title image


Smiley Re: Personal Firewall doch nicht so schlecht
> Wer kennt schon alle Dienste bei Win XP ?



Ich kann nur wiederholen, was ich schon unzählige Male geschrieben habe: Wenn man sich dazu entschliesst, die Sicherheit des eigenen Rechners/Netzwerks/whatever in die eigenen Hände zu nehmen, muss man sich zwingend Wissen aneignen. Möglichst umfangreiches Wissen. Dazu gehören auch Ports. Man sollte wissen, wie das mit den Ports funktioniert.



Zudem gibt es auf Dingens ein kostenloses Tool, welches einem die Dienste von W2k bzw. XP mit wenigen Mausklicks relativ sinnvoll konfiguriert. Dieses Tool basiert auf einem Script, welches dort ebenfalls verlinkt ist. Zudem ist der Quellcode frei zugänglich, so dass man sich ggf. eigenhändig informieren kann, was das Tool anstellt. Es finden sich auch Links zu Webseiten mit weiteren Informationen über die Dienste von W2k bzw. XP, so dass man sich auch gezielt informieren kann.



Man muss deswegen nicht zwingend alle Dienste kennen. Wichtig ist vor allem, dass man weiss, welche Dienste standardmässig zum Internet hin angeboten werden und somit ein Sicherheitsrisiko darstellen (Stichworte wie RPC und LSASS seien hier genannt). Und es ist wichtig, dass man dafür sorgt, dass diese Dienste möglichst nicht mehr nach aussen angeboten werden.



> so sind somindest alle Ports dicht.



Nein, sind sie nicht. Ein offener Port, der von einer PFW 'verdeckt' wird, ist ungefähr wie das Loch in einem Reifen am Auto, das mit Kaugummi oder einem Hansaplast zugeklebt wird. Sorgt man dagegen durch sinnvolle Konfiguration dafür, dass der Dienst am betreffenden Port beendet wird bzw. nicht mehr am externen Interface läuft, dann ist das mehr als nur die Tür zu schliessen. Es ist, wie wenn man eine Tür entfernt, das Loch zumauert und nur noch eine Tür aufmalt.



> Aber ein Beitrag zu einem sicheren System, oder nicht ?



Eine PFW kann ein Beitrag sein, das stimmt schon. Nur leider nicht in dem Mass, wie es Hersteller, PC-Zeitschriften und andere Quellen gern erzählen. Einige Dinge, die so angepriesen werden, können rein prinzipbedingt nicht wirklich funktionieren. Z.B. kann keine PFW wirklich zuverlässig verhindern, dass irgendein Programm auf Deinem Rechner ins Internet gelangt. Denn jede PFW kann umgangen werden.



Dein Einwand in der anderen Antwort mit den beschränkten Rechten kann sicher ein wenig helfen. Das Dumme ist nur, dass das leider die wenigsten Leute wirklich machen. Der Grossteil surft nach wie vor mit Admin-Rechten. Das liegt zum Teil an der Bequemlichkeit, zum Teil am mangelnden Wissen und anderem. Und solange eine Software bzw. deren Konfiguration vom Benutzer, der gerade angemeldet ist, beeinflusst werden kann, solange ist es jeder Malware, die ggf. auf das System gelangt, ohne Probleme möglich, die PFW zu beeinflussen, abzuschiessen etc.



Wenn, dann müsste man einen Host Based Packet Filter (HBPF) einrichten. Das ist ein Ding, das als Dienst läuft und auf das der User keinen Einfluss nehmen kann. Dadurch kann er auch von allfälliger Malware erheblich schlechter beeinflusst werden. Leider gibt es derzeit wohl keinen wirklich brauchbaren HBPF für Windows.



> Was soll die Alternative sein ?



Informieren, Wissen aneignen, lernen. Und mit dem angeeigneten Wissen ein auf die persönlichen Anforderungen zugeschnittenes Sicherheitskonzept entwerfen und umsetzen. Das klingt kompliziert, muss es aber u.U. gar nicht mal sein. Wichtig ist in jedem Fall, neben dem genannten Lernen, dass man sich überlegt, was man eigentlich erreichen will. Der eine betreibt Filesharing, der andere nicht. Einer möchte einen eigenen Webserver betreiben, jemand anders nur surfen und mailen. Da gibt es so viele möglichen Kombinationen, dass es schon mal unmöglich ist, eine für alle Eventualitäten passende Lösung zu präsentieren.



> Soll ich eine Linux-Kiste mit Proxy und Iptables vor einen Stand-Alone Rechner hängen ?



Das kann u.U. eine Lösung darstellen. Bloss nicht in jedem Fall.



> Einen Hardware-Router mit Firewall für ein Gerät, dass mit DFÜ ins Internet geht ?



Speziell bei DSL und ähnlichen Breitband-Zugängen ist ein Hardware-Router keine schlechte Idee. Selbst wenn er keine eigentliche Firewall hat, sondern 'nur' NAT macht und routet. Denn auch wenn NAT kein Sicherheitsfeature ist, so stellt ein solcher Router dennoch eine physikalische Trennung von PC/LAN und Internet dar. Dinge wie der Blaster- oder der Sasser-Wurm haben da schon mal keine Chance.



> Sygate hält vielen Test stand, das Teil scheint nicht so schlecht zu sein.



Könntest Du einen solchen Test hier verlinken? Das würde ich gern mal nachlesen.



Prinzipiell kann ich ebenfalls nur wiederholen: Gerade in PC-Zeitschriften schreiben heutzutage kaum mehr wirkliche Computer-Fachleute, sondern Journalisten. Und speziell die Tests von Personal Firewalls lassen leider sehr oft viel zu wünschen übrig. Seien es mangelnde Informationen, aber auch diverse Falschaussagen und andere haarsträubende Sachen. Solche Tests sind daher grundsätzlich mit viel Vorsicht und Skepsis zu geniessen.



Und wenn ich mir diesen Leaktest so anschaue, dann kann ich eigentlich keinem der getesteten Produkte weiter trauen als ich einen Jumbo Jet werfen könnte.



BTW: Hier in diesem Forum haben meine Wenigkeit, Markus K und andere schon oft die Probleme und Unzulänglichkeiten von PFW erläutert. Bislang konnte niemand diese Hinweise widerlegen, Fehler aufdecken oder sonstwie nachvollziehbare Argumente, die wirklich für PFW sprechen würden, vorbringen. Dabei fordern wir ja immer wieder dazu auf, auch unsere Aussagen kritisch zu sehen, sie zu hinterfragen und uns ggf. bei Fehlern etc. zu informieren. Wäre es möglich, dass wir mit unseren Aussagen vielleicht doch nicht so falsch liegen? Man möge sich auch jeweils kurz überlegen, welche Interessen jemand verfolgen könnte, der eine bestimmte Aussage trifft. Bei PC-Zeitschriften ist mit Sicherheit ein kommerzielles Interesse (Auflage, Inserate...) im Spiel. Wenn man einen Sicherheitstest bei Symantec o.ä. macht, dann will einem diese Firma sicher alle Nase lang die eigenen Produkte verkaufen. Jetzt überleg Dir mal, welche Interessen wir hier verfolgen? Wollen wir Dir etwas verkaufen? Oder möchten wir Dir vielleicht helfen, selber 'Erleuchtung' zu finden? ;)



CU

Caleb
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: