Welche Firewall waehrend Flusieren verwenet Ihr?
 

Hallo,

in den naechsten Tagen bekomme ich einen komplett neuen PC welchen ich ausnahmslos zum Onlinefliegen verwenden moechte.

Ich moechte lange am Onlinefliegen Feunde haben, und das System natuerlich bestmoeglchst schuetzen - d.h. nicht ohne Firewall ins Internet bzw. connecte,

Bei meinem letzten PC htte ich die Zone Alarm Suite welche den flusi allerdings etwas ausbremste.

Kennt oder fliegt jemand mit einr recourcenfreundlichen aber doch brauchbaren Firewall online?

Oder ware es sowieso die Ports komplett zu schliessen udn nur die benoetigten Ports zum Onlinefliegen zu oefnen?

Dnke vielmals
Ben

Hallo,
wenn Du wirklich nur Onlinefliegen willst, müsste die XP-Firewall (SP2) und ein aktuelles Windows reichen.
Alles andere wiegt nur in falscher Sicherheit und kostet Ressourcen.
Für wirkliche Sicherheit eignet sich am besten ein Router mit integrierter Firewall, denn wer wirklich auf dein System will, kann personal Firewalls mühelos umgehen/deaktivieren.

Hi Nils,

danke erstmals.

Ja einen Router habe ich sowieso (Zyxel) aber trotydem.

Ich werde mir den Router wenn der neue PC da ist ausfuehrlich anschauen und konfigurieren, dann sehe ich mal weiter.

Danke fuer Deine antwort,
Ben

Moin moin!

Die XP-eigene Firewall kann ich nur empfehlen, wenn man nicht online zockt. Sonst kann es Probleme geben.

Ich nutze meine Router-Firewall und zusätzlich die "Sunbelt Kerio Personal Firewall", die auch mit kleineren Einschränkungen kostenlos nutzbar ist und nur wenig Resourcen frisst. Der Vorteil einer Software-Firewall ist der, dass man mehr Kontrolle darüber hat, welches Programm sich mit dem Internet verbinden darf.

Mal ne Frage dazu, ich habe die FritzBox Fon. Hat die automatisch eine Firewall, weil ich auch noch ZoneAlarm drauf habe.

Gruß
Roland

Ich verwende neben der NAT-Firewall meines Routers noch die "Kerio Personal Firewall".

Ist sehr einfach zu bedienen, funktionstüchtig und beeinflusst den Flusi nicht im geringsten (sofern der Wetterdownload und Co mal eingerichtet sind ;) ).

Lokal auf dem PC läuft ZoneAlarm Personal, die FW von XP habe ich deaktiviert. Dazu ist mein Netzwerk nach aussen hin noch durch die Firewall meines Routers (Linksys) gesichert. Beides läuft auch während des Flusi-Betriebes, wobei die auf dem Router natürlich keinerlei Einfluß auf den Betrieb hat.

Nutze auch Sunbelt Kerio Pro als Firewall in Verbindung mit Antivir. Habe vieles auspobiert und diese Kombi sagt mir, von der benötigten Leistung, am ehesten zu. (Resourcen sparend)

Ich nutze nur die Hardwarefirewall meines Routers.. bin damit bisher eigentlich sehr gut gefahren...

Hat die FritzBox Fon nun en Firewall oder nicht??
Würde mich über ne Antwort freuen.
Gruß Roland

Ja hat sie. Ist allerdings eine Hardwarefirewall. Es bleibt anzuraten auch dein System zusätzlich mit einer Softwarelösung auszustatten...

Kann mich da anschließen. Habe einen Teledat Router, alles völlig üproblemlos.

Kerio gilt als sehr empfehlenswerte alternative

Tschüß
Michi

Nicht wirklich, die "Hardware"-Lösung ist schon ok und deutlich besser als ne personal firewall.
Die XP-Firewall reicht völlig, sofern man "anständig" surft und mir sind bisher auch keine Probleme mit Spielen bekannt (hab sie selbst im Einsatz + Router mit integrierter Firewall). Wichtig ist eher, dass man regelmäßig die Windowsupdates installiert und am besten wärs natürlich wenn man nur mit Benutzerrechten unter Windows arbeiten würde.
Und dann natürlich noch Antiviren- und Antispyware-Software verwenden..

Zum Thema Firewall:

Völlig überflüssig! Firewalls sollen 2 Probleme angeblich lösen:

1.) Das nach Hause telefonieren:
Dass das nicht funktioniert, sagt Microsoft selber unter dieser Adresse relativ weit unten. Viren und Trojaner können einen Port hijacken, der bereits offen ist und dadurch Daten schleusen an jeder Firewall vorbei!
http://www.microsoft.com/technet/te.../SecurityMyths/

Zudem: Wenn ein Virus senden will, ist er ja schon drauf auf dem PC und die Sicherheit dahin!

