[Firewall] Welche Firewall setzt ihr unter WinXP Home ein?

Ihr könnt FWs installieren wie ihr wollt. Solange ihr nicht bereit seit euch mit XP auseinander zu setzen ist das zweitrangig. Ich habe mir seit Windows XP darüber keine Sorgen mehr gemacht, denn hier ist es möglich dem User weitest gehend die Rechte auf das eigentliche System zu entziehen.

1989 als die ersten Gehversuche der graphischen Oberflächen auf dem 286 begannen so ala Gem und DOS Shell und Windows, konnte man sich mit dem Rechner nur beschäftigen wenn man Programmieren lernte (Es gab kaum Programme). Aber dazu fehlte noch Wissen also Bücher gekauft und los, dort fand ich dann wie man sich mit Gleichgesinnten austauschen konnte. Also musste ein neuer Rechner her, ich glaube so 1990 habe ich einen 386SX25 2MB RAM + 2MB Erweiterung und 10 oder 20MB Festplatte mit IBM DOS und Windows 3.0 oder wars sogar 2.11 und ein Modem gekauft (ich glaube so um die 8300 DM) ich wollte unbedingt ins usenet um mehr zu erfahren und mich auszutauschen. Da stieß ich damals auf die Wörter Unix und Linux und sie kamen viel besser mit dem Modem klar. Unix kam nicht in Frage, lag damals bei etwa 950 DM, also Linux sollte her denn Windows frohr derzeit bei der Datenkommunikation regelmäßig ein und wartet bis die Bits über die serielle Schnittstelle transferiert wurden. Für den Preis, DOS + Windows kostete damals über 500 DM Unix über 900 DM und dann kam etwas daher was umsonst war und so gelobt wurde, Linux musste ich unbedingt haben. Ein Arbeitskollege hatte damals einen Schulfreund der Administrator in einer großen Versicherung war, der hat es dann aus dem Netz gezogen und auf Disketten gemacht. Als ich den Stapel bekam wurde es mir schwindlig nicht 13 360 kb Disketten wie Dos + Windows nein 70 Disketten. Wo sollte ich nur anfangen, ich habe Wochen lang rumgespeilt bis zum ersten Erfolg. Immer wieder DOS und Windows drauf um nachzufragen und nach Lösungen zu suchen. Dann wieder runter damit um mit Linux von vorne anzufangen. Aber ein zweiter Rechner bei den Preisen, unmöglich. Als es dann lief und ich kam auch noch an die Mailing Listen, in C Programmieren und gleichzeitig Daten saugen und verschicken, ein Traum wurde war. Von da an lagen DOS und Windows im Schrank und ich lernte das Sicherheitskonzept völlig neu. Der Administrator "root" war vor dem dummen User völlig sicher, auch Angriffe von Außen konnten nur den User treffen. Wenn dann mal alles klargerühert war, als root angemeldet und den User weg gedonnert, einen neuen erstellt und weiter ging es. Man konnte es einfach nicht kaputt machen.

Genau so kann man Windows XP einrichten, bei der Home Edition nur mit einigen Einschränkungen, aber es geht. Allerdings sollte man sich mit Windows XP ein wenig beschäftigen und vor der Installation ein Konzept haben. Aber die meisten erstellen sich ihren User weil sie ja alleine mit dem Rechner arbeiten und die Frau oder Kinder gelegentlich mal surfen. Ohne zu wissen das der Erste User volle Administrator Rechte hat und fast uneingeschränkt im System rummatschen darf. Da eine Passworteingabe lästig ist lässt man das leer. Wenn man so Surfen geht, kann man das System auch gleich selbst kaputt machen.

Geht mal unter Verwalten -> Lokale Benutzer und Gruppen -> Benutzer und schaut mal die Eigenschaften des Benutzers an mit dem ihr gerade im Internet unterwegs seit. Wenn da unter Mitgliedschaft Administratoren steht ist das mehr als leichtsinnig (eigentlich unverantwortlich). Windows XP Home Besitzer müssen in die Benutzerkonten Verwaltung über die Systemsteuertng aufrufen, wenn dort bei Konto ändern -> Euer Kontenname -> Eigenen Kontentyp ändern bei Computeradministrator der Punkt drin ist, gilt das gleiche.
Wenn sich dort der Kontentyp nicht ändern lässt ist das sogar der Administrator denn in der Homeedition wird nicht extra ein Administrator erstellt. Windows XP mit SP2 verfügt über ausreichend Bordmittel und wenn man am regelmäßigen Patch Day teilnimmt, man über das nötige Wissen verfügt - dann ist das Installieren von Systembremsen und teilweise unsicheren, tief ins System eingreifende Fremdtools nicht nötig. Vor allem kann man viel Geld sparen, Blue Screens vermeiden und man kann fast sicher sein das es die Fähigkeit behält sich bis zu einem gewissen Grad selbst zu reparieren.
 
