sie können eben sehr leicht umgangen werden, dazu ist auch kein tiefschürfendes Wissen erforderlich.

Ein Portscan ist zum eigenen Schutz wesentlich aussagekräftiger, beispielsweise dieser. Welcher Port ist warum offen, wenn man es bei allen Ports weiß, ist es gut.

Oder mal sehen, welche Dienste so im Internet sind, hiermit geht es.

Trotzdem nutze ich noch eine FW, aber mit dem Wissen, sie ist eben kein Schutz, hat aber doch meist eine recht brauchbare Protokollfunktion, die hilft, den Router zu konfigurieren, wenn es mal Probleme mit dem Verbindungsaufbau gibt.

[Internetfan1971]

Bei der Frage von Sinn bzw. Unsinn von Desktop-Firewalls sind denke ich mal die Angriffspunkte von Außen (Internet) auf den PC zu nennen und deren mögliche Beseitigung.

a) Angriff über offene Ports

Lösung: Nicht benötigte Dienste schließen bzw. so konfigurieren, daß die Ports nicht nach außen offen sind.

D. h. beispielsweise bei einem LAN die Datei- und Druckerfreigabe NICHT an den DFÜ-Adapter binden.

B) Angriff über Java/ Java-Script und ActiveX

Lösung: Sichere Browser wie Netscape, Opera etc. verwenden, welche vor allem kein ActiveX haben

c) Denial of Service Attacken

Lösung: Updaten des Betriebssystems

d) Trojaner

Lösung: Ein gutes Anti-Viren -/ Anti Trojaner-Programm

e) Sypware

Lösung: z. B. Ad-aware

f) Vorschläge ?

So wie ich es sehe, kann ich mich zumindest gegen die häufigsten Angriffe gut schützen! B)

Wozu also noch eine Wall?

[Gast_Witti_*]

b) ob Opera u. Co. wirklich soviel sicherer Sind als der IE kann ich nicht sagen. Zumindest aber stehen sie kaum in der Schusslinie.

c) spielt wohl eher bei Server-Systemen eine Rolle, als beim privaten Anwender.

d) Ich persönlich bin nicht davon überzeugt, dass das notwendig ist, solange man sicher darüber bewusst ist, was man tut. Zumindest bei verseuchten E-Mails. Verseuchte Dateien per Download sind mittlerweile IMO vernachlässigbar, jenachdem wo man sich natürlich rumtreibt.

[JFK]

Da sich die Internetverbindungsfreigabe und Outpost nicht vertragen, nutze ich keine Firewall mehr. Mich interessierte eigentlich nur, welches Programm nach draußen möchte. Wobei mir noch keiner sagen konnte, was der Windows Explorer im Netz sucht und wie ich seine Ausflugsversuche reproduzieren kann

JFK

[Internetfan1971]

Hier noch ein interessanter Nachtrag zum Thema

Ausführbare Inhalte - Sicherheitsrisiken und Lösungen

http://www.bsi.bund.de/taskforce/literatur...ur/aktivinh.htm

Und ja: Alternative Browser sind sicherer!

[Gorgo]

Und ja: Alternative Browser sind sicherer!   

Nicht alle! Ich würde Netscape für nicht die Bohne sicherer halten - bei all dem Zeug, was Du Dir da mit installierst - AIM und so...

[Gast_Bo Derek_*]

Ein wirklich beachtliches Risiko bringt der IE IMHO schon mit ActiveX mit! Insofern ist die Frage, ob Vergleiche bezüglich der Sicherheit von Internet Browsern an der Default Konfiguration festgemacht werden oder nicht. Ich halte die Standardeinstellungen für überaus wichtig, da erfahrene User meiner Meinung nach auch mit dem IE umgehen und sich nicht mehr oder minder sicher im Internet bewegen können.

Firewalls wie Outpost setzen da an einem völlig anderen Level an, denn hier kann man zum Beispiel aktive Inhalte grundsätzlich konfigurieren, unabhängig vom verwendeten Browser.

[nk51]

