Pro und Kontra Personal Firewalls - die Grundsatzdiskussion

apercu schrieb:
Oft wird das Komplettpacket von Norton zwar kritisiert aber das liegt wohl auch oft daran , das viele Probleme mit der Konfiguration haben.

Die Firewall von Symantec wird oftmals kritisiert, weil sie sehr Leistungshungrig ist und Systemressourcen beansprucht. Andere Hersteller erreichen den gleichen oder besseren Leistungsumfang ohne das System so zu beanspruchen wie Norton. Über die Art wie Norton sich einstellen lässt kann man streiten, dass ist Geschmacksache. Die Möglichkeiten ansich sind so wie sie sein sollten.

Aber wenn wir schon bei den Kostenpflichtigen sind, kann ich folgendes Empfehlen:

BitDefender 10
Kaspersky (aktuelle Version die Vorgänger war noch Ressourcenfressender als Norton)

Sicher kann eine kostenlose Firewall niemals einer komerziellen das Wasser reichen aber für Otto Normalverbraucher reicht i.d.R. die kostenlose Variante aus. Man sollte halt sich nicht so viel in zwielichtigen Bereichen des Internets herumtreiben, dann muss man sich auch nicht so viele Sorgen machen :)

Eins noch Heise (ct) sowie PCWelt, Chip und konsorten testen regelmäßig Feuerwande, sowohl die kostenlosen als die kostenpflichtigen. Welche Zeitschrift da für wen am besten zu lesen ist hängt wohl vom Geschmack und der komplexität des Informationsgehaltes ab. Ich für meinen Teil lese gern die Ct.

soviel von meiner bescheidenen Seite
 
Auch wenn es schon die 1001ste Diskussion über das Thema ist:
Sicher kann eine kostenlose Firewall niemals einer komerziellen das Wasser reichen aber für Otto Normalverbraucher reicht i.d.R. die kostenlose Variante aus.
Wie du zu dieser Erkenntnis kommst, ist mir, mit Verlaub, schleierhaft.

Sog. "kommerzielle" FWs nehmen dem Benutzer allenfalls einen Teil der
Konfiguration durch Vorabregeln und, meist überflüssigen, Zusatzkontrollen, ab.
Den gut konfigurierten FWs das Wasser nicht reichen können,
sind jene FWs, die vom Benutzer auf Durchzug gesetzt werden,
und das funktioniert leider mit kostenlosen und kommerziellen gleichermaßen.
Hier liegt auch der Hauptgrund im Irrglauben von "schlechten und guten" FWs.

Wer sich ein Sicherheitskonzept anschaffen möchte, muß sich leider
ausführlicher mit der Materie des Verhaltens von Internetpaketen beschäftigen.

Da die wenigsten sich die Mühe machen, Howtos oder Tutorials zu lesen,
werden eben die Rundum-Sorglos-Pakete à la Norton und Kaspersky angeboten.

Teuer ist nicht unbedingt gut und kostenlos nicht unbedingt die beste Wahl,
wenn der Benutzer Null Ahnung hat, was er mit "Erlauben" oder "Blockieren"
anfangen soll.

Die beste, weil sie sehr genau zu konfigurieren ist, ist iptables unter Unix.
Auf dieser Basis bauen alle Windowsbasierten FWs auf.
Allerdings braucht man zu einem solchen, fast absoluten Schutz, mehr als nur
5 Minuten Konfigurations - Zeit und eine Menge KnowKnow.

iptables und Windows - FWs wurden ursprünglich für Firmen - Netzwerke
konzipiert, wo sie auch notwendig und sinnvoll sind,
haben selten eine benutzerfreundliche Oberfläche und werden nur von einem Netzwerk - Administrator betreut.
Die Betonung liegt bei "einem".

FWs für den Normaluser unterscheiden sich letztlich nur in den besseren,
dann aber komplizierten, oder schlechteren Regeln.
 
