Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

XP-Firewall + FritzBox-Firewall + Software-Firewall?

Klaus Neumann / 14 Antworten / Baumansicht Nickles

Hallo zusammen,

habe jüngst von W98 auf XP umgestellt, kpl. Neuinstallation, SP2, alle Patches etc. etc. Meine FritzBox habe ich gleich mit auf Router umkonfiguriert, somit ist die dort eingebaute Firewall ja aktiv. Die im XP wird ja durch das SP2 ohnehin aktiviert. So ganz sicher fühle ich mich damit ja eigentlich nicht. Macht es Sinn, da noch einen ZoneAlarm (mit dem ich unter W98 sehr zufrieden war) oder Outpost draufzusetzen oder beißen sich die Dinger dann gegenseitig und bremsen mir das System aus? Die Fritz-Software meldet zwar auch, wenn ein Programm ins Netz möchte, aber dabei habe ich ein etwas ungutes Gefühl. Einfach ohne Not ZA draufzupacken, wollte ich vermeiden, da ich jüngst im Bekanntenkreis erlebt habe, daß die aktuelle ZA-Version eine W2000-Installation gnadenlos gelyncht hat, die 6.5er ist aber o.k. Hat jemand Erfahrungen mit dem gleichzeitigen Einsatz mehrerer Firewalls?
Im Voraus vielen Dank für eure Infos!

Gruß
Klaus Neumann

bei Antwort benachrichtigen
GarfTermy Klaus Neumann „XP-Firewall + FritzBox-Firewall + Software-Firewall?“
Optionen

"...Macht es Sinn, da noch einen ZoneAlarm..."

nein.

"...oder Outpost draufzusetzen ..."

nein.

btw... wie of filterst du deinen kaffee?

warum?

in aller regel reicht die fw im router, falls du software am telefonieren hindern willst, reicht die xp-fw. mehr software bedeutet nie mehr sicherheit.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
OWausK GarfTermy „ ...Macht es Sinn, da noch einen ZoneAlarm... nein. ...oder Outpost...“
Optionen

Guten Morgen!


Es geht um was ganz anderes.
Zum einen überarbeite ich die Inst-Anleitung (nur mit XP FW und Router ;-) ) und wollte wissen, ob du eine gute Anleitung für vmware hast, kennst oder eine schreiben würdest?
Zum anderen hast du vom Proxy für deine Zwerge geschrieben. Was nutzt du da? So etwas wie Privoxy?


Danke und Gruss

Olli


PS:
Dein letzter Beitrag zur Inst-Anl. - hab ich mal sacken lassen, ist was wahres dran...
Sorry.

Aber was die XP FW angeht, musst du mir meine Paranoia lassen ;-)

Nicht die Probleme die wir haben belasten uns, sondern die Gedanken, die wir uns darüber machen!
bei Antwort benachrichtigen
GarfTermy OWausK „@ garf“
Optionen

...schon ok.

"...und wollte wissen, ob du eine gute Anleitung für vmware hast..."

für die bessere übersichtlichkeit - bitte einen thread öffnen!

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Scotty7 GarfTermy „ ...Macht es Sinn, da noch einen ZoneAlarm... nein. ...oder Outpost...“
Optionen

möp -> falls du software am telefonieren hindern willst, reicht die xp-fw

die xp-fw besteht keinen einzigen leaktest. Empfehlung: Firewall in der Fritzbox (Ports zu), dazu eine gute desktop-firewall "zone alarm" geht schon in Ordnung, besser wären aber "jetico", "KIS6", "look-and-stop" (hab ich) oder "Agnitium Outpost". Genug Werbung ^^

gens inculta nimis vehitur crepitante colossa.
bei Antwort benachrichtigen
GarfTermy Scotty7 „möp - falls du software am telefonieren hindern willst, reicht die xp-fw die...“
Optionen

sorry scotty - aber wer zonealarm als "geht schon in ordnung" bezeichnet, scheidet aus der diskussion aus.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
OWausK Klaus Neumann „XP-Firewall + FritzBox-Firewall + Software-Firewall?“
Optionen

Moin,

meine ganz persönliche Meinung: Ich benutze die XP Firewall nicht, weil ich ihr nicht traue. Punkt.
Andere Leutz hier sind der Meinung, dass die XP FW vollkommen ausreicht. Ich benutze einen Router mit konfigurierter FW und zusätzlich eine Software FW, die mir anzeigen soll, wenn denn XYZ telefonieren möchten.
Natürlich kann es sein, dass ein Schädling die Software FW so manipuliert, dass diese nichts anzeigt. Eine absolute Sicherheit gibt es nicht.