klasch schrieb:
Ihr könnt FWs installieren wie ihr wollt. Solange ihr nicht bereit seit euch mit XP auseinander zu setzen ist das zweitrangig. Ich habe mir seit Windows XP darüber keine Sorgen mehr gemacht, denn hier ist es möglich dem User weitest gehend die Rechte auf das eigentliche System zu entziehen.

"Da ich eine PFW als Outboundfilter einsetzen wollte, mir obiges jedoch einleuchtet, versuche ich, ein Konzept ohne PFW mit meinen Anforderungen zu vereinbaren."

klasch schrieb:
Genau so kann man Windows XP einrichten, bei der Home Edition nur mit einigen Einschränkungen, aber es geht. Allerdings sollte man sich mit Windows XP ein wenig beschäftigen und vor der Installation ein Konzept haben. Aber die meisten erstellen sich ihren User weil sie ja alleine mit dem Rechner arbeiten und die Frau oder Kinder gelegentlich mal surfen. Ohne zu wissen das der Erste User volle Administrator Rechte hat und fast uneingeschränkt im System rummatschen darf. Da eine Passworteingabe lästig ist lässt man das leer. Wenn man so Surfen geht, kann man das System auch gleich selbst kaputt machen.

1 Admin, 2 User. Jeweils passwortgeschützt.

klasch schrieb:
Geht mal unter Verwalten -> Lokale Benutzer und Gruppen -> Benutzer und schaut mal die Eigenschaften des Benutzers an mit dem ihr gerade im Internet unterwegs seit. Wenn da unter Mitgliedschaft Administratoren steht ist das mehr als leichtsinnig (eigentlich unverantwortlich). Windows XP Home Besitzer müssen in die Benutzerkonten Verwaltung über die Systemsteuertng aufrufen, wenn dort bei Konto ändern -> Euer Kontenname -> Eigenen Kontentyp ändern bei Computeradministrator der Punkt drin ist, gilt das gleiche.

Siehe oben.

klasch schrieb:
Wenn sich dort der Kontentyp nicht ändern lässt ist das sogar der Administrator denn in der Homeedition wird nicht extra ein Administrator erstellt. Windows XP mit SP2 verfügt über ausreichend Bordmittel und wenn man am regelmäßigen Patch Day teilnimmt, man über das nötige Wissen verfügt - dann ist das Installieren von Systembremsen und teilweise unsicheren, tief ins System eingreifende Fremdtools nicht nötig. Vor allem kann man viel Geld sparen, Blue Screens vermeiden und man kann fast sicher sein das es die Fähigkeit behält sich bis zu einem gewissen Grad selbst zu reparieren.

1. "Die Systeme sind alle auf den neusten Stand gepatcht."
2. "Jedes Stück Sicherheitssoftware erhöht die Komplexität des Systems und macht es somit schwieriger zu schützen."
3. Es gibt Freeware-PFW, wenn man nicht drauf verzichten mag.
4. Mein letzter Bluescreen liegt... lange zurück.

-Edit-

Als weitere Sicherheitsmaßnahme sei das Verwenden alternativer Browser zu empfehlen...
 
Zuletzt bearbeitet:
Wieso erinnert mich klasch an DocSnuggles? :/

Dein Posting lässt sich im Prinzip auf den ersten Satz reduzieren
Ihr könnt FWs installieren, wie ihr wollt. Solange ihr nicht bereit seit,
euch mit XP auseinander zu setzen, ist das zweitrangig.
Kommata ;)

Das darf so nicht stehen gelassen werden, aber enthält doch Wahrheit.
Viele wollen sich damit nicht auseinandersetzen, aber die meisten davon interessiert
auch keine Firewall. Die kaufen den Rechner und nutzen ihn, fertig.
Windows-Update, jo, default, Virenscanner, jo, irgendeiner, teils sogar Norton.
So weit so gut, etwas Sicherheit ist ja schon da und bei den meisten reichts.
Ist eine Tatsache, nichts künstliches. Und dann kommt es auf das Benutzerverhalten
drauf an, was arbeitet er, was soll erledigt werden, welche Software kommt zum Einsatz.