Ich bezog mich bei meiner Aussage auf den Funktionsumfang und die Einstellungsmöglichkeiten die einem zur Verfügung gestellt werden. Mag sein, dass diese Erkenntniss mittlerweile überholt ist und es Freeware gibt die genauso gut konfigurierbar ist (Von IP-Tables unter Unix/Linux spreche ich nicht, da es hier um Windows geht)

Es ist klar, dass das beste Tool und die beste Firewall nichts bringt, wenn man damit nicht umgehen kann. (Beispielsweise jeden Hinweis der FW artig mit Ja bestätigen ohne zu lesen was diese einem überhaupt mitteilt)

Bezüglich meiner Annahme, dass eine kostenlose Firewall für Otto Normalverbraucher ausreichent ist, geht aus dem Kosten/Nutzen-Verhältnis hervor und bietet in meinen Augen ausreichenden Schutz vor den üblichen Gefahren, denen man beim surfen ausgesetzt ist. Ein Häcker wird es im seltensten Fall auf Lieschen Müller abgesehen haben sondern viel mehr auf Firmendaten oder er sucht einfach nur den Ehrgeitz die FW überwunden zu haben.

Und klar ist der Preis kein Garant für Qualität.

Soviel zu meinen Aussagen, dem Rest deiner Äusserungen stimme ich zu. Bis auf eine kleinigkeit... Soetwas wie absoluten Schutz gibt es nicht.
 
Von absoluten Schutz sprach ich nie, und das wirst du auch nicht erleben.

Wenn du von Funktionsumfang und Einstellungsmöglichkeiten sprichst, sind
die Freeware Versionen eindeutig im Vorteil gegenüber den kommerziellen FWs.
Paradebeispiele sind Oupost und Jetico, und in neuerer Zeit auch Comodo.

Aber wenn du nicht über iptables unter Windows sprechen willst,
solltest du dir Core FORCE anschauen. ;)
 
arcanoa schrieb:
...Wenn du von Funktionsumfang und Einstellungsmöglichkeiten sprichst, sind
die Freeware Versionen eindeutig im Vorteil gegenüber den kommerziellen FWs.
...

Ich vermute 'mal, du meinst die "kommerziellen" Anwender-FWs -
und nicht die professionellen "kommerziellen" Firmen-FWs... :D
 
Du vermutest richtig. :)

Warum sollten wir hier auch von Firmen FWs reden?

Obwohl, Jetico 2.0 z.B., ist gruppentauglich.
 
Sorry hab ich das "fast" überlesen. Und wenn die Freeware im Vorteil sein soll bei den Einstellungsmöglichkeiten und dem Funktionsumfang gegenüber einer komerziellen FW, dann hat sich ,seit dem ich das letzte mal einen Vergleich angestrengt hab, einiges geändert aber ich lasse mich ja gerne eine besseren belehren. Wäre aber übel für die komerziellen, wenn die kostenlosen FW`s "besser" sind, dann kann man ja beim Kauf einer FW von Geldverschwendung reden.

Und danke für den Tip mit Core Foce, dass werde ich mir mal ansehen :) .
 
@OSI-L8 :
Also sagen wir mal so:
(Ernsthaft) Professionelle Lösungen zeichnen sich in der Regel nicht durch eine andere Technik aus - die ist nämlich durchweg vergleichbar - sondern durch Zusatzleistungen... "Service"
Und da kann und darf man durchaus verdienen.

Keine Firma wird sich beim Thema IT-Sicherheit nur auf ein "ohne-Kosten-zu-habendes" Produkt stürzen. Das wäre kaum wirtschaftlich.
Immerhin soll sich der Administrator darin ein- und damit arbeiten, Softwarepflege soll durch den Hersteller unterstützt werden, Support ist erforderlich.
Das so etwas grundsätzlich auch mit freier Software geht, zeigen beispielsweise Linux-Distributoren (anderes Fachgebiet, aber egal).
Aber auch Sun (tm) bietet eine Oberfläche für ihre Firewall, die eigentlich nur auf iptables basiert. Man vertreibt eben eine Lösung (!) auf der Basis allgemein verfügbarer Techniken.