Grundsätzlich solltest du bei 2000/XP NIEMALS als Administrator surfen, sondern mindestens zwei Benutzer einrichten. Einen Admin und einen eingeschränkten Klaus zum Arbeiten.

Klick

Das ist Pflichtlektüre. Hinter nem Router kannst du das alles aber nicht 1 zu 1 umsetzen, sondern musst den Router konfigurieren, weil du dir sonst dein LAN tötest.


Outpost sah bei mir so aus (aus anderem Thread):

Mal zu Agnitum > habe mir die Free 1.0 1817.1645 gesaugt, nachdem ich im Netz (aufgrund deines Hinweis)
nur Gutes gelesen habe...
War ja erstmal alles OK, aber dann:
> Updatefunktion
Och dachte ich, nett schlecht! Aber was passiert? Es wird sofort auf die Pro Version - 30 Tage Trial upgedated...
Bei so etwas kriege ich ja schlagartig ne Krampe! Entweder Version 1.0 ist free oder nicht!
Ein Kontextmenü a la "> Freie Version updaten" oder "> Auf Pro updaten" ist ja scheinbar zu kompliziert...
Nach erneuter Installation habe ich dann mal rein Interesse halber Custom Update gewählt.
In diesem Dschungel ist eine Auswahl ja mal ganz einfach...geht garnicht.
>Konfiguration / Features
Finde ich super, erklärt sich von selbst - wirklich gut! Und das ist nicht ironisch gemeint.
>Aber
Das alles hab ich natürlich unter Administrator-Rechten getan...
Wenn ich mich jedoch als User einlogge, kann Agnitum nicht auf seine Log-Files zugreifen und ein automatisches
Update meckert ebenfalls ein Log file an.
Das könnte ich ja über die Zugriffsrechte lösen, will aber nicht, denn damit für ich den Admin ad absurdum.
Echt bedenklich finde ich allerdings, dass ich jetzt als "User" Agnitum beenden kann. Und noch besser > es läßt sich nicht wieder starten!
Mal vor dem Hintergrund, der PCbild hängt nur am Modem, ich bin Daddy und hab was dagegen, dass jemand (meine Kids) ohne FW im Netz sind > da kann ich Agnitum gerade mal in die Tonne drücken...


Sollte Outpost bei dir anders laufen, würde mich das interessieren!


Gruss

Nicht die Probleme die wir haben belasten uns, sondern die Gedanken, die wir uns darüber machen!
bei Antwort benachrichtigen
GarfTermy OWausK „Moin, meine ganz persönliche Meinung: Ich benutze die XP Firewall nicht, weil...“
Optionen

"...Ich benutze die XP Firewall nicht, weil ich ihr nicht traue...."

streng betrachtet kannst du keiner softwarefirewall trauen - egal von wem. niemandem hier sind technische details bekannt, man muß sich auf´s funktionieren verlassen... aber genau da ist das hauptproblem. dtfw sind alles andere als dicht. diverse schadsoftware lacht sich drüber tot - und macht die dtfw knipps wirkungslos.

"...Ich benutze einen Router mit konfigurierter FW..."

richtig so.

"...eine Software FW, die mir anzeigen soll, wenn denn XYZ telefonieren möchten...."

muß man sich alles installieren um es dann auszuschalten?

"...Eine absolute Sicherheit gibt es nicht. ..."

eben. und da helfen dtfw auch nicht wirklich - weil sie NICHT zuverlässig sind.



;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
ABatC Klaus Neumann „XP-Firewall + FritzBox-Firewall + Software-Firewall?“
Optionen

Frage am Rande - wenn du schon eine FritzBox hast, warum benutzt du nicht die mitgelieferte Firewall FritzProtect? Die überwacht nur ausgehenden Verkehr und spart sich die ganzen Funktionen, die man wegen des Routers sowieso nicht braucht...meiner Meinung nach ein guter Kompromiss.

bei Antwort benachrichtigen
Klaus Neumann ABatC „Frage am Rande - wenn du schon eine FritzBox hast, warum benutzt du nicht die...“
Optionen

Hallo,

erstmal danke für die schnellen Antworten!! Zunächst noch'n paar schnelle facts: Eingeschränktes Konto zum Surfen ist drauf und den FritzProtect hab' ich auch an. Agnitum hab' ich gerade mal probiert, und ich krieg' ihn auch als user abgeschaltet. Ist in diesem Falle also tatsächlich witzlos, dann kann man mich ja auch mit eingeschränktem Surfer-Konto abschießen. Werde dann auch mal die Kombi mit "ohne XP-Firewall" und externer Software ausprobieren. Hardware-Firewall wollte ich eigentlich vermeiden - Kosten- und Administrationsaufwand sind wohl für mich als Privatsurfer nicht unbedingt das Gelbe vom Ei...

