Firewall oder nicht Firewall
 

Man hat mir heute zugeraunt, da ich einen Internetzugang über einen Router habe, bräuchte ich keine Firewall (in meinem Fall Kerio) zu betreiben.

Ist das richtig?

Hallo

Komisch? Wenn man keine Firewall hat, kann ein Hacker auf den PC zugreifen. Jedoch habe ich Errinerung, dass einige Router, oder alle, eine Firewall integriert haben. Liege ich da richtig?

Ich würde dir trotzdem empfehlen, eine Firewall zu betreiben.

Oder am besten im Handbuch des Modems bzw. Routers nachschlagen.

der greift auch
 

der greift auch mit Firewall zu, denn
irgendwelche Ports sind immer offen.

Oder was glaubt ihr, wie ihr "spielen" könnt?

:hallo:
Ned

Die Firewall vom Router reicht aus, wenn sie richtig konfiguriert und aktiv ist.

@Ned: Klar, am Router (der vermutlich neben dem PC steht) sitz auch ein Hacker, der auf deinen Rechner zugreifen will. Also schützen wir lieber auch noch den Rechner vor dem Router. :rolleyes:

Nun zu Software Firewalls wie Norton Internet Security, Zonealarm usw hat mal ein kluger Mensch gesagt:

Eine solche Firewall ist genauso sinnig wie an eine offene Tür zu schreiben: "Dies hier ist keine Tür!"

Ich denke damit ist vieles gesagt, die Routerfirewall ist 3x besser als jede Softwarelösung.

mfg
Sven

Re: Firewall oder nicht Firewall
 

Wozu brauchst du eine Firewall?
Wenn du diese Frage nicht beantworten kannst und das ist nach dieser Frage zu erwarten dann haengt die Sicherheit deines PC's eher vom Zufall, der aktuellen Wurmschwemmrate oder der Laune der Hacker ab.
Vielleicht solltest du dich doch mal mit den Details befassen. Es gibt keine einfach funktionierende "MACH-SICHER" Soft oder Hardware.
Ohne eine Analyse ueberhaupt moeglicher Schadensszenarien, die ueberhaupt erst die Wahl entsprechender Gegenmassnahmen ermoeglichen wuerde, wird die Sicherheit kaum steigen.
Genauso gut koenntest du auch
einen dieser Microsoft
"Trojaner muessen draussenbleiben" Aufkleber an deinem PC anbringen und hoffen das diese lesen koennen.

Wie Steffen und Sven schon schrieben, ist bei einer richtig konfigurierten und vor allem aktivierten FW im Router eine Personal FW auf dem PC unnötig. Weg damit und ein Problemfall weniger auf dem PC.

Das seh ich anders. Ich hab zusätzlich zu der Firewall im Router noch Zonealarm und die interne FW von WinXP laufen. Ein Problemfall waren die Software-FWs bei mir noch nie, allerdings sind sie auch optimal konfiguriert. Einmal richtig installiert und das wars. Kostet nicht mal Performance im FS. :rolleyes:

Zur Erklärung: ja, theoretisch reicht die FW im Router aus. Aber ich hab schon Pferde kotzen gesehen. Eine FW ist gut. Zwei sind besser, drei noch besser. Hier muss ein Hacker durch drei Firewalls durch anstatt durch eine. Dir Hürde, ein so konfiguriertes System zu hacken ist wesentlich höher als bei einem System, das nur durch eine FW gesichert ist.

Naja, das würde ich mir schon genauer überlegen, besonders, wenn diese Firewalls ALLE auf EINEM Rechner aktiv sind.

Jede Firewall muss die Netzwerkpakete abfangen, analysieren und bei Bedarf weiterleiten. Das erfordert Eingriffe in die Netzwerktreiber des Betriebssystems. Das ist schon bei EINER Firewall ein komplexer Vorgang.

Ich will mir jetzt nicht ausmalen, wie sich drei Software-Firewalls in den Netzwerktreibern installieren...

Abgesehen davon KANN ein Port nicht mehr als einmal geschlossen sein. Entweder dort werden Verbindungen akzeptiert oder eben nicht. Sie können nicht mehrmals "nicht akzeptiert" werden.

Ganz anders sieht es natürlich aus, wenn durch die Firewalls das LAN in mehrere Zonen eingeteilt wird. Dann sind die Firewalls natürlich sinnvoll, eh klar. Aber alle auf einem Rechner?

