Pro und Kontra Personal Firewalls - die Grundsatzdiskussion

Supernature

Und jetzt?
Teammitglied
Wenn über "personal Firewalls" diskutiert wird, passiert es leider immer wieder (eigentlich immer ;)), dass diese Themen in eine unerträgliche Grundsatzdiskussion über den Sinn und Unsinn dieser Programme ausarten.

Es ist ja nicht so, dass man diese Diskussion nicht führen soll.
Aber wenn jemand fragt, wo er in einem bestimmten Firewall eine bestimmte Option findet, dann ist eine Belehrung, dass diese Programme sowieso alle nutzlos sind, einfach fehl am Platz.

Daher werden Threads, die sich mit Fragen zu einer bestimmten Firewall beschäftigen, oder die sich um die beliebte Frage "welche soll ich nutzen" drehen, künftig von Grundsatzdiskussionen freigehalten. Dafür gibt es ab sofort diesen Thread.

Hier dürft Ihr diskutieren, bis Euch die Köpfe rauchen.
Ein Hinweis sei allerdings erlaubt: Wer sich veranlasst sieht, andere als doof zu bezeichnen, nur weil sie seiner persönlichen Überzeugung nicht folgen, der wird auch in diesem Thread seinen Beitrag bald vergeblich suchen.

Die Beiträge nach diesem sind aus einem anderen Thread herausgelöst, daher erscheinen sie auf den ersten Blick aus dem Zusammenhang gerissen - für den Einstieg in die grundsätzliche Diskussion aber sind sie bestens geeignet.
 
Zuletzt bearbeitet:
DunklerWanderer schrieb:
Ich habe nun auch auf Windows Vista Ultimate 32 Bit umgestellt.

Da ich der integrierten Firewall nicht traue würde ich gern auf eine andere Personal Firewall umstellen. Habe bisher aber nur die Jetico Personal Firewall gefunden, die auch auf Vista lauffähig ist.

Hi DW,

hierzu hätte ich ein paar Fragen:

1. welche Kenntnisse hast du in der Analyse von Paketfilter?
2. kennst du Penetration Tests
3. warum willst du dein funktionierendes und relativ sicheres System mit Fremdsoftware kompromittieren?

Personal Firewalls bringen NICHTS, aber auch rein garnichts. Sie bringen eine gefährliche Scheinsicherheit mit sich die dein System unverhältnismässig gefährden anstatt zu schützen.

Eine Firewall ist ein Konzept kein Programm. Ein Paketfilter, der ebenfalls in einer recht guten Implementation in Vista sowie XP (ab SP2) enthalten ist tut seinen Dienst sehr gut.

Wer sein System mit Personal Firewalls verseucht ist quasi nicht mehr im Besitz seiner Kiste.

Gruß
Keen
 
Versteh ich nich, warum soll er nicht mehr in Besitz seiner Kiste sein, wenn er eine Software aus fremden Hause nutzt ?

Die tun eigentlich alle das gleiche, Pakete filtern nach Herkunft und grösse. Dabei is es wurscht ob ich eine Software von einem Fremdhersteller nutze oder von MS selbst. Es geht quasi nur um die netten Funktionen der Fremdhersteller, und deren Benutzerführung. D.h. aber nicht das ich mein System aus der Hand gebe wenn ich Fremdsoftware nutze.

gruss lenne
 
Hi lenne,

ich will es mal anders ausdrücken. Diese Softwarepakete sind alle dermaßen fehlerbehaftet und sie tun beiweitem nicht dass, wofür sie gedacht sind - sie schützen nicht. Der in Windows integrierte Paketfilter ist so fest mit dem Betriebssystem verankert (vorallem der in Vista) dass hier eine Manipulation durch Dritte eher auffällt als bei DrittanbieterScheinschutzSoftware.

Wer sich Personal Firewalls installiert geht quasi EXTRA ein Risiko ein - legt also seinen Autoschlüssel vor die Garage und hofft dass den keiner mitnimmt. Von daher ist der PC bildlich gesehen nicht mehr in seinem Besitz - da er jederzeit durch andere Kontrollierbar sein könnte.

Was KEINE PersonalFirewall leisten kann ist der Schutz vor Kommunikation INNEN -> AUSSEN. Selbst wenn dich die Firewall mal so freundlicherweise auf ein Programm aufmerksam macht welches nach draußen telefonieren will - das Programm welches nach draußen kommunizieren will tut es unter Umständen einfach. Ohne dass DU oder deine tolle Software das überhaupt mitbekommen würdest.