Gruß
Klaus Neumann

bei Antwort benachrichtigen
GarfTermy Klaus Neumann „Hallo, erstmal danke für die schnellen Antworten!! Zunächst noch n paar...“
Optionen

"...Hardware-Firewall wollte ich eigentlich vermeiden..."

wo bitte verursacht denn eine hardwarefirewall, die im router bereits vorhanden ist, kosten? und wo ist der administrative aufwand - der auch bei einer softwarelösung entsteht - etwas, was man vermeiden sollte? auch eine dtfw muß administriert werden.

"...für mich als Privatsurfer nicht unbedingt das Gelbe vom Ei."

da gibt es keinerlei nachteile für "privatsurfer"

deine einwände sind unbegründet.



;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
ABatC Klaus Neumann „Hallo, erstmal danke für die schnellen Antworten!! Zunächst noch n paar...“
Optionen

Wieso installierst du 2 Desktop-Firewalls??

bei Antwort benachrichtigen
haegar the horrible Klaus Neumann „XP-Firewall + FritzBox-Firewall + Software-Firewall?“
Optionen

"...Macht es Sinn, da noch einen ZoneAlarm..." -- unbedingt! Die Firewall im Router dient zu ganz anderen Zwecken als eine reine Software im Rechner. Die Router-FW übernimmt sozusgane die Grundlast, sie zieht gewissermaßen das "Feuer" auf sich.

Hintergrund: bekanntlich ist jedes WinXYZ ziemlich löchrig, da sie ALLE unter pathologischer Mißachtung jeglichster "Sicherheit" erstellt wurden. Insbesondere, wenn man den IE - egal, welche Version - installiert hat, ist die "Sicherheit" des Wins löchriger als das Gedächtnis eines Arschlitikers, wenn man ihn/sie erwischt hat. Vom Internet aus sieht jeder nur den Router. Da auf dem aber kein Win-irgendwas läuft, existiert auch keines der vielen, vielen, vielen, vielen Löcher und Schwachstellen. D.h., jeder Angreifer stürzt sich auf den PC, der in Wirklichkeit der Router ist und versucht in diesen auf irgendeiner der bekannten oder unbekannten Sícherheitslücken eines Win-PC zu infiltrieren - schafft es aber nicht, denn es IST ja kein PC, sondern ein Router, der nun mal KEINE der bekannten und unbekannten Lücken eines Win-PC aufweist. Und beißt sich so die Zähne dran aus. Prinzipiell jedenfalls. Zu hoch sollte man einer Router-Fw nicht vertrauen, denn letzlich ist das auch Software und warum sollte die IMMER fehlerfrei sein (können)???? Eben! Es ist Software und alle komplexe Software HAT Fehler, auch Fehler, die einem darum wissenden Angreifer doch irgendwann den Zugriff auf den dahinter stehenden PC nicht mehr verhindern kann.

Eine reine Software-FW hat da, weil nachträglich aufgesetzt, in diesem Gebiet deutlich weniger gute Chancen. Die LÄUFT ja auf einem PC, der, weil WinXYZ drauf läuft, in obigem Sinne löchrig ist. Es kommt nur drauf an, wie gut die FW-Programmierer sind und wie tief sich die Software-FW in den PC reinkrallen kann, um so möglichst viel kontrollieren zu können.

Eine Software-FW hat aber gegenüber einer externen Firewall eine unumstößliche Vorteil: sie kann im Prinzip den Internet- und Netzwerk-Verkehr jedes Programmes kontrollieren. Also ob überhaupt und welches Programm "raus" darf und an und von welcher Internet-Adresse es Daten empfangen und senden darf. Z.B. kann man einstellen, daß ein E-Mail-Programm NUR die Adressen des eigenen Providers anwählen darf und SONST KEINE. Auch kann das Nachladen von Dateien z.B. Bilder verboten werden. Das kann eine Router-FW nicht. Eine Software-FW ist möglicherweise umgehbar, eine Router-FW links zu überholen, ist nicht so einfach. Aber es kommt auf das konkrete Produkt an.

Ob man nun ZoneAlarm nimmt oder Ourpost, das nimmt sich nicht so viel, beide sind fähig. Nur, daß Outpost einen deutlich schlechteren Selbstschutz hat als andere FWs. D.h. ein Schadprogramm kann Outpost leichter als andere FWs "abschießen", also beenden. Und das ist natürlich nicht gut. Auf der anderen Seite gehört Outpost aufgrund seiner in beinahe Klartext zu definierenden Regeln (auch in teutonischer Zunge) zu den Anfänger-konformsten. Andere FWs kommen mit eher recht kryptischen Begriffen daher.