Guten Morgen!

Software-Firewalls haben meistens eine Funktion, die von Router-Firewalls naturgemäß nicht geleistet werden kann. Sie können nämlich portunabhängig steuern, welche Programme bzw. welche Anwendungen Zugriff auf das Internet erhalten und welche nicht.

Das ist ein nicht zu verachtender Sicherheitsvorteil. Denn so können nur die Anwendungen über das Internet kommunizieren, die man explizit freigegeben hat.

Ich habe neben meiner Router-Firewall auch noch Kerio laufen. Performanceeinbrüche hatte ich dadurch bisher nicht zu verzeichnen.

Ich sitze auch hinter einem Router und habe zusätzlich noch Zonealarm an. Der entscheidente Vorteil, ich habe den Überblick wer alles raus will. Ihr glaubt ja garnicht, wer da alles der Meinung ist online gehen zu müssen. Dazu kommt dann noch, das man einen Trojaner sofort erkennt, wenn er telefonieren will.

Sorry aber das ist Quatsch. Was willst Du mit 2 oder mehr FW Systemen als Privater absichern? Du schreibst, dass Deine FW richtig konfiguriert seien. Was bitte soll die 2.te FW dann noch filtern, was nicht schon die 1.te FW erledigt hat? Ein richtiges FW System (ob jetzt Hardware oder nur über Paketfilter) ist bei weitem Leistungsfähiger als ein System mit 2 oder mehr FW. Eine FW liegt normalerweise in einem Bereich des Netzwerkes, von dem ein Weiterkommen in ein Firmen/Privates Netz nicht möglich ist. Alles andere ist total Unsinnig und leichtsinnig. Von sog. Desktop FW halte ich persönlich garnix, da der mögliche Angreifer schon in meinem eigentlichen Netz ist und dann die Desktop FW ausschalten dürfte keine große Sache sein. Die vollmundigen Versrechen von Zonealarm und Norten ect. ist nur um dem User Sicherheit zu propagieren. Nix anderes. Einen wirksamen Schutz bieten diese überhaupt nicht. Den Hacker interessiert nicht wieviele FW er knacken muss, sondern wie er Dir schaden kann. Und das kann er nur in Deinem Netz.

Wenn also die Netzwerktopologie und das FW des Routers sinnig und richtig konfiguriert ist, ist für den Privatmann der Sicherheit genüge getan. Alles andere ist sinnlose Verschwendung von Resourcen. Einzigst ein Virenscanner muss noch vorhanden sein.

Der weitere große Knackpunkt ist auch, das Surfverhalten des Users. Was nützt mir die beste FW & Virenscanner, wenn ich doch ohne zu denken jeden Mist sauge und anklicke.

Dem widerspreche ich aus den von Jens und mir oben angeführten Gründen.

Was das Surfverhalten des Users angeht, da kann natürlich keine FW wirksamen Schutz bieten, wenn man die Türen freiwillig weit aufmacht. Das ist aber nicht das Thema.

Router FW Systeme sind meist leitungsfähiger als Ihre Desktoppedanten. Nur richtig konfiguriert werden müssen sie. Und da kommt meist das Problem bei billigen Routern zu Tage. Wenn ich den Internetverkehr grundsätzlich verbiete und nur die Sachen erlaube, die für mich notwendig sind, dann brauche ich keine Desktop FW. Dann kann ein möglicher Trojaner jammern wie er will. Natürlich ist ein aktuelles gepatchtes BS Voraussetzung dafür. Mit einem richtigen Virenscanner kommt der Trojaner übrigens garnicht soweit...

Es geht nicht nur um Trojaner, auch bei normaler Software möchte ich nicht immer, dass sie Zugang zum Internet hat. Du darfst das gerne anders sehen, aber diese Funktion kann nur eine Desktop-Firewall bieten.

Ich kann bei einer Router-FW nur Ports sperren oder freigeben. Die entsprechenden Programme, die über diese freigegebenen Ports kommunizieren dürfen, kontrolliert diese FW nie.

Sven, es geht bei ZL um die Ausgangskontrolle. Den Eingang hat der Router sehr gut im Griff.
Im Übrigen spare ich mir dafür eine aktive Antiviren Software. Diese benutze ich nur um per Rechtsklick eine verdächtige Datei zu checken.
Bisher hatte ich zwei Viren drauf und dies aus eigener Dummheit.

