Des öfteren lese ich hier, das diese Software Firewalls (PFW) nichts bringen.
Nun denn, ihr Fachleute, was genau muss ich dann machen, um WinXP home edition mit Bordmitteln abzusichern?
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Wie gesagt, keine Dienste anbieten, denn dann ist nichts da, was man angreifen kann. Und wenn du Dienste anbieten willst, dann binde die auf das interne Interface. Wenn du Dienste ins Internet anbieten willst (Mail- FTP- oder HTTP-Server) so gehoeren diese in eine DMZ und dann ist es mit einer DFW nicht mehr getan.
K.
Aha, jetzt weiß ich mehr ...
Also erstmal: eine Firewall ist IMMER besser als keine Firewall. Was meiner Meinung nach gut funktioniert, ist die Firewall die der Bitdefender Professional-Version beigefügt ist. So hat man Virenschutz und Firewall in einem. Das Programm fragt an, sobald ein Programm aufs Internet zugreifen will. Das Programm hat bis jetzt sämtliche Wurmverseuchte Mails bei mir erkannt. Du kannst Dir eine Trial-Version unter http://www.bitdefender.de herunterladen. Wer trotzdem meint das taugt nicht, soll den Stecker rausziehen. Aber wenn Du unter XP die Firewall aktivierst kann das auch nicht schaden. Wenn man natürlich so paranoid an die Sache herangeht wie einige Leute ("Hilfe, ich wurde gehackt", dabei wurde der Rechner nur angepingt) läßt man den Rechner am besten aus. Das ist immer noch der beste Schutz. Ach so, wenn wir schon über Sicherheit reden, beim Betriebssystem fängts an, da steht Windows sicherlich ganz hinten.
Aber sicherlich nicht der Firewallteil ?
Musst du immer so "Kleinbürgerlich" sein :))
luttyy
Aber klar doch - in dem Moment, in dem die vom Wurm mitgebrachte SMTP-Engine ihre Mails (=wurmverseucht) verschicken will, kommt ein buntes Alarm-Fenster :-)
scnr
> eine Firewall ist IMMER besser als keine Firewall
Ja - aber nur dann, wenn man sämtliche Dienste, die nach der Installation von Windows 2000 oder XP standardmäßig aktiviert sind, so lässt wie sie sind. Dazu besteht aber kein Grund - die Tipps auf der Seite http://ntsvcfg.de (siehe auch Posting von Klaus_T) zu befolgen, macht bestimmt nicht mehr Arbeit als die Konfiguration einer Firewallsoftware.
Und wem das noch zu viel Mühe ist - man kann sich über besagte Seite ein Skript herunter laden, dass die unnötigen Dienste automatisch abschaltet. Das lässt man einmal abnudeln und schon ist der Rechner dicht. Einfacher geht es nun wirklich nicht.
CU
Olaf
Daß eine DTF garnichts bringt ist, wie alle pauschalisierten Antworten, mit Vorsicht zu genießen. Bemühen wir einmal wieder den allseits beliebten Autovergleich. Man könnte auch sagen ESP bringt nichts, das wäre sachlich betrachtet falsch. Allerdings ist ESP nutzlos, wenn der Fahrer mit Tempo 200 in eine Haarnadelkurve fährt, oder bei der Fahrt die Augen zu macht.
Das Problem mit DTFs ist, daß die Leute, sobald sie sie aufgespielt haben, sich der Illusion hingeben sicher zu sein, sicher ist man aber nicht einmal mit einer Firewall-1 oder einer Raptor, man ist nur sicherer ohne. Wenn man allerdings realistisch betrachtet, was eine Firewall leisten kann und das nicht und daß sie potentiell selbst ein Problem darstellen kann, dann finde ich persönlich eine DTF besser, als nur auf blindes Gottvertrauen zu setzen.