Fazit: Brain, ein Paketfilter im Router / Windows ist ein vollkommen ausreichender Schutz. Schutz Innen -> Aussen kann in dem Preissegment keine Software / Hardwarelösung liefern. Wer einen Rechner irgendwo frei hat sollte sich mal Astaro - Provider of Unified Threat Management Solutions Which Protect Against Hackers, Spyware, Phishing and Virus Attacks, Worms and Spam. ansehen.

Für private Nutzung kostenlos (bzw. mit allen Features 50 EUR pro Jahr) bekommt man hier eine PROFI-Lösung mit Paketfilter, Routing, Intrusion Detection/Protection, Anti-Virus, Content-Filter und und und.......

Gruß
Keen
 
Zu deinem Produkt kann ich leider nichts sagen, da ich die Zywall 2 Plus, inkl. Contentfilter nutze. Aber auch deine Software wird mägel haben, wie Du ja selber sagst...

gruss lenne
 
Ich habe auch eine sehr lange Zeit zusätzliche Firewalls (Software) genutzt und war immer auf der Suche nach der Perfekten...gibt es aber leider nicht.

@Commander_Keen hat es gut auf den Punkt gebracht wie ich finde, Brain, Router und die Windows Firewall reichen längst. Bei mir kommt nichts anderes mehr drauf, verursacht nur neue Probleme. :)
 
Also zwischen den 2 Produkten liegen Welten. Wir reden hier von einer dedizierten Sicherheitslösung mit einem speziell angepassten Kernel. Klar ist auch diese Lösung durch RICHTIGE PROFIS evtl. penetrierbar aber nicht durch einfache Software umgehbar oder von Skriptkiddies aushebelbare ScheinSicherheit. Wer durch eine Astaro oder eine Checkpoint kommt hat sowieso ganz andere Energie.
 
Es is doch die Frage ob das noch einer versteht, was hier erzählt wird. Ob nu ein angepasster Kernel oder nich, das ganze hat was mit Vertrauen zu tun. Und wenn nu das Anti Viren Programm nach Meinung des Benutzers verlässlich schützt, dann kann man einem Nutzer schwer das Gegenteil beweisen, selbst wenn du dein Produkt als sicher ansiehst. Das beste is doch wenn Services nach aussen überhaupt nicht lauschen, und dann sind wir schon wieder bei der Betriebssystemdiskussion der vergangenen Jahre.

Im übrigen kann ich genauso sagen wie du, das meine Zywall zumindest von aussen nach innen als sicher gilt, jetzt soll mir jemand das Gegenteil beweisen :)

gruss lenne
 
Nunja,.... ich bin müde ob der ständigen Erklärungen gegenüber lernresistenter Aspiranten. Der normale User wird erst dann heulen, wenn die Kiste von xy übernommen und die persönlichen Daten auf nimmerwiedersehen verschwunden sind.
 
Commander_Keen schrieb:
Hi DW,

hierzu hätte ich ein paar Fragen:

1. welche Kenntnisse hast du in der Analyse von Paketfilter?
2. kennst du Penetration Tests
3. warum willst du dein funktionierendes und relativ sicheres System mit Fremdsoftware kompromittieren?

Personal Firewalls bringen NICHTS, aber auch rein garnichts. Sie bringen eine gefährliche Scheinsicherheit mit sich die dein System unverhältnismässig gefährden anstatt zu schützen.

Eine Firewall ist ein Konzept kein Programm. Ein Paketfilter, der ebenfalls in einer recht guten Implementation in Vista sowie XP (ab SP2) enthalten ist tut seinen Dienst sehr gut.

Wer sein System mit Personal Firewalls verseucht ist quasi nicht mehr im Besitz seiner Kiste.

Gruß
Keen

Nur mal so als kleine Information. ich habe täglich mit derartigen Sachen zu tun, da ich im Bereich Security-Solutions tätig bin.
Paketfilter, Viruswalls und Firewalls sind mir natürlich ein Begriff.

Ich bin auch der Meinung, das alles was nicht in einem extra Kasten steckt keine wirkliche Sicherheit bietet. ich habe aber kein Geld/Hardware für so was übrig derzeit. Mein Router kann Pakete Filtern, is aber nicht wirklich das Nonplusultra.

Deswegen hab ich vor eine Personal-Firewall auf dem Rechner zu installieren. Das ein Paketfilter eigentlich ausreicht ist im Prinzip korrekt. Was anderes macht doch eine Desktop Firewall in den meisten Fällen auch nicht. Aber warum stellst du bitte die Vista-FW besser dar als alle anderen, wobei MS doch hier der größte Spion ist :D.