Gut, dann ist das aus deiner Sicht eben Quatsch. Kann ich mit leben, ich konfiguriere mein System jedenfalls so, wie ich es für richtig halte und nach den Erfahrungen, die ich gemacht habe. :rolleyes:

Thorsten, wenn Du mehrere Desktop-Firewalls aktiv hast, ist das aber wirklich nicht sonderlich produktiv. Diese Firewalls können nämlich nicht wirklich "in Reihe" geschaltet werden. Der Datenstrom wird über die zuletzt installierte Firewall gelenkt und dann direkt an die betreffenden Anwendungen weitergeleitet. Die anderen FWs haben keine Schutzfunktion mehr. Darauf wird auch in vielen FW-Manuals hingewiesen. Insofern hat Sven da schon Recht.

Es kann aber sein, dass es da Ausnahmen gibt, bei denen es in Reihe funktioniert. Ich bin mir nicht zu 100% sicher.

Ich habe eine selbst installierte Desktop-Firewall und das ist Zonealarm. Dann hab ich noch die eingebaute FW von WinXP. Die beiden laufen definitiv in Reihe, das merkt man z. B. daran, dass beide FWs eine Freigabe verlangen, wenn Daten von einem nicht genehmigten Prozess oder über einen gesperrten Port laufen. Und dass die FW im Hardware-Router zu den Desktop-FWs in Reihe geschaltet ist, ist ja wohl logisch. Von daher ist mein Setup gar nicht ungewöhnlich.

Okay, danke Leute,

dann werde ich mal Kerio laufen lassen, weil wirklich schaden kann es nicht.

Einfacher Test: alle Log-Möglichkeiten von allen Firewalls aufdrehen und sowohl eingehende als auch ausgehende Verbindungen prüfen.

Mit der Annahme, dass alle drei Firewalls ihre Dienste tun, muss folgendes gelten:

* Erlaubte Verbindungen MÜSSEN in allen Logs aufscheinen. Wenn nicht, dann schnappt eine Firewall der anderen die Verbindung weg.

* Nicht erlaubte Verbindung DÜRFEN nur in einem Log aufscheinen. Wenn doch, dann funktioniert entweder eine Firewall nicht richtig (weil sie ja diese nicht erlaubte Verbindung blockieren soll) oder die Netzwerkdaten werden intern dupliziert (was zu einem Performanzverlust führt).

Der zweite Punkt führt einen sofort zu dem Schluss, dass mehr als eine Firewall auf einem Rechner unnötig ist. Mehr als einmal blockieren geht nicht.

Hallo Thorsten,

also wenn es so ist, wie du es beschreibst, dann verstehe ich nicht, warum du beide FWs aktiviert hast.

Wenn eh beide blocken, dann reicht auch eine FW.

Das ist doch dann das gleiche, wie wenn ich mir am Strand immer zwei verschiedene Sonnencremes mit dem gleichen Schutzfaktor draufpappe. Mehr Schutz hab ich dadurch nicht, denn die Faktoren addieren sich nicht, sondern die oberste Schicht hält alles auf, was die untere Schicht auch aufhalten würde. Diese ist aber arbeitslos, weil ja nix mehr zu ihr durchkommt.

Ganz einfach: weil ich der Windows-FW nicht vertraue. Und da die eh standardmäßig eingeschaltet ist, lass ich sie eben laufen.

Ich versteh nicht, was an meiner Konfiguration so schlimm ist? Ich hab WinXP SP2, da ist ne Firewall mit drin. Ich verwende aber Zonealarm, hab aber die Windows-FW nicht deaktiviert. Zudem ist in meinem WLAN-Router noch ne FW drin, die nicht nur meinen PC schützt, sondern alle, die im Netz sind. Ist dieses Setup denn so exotisch, dass ich mich dafür rechtfertigen muss? Ich verstehs nicht. :rolleyes:

Wahrscheinlich schon, weil keiner drei Firwalls braucht, die das gleiche tun.
Wie ich oben schon geschrieben habe, ist ZL schon überflüssig wenn einem der Ausgang egal ist. Die Windows FW ist aber nun völlig sinnlos, was die macht, kann der Router wahrscheinlich sogar besser. Aber rechtfertigen mußt Du Dich nicht, es sind Deine Ressourcen die Du verschenkst. Hast Du wenigstens auch zwei Virenscanner aktiv laufen?;) :lol:

Das Setup ist nicht exotisch und es ist auch die Kombination mit der Hardware-Router sehr sinnvoll.