Wer fit genug ist und den Aufwand nicht scheut, kann sich sein Sicherheitskonzept selbst zusammenstellen und die FW-Regeln erstellen.
(Es ist gar nicht so schwer und das muss nicht die schlechteste Lösung sein!)
Aber bitte welchem Administrator gibt man dafür genügend Zeit?
Und bei größeren Netzen bleibt eine grafische Oberfläche zur Konfiguration der FW sehr viel übersichtlicher.
Ich arbeite auch gerne mit Konfigurationsdateien im Textmodus, aber ab einer gewissen Komplexität ist das einfach nicht mehr sinnvoll.

Grüße
 
Also ich habe überhaupt keine Ahnung von Firewall. Ich wollte nur mal fragen, wie hier die Grundmeinung zur Windowsfirewall ist. Ich möchte, dass mein Rechner so sicher wie möglich ist.
Bisher habe ich allerdings mit den meisten Firewalls immer irgendwelche Probleme gehabt. Das führte dann dazu, dass ich die Firewall zB bei Lanspielen immer aus hatte.
Kann mir jemand eine gute Firewall empfehlen, die nicht zu kompliziert ist? Oder seit ihr der Meinung, die WinFirewall reicht aus? (Auch die muss ich zum Lanspielen aus machen, sonst finde ich niemanden im Netzwerk)

hannelore
 
So, da melde ich mich als noob mal zu Wort^^

So wie ich es verstehe überwachen Personal Firewalls die ein- und ausgehenden Ports eines Rechners. Das Personal Firewalls keinen komplettschutz bieten sollte jedem klar sein, quasi genau wir Antispyware und Antivirenprogramme auch keinen 100% Schutz garantieren.

Was ich nicht verstehe ist wieso die Firewalls quasi das Gegenteil bewirken sollen. Sie blocken doch nur die meißten Sachen (wenn sie richtig verwendet werden) und öffnen nicht extra für Hacker mache Ports. D.h. doch daß sie besser sind als gar nichts wenn man keinen Router hat.
 
Ich möchte, dass mein Rechner so sicher wie möglich ist.
Dann sollte zuerst der Rechner auf den neuesten Stand gebracht werden, was einbezieht, dass nicht nur für das System alle Updates eingespielt werden, sondern auch für sämtliche Software, auch die, die eigentlich nicht ins Netz gehen kann.
Selbst letztere kann durch manipulierte Dateien so ausgehebelt werden, dass z.B. Fremdcode ausgeführt wird, der selbstständig ins Netz gehen kann bzw über den Umweg von Programmen, die ins Netz dürfen, Zugriff erlangt. Da hilft auch keine Firewall.

Die sicherste Lösung ist: Einen getrennten Spiel/Surfechner hinstellen, alles installieren was man braucht, ein bootfähiges Vollbackup erstellen und munter los surfen. Dann bei jedem Rechnerstart das Backup zurück spielen und man kann sicher gehen, dass sich nichts eingenistet hat ;)

Die Zweit sicherste: Ein Virtuelles System einrichten und nur damit ins Netz gehen.

Ansonsten hilft auch eine Beschäftigung mit Steady State wenn man ein 2K/XP System hat.
Vorsicht! Wenn man nicht weiss was man tut, kann man sich damit selbst mit wenigen Klicks vom Rechner aussperren!
Kann mir jemand eine gute Firewall empfehlen, die nicht zu kompliziert ist?
Nicht wirklich.

Solange der Rechner nicht mittels vernünftig erstellter Gruppenrichtlinien abgesichert ist, hilft auch keine Firewall wirklich - um das Einarbeiten kommt man bei Sicherheitsfragen nicht herum. Alles andere ist basteln an Symptomen, das ist genau so wie wenn man bei einem gebrochenen Arm ein Schmerzmittel nimmt und ihn nicht eingipsen lässt, weil's ja nicht mehr weh tut.



Noch eine Anmerkung zum Schluss:
Eine Firewall ersetzt kein Sicherheitskonzept, sie ist lediglich der letzte Teil, um ein solches zu vervollständigen.
 
Zuletzt bearbeitet:
danke!

Vielen Dank erstmal für die schnelle Antwort!