Und dann gibt es noch die Benutzer, die sich informieren, doch mal nachhaken. Und die
stossen dann auf Dienste, Firewall, Benutzereinstellungen, Rechte etc.

Aber - man muss nicht Windows kennen, um eine Firewall sinnvoll zu kennen.
Beispiel bei mir - Windows 2003 (ist schon 1 Jahr her) - ganz neu, ganz anders als XP.
Kannte ich nicht alles, aber vieles durch XP, trotzdem: erstmal Firewall drauf, Dienste
eingestellt. Zwei elementare Einstellungen, trotzdem hat W2k3 Software und Optionen,
die mir immer noch völlig fremd sind. Und doch alles sicher.

Und jetzt weg von mir - wer sich eine Firewall zulegt, ist nicht unbedingt so dumm,
dass er Windows nicht versteht - vllt will er das ja so auch nicht ergründen. Besteht
auch eigentlich kein Grund. Man sollte nur verstehen, was die Firewall von einem will
und das schaffen doch die meisten.

Von daher halte ich deine Abwertungen über Benutzer, die es anders als du halten,
völlig überzogen.

Noch was zum Thema Windows XP Firewall - hier ist die Frage aufgekommen, ob
Drittsoftware Ports dort öffnen könnte. Es soll machbar sein - soviel dann zu dieser
Sicherheit. (n)
http://forums.winamp.com/showthread.php?s=&threadid=228229

Von daher ist eine Firewall von einem anderen Anbieter immer besser als der eingebaute Schrott.
Und nicht jede PFW (Personal Firewall) ist ein weiteres Loch, es gibt Firewalls, die sich
selber schützen. Outpost ist so eine.
Die Argumentation gegen eine PFW hat nur einen entscheidenden Haken - das Benutzerverhalten.
Wenn man jetzt den letzten Akt auf Winboard vernachlässigt, was eigentlich einem
Virenscanner zugerechnet werden muss, ist doch der Benutzer der Dreh- und
Angelpunkt bei einer Firewall. Jemand der nur Otto-Normal-Software benutzt, selten
was neues ausprobiert oder installiert, hat nichts zubefürchten, nur Angriffe aus
seiner vorhandenen Software selber, zB aus Outlook Express. Dito bei "normalen"
Webseiten, was soll da schon passieren?
Wichtiger wird es doch, wenn man aussergewöhnliche Seiten besucht, xxx oder Ware*.
Aber davon war bislang nicht die Rede, trifft auch nur für eine Minderheit zu.
Und wer sich ohne Schutz in diese Zone begibt, ist ... naja.. wirklich dämlich.

Eine PFW schützt meistens nur von innen nach aussen, aber auch von aussen nach
innen, Stichwort "Paketfilter". Apropos Paketfilter, schon mal die Optionen in CFOS
oder CFOSspeed eingesehen? Netter Paketfilter. Ist so gesehen, auch schon eine
Firewall und wird auch so beworben. Fehlt nur noch die Applikationskontrolle.

Fazit meinerseits - ich halte eine Firewall für sinnvoll, man sollte sich aber schon damit
beschäftigen, um die Meldungen zu verstehen. Eine gute Firewall erkennt bestimmte
Angriffe aus dem Netz und verwirft sie ohne Benutzernachfrage.
Welche PFW optimal für einen ist, dafür gibt es Tests, zB wie dieses Thema, oder
die eigene Erfahrung machen.
 
Hallo Brummelchen,

wenn wir schon meinen Beitrag reduzieren wollen dann so:

Der Beste Vierenscaner und die beste noch so gute Firewall und sei sie noch so gut eingerichtet nutzen nichts,

WENN DU ALS ADMINISTRATOR INS INTERNET GEHST - und das auch noch ohne Passwort (PW ist aber zweitrangig) das ist das größte Risiko und das ist bei 90% aller User der Fall.
 
