Diskussion: Desktop-Firewalls - wie sicher sind sie?

Maximus1

Capt. Banane
Zonealarm und die Diskussion, die ja immer wieder im Thread für die angeblich kostenlose Version aufgeflammt ist, hat einen eigenen Thread verdient, hier ist er.

Ich fange dann auch gleich mal an und hoffe das wir hier schön über Sinn und Unsinn solcher Software diskutieren können.




Die Sicherheit, die einem suggeriert wird, wird nicht gehalten weil...
- du kannst dich von innen nach außen schützen durch Stecker ziehen
- du kannst dich von außen nach innen schützen durch Stecker ziehen
anderes ist nicht sicher.

Du kannst nicht erwarten, dass eine Software die potenziell fehlerhaft ist, Sicherheit bietet.
Firewalls die als Dienst arbeiten, arbeiten als sehr hoher Benutzer, der teils sogar über dem Admin steht, um es mal salopp auszudrücken.
Mit jeder Zeile Code die ein Programm hat, steigt die Fehleranfälligkeit.
Als Beispiel: WinXP hatte zu Beginn 66.000 um es mal auszuschreiben Sechundsechzigtausend bekannte Bugs und Fehler.
Ein Programm, das mit den rechten des Nutzers oder höheren rechten läuft und kompromittiert werden kann, ist perfekt dazu geeignet den Computer zu hijacken.
Jedes Programm kann kompromittiert werden.

Eine Software, die schützen soll und in der Mitte zwischen User und seinem verhalten und dem Internet mit seinen Gefahren sitzt wird von beiden Seiten torpediert.
Als Beispiel: "willst du das der FF ins Internet kann? OK Abbrechen" na was meinste was gedrückt wird? Genau, "OK".
Nun surfen wir durch die Gegend und finden ein tolles Angebot, das wir uns ansehen wollen. Ein Skript (kleines Programm) auf der Webseite
führt durch Fehler im FF Nutzercode in einer Eingabemaske aus. Bums. buffer overflow. Nun ist es zu spät. Wenn der Fehler im FF oder einem
anderen Browser gravierend war haben wir potenziell die Kontrolle über den Rechner verloren.
Wenn wir Glück hatten, stürzt der Browser ab. Alles dazwischen ist möglich. Konnte uns die sichere Desktopfirewall helfen? NÖ

Was hilft denn nun?
Brain.exe hilft. Oh ja, das Angebot will ich doch mal sehen ... oh das funktioniert ja gar nicht ... ach ja ich habe ja für den FF noscript installiert
und damit laufen Skripte ja nur, wenn ich sie zulasse. Möööööp Fehler. Ist die Seite echt sooooo interessant, dass man Skripte zulassen MUSS?
Manchmal ja.
in solchen Fällen empfiehlt sich auf jeden Fall die Überlegung ob ich dem Onlineangebot vertraue. Wir brauchen nicht darüber reden ob wir Microsoft vertrauen,
denn das tun wir weil wir nicht Linux oder MacOS nutzen.
Es gibt mittlerweile die Möglichkeit den Browser in einer Sandbox laufen zu lassen. Somit wird das System nicht kompromittiert, wenn einer der obigen Fälle eintritt.

Im Internet ist grundsätzlich NIEMANDEM zu trauen.
Selbst Mama und Papa die uns eine Mail mit einem Zipfile schicken ist nicht zu trauen, wir wissen ja nicht ob der Rechner nicht auch kompromittiert ist.
Für Viren und Würmer gibt es AV Lösungen, die die Überlebenszeit eines Windows von 30 Sekunden auf bis zu 2 Monate erhöhen können,
vorausgesetzt man hält den AV aktuell und nutzt einen guten. Teuer ist nicht gleich gut und Norton ist es auch nicht.