Mehr als eine Software-FW ist allerdings, analog Anti-Virenscannern, nicht möglich. Da sie alle dasselbe tun würden, würden sie sich stattdessen nur gegenseitig behindern und den Rechner somit blockieren.

Da die M$-FW von denselben Leuten stammt, die auch die löchrigen Wins verbrochen haben, würde ich JEDEM "Sicherheitsprogramm" von M$ nicht weiter trauen, als ich kotzen kann.

Ziemlich sicher ist man nach Stand der Technik nur mit einem Rechner, auf dem ein Betriebssystem läuft das keiner kennt und dennoch hinreichend sicher ist. Man könnte auch einen PC nehmen, dem man jeden Morgen (oder wann immer) über ein vorher gezogenes Festplatten-Image einen einmal definierten Grundzustand zurückfährt. So ein PC darf dann keine wie auch immer geartete Verbindung zu einem anderen PC haben. Oder einen virtuellen PC, wie z.B. mit VMWare Player, laufen zu lassen. Oder ein Live-Linux, Knoppix z.B.

Etwas Firewall-mäßiges MUß sein! Eine Router-FW und sonst nichts ist nicht sooo der Bringer, weil sie zwar den PC vom Internet her abschirmt, aber nicht ebenso gut vom Rechner aus INS Internet. Den Weg von Proggis INS Internet ist mit Software-FWs leidlich gut zu regulieren. Auch eine Nur-Software-FW ist eine gute Lösung, dann muß aber das Win Updatemäßig auf dem aktuellen Stand sein und alle Löcher-stopfenden Updates aufgespielt sein. Ein nicht sicherheitsmäßig aktuelles Win mit der besten FW wo gibt ist kein Schuß Pulver wert!

Also klare Antwort: SOWOHL - ALS AUCH!

bei Antwort benachrichtigen
GarfTermy haegar the horrible „ ...Macht es Sinn, da noch einen ZoneAlarm... -- unbedingt! Die Firewall im...“
Optionen

"...unbedingt!..."

"...Eine Router-FW und sonst nichts ist nicht sooo der Bringer, weil sie zwar den PC vom Internet her abschirmt, aber nicht ebenso gut vom Rechner aus INS Internet...."

eine hardwarefirewall ist im gegensatz zu einer softwarelösung nicht durch schadsoftware wirkungslos zu machen. das uraltscheinargument "man müsse den traffic von innen nach außen" kontrollieren um programme am "nach hause telefonieren" zu hindern, zieht nicht wirklich.

schlaue software macht einen bogen um softwarefirewalls. und außerdem muß man sich ja nicht allen möglichen krimskrams - auch zweifelhaften - installieren.

solange softwarefirewalls durch recht einfache tricks ausgeknipst und wirkungslos gemacht werden können, sind sie höchsten die 3. wahl.

...da sie aber systembedingt genau das nicht leisten können... möge jeder selbst überlegen, ob er sich damit eine scheinbare sicherheit schaffen will.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Klaus Neumann GarfTermy „ ...unbedingt!... ...Eine Router-FW und sonst nichts ist nicht sooo der Bringer,...“
Optionen

Hallo,

nach einiger Zeit nur nochmal Info, zu welchem Entschluß ich letztlich gekommen bin. Erstmal vielen Dank für die vielen kontroversen Antworten! Nach einigem Testen, Protokollieren etc. etc. habe ich jetzt zusätzlich zur FritzBox-FW auch ZoneAlarm Pro in Betrieb. Die Kombi läuft problemlos. XP hat seine eigene FW freundlicherweise von selbst deaktiviert, als ich mir ZA installiert habe. Auswertung der Protokolle der verhinderten Zugriffsversuche aus ZoneAlarm mit der FritzBox im DSL-Modem-Betrieb und vergleichsweise im Routerbetrieb mit aktivierter FW ergibt, daß mit reinem ZoneAlarm praktisch jede Minute mindestens ein Zugriffsversuch geblockt wird, eher noch mehr. Ein großer Teil davon ist nicht so ganz harmlos. Im Routerbetrieb waren es über einige Tage verteilt ein halbes Dutzend Zugriffe, die ZA noch geblockt hat, also gar kein Vergleich! Die Box trägt tatsächlich die Grundlast, der Rest, bis auf das nicht auszuschließende Restrisiko, geht über Zone Alarm.

Viele Grüße
Klaus

bei Antwort benachrichtigen