Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Software-Firewalls [+HW-Firewall]: Sinnvoll oder nicht? - Ja!

Kabelsalat / 45 Antworten / Flachansicht Nickles

Ich weiß, dass das Thema schon oft angesprochen wurde, aber hauptsächlich in Threads, die bloß indirekt damit zutun hatten. Deshalb will ich mit dem Thread alle ansprechen. Ich hoffe, dass ihr das Thema alle ohne Vorurteile angeht und verlinkt bitte nicht auf ältere Threads, denn genau das will ich vermeiden. Ihr sollt einfach noch mal ganz neu an die Sache heran gehen!

Hier meine Gedanken:

Die einfache Herangehensweise an Software-Firewalls:










Pro


Contra



  • "Ausgang- und Eingangskontrolle" für Anwendungen

  • Stealth-Mode

  • schließen der Ports




  • Verbrauch von Systemressourcen

  • Stealth-Mode funktioniert evtl. nicht richtig

  • einzelne Ports sind weiterhin geöffnet

  • kann umgangen werden oder gar ganz ausgeschaltet werden

  • es werden evtl. Fehlalarme gemeldet

  • bei "Easy"-Firewalls wie ZoneAlarm oder falscher Konfiguration
    treten evtl. Probleme mit bestimmter Software auf




Wenn man diese Tabelle betrachtet überwiegt "Contra" gering und die Funktionen sind evtl. auschaltbar oder umgehbar, aber ist das ein Grund um gleich zu sagen SW-Firewalls sind "shit" und taugen nichts? Ganz klar ist das die falsche Herangehensweise! Weil bis auf den Verbrauch von Systemressourcen gibt es keine negativen Punkte, die System beeinträchtigen würden. Alle anderen Kriterien verbessern die Sicherheit, wenn auch eventuell nur gering. Aber wie sagt man: Wer den Pfennig nicht ehrt ist der Mark nicht wert (oder muss ich jetzt sagen "Wer den Cent nicht ehrt ist dem €uro nicht wert"?).

Ich denke die Hauptaufgabe von SW-Firewalls ist es so oder so den ausgehenden Verkehr je nach Anwendung anders zu zensieren oder gar ganz zu blocken. Deshalb ist es auch durchaus sinnvoll eine SW-Firewall in Kombination mit einer Hardware-Firewall, die den Traffic nur nach IPs und Ports filtern kann, einzusetzen, somal "doppelt gemoppelt" besser hält!

Danke für eure kritische, unterstützende oder ergänzende Beteiligung!
bei Antwort benachrichtigen
Eine gute Idee, aber du vergisst aber ein paar contra-Punkte: -Stealth-Modus ... Tyrfing
Re: Software-Firewalls [+HW-Firewall]: Sinnvoll oder nicht? - Ja crisan
Warum bitte steht bei Dir der Stealth-Mode bei Pro? basil
ok. pro: user erlangt mehr kontrolle über traffic user erlangt mehr ... GarfTermy
Wer den Pfennig nicht ehrt ist der Mark nicht wert Wer den Pfennig nicht ... Ventox
Destrop Firewalls sind sinnvoll, um zu kontrollieren, was raus geht, ... Heinz_Malcher
... sinnvoll ist es, Software mit unakzeptablen ... Zaphod
Das ist wohl korrekt, doch dann müsste ich Windows runterschmeissen, dazu ... Heinz_Malcher
...Wenn die Blocker funktioneiren würden, wäre es ein sehr guter Ansatz, ... Tyrfing
Tut mir leid, dass ich auf dein zweites Posting unten nicht eingegangen bin, ... Kabelsalat
Kabelsalat Nachtrag zu: „Software-Firewalls [+HW-Firewall]: Sinnvoll oder nicht? - Ja!“
Optionen

Erstmal Danke für die (schon jetzt) große Beteiligung.

Ich finde gut, dass jetzt auch mal positiv über PFWs geschrieben wird und das Thema nicht immer gleich mit "taugt nichts", "Schwachsinn"... abgetan wird.

Ich muss sagen, dass mir nach euren Posts auch noch weitere "Contra"- und "Pro"-Punkte aufgefallen sind (thx to Tyrfin & garftermy).