90% aller Firewall- und Virenscannerbenutzer sind also potentielle Opfer, wenn
nicht sogar schon mal befallen worden? Au weia, geh dich mal kurieren... :stupid
 
Zu Doktor Snuggles:
http://www.serienoldies.de/main/serie_detail.php?id=132

Zur Diskussion Pro/Contra PFW:
Es gibt bestimmt einige Dutzend Anbieter von PFW - aber nur einen Hersteller von Windows.
Allein durch die Vielfalt der verschiedenen Hersteller erhöht sich die Komplexität für einen Angreifer.

Zur Geschichte mit den Adminrechten:
Sicher richtig: Wer nicht als Admin im Netz unterwegs ist, hat ein geringeres Infektionsrisiko. Aber auch bei Windows gibt es "rootexploids", von daher ist das auch nicht 100%.
Ich selber bin auch mit einem privilegierten Nutzer unterwegs, ohne Passwort. Warum? Einfach weil es bei Windows bequemer ist.
Besser gelöst ist das bei Linux, wo eigentlich alle Anwendungen so ausgelegt sind, dass sie auch ohne Adminrechte vernünftig laufen. Da ist bei Windows Nachholbedarf.
 
Also ich hab keine Firewall installiert.
Ausser den Windows-Firewall.
Der ist ja bei WinXP immer dabei.
Oder erst ab SP2?
Egal.
Die Firewall hab ich auf jeden Fall und sonst keine.
 
ich nutze die syngate firewall pro und bin überzeugt davon ^^

als antiviren prog, nehme ich Nod32

mfg

blacky
 
Brummelchen schrieb:
90% aller Firewall- und Virenscannerbenutzer sind also potentielle Opfer, wenn
nicht sogar schon mal befallen worden? Au weia, geh dich mal kurieren... :stupid

Hallo Brummelchen,
ich glaube du verstehst mich völlig falsch, keiner aber auch wirklich keiner kann sich vor einem Angriff schützen.

Das ist nun mal die Wahrheit.

Wenn du ein Sicherheitskonzept erstellen willst sollte es sich nicht nur auf eine Barriere beschränken, sondern auch auf das Betriebssystem und die verwendeten Programme.

Dazu gehört nun mal das der Nutzer über eine gewisse Ausbildung verfügt, dazu gehört das er damit vertraut ist was - wie angreifbar ist und wie es sich auswirkt und Angriffe erkennt um die richtigen Maßnamen zu ergreifen.

Eine Absicherung wie sie große Firmen benutzen ist bei Privatusern so wie so nicht möglich. Die Kosten für solche Systeme sind in der Regel viel zu hoch.

Äußerer Router <-> Bastionhost (extra Rechner mit Firewall und Proxy) <-> Innerer Router <-> Client Rechner

Solche Systeme kosten oft mehrere Tausend Euro und schützen Firmengeheimnisse vor unbeabsichtigten senden durch den User der am Client sitzt, er kann keine Datenverbindungen beabsichtigt oder unbeabsichtigt öffnen.

!!!! Es schützt jedoch nicht vor böswilligen Atacken von Außen. !!!!
Das kann man nicht oft genug wiederholen, das ist die Realität und da kannst auch du nichts dran machen.

Nun kommt es darauf an die Software und das Betriebssystem so aktuell wie möglich zu halten und das Betriebssystem solchen Sicherheitsrichtlinien zu unterziehen das es praktisch unmöglich ist änderungen an ihm vorzunehmen. Läuft Administrator und User auf dem gleichen System ist das Risiko sehr hoch beide zu zerstören. Ist der User aber durch Richtlinien so beschränkt das er keine administratorischen Rechte hat, ist eventuell nur der User betroffen.

Data-Driven Attack's so wie Commandline-Bug Attack's schaffen es auf jedenfall Clients zu befallen die hinter Oben genannten Firmen Lösungen liegen.

Sie rauschen durch Äußeren Router, Bastionhost und Inneren Router, treffen dort den oder die Client/s wie hart habe ich vorher beschrieben.

Ab Grundinstallation wird der User durch den Administrator auf deutsch gesagt entmachtet und bekommt eigene Richtlinien für die Installation, Benutzung von Verzeichnissen und Dateien, Internetexplorer und wie eventueller Content Stream zu behandeln ist (vorher Vierenscan ehe er ihn nutzen darf).