Hier mal eine unvollständige Aufstellung was eine Firewall nicht kann:
-
- Sie kann nicht verhindern, daß du dir einen Virus, Wurm oder Trojaner installierst, wenn Du den Anhang einer Mail öffnest
-
- Sie kann nicht verhindern, daß eine Lücke in einer Internetanwendung wie dem Browser, Mediaplayer, Instant Messaging Programm, etc von einem manipulierten Server ausgenutzt wird, da sie i.d.R. keinerlei Ahnung von den Protokollen hat und saubere Nutzdaten von unsauberen unterscheiden kann
-
- Sie kann nicht zu 100% verhindern, daß ein Programm Daten nach außen schickt, wenn sie diese Daten entweder über ein legitimes Programm tunnelt oder die Daten einfach als XML-Pakete über ein legitimes Programm versendet, as beides über COM+ theoretisch möglich, jedoch nicht üblich ist
-
- Sie kann sich nicht selbst schützen. Taucht ein Fehler in der Firewall selbst auf, so ist das System korrumpierbar
-
- Sie kann nicht verhindern, daß ein Kernel-Level-Trojan einfach die Firewall tötet oder inaktiv schaltet oder komplett umgeht, Phrack hat dazu eine "Anleitung" für Programmierer, wie sich dies realisieren lässt. Arbeitet die Firewall im Userspace, ist dies nicht einmal nötig, da dazu normale Anwenderrechte reichen
-
- Sie kann nicht zu 100% verhindern, daß ein Schädling Raw Sockets nutzt um die Firewall zu umgehen, wenn er es schafft einen alternativen TCP/IP-Protokollstack zu installieren
-
- Sie kann nicht hellsehen und wissen, was Du wirklich bewußt erlauben willst und was nicht. Eine schlecht oder gar nicht konfigurierte Firewall ist gefährlicher als keine Firewall, da sich der User in falscher Sicherheit wähnt und sein Verhalten meist leichtsinniger wird
-
- Sie kann nicht selbst verhindern, daß der Hersteller sie als Datensammler mißbraucht und sie Daten an sich schicken lässt
-
- Sie kann meist gar nichts mehr vernünftiges tun, wenn sie in Kombination mit einer zweiten DTF auf dem selben System eingesetzt wird
-
Das eigentliche Hauptproblem einer DTF ist das System selbst. Sie soll ein potentiell gefährdetes System schützen, läuft jedoch selbst darauf und muß sich auf seine Funktion verlassen, daraus folgt auch, daß eine DTF nicht das Updaten und sichere Konfigurieren des Systems selbst ersetzen kann, sondern dies die Voraussetzung für eine (realtiv) zuverlässig funktionierende DTF ist.
Noch ein kleiner Ausflug dazu, viele professionelle Firewallsysteme sind genaugenommen auch reine Software, welche allerdings auf einem minimalen und als sehr sicher geltendem System aufsetzt. Hardening nennt man das absichern dieses Systemunterbaus und außer der Firewall selbst wird auch ein vernünftiger Admin nichts weiteres darauf laufen lassen, denn je komplexer ein System wird, desto vielfältiger werden die Sicherheitsprobleme, ein Heimrechner ist unter diesem Gesichtspunkt sehr komplex.
Es gibt zwar auch Firewalls in Hardware, sogenannte Appliances, doch selbst diese wurden schon geknackt. Deswegen frei nach Einstein: Sicherheit ist relativ.
PS: Gott sei Dank, endlich wieder etwas Zeit für Nickles ;o)
Erst einmal: Schön, das du wieder da bist. Aber war dein Abschieds-Thread dann nicht doch ein wenig voreilig weil vom Klang her endgültig? Oder hat der Nickles-Entzug nicht angeschlagen und du bist wieder auf Tastatur... ;o))
Nichtsdestotrotz: Dein Wiedereinstieg wird das Niveau von Nickles wieder etwas anheben!
Ähh...naja, das Abschiedposting war schon ernst gemeint, momentan geht leider anderes als Nickles vor, habe aber Gott sei Dank die nächsten Wochen (Tage?) mal wieder etwas Luft und auch Lust, muß schon sagen, man vermißt Nickles :o)...
Wie gesagt, es sollte ein Abschied auf Zeit sein, kein Endgültiger (oder ab ich das so unklar formuliert?)
Auf jeden Fall mal Danke für´s welcome back, aber übertreib mal net, Nickles kommt anscheinend ganz gut ohne mich klar ;o)
Na klar kommt Nickles auch ohne dich klar - keiner ist unersätzlich! Aber ein wenig besser mit dir. Nimm es als Lob hin; es ist ehrlich gemeint!
Wahr gesprochen. Frag mich nur, wann -IRON- sich dazu meldet
Wie so oft im Leben liegt die Wahrheit irgendwo dazwischen und jeder hat Recht....wenigstens irgendwie...
Schreiben wir doch mal, was eine Desktop-Firewall kann:
Eine Desktop-Firewall kann einem helfen, mehr ueber sein System und Netzwerke zu lernen. Voraussetung dafuer ist aber, dass man auch willens ist zu lernen. Dazu gehoeren die Protokolle im Netzwerk, was Ports sind, was die machen, wann Ports offen sind usw.
Wenn jemand weiss, wie man eine Desktop-Firewall konfiguriert und weiss, dass man damit nicht automatisch sicher ist und jetzt alles machen kann, der kann etwas lernen. Wenn er aber weiss, wie man die konfiguriert, weiss er auch soviel, dass er keine braucht, also wird er keine installieren.
Das Ding ist zum auslesen der Log-Files ganz gut, wenn man damit was anfangen kann, obwohl snort, ethereal oder tcpdump dafuer besser geeignet ist. Soetwas wird es bestimmt auch fuer Windows geben.
Sag mir, wofuer die noch gut ist.
Klaus
...gibt es alle drei auch für Windows. Für alle, die es interessiert: Hier geht's zum Download.
WinDump: tcpdump for Windows
Snort intrusion_detection system
Ethereal Network Traffic_Analyzer
CU
Olaf
[Diese Nachricht wurde nachträglich bearbeitet.]