Ich bin bloß auch ein wenig faul. Jedes Mal ein Backup neu aufspielen ist mir zu viel Aufwand. (Man kann auch sagen das ich nicht weiß wie das geht:) )
Also im Moment habe ich die Win Firewall und AntiVir. Zusätzlich lasse ich einmal am Tag CCleaner und TuneUp meinen Datenmüll entfernen. Bis jetzt bin ich damit ganz gut klar gekommen.
Ich glaube, da ich auch nich sone Ahnung von solchen Sachen habe, würde ich mir mehr kaputt machen als retten. Ich weiß zB nicht wie man überhaupt ein System simuliert und so.
Es scheint wohl so, dass man als Leihe auf einen solch einfachen Schutz angewiesen ist.
Zwischen mir und dem Internet sind auch noch zwei Router, Ist das eignetlich auch gut geht Angriffe von außen?
 
Router sind, wenn sie eine Firewall integriert haben, ein sehr guter Schutz.

Ich bin zwar kein Profi auf dem Gebiet, aber ich habe auch nicht mehr Schutz als Du, und fahre damit auch gut.

Auf meinem Rechner sind auch keine Arbeits- oder Überlebensnotwendigen Daten die die Menscheit retten könnten oder so, also reicht mir mein Schutz.

Desweiteren würde ich nie meine Kontonummer oder meine Geheimtzahl oder so auf dem PC speichern daß andere sie auslesen könnten.

Ich gucke mir alle Mails an bevor ich sie öffne und lösche Mails die suspekt (=alles was mir nichts sagt^^) sind ungelesen.

Spybot ist noch ein schönes Tool : Die Seite von Spybot-S&D!

Es überprüft Deinen Rechner auf Spy- und Malware

edit: ...und ich passe auf wo ich rumsurfe, das Hilft auch ungemein^^
 
huhu,

ich mische mich auch gern mit meiner meinung ein.
leider echt lang, weil ich nciht weiss, wie man dieses thema kruz fassen kann und dabei meine gedanken auch "ankommen":

hier habe ich bislang gute ansätze von "Gesunder Menschenverstand ist nämlich durch nichts zu ersetzen." gelesen wie auch möglichkeiten dies mit technischer hilfe umzusetzen.

meiner meinung ist der versuch "sicherheit" zu erkaufen bereits ein grundstein der problematik.

"sicherheit" ist eine höchst individuelle ansicht, auch technisch.

der mensch neigt dazu gern mal aus guten erfahrungen heraus oder unwissen eine "leichte und schnelle" lösung zu favorisieren und anderen gern als verbindlich zu verkaufen.

im prinzip, ist sicherheit ein prozess, der täglich neu definiert werden sollte.
es kommen ja auch schliesslich oft neue programme, lücken, techniken und webseiten ins netz.
aus diesem grund lehne ich allgemein sicherheitssoftware ab - eine fertige lösung kann nicht mein individuelles risiko pauschal erfassen, denke ich.
kaum einer hat die softkombination von mir auf seinem rechner oder meine ansprüche an irgendwas.

gesunder menschenverstand hilft mir nicht bei layer 3 oder 7 problemen, sondern nur wissen und entsprechende umsetzung

gesunder menschenverstand gilt aber als grundprinzip.

was commander keen hier am anfang beschrieb, klingt ein wenig drastisch, aber ebenso nicht falsch: in dem moment, wo ich eine software einsetze passieren 2 dinge jedesmal:

- die software läuft auf dem wirt windows bspw. um einen effekt zu erzielen, muss diese software aber weiter gehen und mit rechten des "systems" arbeiten (blocken etc) und das auch bei benutzerrechten, die geringer definiert sind (also wird der nutzen von geringenen windows rechten ein wenig aufgehoben:)
- der anwender wird in der bedienung der soft zum risiko (assistenten bedienen -> handeln mit system rechten).

egal wie hübsch die soft ist und unbezweifelt, dass sie irgend einen nutzen hat irgendwie, baut sie jedoch neue probs oft auf.
imho hinken sicherheitssoftware lösungen oft auch einfach sehr weit hinterher
(-wie lange hatte es gedauert bis diese software zwischen lan und wan unterscheidet und das auch hinbekommt
- wieso reden wir immer noch über das "beste antivirenschutzprogramm", wenn die wirksamkeit dieser programme eher bescheiden ist