Damit wird ihm ein Virtuelles Betriebssystem zur Verfügung gestellt und er kann nur noch in einer Subumgebung installieren.

Wenn nun was in C:\windows\system32 installiert werden soll, so installiert sich das in %USERPROFILE%\WINDOWS\system32

Du wirst nun leicht verstehen was passiert wenn dort DLL OCX u.s.w. installiert werden die schadhaft sind.

Ich fahre als Administrator hoch und lösche den Müll gegebenenfalls sogar den User, oder ich habe ein Backup des Users dann spiele ich das zurück.
Mein Betriebssystem bleibt davon unberühert.

Der Richtlinieneditor ist zwar harter und trockner Stoff, vor allen macht er weniger Spaß als eine schöne nutzlose Klick Bunti Firewall.
 
Bio-logisch schrieb:
Zu Doktor Snuggles:
http://www.serienoldies.de/main/serie_detail.php?id=132

Zur Diskussion Pro/Contra PFW:
Es gibt bestimmt einige Dutzend Anbieter von PFW - aber nur einen Hersteller von Windows.
Allein durch die Vielfalt der verschiedenen Hersteller erhöht sich die Komplexität für einen Angreifer.

Zur Geschichte mit den Adminrechten:
Sicher richtig: Wer nicht als Admin im Netz unterwegs ist, hat ein geringeres Infektionsrisiko. Aber auch bei Windows gibt es "rootexploids", von daher ist das auch nicht 100%.
Ich selber bin auch mit einem privilegierten Nutzer unterwegs, ohne Passwort. Warum? Einfach weil es bei Windows bequemer ist.
Besser gelöst ist das bei Linux, wo eigentlich alle Anwendungen so ausgelegt sind, dass sie auch ohne Adminrechte vernünftig laufen. Da ist bei Windows Nachholbedarf.

Du hast es auf den Punkt getroffen, sei es nun Bequemlichkeit oder Unwissenheit.

Auf jeden Fall ist Sicherheitssoftware ein Milliarden Geschäft, das lebt vorallem vom Verängstigen und der Unwissenheit des Users.

Wer eine Firewall aber dazu braucht um Nero und Co. zu verbieten nach Haus zu telefonieren, der sollte sich leiber um eine Lizens kümmern als mit allen Mitteln zu versuchen das zu unterbinden.

Will doch Nero nur die Datenbank auf dem aktuellen Stand halten dazu prüft es die Verbindung zu freedb.freedb.org und aktualisiert eventuell die User Datenbank, so wie den internen Vieren Scanner.
Dazu wird von Zeit zu Zeit eine NeroCheck.exe in den Speicher geladen die schon mal heftig Trafic veranstalten kann. Wer aber die Bandbreitenbeschränkung nicht aufgehoben hat und den Paketplaner laufen hat merkt das in der Regel nicht.

Tip für alle die das nicht wollen, einfach un system32 NeroCheck.exe in NeroCheck.ex_ umbenennen ruhe ist's.

Programme die ins Internet wollen, warum und wie abschalten.

Da sollte mal ein neuer Thread eröffnet werden.
 
Ich muss mich in diese Diskussion, die zum schätzungsweise 754.344.569sten Mal nach dem selben Muster abläuft, auch mal einmischen.
"Personal Firewalls" sind natürlich nicht mit Profi-Lösungen vergleichbar, decken aber auch einen ganz anderen Bedarf ab. Komplexe Darstellungen, was denn alles zu einem professionellen Sicherheitskonzept gehört, warum welche Schutzmechanismen nichts taugen etc, tun vor allem eines: Sie langweilen den Heimanwender zu Tode.
Ihn interessiert das nicht, und es muss ihn auch nicht interessieren. Die "professionellen Angriffsmethoden" müssen ihn ebenso nicht kratzen, denn diese Angriffe finden de facto auf einen Heim-PC niemals oder nur sehr selten statt.
Wenn man erklären kann, warum Firewalls nichts taugen, dann kann man sich damit natürlich unheimlich profilieren. Wow, der hat Ahnung. Und wieder bleiben ein paar Leute fragend und verunsichert zurück (das soll jetzt bitte keiner der Teilnehmer an diesem Thread persönlich nehmen, ich les das halt immer wieder und reg mich jedes Mal auf ;))

Das Einzige, was ich bei diesem Thema gefährlich finde, ist die "Vollkasko-Mentalität", wenn also jemand meint, es könne ihm nichts mehr geschehen, wenn er eine Firewall installiert.