> ...dann finde ich persönlich eine DTF besser, als nur auf blindes Gottvertrauen zu setzen.
Find ich auch besser - aber nur, weil ich überzeugter Atheist bin :-D
Aber Gottvertrauen ist ja auch nicht die Alternative. Wenn all die Dienste, die Windows für Angriffe aus dem Internet empfänglich machen ausgeschaltet werden, ist die Firewallsoftware damit doch obsolet - oder habe ich etwas Entscheidendes übersehen?
CU
Olaf
Ja, das System selbst. Auch ein Protokollstack ist nur Software und wir alle kennen Microsoft und ihre Patches. Wer hat sich noch nicht gewundert, daß nach einspielen eines Servicepacks plötzlich wie von Geisterhand ein Dienst wieder gestartet wird, der eigentlich deaktiviert war.
OK - dann müsste man es sich zur Gewohnheit machen, nach jedem Besuch von v4.windowsupdate.microsoft.com/de das Kaune-Skript noch einmal laufen zu lassen, zumindest dann, wenn neue Updates gefunden und installiert worden sind. Das wäre jeweils nur eine Sache von Sekunden.
CU
Olaf
Danke Xaff, dem gibt es, glaube ich, nichts hinzuzufügen;-)
Ich hätte noch was :-)
1. Ein Fehler im 1-2 Megabyte großen TCP/IP-Stack einer DTF ist wahrscheinlich viel anfälliger gegenFehler als das 350 KB große Original von Windows.
2. Dito für die >5 MB Code, die eine DTF ins System bringt. Da sie ja zudem ständig Daten aus einem nicht vetrauenswürdigen Netz verarbeitet, sollte wohl klar, daß der Risiko wesentlich größer als der tatsächliche Nutzen ist.
3. Theoretisch kann man das Rechtemanagement von WinNT nutzen, um eine DTf zumindest gegen Übergriffe im Userpsace zu schützen. Aber auch hier steckt der Teufel im Detail und erfordert sehr viel Wissen über die Windows-Interna sowie die programmtechnische Architektur der DTF. (Aber darüber wurde hier auch schon mal diskutiert und letztendlich von einem gewissen IRON dazu verwendet, mich unverständlicherweise als DTF-Befürworter zu diskreditieren.)
Moin Xaff,
schön Dich wieder zu lesen. :-)
...ja. das lieblingsthema ist wieder da...
man sollte die sache vielleicht mal etwas differenzierter betrachten...
1. homeuser mit erfahrung
2. homeuser ohne erfahrung
3. professioneller bereich
4. ? (platz für andere, zb dau)
1. eine dtfw ist nicht unbedingt nötig, wenn doch kommen meist amtliche lösungen ran
2. besser mit, als ohne - bitte aber nicht za und nis
3. wird hier nicht nach gefragt, aber wenn - dann reden wir über iss proventia, cisco pix, checkpoint...
fazit?
mit ist besser als ohne, erspart aber nicht weitere maßnahmen, wie vorsicht, virenscanner, etc. etc...
im homebereich ticken die sicherheituhren sehr unterschiedlich - finden wir uns damit ab.
;-)
>>mit ist besser als ohne Auch nicht unbedingt...wenn man sein System anderwertig abgesichert hat, muss man keine haben. Und dann tritt die alte Regel "mehr nicht benötigte Software = mehr unnötige Sicherheitsrisiken" in Kraft ;)
Ansonsten möchte ich mal Hendrik Brummermann zitieren:
Desktop-Firewalls können für den Fall als Sicherheitsnetz dienen, dass man die "Datei- und Druckerfreigabe" falsch konfiguriert hat oder sich in der Vertrauens-Einschätzung eines sehr schlampig programmierten bösen Programmes vertan hat.
Dieses Netz ist allerdings sehr weitmaschig, so dass man sich darauf nicht verlassen kann. Daraus ergibt sich eine nicht zu unterschätzende neue Gefahr: Viele Leute werden mit dem Wissen, eine PF und einen Virenscanner zu haben, ausnahmsweise ein einziges Mal ein nicht vertrauenswürdiges Programm starten, ...
Hallo,
ein leidiges Thema, dass auch nie enden wird.
Doch mein Vorschlag sollte mal darauf hinweisen, dass man selbst unter Windows bereits einige sehr gute Massnahmen treffen kann um verschontER (100% gibt es einfach nicht) zu bleiben.
Hierfür möchte ich gerne folgenden Link empfehlen:
http://ntsvcfg.de/
Beste Grüße
Stellt sich die Frage, warum die DTF-Hersteller nicht lieber eine gute einfache billige Software ausliefern, die eben für den DAU simpel, klar und verständlich genau die Ursachen beseitigt, anstatt irgendwelche Symptombekämpfungsplacebos für teures Geld zu verticken. Oh Moment, jetzt wird's klar...