Warum sollte ich damit meinen Rechner aus der Hand geben, Zonealarm ist von Checkpoint und Checkpoint ist zumindest bei großen HW-Firewalls vertrauenswürdig. Zonealarm hat aber nich allzuviele professionelle Optionen. Da wäre mir Outpost schon lieber, die bietet da schon detailiertere Einstellungen.

Das genialste wäre ein extra Rechner zwischen Router und LAN, in dem eine Checkpoint-FW ihre Dienste tut ;)
 
Bei diesen ganzen Diskussionen pro/kontra Firewall erstaunt mich immer wieder was für einen Aufwand einige bereit sind einzugehen. Wenn es sich um einen Arbeits-PC mit sehr sensiblen Daten handelt dann ok, aber viele tun das ja sogar für ihren Home/Freizeit/Fun-PC.

Ich lade jeden der möchte recht herzlich dazu ein sich auf meinen PC "einzuschmuggeln" und sich ein wenig um zusehen. Auch MS oder wer auch immer darf kommen, das was ich auf diesem PC speichere darf jeder sehen. :)

Das was ich an sehr persönlichen oder sensiblen Daten habe, ist auf einem anderen PC ohne Internet und Netzanschluss nur dann wenn erforderlich.

Aber ich bin mir schon einigermaßen sicher das selbst die meisten und vor allen die "Scriptkiddys" sich schon die Zähne an meinem Router und der Vista-Firewall ausbeißen. Andere Spezialisten die sicher "höher springen" können interessieren sich bestimmt nicht für meine Daten, die suchen ganz andere Herausforderungen.
Warum sollte ich also noch eine andere Software-Firewall installieren, die richtet mir eventuell mit etwas Pech durch Bugs zusätzliche "Schlupflöcher" ein die ich nicht kenne oder ich tue es mit der Software selber weil ich sie eben vielleicht falsch bediene.
Nein, mein Security-Level reicht mir so. :)

Wer mehr Aufwand treiben möchte auch wenn er es eigentlich gar nicht muss, dem möchte ich das nicht ausreden, viele tun das ja auch einfach aus Interesse an dem Thema Sicherheit überhaupt.
Egal wie oder mit welchem Aufwand, die sensibelste und effektivste Abwehr sitzt sowieso immer vor dem PC, versagt die tuts schon mal weh. ;)
 
Spock spricht mir teilweise aus der Seele. Aufgrund meines Berufs als Sicherheits-Berater liegt es mir jedoch trotzdem am Herzen die "Notwendigkeit" dieser "Spielzeugtools" aus den Köpfen herauszubekommen. Das ist ja nicht böse gemeint, aber wenn manche Leute einfach durch aggressives Marketing nur noch blöd im Saturn nach gelben Schachteln suchen oder ZoneAlarm für eine Sicherheitssoftware halten dann ist es für jemanden aus dem Fachbereich einfach so 'ne Art Pflicht aufzuräumen.

@DW: Ich vertraue dem Paketfilter von MS mehr, weil er ins den TCP/IP Stack wesentlich sauberer implementiert ist als es je eine 3rd Party Applikation tun könnte. Du kannst ja mal versuchen da bissle rumzufuschen und einfach mal einen modifizierten TCP/IP Stack oder ähnliche Manipulationen auszuprobieren. Das System wird zwar im schlimmsten Falle kompromittiert reisst aber den gesamten TCP/IP Verkehr mit in den Tod. Bei Zone Alarm brauch ich den ganzen Aufwand garnicht... da brauch ich nur eine Schwachstelle im Produkt zu kennen und schwupps is die Firewall ein Sieb.

Dann noch was zum MS-Bashing. Was spioniert MS? Hast du dafür Belege?
Du hast eine Nutzungserlaubnis an deren Produkt erworben, mehr nicht.
Es gibt genug Ausführungen des TÜViT zu den Datenerhebungen von MS. Hier wurde bisher keine den Datenschutz verletzende Erfassung belegt.

@Supernature:
Grundsatzdiskussionen hin oder her. Ich sag dir auch noch in 5 Jahren dass Gelb Gelb und Rot Rot ist. Genauso wie es bisher keine Existenzberechtigung für PFWs gegeben hat.
 
So, und dann will ich meine grundsätzliche Meinung zu dem Thema auch mal los werden :).

Ich bin zu wenig Experte auf der Ebene einzelner Datenpakete, als dass ich fachlich einwandfrei beurteilen könnte, ob eine personal Firewall überhaupt technisch in der Lage ist, einen vernünftigen Schutz zu bieten. Trotzdem denke ich, dass dem so ist, weil es genügend Experten gibt, die den Einsatz einer solchen Firewall empfehlen.