Zu Basil's Posting muss ich sagen, dass (zumindest ein funktionierender) Stealthmode schon zu den "Pros" einer Firewall gehört. Da aber die Funktion des Stealthmodes wohl bloß eingeschränkt bis garnicht funktioniert gehört er zumindest in Klammern. Aber auch wenn der Rechner trotzdem nicht "Stealth" ist, bietet dieser Modus immerhin noch den Vorteil, dass unnötiger Traffic vermiden wird, was ansonsten sehr häufig auftreten würde, da es nicht sonderlich unwahrscheinlich ist, das der Rechner / das Netzwerk, das vorher die IP hatte bei einer Tauschbörse angemeldet war, aber getrennt hat. Jetzt ist aber noch nicht bekannt, das an der IP garkein Tauschpartner mehr ist, was wiederrum viel unnötigen Traffic zurfolge hat. Auch wenn der Gewinn durch so einen eingeschränkten Stealthmode nur gering ist, sollte er trotzdem zu "Pro" gerechnet werden.

Was Attacken wie DoS, die den Rechner überlasten angeht kann es durchaus sein, dass der Vorgang durch Software-Firewalls beschleunigt wird, aber welcher Privat-Rechner wird mit sochen Attacken angegriffen. Viel wichtiger ist meines Erachtens was Heinz-Malcher angesprochen hat. Die Antwort von Zaphod darauf kann ich nicht unterstützen, da solche Software meistens Sinnvolle Funktionen enthält und warum dann darauf verzichten?

Hier nochmal die (erweiterte) Pro-Contra-Tabelle:










Pro


Contra



  • "Ausgangs- und Eingangskontrolle": Mehr Kontrolle über Traffic/Anwendungen

  • Mehr Möglichkeiten Berechtigungen zu vergeben

  • Ports können auch ohne Kontrolle der laufenden Anwendungen (-> netstat> geschlossen werden

  • [Stealthmode]-> in Klammern, da Funktion wohl bloß eingeschränkt (s. mein Posting)




  • Ressourcenverbrauch, ist aber vernachlässigbar gering auf modernen PCs

  • Manche Funktionen funktionieren evtl. nicht richtig

  • kann umgangen werden oder gar ganz deaktiviert werden

  • Man sollte Kenntnisse zur Thematik haben, da bei falscher Konfiguration (keine Fws wie ZoneAlarm) die Funktion eingeschränkt ist

  • Die Voreinstellungen oder die Stufen von Firewalls wie ZA sind nicht unbedingt Ideal, wenn man z.B. ein etwas größeres Heim-Netzwerk betreibt

  • Manche Software (z.B.Kazaa), die Internetzugriff benötigt macht evtl. Probleme

  • evtl. Fehlalarme

  • "es gibt sicher bessere Lösungen - aber keine ist perfekt" (garftermy)




Erweitertes Pro-Contra:













Pro


neutral


Contra



  • "Ausgangs- und Eingangskontrolle": Mehr Kontrolle über Traffic/Anwendungen

  • Mehr Möglichkeiten Berechtigungen zu vergeben

  • Ports können auch ohne Kontrolle der laufenden Anwendungen (-> netstat> geschlossen werden

  • [Stealthmode]-> in Klammern, da Funktion wohl bloß eingeschränkt (s. mein Posting)




  • Manche Funktionen funktionieren evtl. nicht richtig

  • kann umgangen werden oder gar ganz deaktiviert werden

  • Man sollte Kenntnisse zur Thematik haben, da bei falscher Konfiguration (keine Fws wie ZoneAlarm) die Funktion eingeschränkt ist

  • evtl. Fehlalarme

  • "es gibt sicher bessere Lösungen - aber keine ist perfekt" (garftermy)




  • Ressourcenverbrauch, ist aber vernachlässigbar gering auf modernen PCs

  • Die Voreinstellungen oder die Stufen von Firewalls wie ZA sind nicht unbedingt Ideal, wenn man z.B. ein etwas größeres Heim-Netzwerk betreibt

  • Manche Software (z.B.Kazaa), die Internetzugriff benötigt macht evtl. Probleme




Nach dieser zweiten Tabelle sollte man die Firewalls eigentlich betrachten!