Sicherer als Desktopfirewalls sind Firewalls auf ISA Servern und Routern.
ISA Server, wenn sie richtig konfiguriert sind, lassen erst mal per Default gar nichts zu. Kein Ping, kein sonst was. Du bist online aber keiner kann durch
den ISA Server hindurch. Wenn er richtig installiert und konfiguriert ist, hat man geringe Möglichkeiten im Netz etwas zu machen und das Netz
mit seinen Gefahren hat bei uns wenig Angriffsfläche. Wurde und die restliche Anbindung zum Internet auch gut konfiguriert, ist mit gefahren kaum zu rechnen.
Die restliche Anbindung ist dann der Router und evtl. ein IPCOP Proxy Server.

Der ISA Server ist eine Art Firewall Server, der jede einzelne Verbindung über jedes Protokoll und jede Richtung steuern kann.
Es ist nicht grade einfach den richtig auf die Bedürfnisse einer Firma einzustellen und es dauert seine Zeit, bis der dann auch endlich das macht,
was man will. Einmal zu Ende eingerichtet lässt man den auch in der Ecke vergammeln und kümmert sich besser nicht mehr drum.

Ihr seht das hier nun doch schon eine Menge zusätzlicher Kram dazukommt von dem ihr evtl. noch nie was gehört habt.
Das alles ist auch nicht sicher, ich erinnere mal an die ersten 4 Zeilen. Solch ein Aufwand ist aber schon ziemlich sicher,
aber nicht praktikabel, wenn man nur seine 1-3 Rechner zu Hause hat.


Jetzt kommt da also ein Hersteller, der schreibt:

Stoppt Internetattacken an der Vordertür ------ die Vordertür ist das Modem, sei es in Form eines Routers oder eines einzelnen Modems!!!
Dienste zum Schutz vor Identitätsdiebstahl -------- ein Dienst ist meist höher berechtigt als der User und ist der Dienst kompromittiert ist ESSIG mit sicher!!!
Konzentrieren Sie sich auf Ihre Aktivitäten. Wir kümmern uns um den Rest. ----- ja genau, installiere unsere Software und wir, die du nicht kennst und weißt das ein finanzielles Interesse besteht, kümmern uns um alles ;) schon klar.

OK ich schrieb ISA Server installieren und konfigurieren und vergammeln lassen. Ist die Zone Alarm Desktop Firewall für ganze Firmen? Nein? Der ISA Server schon.
Wenn ein Homeuser Probleme bekommt weil die FW nicht das macht was sie soll hat der eine Pech gehabt. Wenn einer Firma Daten abhanden kommen,
weil der ISA Server versagt hat, hat MS ein Problem. Fehleranfälligkeiten bei Unternehmenssoftware verbreiten sich sehr schnell und je mehr Unternehmen
ein Datenleck oder anderes brisantes haben, weil der ISA Server versagte, kann der Hersteller in dem Bereich sehr schnell einpacken.
Hier kann man nicht unbedingt Dummheit des Admins unterstellen, wenn es ein Fehler in der Software war, was bei Desktopfirewalls wesentlich einfacher geht,
weil sich diese Software an Homeuser und somit eher unwissende gerichtet wird.

Abschließend noch mal zusammenfassend:
Der Router sitzt vom Internet aus gesehen vor dem Rechner und kann ihn aus dem Internet besser beschützen als eine Desktopfirewall es kann da sie mittendrin, zwischen Rechner und User sitzt.
Alles was schützt und NCIHT vom User verändert werden kann ist sicherer als Schutzmaßnahmen, die vom User beeinflussbar sind.
Benutzt die Schutzmöglichkeiten von AV und Router, stellt alles gut ein und ihr könnt euch eine Firewall sparen. Wenn ihr doch eine wollt, nutzt die von Windows.
Windows 7 hat die Firewall des ISA Servers geerbt, sie ist nicht so extrem wie die aus dem Server aber sie ist endlich so wie sie sein soll.
Man kann alles so einstellen wie man es braucht. Es ist keine andere Firewall von Nöten.