Wenn ein Schutzprogramm eine kritische Lücke hat, die demjenigen, der sie auszunutzen versteht, den vollen Zugang gewährt, dann stellt das in der Tat ein zusätzliches Risiko dar.
Ein Killerargument ist das für mich trotzdem nicht - ich bau ja auch nicht das Schloss aus meiner Haustür, weil es vielleicht irgendwo einen Generalschlüssel gibt. Ok, der Vergleich mag hinken, aber ich denke Ihr versteht, wie ich das meine.

Die größte Gefahr beim Einsatz jeglicher Sicherheitssoftware sehe ich aber nicht in der Technik, sondern, wie immer, bei dem, der vor der Kiste sitzt.
Wer sich Virenscanner, Firewall und sonstige Schutztools installiert und dann mit Vollgas in Vollkasko-Mentalität durchs Netz düst, der wird todsicher am nächsten virtuellen Baum landen.

Gesunder Menschenverstand ist nämlich durch nichts zu ersetzen.

Das war es eigentlich auch schon :).
 
Eine gut gewartete FireWall (obwohl das nicht immer ganz einfach zu bewerkstelligen ist)
bietet ein hohes Maß an Sicherheit, ist aber nicht unfehlbar.

Die Frage ist:
Kann die FW alle Ports verstecken (stealthen) oder nicht?

Daß einige Ports geöffnet sein müssen, ist klar, sonst wäre Netzwerkbetrieb oder Surfen nicht möglich.

Es ist nur so:
Bei einem Portscan antwortet ein offener Port: "Hallo, hier bin ich!",
ein geschlossener sagt: "Heute geschlossen, kommem Sie gestern...",
bei einem versteckten Port unterbindet die Firewall jegliche Reaktion auf Portscans.
Rer Rechner ist also von "außen" nicht sichtbar, was meiner Ansicht nach kein schlechter Zustand ist.

Eben erreichte mich ein Testresultat von webscan.security-check.ch,
der screenshot sagt wohl alles über meine FW-Einstellungen...

p.s.
... und die 2 offenen Dienste behandle ich auch noch... :D
 

Anhänge

  • security-check.gif
    security-check.gif
    57,5 KB · Aufrufe: 852
Zuletzt bearbeitet:
Soviel zu Unsinn einer Firewall - Stealthen ist Quatsch, weil damit genau das Gegenteil ausgedrückt wird.
Die Ports sollten zu sein, aber sich totstellen geht praktisch nicht.
 
Hab mal den selben Test gemacht. Alles in bester Ordnung. Allerdings denke ich, dass die Routerfirewall ihr eigenes tut. Habe zudem noch Outpost installiert, welche ich allerdings nur dafür nutze, um Programmen den Zugriff nach außen zu sperren und die Aktiven Inhalte von Webseiten zu filtern bzw. freizugeben. Alle anderen Plugins sind off. :)
 
(@Brummelchen)
Jaja, *zustimm* als ob das 'Nicht-Antworten' einen Gewinn brächte...
Wenn ich ohnehin weiß, dass da ein Rechner ist (hat beispielsweise auf einen Ping reagiert...) und der aber nicht auf einem Port antwortet (mit einem "hier jibbet nix, Port iss zu!"), dann hab' ich sogar eine zusätzliche Information, dass da etwas filtert.
Und je nach vorheriger Informationsgewinnung kann ich abschätzen, ob das auf dem Host selbst ist oder ob da ein vorgeschalteter Filter zuschlägt.

Besser ist da noch, regulär (soll heißen: gemäß Protokoll) auf die Anfragen antworten zu lassen.
Auch wenn das (Dank gefälschter Absenderadresse) zu unangenehmen Seiteneffekten führen kann.

Grüße
 
Im Grunde gilt, jede Firewall kann nur so gut sein wie ihre Regeln.
Will man das maximal mögliche aus seiner Firewall rausholen, sollte man sich eingehender mit dieser Materie befassen (kann nie schaden).
 
Welche aktuelle Firewall ist gut Auf Thema antworten

byteBude schrieb:
Im Grunde gilt, jede Firewall kann nur so gut sein wie ihre Regeln.
Will man das maximal mögliche aus seiner Firewall rausholen, sollte man sich eingehender mit dieser Materie befassen (kann nie schaden).



Dem ist nichts hinzuzufügen. Ist wohl besser auf den Punkt gebracht.
 
Oben