Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

XP-Firewall + FritzBox-Firewall + Software-Firewall?

Klaus Neumann / 14 Antworten / Flachansicht Nickles

Hallo zusammen,

habe jüngst von W98 auf XP umgestellt, kpl. Neuinstallation, SP2, alle Patches etc. etc. Meine FritzBox habe ich gleich mit auf Router umkonfiguriert, somit ist die dort eingebaute Firewall ja aktiv. Die im XP wird ja durch das SP2 ohnehin aktiviert. So ganz sicher fühle ich mich damit ja eigentlich nicht. Macht es Sinn, da noch einen ZoneAlarm (mit dem ich unter W98 sehr zufrieden war) oder Outpost draufzusetzen oder beißen sich die Dinger dann gegenseitig und bremsen mir das System aus? Die Fritz-Software meldet zwar auch, wenn ein Programm ins Netz möchte, aber dabei habe ich ein etwas ungutes Gefühl. Einfach ohne Not ZA draufzupacken, wollte ich vermeiden, da ich jüngst im Bekanntenkreis erlebt habe, daß die aktuelle ZA-Version eine W2000-Installation gnadenlos gelyncht hat, die 6.5er ist aber o.k. Hat jemand Erfahrungen mit dem gleichzeitigen Einsatz mehrerer Firewalls?
Im Voraus vielen Dank für eure Infos!

Gruß
Klaus Neumann

bei Antwort benachrichtigen
@ garf OWausK
haegar the horrible Klaus Neumann „XP-Firewall + FritzBox-Firewall + Software-Firewall?“
Optionen

"...Macht es Sinn, da noch einen ZoneAlarm..." -- unbedingt! Die Firewall im Router dient zu ganz anderen Zwecken als eine reine Software im Rechner. Die Router-FW übernimmt sozusgane die Grundlast, sie zieht gewissermaßen das "Feuer" auf sich.

Hintergrund: bekanntlich ist jedes WinXYZ ziemlich löchrig, da sie ALLE unter pathologischer Mißachtung jeglichster "Sicherheit" erstellt wurden. Insbesondere, wenn man den IE - egal, welche Version - installiert hat, ist die "Sicherheit" des Wins löchriger als das Gedächtnis eines Arschlitikers, wenn man ihn/sie erwischt hat. Vom Internet aus sieht jeder nur den Router. Da auf dem aber kein Win-irgendwas läuft, existiert auch keines der vielen, vielen, vielen, vielen Löcher und Schwachstellen. D.h., jeder Angreifer stürzt sich auf den PC, der in Wirklichkeit der Router ist und versucht in diesen auf irgendeiner der bekannten oder unbekannten Sícherheitslücken eines Win-PC zu infiltrieren - schafft es aber nicht, denn es IST ja kein PC, sondern ein Router, der nun mal KEINE der bekannten und unbekannten Lücken eines Win-PC aufweist. Und beißt sich so die Zähne dran aus. Prinzipiell jedenfalls. Zu hoch sollte man einer Router-Fw nicht vertrauen, denn letzlich ist das auch Software und warum sollte die IMMER fehlerfrei sein (können)???? Eben! Es ist Software und alle komplexe Software HAT Fehler, auch Fehler, die einem darum wissenden Angreifer doch irgendwann den Zugriff auf den dahinter stehenden PC nicht mehr verhindern kann.

Eine reine Software-FW hat da, weil nachträglich aufgesetzt, in diesem Gebiet deutlich weniger gute Chancen. Die LÄUFT ja auf einem PC, der, weil WinXYZ drauf läuft, in obigem Sinne löchrig ist. Es kommt nur drauf an, wie gut die FW-Programmierer sind und wie tief sich die Software-FW in den PC reinkrallen kann, um so möglichst viel kontrollieren zu können.

Eine Software-FW hat aber gegenüber einer externen Firewall eine unumstößliche Vorteil: sie kann im Prinzip den Internet- und Netzwerk-Verkehr jedes Programmes kontrollieren. Also ob überhaupt und welches Programm "raus" darf und an und von welcher Internet-Adresse es Daten empfangen und senden darf. Z.B. kann man einstellen, daß ein E-Mail-Programm NUR die Adressen des eigenen Providers anwählen darf und SONST KEINE. Auch kann das Nachladen von Dateien z.B. Bilder verboten werden. Das kann eine Router-FW nicht. Eine Software-FW ist möglicherweise umgehbar, eine Router-FW links zu überholen, ist nicht so einfach. Aber es kommt auf das konkrete Produkt an.

Ob man nun ZoneAlarm nimmt oder Ourpost, das nimmt sich nicht so viel, beide sind fähig. Nur, daß Outpost einen deutlich schlechteren Selbstschutz hat als andere FWs. D.h. ein Schadprogramm kann Outpost leichter als andere FWs "abschießen", also beenden. Und das ist natürlich nicht gut. Auf der anderen Seite gehört Outpost aufgrund seiner in beinahe Klartext zu definierenden Regeln (auch in teutonischer Zunge) zu den Anfänger-konformsten. Andere FWs kommen mit eher recht kryptischen Begriffen daher.

Mehr als eine Software-FW ist allerdings, analog Anti-Virenscannern, nicht möglich. Da sie alle dasselbe tun würden, würden sie sich stattdessen nur gegenseitig behindern und den Rechner somit blockieren.

Da die M$-FW von denselben Leuten stammt, die auch die löchrigen Wins verbrochen haben, würde ich JEDEM "Sicherheitsprogramm" von M$ nicht weiter trauen, als ich kotzen kann.

Ziemlich sicher ist man nach Stand der Technik nur mit einem Rechner, auf dem ein Betriebssystem läuft das keiner kennt und dennoch hinreichend sicher ist. Man könnte auch einen PC nehmen, dem man jeden Morgen (oder wann immer) über ein vorher gezogenes Festplatten-Image einen einmal definierten Grundzustand zurückfährt. So ein PC darf dann keine wie auch immer geartete Verbindung zu einem anderen PC haben. Oder einen virtuellen PC, wie z.B. mit VMWare Player, laufen zu lassen. Oder ein Live-Linux, Knoppix z.B.

Etwas Firewall-mäßiges MUß sein! Eine Router-FW und sonst nichts ist nicht sooo der Bringer, weil sie zwar den PC vom Internet her abschirmt, aber nicht ebenso gut vom Rechner aus INS Internet. Den Weg von Proggis INS Internet ist mit Software-FWs leidlich gut zu regulieren. Auch eine Nur-Software-FW ist eine gute Lösung, dann muß aber das Win Updatemäßig auf dem aktuellen Stand sein und alle Löcher-stopfenden Updates aufgespielt sein. Ein nicht sicherheitsmäßig aktuelles Win mit der besten FW wo gibt ist kein Schuß Pulver wert!

Also klare Antwort: SOWOHL - ALS AUCH!

bei Antwort benachrichtigen