Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Software-Firewalls [+HW-Firewall]: Sinnvoll oder nicht? - Ja!

Kabelsalat / 45 Antworten / Flachansicht Nickles

Ich weiß, dass das Thema schon oft angesprochen wurde, aber hauptsächlich in Threads, die bloß indirekt damit zutun hatten. Deshalb will ich mit dem Thread alle ansprechen. Ich hoffe, dass ihr das Thema alle ohne Vorurteile angeht und verlinkt bitte nicht auf ältere Threads, denn genau das will ich vermeiden. Ihr sollt einfach noch mal ganz neu an die Sache heran gehen!

Hier meine Gedanken:

Die einfache Herangehensweise an Software-Firewalls:










Pro


Contra



  • "Ausgang- und Eingangskontrolle" für Anwendungen

  • Stealth-Mode

  • schließen der Ports




  • Verbrauch von Systemressourcen

  • Stealth-Mode funktioniert evtl. nicht richtig

  • einzelne Ports sind weiterhin geöffnet

  • kann umgangen werden oder gar ganz ausgeschaltet werden

  • es werden evtl. Fehlalarme gemeldet

  • bei "Easy"-Firewalls wie ZoneAlarm oder falscher Konfiguration
    treten evtl. Probleme mit bestimmter Software auf




Wenn man diese Tabelle betrachtet überwiegt "Contra" gering und die Funktionen sind evtl. auschaltbar oder umgehbar, aber ist das ein Grund um gleich zu sagen SW-Firewalls sind "shit" und taugen nichts? Ganz klar ist das die falsche Herangehensweise! Weil bis auf den Verbrauch von Systemressourcen gibt es keine negativen Punkte, die System beeinträchtigen würden. Alle anderen Kriterien verbessern die Sicherheit, wenn auch eventuell nur gering. Aber wie sagt man: Wer den Pfennig nicht ehrt ist der Mark nicht wert (oder muss ich jetzt sagen "Wer den Cent nicht ehrt ist dem €uro nicht wert"?).

Ich denke die Hauptaufgabe von SW-Firewalls ist es so oder so den ausgehenden Verkehr je nach Anwendung anders zu zensieren oder gar ganz zu blocken. Deshalb ist es auch durchaus sinnvoll eine SW-Firewall in Kombination mit einer Hardware-Firewall, die den Traffic nur nach IPs und Ports filtern kann, einzusetzen, somal "doppelt gemoppelt" besser hält!

Danke für eure kritische, unterstützende oder ergänzende Beteiligung!
bei Antwort benachrichtigen
basil Teletom „ Der Windowsnachrichtendienst arbeitet nicht über ICMP , das ist schon klar....“
Optionen
Durch die Verhinderung (meinswegen drop) der ausgehenden ICMP-Antwort im Internet erkennt ein IP-Scan nicht die Internet-IP meines online befindlichen Computers.
Halte ich für ein Gerücht, beschäftige dich mal mit nmap. Schicke ich ein Paket an eine IP, die ich bestimme und es kommt überhaupt nichts zurück, dann weiß ich spätestens nach einem Traceroute, daß der Rechner online ist, es sei denn daß bereits ein Router auf dem Weg filtert, was ich dan aber auch weiß.
Mit Sicherheit werden Spam-Nachrichtendienst-Nachrichten nur an online befindliche Computer mit bekannter Internet-IP-Nummer von commerzorientierten Einrichtungen gesandt und nicht an meinen Computer, der durch ausgehende ICMP-Internetantwort-Verhinderung nicht bekannt ist.
Mit Sicherheit kennst Du die entsprechenden Tools für Nachrichtendienst-Spamming nicht, diese senden die Nachrichten nämlich meist nicht an einzelne Rechner, sondern an ganze Subnets, ohne vorherige Prüfung welcher Rechner jetzt online ist und welcher nicht, wäre viel zu zeitaufwändig.
Das Unterdrücken von ICMP alleine nutzt nicht viel, wenn TCP/IP Ports offen sind und Dienste dahinter lauschen, welche bei einem Portscan mit einem Banner antworten. Mal ein (wenn auch etwas weit hergeholtes) Beispiel:
Du hast auf deinem Rechner einen Webserver laufen und ICMP gesperrt, nun macht jemand einen Portscan an deinen Rechner. Was nutzt es Dir, daß ICMP keine Fehlerpakete sendet, wenn dein Webserver bei der Anfrage eine Antowrt gibt? Das selbe bei offenen Ports 135-139,445 bei Windowsmaschinen. Standardantworte der Dienste interessieren ICMP nicht, aber ich vermute einmal, Du wolltest auf etwas anderes raus mit deiner Aussage.
bei Antwort benachrichtigen
Wie jetzt? Teletom