[polymorphe viren, entscheidend wann die virensignatur eingepflegt wird, ob av hersteller einen schadcode evtl nicht als kritisch einstufen und entsprechend nciht als update einpflegen, warum gerade pc mit vollem paket av+internet security befallen sind etc] )


menschenverstand ist die weitere sache: ich selbst wundere mich immer wieder, wie anwender es schaffen aufgrund sehr unvollständiger informationen einer sicherheitssoftware überhaupt ne entscheidung zu treffen wie die ja/nein frage der sicherheitsoftware sinnvoll beantwortet wird.

ich selbst habe da echt probs bei einigen programmen und denke ein wenig von der materie zu verstehen. in meiner vorgehensweise wird jede regel auch explizit nochmaligst überprüft - mir ist so eine funktion nicht bekannt in sicherheitssoftware, meiste fehlen sogar vernünftige logs , um das im ansatz überhaupt umsetzen zu können.

dieses bewusst-einfach-machen, das gute gefühl bewirken sie auf jedenfall.
keiner mag ne soft installieren, die erstmal viele kenntnisse voraussetzt.

damit verdienen viele leute viel geld.

auch der vergleich zwischen funktionen/features ist so eine sache imho: kaum ein fertig router schafft es imho sauber nat/paketfilter etc hinzubekommen und dennoch reden alle davon, welche grossartige schutzwirkung von diesen geräten aus dem kaufhaus ausgehen.
und ja, es gibt unterschiede ein router mit 3ghz und 2gb ram arbeitet sicher anders als ein xy 30 euro router.
(da ist es wieder, das gute gefühl...evtl wird das gerät dann auch gleich dem nachbarn als dolles gerät gepriesen...)

zu guter letzt noch mein teil zu den vergleichen der extremen:
ich kann nicht "handeln" und "nicht handeln" miteinander als argumente gegeneinander ausspielen.
vermutlich niemand kann 100% Schutz in jeder "lebenslage" am pc anbieten.
dann darauf zu kommen, man müsse nix machen ist einfach der sache nicht gerecht, da das andere extrem.

ein guter ansatz bei grossen aufgaben ist oftmals die sachen klein zu machen:

- muss ich wirklich alle informationsangebote aus dem internet wahrnehmen? ebenso techniken (scripts, flash etc...). wenn ja, kann ich mit dem daraus resultierenden risiko wirklich leben? (bspw die backupfrage etc, also folgeaufwand aus einer getätigten entscheidung, um verlust risiken abzumildern)
"mein internet" lasse ich nicht von webdesignern bestimmen, die in ihrem leben noch nie ein osi modell kennengelernt haben oder sonstwas in punkto netzwerk wirklich verstehen oder das risko eines action scipts mit 0 bewerten.

- was ist schützenswert auf meinem rechner, was nicht. Stichwort "schutzbedarf".

- individuelle bewertung von dem allen und noch viel mehr (siehe auch vorgehensweisen des bsi, grundschutzkatalog, den man auch gerne mal auf die private pc situation herunterbrechen kann)

so gesehen kommt sicher bei jedem ein anderen schutzkonzept heraus. und es ist nicht entwickelt danach, was ein prog xy kann, sondern evtl sogar genau umgekehrt.

genau das meinte keen vermutlich auch. ich kann nicht schützen, wenn cih nicht weiss, was wie zu schützen ist.

darum auch evtl diese ewige streiterei bei diesen themen, die noch viel weiter gehen, wenn man ins detail geht.

sry lang.

viele grüsse
74min
 
Ich hatte es an anderer Stelle schon mal gesagt - es gibt zwei Fehler, die man im Bereich Computersicherheit machen kann:

1.) Man kann sie komplett ignorieren
2.) Man kann sich davon verrückt machen lassen.