Ansonsten ist jede Software-Firewall, mit der man sich mal ein wenig auseinadergesetzt und sie entsprechend konfiguriert hat, besser als keine, da mögen die "Experten" noch so heftig den Kopf schütteln.

Wenn ich von einer 50 Meter hohen Klippe runter muss und dafür nur ein altes Seil zur Verfügung hab, was mich möglicherweise nicht mehr trägt, dann ist es doch trotzdem nicht intelligenter, einfach runterzuspringen ;).
 
Supernature schrieb:
...
Wenn ich von einer 50 Meter hohen Klippe runter muss und dafür nur ein altes Seil zur Verfügung hab, was mich möglicherweise nicht mehr trägt, dann ist es doch trotzdem nicht intelligenter, einfach runterzuspringen ;).

Supi deine Vergleiche sind immer köstlich.

Toll!

Wenn ich aber die Möglichkeit habe ein paar Kilometer hin eine Treppe zu nutzen werde ich weder springen noch das marode Seil benutzen, sondern ein paar Kilometer gehen die Treppe nehmen und wieder zurückgehen.

So ist das.
 
Die meisten nutzen heute Router um ins Internet zu gelangen, sie verfügen über eine Firewall in der man ein Regelwerk entwerfen kann was für die meisten Zwecke ausreicht.
Man hat einen vorgeschalteten Server mit einem Mini Linux, das keinen Platz bietet etwas zu laden oder gar zu speichern. Von Außen sieht man nur einen Linux Rechner.

Wer bei solch einem ding auf WLan verzichten kann bekommt einen Router heute schon für paar und 20 Euronen.

Das reicht mit den in den vorherigen Postings genannten Formel für Sicherheit (Aktualisierte Software + Wissen + Richtig konfiguriertes Windows) völlig aus.

PS:
Wer allerdings mit dem WindowsXP Home Rechner direkt AM DSL Modem hängt muss auf Fremdtools zurückgreifen, da in der Home-Edition gerade was Netzwerkuntionalität und deren Einrichtung angeht auf etliches verzichtet wurde.

Und nun klinke ich mich hier aus, da wir uns nur um den Kreis drehen.
 
hier geht's vielleicht zu .... :ROFLMAO:
Also auf jeden Fall vielen Dank für eure Antworten, ich bin begeistert! (y)
Ich habe mich jetzt nach ein paar Neuinstallationen für die neueste Outpost entschieden. Diese FW ist wirklich spitze und bietet alles was ich will (und noch mehr). Sehr, sehr gut - danke Brummelchen für diesen Vorschlag! :)
 
vorgeschalteter Rechner mit iptables oder pf von bsd, alle eingehenden Ports sperren und schon ist man ein Großteil der Sorgen los; jetzt noch ein Administrator/Benutzer Konzept festlegen und dann passt alles...
 
Viper schrieb:
vorgeschalteter Rechner mit iptables oder pf von bsd, alle eingehenden Ports sperren und schon ist man ein Großteil der Sorgen los; jetzt noch ein Administrator/Benutzer Konzept festlegen und dann passt alles...

Sicher, so macht man das im Professionellen Umfeld.
Ich hab es so ähnlich: DSL über einen Router, der NAT hat. Da kommt fast nichts durch.

Ist bei einer einfach Einwählverbindung über Modem oder ISDN aber nur schlecht zu realisieren.
Und da hat die PFW schon ihre Existenzberechtigung.
 
Sicher, so macht man das im Professionellen Umfeld.

So schwer ist das doch gar nicht. Ein alten Rechner hat doch praktisch jeder daheim stehen. Aber stimmt natürlich, mit ner Einwählverbindung wirds natürlich deutlich komplexer.
 
>> Ist bei einer einfach Einwählverbindung über Modem oder ISDN aber nur schlecht zu realisieren.

ISDN-Router sind schweineteuer gegenüber normalen Routern.
 
Ein alter Rechner zieht bestimmt auch so um die 200W.
Auf´s Jahr hochgerechnet ist das nicht zu vernachlässigen

Gruss
Tim
 
Oben