Manche werden jetzt die ISO/OSI schichten vermissen, da dies aber harter Tabak ist und selbst gestandenen Admins Probleme bereiten kann lasse ich es komplett heraus um nicht durch noch mehr Fachgelaber die Letzten zu verschrecken.




.:€dit:.
Habe da mal einige Rechtschreibfehler rausgeschmissen.
 
Zuletzt bearbeitet:
Anzeige

black_sheep

gehört zum Inventar
Dein Beitrag spricht mir und bestimmt auch vielen Anderen aus der Seele.

Schade nur, dass du auf Gross/Kleinschreibung verzichtet hast. Dies geht auf Kosten einer besseren Lesbarkeit und die ist bei einem so langen Beitrag imho sehr wichtig, weil viele es aus diesem Grund nicht zu Ende lesen werden.

Vielleicht machst du dir ja noch die Mühe :angel
 

Maximus1

Capt. Banane
ich werde das wohl mal machen und ungereimtheiten sowie völlig vermurkste und verdrehte sätze grade rücken. aber nicht jetzt.
 

Lines

treuer Stammgast
Ein sehr schöner Beitag, aber leider ist jetzt nicht darin beschrieben wie ich denn jetzt einen Router richtig konfiguriere damit ich keine Softwarefirewall mehr brauche.
Eine gute Anleitung wäre da nicht schlecht!
Also bräuchte man nur noch ein Antivierenprogramm zu installieren wenn der Router richtig konfiguriert ist?
 

Martin

Webmaster
Teammitglied
Die Gefahr, dass ich an meinem privaten Internetanschluss Opfer eines Hackerangriffs werden, ist nahe Null. Und wenn, schützt jeder 20-Euro-Router zuverlässig davor. Dafür ist keine Desktop-Firewall nötig.

Ich brauche jetzt nur noch die Antwort auf eine einzige Frage, um endgültig mit dem Thema abzuschließen:
Ich möchte verhindern, dass ein Programm ungefragt Daten von meinem Computer ins Internet überträgt. Wie kann ich das erreichen?
Die Windows-Firewall kann das leider nicht.
 

Maximus1

Capt. Banane
aus gegebenem anlass buddle ich das thema noch mal kurz aus.

bezüglich des blockens von ports, welches Martin ja gern durchführen möchte, kann man clientseitig das tool PortMapper von analogx nutzen. zu finden ist es hier
 

xedoc

treuer Stammgast
Nun ja, der ist aber eigentlich dafür gedacht Ports für Dienste umzubiegen ;)

Ab Vista tut es auch die interne Windows Firewall. Ich schaue mal, ob ich da ein Screenshot Tutorial basteln kann wenn Zeit ist (also nicht jetzt).
 
Zuletzt bearbeitet:

Ela

Moderatorin
Teammitglied
Die Windows-Firewall kann das leider nicht
Mit dem Aufsatz Windows 7 Firewall Control Plus und der Zonenverwaltung geht das schon. Die Freeware Variante kann ebenfalls sperren, aber wohl eben nur die gesamte Anwendung. :)

Ich sehe gerade, die Win7 Firewall (ohne Aufsatz) hat dafür ebenfalls Einstellungsmöglichkeiten in den Erweiterten Settings:
- Ausgehende Regel
- Neue Regel
- Regeltyp festlegen (Programm, Port, Benutzerdefiniert)
- Programmpfad eingeben
- Aktion: erlauben, erlauben wenn sicher, blockieren
- Profil festlegen (Domäne, Privat, Öffentlich)
- zum Schluss noch den Namen der Regel vergeben.
 
Zuletzt bearbeitet:

xedoc

treuer Stammgast
Ich habe da schon ein Tutorial in Arbeit, Screenshots sind auch schon fertig. Ich gehe das nochmal durch und stelle es im Laufe des Tages rein.


*hust: Ich habe da was vorbereitet. ;)
 
Zuletzt bearbeitet:
Oben