Das ideale für den privaten Gebrauch ist meines Erachtens eine Software-Firewall + Hardware-Firewall (Router). Die einzige bessere Lösung sind 2 oder 3 Anlagen hintereinander und zwar solche, wie sie in Hochsicherheitsbereichen in Firmen eingesetzt werden. Die Kosten werden dann aber so hoch sein dass man sich gleich das halbe Haus neu einrichten könnte.

PS: Die großen Abstände vor den Tabellen sind keine Absicht, ich habe aber keine Möglichkeit gefunden wie ich sie entfernen kann! -> Vielleicht weis es ja jemand! Dafür sind die Tabellen diesmal sauber geworden!
bei Antwort benachrichtigen
Kurze Anmerkung noch. Meine Bemerkung bezog sich nicht darauf, ob Stealth ... basil
Hi, will man aber nur die ICMP-Antwort die Antwort auf einen eingehenden ... Teletom
Der Windowsnachrichtendienst arbeitet nicht über ICMP, sondern über TCP ... basil
Der Windowsnachrichtendienst arbeitet nicht über ICMP , das ist schon ... Teletom
Durch die Verhinderung meinswegen drop der ausgehenden ICMP-Antwort im ... basil
Dein Posting hatte ich noch nicht gesehen, sollte aber stimmen was du ... Kabelsalat
Mit Sicherheit hast Du den oben angebenen Thread immer noch nicht gelesen. ... Teletom
Durch die ausgehende ICMP-Antwort-Verhinderung kommt die Fehlerausschrift ... Tyrfing
Es spricht dagegen, dass die Computer, auf denen ich die Firewall, wie oben ... basil
Ähm...sorry war keine Unterstellung, wenn Du den Thread gelesen hättest, ... Teletom
Tut mir leid, aber deine Aussage stimmt so nicht. Wir haben hier Netzwerke ... basil
Ich denke verstehst mich irgendwie falsch. Mir geht es nicht darum, den ... Teletom
Also ist der Stealthmode doch zu etwas fähig! Hätte mich auch gewundert, ... Kabelsalat
Eben so etwas ist es, was ich meinte: Man benutzt die Firewall, um eine ... Tyrfing
Ich sehe das so, die Firewall sollte man verwenden, um eine Funktion für ... Teletom
und? was willste denn? mit Firewallaspekten ist das doch Spielerei.. Gurus Gurus
Wie jetzt? Teletom
Im LAN gebe ich dir recht, aber wenn man schon ein LAN hat, mit dem man auch ... Tyrfing
Hat man eben nicht immer. In platzmäßig kleinen Außenstellen z.B. wäre ... Teletom
Trotzdem hat die Software-Firewall den Vorteil gegenüber Hardware-Firewalls ... Kabelsalat
Welche zahlreichen FTP Ports bitte? Bei passivem FTP reicht Port 21, nur bei ... basil
Hier kannst du die Ports für passives und aktives FTP nachlesen. Ich habe ... Kabelsalat
Ich brauche die Ports für aktives FTP nicht nachlesen, ich hattes es von ... basil
Ich glaube wir reden aneinander vorbei! Ich hatte ... , auch wenn sie bloß ... Kabelsalat
Teil 2 hatte ich jetzt überlesen, aber ja, AD gibt es nativ nur unter den ... basil
Jetzt ist mir gleich zweimal der selbe Fehler unterlaufen: Den einen habe ... Kabelsalat
Kein Problem, dachte mir schon, daß es sich dabei um einen ... basil
Das mit dem ISA ist mir jetzt klarer. Mit den vielen freizugebenden Prorts ... Kabelsalat
Application-Firewalling ist kein Vorteil, sondern macht die Firewall ... Tyrfing
Da müsste ich auch noch etwas ergänzen. Da die meisten Firewalls Routing ... basil
Um so etwas zu vermeiden hat Mozilla... IE verwende ich nicht auch bloß ... Kabelsalat
Wer sich näher mit der Thematik auseinandersetzten will sollte sich mal die ... Kabelsalat
Um so etwas zu vermeiden hat Mozilla... IE verwende ich nicht auch bloß ... Tyrfing
Noch einmal Danke an alle die sich beteiligt haben! Ich denke jetzt sieht so ... Kabelsalat