Im Konkreten: Wozu sollte ich einen 2 GB Ram 3Ghz Maschine laufen lassen, um meinen einen Rechner hier ins Netz zu lassen?
Der kleine Router der hier auf dem Tower liegt reicht für meine Größenordnung (maximal 2 Rechner wenn ich den Laptop mal auspacke) völlig aus.

Natürlich kann eine Firewall einen in trügerischer Sicherheit wiegen - wer sich so was installiert und dann meint, er wäre unverwundbar und geht erst mal alle Warez - Seiten mit dem ungepatchten IE abklappern, das wäre im Extremfall genau so fatal, wie gar keine zu nutzen. - Beides sind zwei Varianten des Fehler 1.

Das andere Extrem sind dann die Leute, die ihren Browser so einstellen, dass nur noch reiner Text angezeigt wird, alle Dienste auf dem Rechner abschalten und zwei Proxys in Serie schalten...

Eine vernünftige, dass heißt von Leuten die sich auskennen für gut befundene Firewall ist da ein guter Kompromiss.
 
Eine vernünftige, dass heißt von Leuten die sich auskennen für gut befundene Firewall ist da ein guter Kompromiss.

hi :)

also das war genau der punkt, den ich nicht empfehlen wollte, sonst stimme ich dir zu: es gibt keine universelle schutzvorrichtung für alles und das noch pauschal meiner meinung nach.
das jeweilge schutzbedürfnis ist entscheident obe iene lösung in einem fall "gut" ist oder "total versagt".

siehe derzeitige probs mit schadhaftem javascripts (aha, generell erlaubt auf meinem browser oder seitenspezifisch oder oder) oder auch das aktuelle Windows SelmpersonatePrivilege Problem (spricht im prinzip gegen client soft lösungen imho)...

viele grüsse
74min
 
Das mußte ich erst mal nachschlagen:
Überblick über Sicherheitseinstellungen "Annehmen der Clientidentität nach Authentifizierung" und "Erstellen globaler Objekte"
Ehrlich gesagt, das ist mir zu hoch (und zu speziell). Ich habe hier keine Windows 2000 Domain. (Scheint so eine Art sudo - Äquivalent zu sein?)

Das Java-Script, Java und Flash Probleme bereiten können, die eine Firewall nicht löst, ist ja richtig - aber das ist auch nicht originäre Aufgabe eine Firewall, sondern eine Browsereinstellung, also Beispielsweise was für NoScript bei Firefox oder eine entsprechend eng gefasste Standardzone im IE.

Mal ein Gegenbeispiel:
Mein Nachbar hat definitiv keinen Schimmer von Computern, hat sich aber trotz dem ein Laptop zum Internetsurfen gekauft.
Wie richtet man so eine Kiste ein? Ins Internet geht er direkt über ein DSL-Modem mit pppoe.

Nun, ich hab ihm Firefox installiert, ein Konto bei googlemail eingerichtet, dass er mit Firefox abrufen kann, dazu noch Antivir und Zonealarm jeweils in der Freewarfassung. Alle drei Programme holen sich automatische Sicherheitsupdates, genau wie Windows XP Home.

Für diese Nutzergruppe ONU ist das meiner Meinung nach eine sinnvolle Konfiguration. Man kann darüber streiten, ob man lieber einen anderen Browser (Opera), Antivirus (z. B. AVG) oder Firewall (Kerio, Outpost) nimmt, aber das ist letztlich Geschmackssache.
 
Die beste "Firewall" bzw. Sicherung vor Spionage ist ein gut gesetzter Schnitt an der Verbindung zum Internet, falls man das Kabel nicht per Hand aus der Netzwerkkarte ziehen kann^^

Bzw. man hat 2 PCs zuhause und vorzugsweise eine externe Festplatte. Mit einem (nicht ganz so wertvollen) PC surft man im Internet und hat dort z.b. Antivir und Spybot drauf um den gröbsten Dreck wieder los zu werden und einen anderen (meist wertvolleren) PC, auf dem man sensible Daten hat und den man per Downloads vom anderen PC mit der externen HD füttert.

Damit ist der "wichtige" PC so ziemlich am sichersten...
 
Oben