Wenn Du aber eh schon ZoneAlarm installiert hast, dann ist die Windows-Firewall sinnlos. Sie bringt in der Kombination keinen Gewinn und kann im schlimmsten Fall sogar stören.

So, diese Aussage ist ja schon mal Blödsinn. Ich hab höchstens zwei FWs, die das gleiche tun, nämlich die von WinXP und Zonealarm. Diese beiden schützen meinen PC. Die im Router schützt das Netzwerk, von dem mein PC lediglich ein Teil ist.

Angenommen in meinem Netzwerk selbst wäre ein Hacker und ich hätte auf meinem PC keine FW laufen. Was dann? Dann wäre mein PC offen wie ein Scheunentor!

Zur Erinnerung: die größten Bedrohungen für ein Netzwerk kommen aus dem Netzwerk selbst. Das mag zwar für ein kleines privates Netz wie meines nicht zutreffen, aber falsch ist die Aussage nicht.

Außerdem möchte ich für meinen PC immerhin noch einen rudimentären Schutz haben, falls jemand es schafft, mein WLAN zu knacken. Dann ist dieser jemand nämlich im Netz drin und ohne lokale FW auf meinem PC hätte er vollen Zugriff auf meinen PC.

Der einzige Punkt, der diskussionswürdig ist, ist die Frage, ob eine zusätzliche FW parallel zur Windows-FW sinnvoll ist. Und da sollte die Antwort angesichts der vielen Sicherheitslücken, die in Windows bisher aufgetaucht sind, doch wohl eindeutig sein!

Der Thorsten hat wohl damals bei der Netzwerk-Vorlesung immer geschlafen... :D :D (Kleiner Scherz.)

Naja, zwei SW-Firewalls sind jedenfalls mehr als nur ungewöhnlich bzw. eher verwegen, wobei wahrscheinlich die XP-Firewall ohnehin die Einzige ist, die zusammen mit einer 2. läuft.

Der Nutzen einer Personal Firewall ist zwar umstritten, aber ich verwende auch eine - in der Hoffung das ein Trojaner etc. die Personal Firewall nicht einfach beenden kann.

Bessere Firwalls versuchen sich dagegen zu schützen, dass Malware sie beendet. Was aber extrem wichtig ist: Eine PFW ersetzt keinen Virenscanner!!!

Hier noch 2 Links zum Thema "Contra Personal Firewall":

http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm#Firewall

Chaos Computer Club Vortrag und Demonstation zum Thema PFW

Netzwerkvorlesung? Nee, da war ich nur zweimal. ;) Der Prof war mir in seinem Stil zu chaotisch. Ich hab mir dann von irgendwoher das Vorlesungsskript besorgt. In der Diplom-Prüfung hatte ich dann ne 1,3, ohne einmal richtig in der Vorlesung gesessen zu haben. :D :p

Auf das hiesige Problem ist es kein Unsinn. Die Router FW schützt Deinen Rechner genauso wie die XP FW und ZL. Zusätzlich jeden anderen Rechner hinter dem Router. Natürlich ist es besser wenn man sich im Netzwerk gegen gefährliche Angriffe schützt. Was Du jetzt aber außer Acht gelassen hast, was machst Du wenn Du Dich selbst hackst?
Schließlich sitzt Du ja hinter der XP FW unb hinter ZL. Da würde ich noch mal drüber nachdenken...;)

Ich hab keinen Grund, meine Systemkonfiguration zu überdenken. Auch wenn manche das hier anders sehen mögen.

Jawohl. ;) Zumindest wäre es überdenkenswert Deinerseits. Wenn Du damit glücklich bist und alles perfekt läuft, ist es ja auch ok, wenn auch technisch Unsinnig. Solang aber das eigene Sicherheitsempfinden und die eigene Philosophie befriedigt wird, ist alles in Butter.

Mach einfach mal den von mir vorgeschlagenen Test mit Deinen zwei Personal Firewalls.