Hallo geehrte Helfer (und für meine Begriffe: Durchblicker)!
(Bin seit 1 1/2 Monaten ÜBERHAUPT dabei, haupsächlich als Leser/Lerner); zur Vorgeschichte:
War ich glücklich, als ich als "Sicherheitsbeitrag" zu meinem ersten Rechner u.a. Outpost und mehrere andere sicherh.spez. Progrämmchen herunterladen und installieren konnte; nach Bestehen von Steve Gibsons "Shields Up!/Stealth"-Prüfungen fühlte ich mich fast unangreifbar, bis mir ein paar vernünftige Menschen all dies (im positiven Sinne!) ausgetrieben haben!
- Um den Wind.Messenger und ein permanent "herausspazierenwollendes" Wörterbuch (und noch ein paar
andere) in die Kategorie "unerlaubt" bzw. in die "ewigen Jagdgründe" zu verbannen braucht man keinen
"Scheinsicherheitsfaktor".
- Andererseits: Wenn der Windows Explorer aus heiterem Himmel "hinaus" wollte, bzw. IE 6 partout
irgendwelche (remote) ports besuchen wollte oder die verschiedenen Browser, etc. die ich zum
Kennenlernen darauf habe, um Erlaubnis gefragt haben, was hätte ich tun sollen? Eventuelle MS-updates
verbieten? Nicht ins Internet gehen?
- Will sagen: Die ständigen Meldungen wie: "Das müssen Sie uuunbedingt MS melden!" und die
unvermeidliche "Alexa" wird man auch with a little help of friends wie xp-antispy, adaware6 etc. auch los.
- Weiterhin halte ich Pauschalbemerkungen in vielen "Fachzeitschriften" besonders für Anfänger wie mich
("...gefahrlos ins Internet, kaufen Sie bla, bla...) für gefährlich. Eine weitere Gefahr ist, dass dem user
anbetracht des zu erwartenden downloads der zeigefinger, der sowohl das firewall-fenster aus- als
auch den download-Prozess einschaltet, zu leicht zuckt.
- Gestattet mir den Vergleich: Wenn der angehende Koch (/Autofahrer etc) von Rezepten, Zutaten (/Fahren)
keine Ahnung hat, soll er NICHT für alle Ewigkeit die Finger davon lassen, sondern sich zuerst das nötige
Wissen aneignen. Wer kann mir in dieser Phase genau sagen, welche von den 65.000 (?) ports anfällig
sind? Bleiben wir beim Outpost, nach welchen Kriterien erlaubt Mensch wann, welchem Programm, was?
Mit der Hoffnung, Euch in meinem ersten Schreiben in diesem Forum nicht mit zu oft Wiedergekautem auf
den Wecker gegangen zu sein + besten Grüssen

[CyberFred]

Wer kann mir in dieser Phase genau sagen, welche von den 65.000 (?) ports anfällig
sind?

Welche Ports anfällig sind und welche nicht lässt sich imho nicht so einfach sagen. Wichtig ist, dass ein Port nur dann offen ist, wenn dahinter ein Dienst steht, der diesen Port benutzt. Es kommt also nicht darauf an welcher Port, sondern welcher Dienst benutzt einen speziellen Port. Je nachdem, welcher Dienst den Port geöffnet hat lässt sich sehen, ob dieser Port in genau diesem "Zustand" Gefahren mit sich bringt oder nicht. Hier nützliche Informationen zum Thema Dienste und Ports.

ciao

[nk51]

Hallo CyberFred !
Vielen Dank für die prompte Antwort. Zwar war die Frage eher "in Sachen firewall & CO" hypothetisch gemeint (nach dem Motto: Wie viele % blicken durch?), führt aber zur Nächsten: Habe "Kaune- Beenden von Diensten" espeichert, aber mich noch nicht darangewagt, da dort eindeutig steht: "Nach einer Standardinstallation von Windows XP Professional"; ich habe Windows XP Home, macht es nichts aus? Habe nämlich Angst, dass "irgendetwas" passiert, das nicht rückgängig gemacht werden kann, falls mir ein Fehler unterläuft!
Grüsse

[CyberFred]

Ich denke mal nicht bzw. mir sind keine wirklichen unterschiede zwischen Xp Pro und Home Ed. bekannt.
Mal noch ne Frage zu Ports: Ist es theoretisch gesehen eigentlich Möglich, dass mehrere Dienste gleichzeitig den selben Port benutzen können oder kann/darf pro Port immer nur ein Dienst dahinter laufen?

ciao

[Tiber]

Habe nämlich Angst, dass "irgendetwas" passiert, das nicht rückgängig gemacht werden kann, falls mir ein Fehler unterläuft!

Es besteht die Möglichkeit, weitere Profile zu erstellen, so dass du Einstellungsveränderungen testen kannst.
Eine Übersicht über die verschiedenen Dienste sowie die Default-Einstellungen unter XP findet man auch bei http://www.blackviper.com/WinXP/servicecfg.htm

Gruß Tiber

edit: Link klickbar gemacht

[Gast_Bo Derek_*]

Warum hast Du den Link so verändert?

[Tiber]

Warum hast Du den Link so verändert?

Das war wahrscheinlich überflüssig. Aber ich kann ja nicht alle Seiten und Links mit dem IE überprüfen ,da ich normalerweise mit Opera 7 unterwegs bin.

Gruß Tiber

[Grizzly]

zum Thema Firewalls möchte ich auch gerne etwas sagen:

es snd ja einige Webseiten verfügbar,die Tests anbieten,um die Firewall oder besser den eigenen PC überprüfen und dann einem mitteilen,was nicht stimmt.
solch einen Test habe ich vor kurzen auch mal gemacht,zugegeben aus reiner Neugierde und zwar einmal mit Firewall (Outpost) und einmal ohne.
Merkwürdigerweise komme ich auf die gleichen Resultate.

das wirft natürlich die Frage auf,wozu überhaupt eine Firewall wenn Ports,hinter denen keine Dienste angeboten werden,auf "stealth" sind und damit von außen ja nicht zugänglich?????

Muß aber auch dazusagen,ich habe den Test mit Opera 6.06 gemacht und ich gehe übers Kabel ins Netz (ist hier in den USA einfach billiger als DSL)....

zweite Frage: sollte man eine Firewall überhaupt installieren,wenn man einen Breitbandanschluß hat??(ich meine,weil man ja eigentlich immer online ist,solange der Rechner läuft)

Grizzly