Wenn eine von den beiden Software-Firewalls korrekt funktioniert, dann werden erlaubte Verbindungen durchgelassen und verbotene blockiert. Damit ist die zweite Firewall unnötig geworden weil die erste ja funktioniert. Mir fällt jedenfalls dann kein Argument mehr ein, eine zweite FW zusätzlich zu verwenden.

Und ich rede hier jetzt nicht von der dritten Firewall im Router. Die ist gut und sehr sinnvoll.

In Deinem Fall würde ich daher die Windows Firewall deaktivieren und Zonealarm behalten (und natürlich den Router) weil es besser konfiguriert werden kann.

Irgendwie erinnert mich diese Diskussion sehr an diese hier:

http://www.buxtehuder-fotofreunde.de/Kurt/kurt5.htm

Du heißt nicht doch evt. Kurt?

mfg
Sven :rolleyes: ;)

Meinst du mich mit Kurt? Nee, ich heisse nicht Kurt, ich heisse Thorsten, wie meiner Signatur zu entnehmen ist.

Aber mittlerweile finde ich die Diskussion über meine Firewall-Konfiguration auch reichlich überflüssig und am ursprünglichen Thema des Threads vorbei. Deshalb werd ich mich jetzt zu der Sache auch nicht mehr weiter äußern.

Da hast du aber Glück gehabt oder nicht besonders viel gesurft. Wenn ich überlege wieviele Trojaner sich inzwischen schon auf verschiedenen Webseiten tummeln die bereits beim Laden mit heruntergeladen werden (auch bei Firefox) dann bin ich schon ganz froh das mein Antivirenprogramm den Internetverkehr überwacht.


Foxi

Na das stimmt aber so nicht. FF lädt keine Dateien & Programme wenn man es ihm nicht explizit erlaubt.

Wichtiger als der Scanner, ist diese Seite: http://windowsupdate.microsoft.com/?MSCOMTB=MS_Download|Windows%20Update
Dazu habe ich ständig ein aktuelles Backup und spare mir deshalb die Leistung die der Scanner zieht.
Seit mehreren Jahren ohne Probleme.

Naja, das man die Updates von MS regelmässig durchführen sollte ist ja eigentlich selbstverständlich.
Und klar, ich kann natürlich im FF auch noch JAVA abschalten, dann hab ich nur das Problem das einige Webseiten garnicht mehr gehen.


Foxi

Achtung! Hier werden aber jetzt sehr viele Dinge miteinander vermischt!

Regelmäßige Security-Updates sind zwar gut und absolut notwendig aber schützen NICHT ALLEINE gegen bösartige Angriffe. Stand heute gibt es laut Secunia bei Windows XP Home 24 UNGEPATCHTE Sicherheitslücken!
http://secunia.com/product/16/

Firefox hat derzeit drei offene Lücken, die aber nicht so kritisch sind weil sie "nur" Denial of Service, Session Hijacking und Spoofing betreffen und nicht das Ausführen von fremdem Code zulassen so wie bei ein paar Lücken bei Windows.
http://secunia.com/product/4227/

Der MSIE hat derzeit 21 offene Lücken, u.a. die Möglichkeit, fremden Code auszuführen.
http://secunia.com/product/11/

@Foxi: Bei Firefox hast Du wahrscheinlich JavaScript ausgeschalten und nicht Java. Das sind zwei verschiedene Dinge und haben nichts miteinander zu tun.

Und bei einer Vielzahl davon schuetzen Firewalls GENAUSOWENIG. Dienste die man nicht braucht schaltet man auf richtigen Betriebssysteme komplett ab. Das waere die sicherste Vorgehensweise, nur die mangelnde Fahigkeit von Windows dies zu tun erfordern Paketfilter.
Danach bleiben immer noch die Anwendungen mit den Pakete aus dem Netz empfangen werden mussen in diesem Fall DirectX (dort gab es schon einige Fehler und entsprechende sicherheitsrelevante Patches) und der FS, der als Exot bisher kaum auf Luecken untersucht wurde und genug Fehlerpotential haben duerfte wenn man ihn sich mal genauer anschauen wuerde.
Bei anderen wesentlich weiter verbreitereten Programmen (3D Shooter) wurde nach entsprechenden Untersuchungen schon viel gefunden und auch gepatcht.
Das sind die groessten Gefahren bei denen zumindest alle bisher erwaehnten Massnahmen komplett wirkungslos sind.