2.) Einkommende Portanfragen / Viren:
Kommt eine Anfrage von IP xyc auf Port abc Deines Rechners, präsentiert die Firewall ein hübsches Fenster mit eine Meldung, ob man das erlaubt:
Wenn es auf Deinem Rechner keinen Dienst gibt, der auf Anfragen von außen an Port abc reagiert, ist auch diese Warnmeldung völlig überflüssig. Bei der Telekom erhalten die verantwortlichen Techniker auch keine Warnmeldung, wenn jemand eine Nummer anruft, unter der kein Anschluß zu erreichen ist ...


Firewalls wiegen einen in trügerischer Sicherheit. Lieber Systemdienste deaktivieren

XP - interne FW oder ein router reicht völlig. Alles andere ist Panikmache - da wird einfach mit dem Unwissen der Anwender Kohle gemacht und es werden bewußt Ängste geschürt.

1) Fürs internet keine software die "broken by design" ist verwenden, d.h. weg mit IE und outlook. Dann hat man schon mal 95% der Probleme vom Hals.

2) Ein wenig nachdenken bevor man irgendwo hin klickt oder ein attachment öffnet löst dann auch den Rest der Probleme.

3) Gegen wirklich gefährliche Dinge, wie z.b. den sasser wurm, die tatsächlich ohne Zutun des users von außen den PC befallen können, hilft die eingebaute XP firewall genau so gut wie jede andere. Alle anderen Bedrohungen muss man sich explizit erst auf den PC holen, damit sie ihre Tätigkeit beginnen können.

4) Kontrolle von *ausgehenden* Verbindungen, wie sie z.b. die meisten "personal firewalls" bieten, ist Quatsch. Braucht man nicht, denn a) gibt es Möglichkeiten dies zu umgehen, und b) wiegt es den Benutzer in einer trügerischen, gar nicht vorhandenen Sicherheit. Darüberhinaus kostet eine wirklich wirkungsvolle Kontrolle recht viele resourcen. Ausgefeiltere hijack-techniken erfordern ebenso aufwändige Gegenmaßnahmen die sich teilweise nur auf Kernelebene mit Hilfe von Treibern realisieren lassen - der Kram muss dann immer mitlaufen und ständig jede laufende Anwendung kontrollieren.

Viele personal firewalls analysieren auch ständig alle über das Netzwerk ein- und ausgehenden Datenpakete (content filtering). Auch das kostet natürlich CPU Zeit und es kann sich, z.b. beim onlinefliegen, schon auf die performance schlagen.

5) Wenn es mal so weit ist, dass ein ungewollter Schädling bereits "nach Hause telefonieren" will, dann ist es ohnehin zu spät und die Kacke am Dampfen.

Das ist klar. Du würdest es ja auch gar nicht merken wenn du ein Problem hättest.
Wer hier den Unsinn verbreitet, dass eine Hardware Firewall eine Softwarlösung ersetzen könnte, der sollte erst mal richtig informieren wo der Unterschied liegt.

Auf jeden Rechner gehört eine Software Firewall und ein Virenscanner. Wer noch einen Router davor hat umso besser.

Die Fitzbox wird auch eine Hardware Firewall haben, denn alle gängigen Router verfügen über dieses Feature.

Was Du schreibst bezieht sich auf personal Firewalls.
Viele enthalten Lücken (ZoneAlarm) und bei den meisten ist unklar, wie sie genau funtionieren - umgehen lassen tun sich aber alle..
Die XP-Firewall ist zumindest keine Schadsoftware und ist zumindest mal ein grober Schutz.
Dienste abschalten macht nur bei einem XP ohne SP2 Sinn und wenn man keinen NAT-Router verwendet.

Was empfiehlst Du denn als Alternativen?
Ich verwende inzwischen lieber wieder den IE in seiner neusten Version, weil ich da eben weiß wer dahinter steckt und so sehr man MS runter machen kann, aber gravierende Lücken, werden in der Regel sofort nach bekannt werden gefixt. Außerdem "vertraue" ich MS eher als Google...
Mann muss ja nicht alle Funktionen nützen (activex usw. läßt sich ja alles deaktivieren)..

Wo hast du denn den Mist gelesen oder hast du den selber ausgedacht?
Wenn es keinen Port gibt auf den jemand von aussen kommen kann, dann kann es auch keine Warnmeldung geben. Denk mal nach.:eek:

Leider benötigt Windows offene Ports um mit der Aussenwelt zu kommunizieren. Am besten man schalten den Rechner aus, dann kann nix passieren.
Super Tips die Ports und Dienste, die man nicht benötigt,abzuschalten.
Nur ich bin mir sicher, dass 99,9 % der PC User gar nicht wissen welche Ports denn offen sind. Für wen sind also die tollen Tips?

Kann meinen Beitrag wegen der 30-Minutenbegrenzung leider nicht mehr editieren, daher hier noch ein interessanter Link zum Thema Sicherheit durch Personal- bzw. Desktop-Firewalls: klick

Und das ist Quatsch. Ein ans Internet angebundener PC benötigte genau 0 (ja, NULL) offene ports auf diesem Interface. Was im internen Netz passiert und welche ports dafür notwendig sind, ist für die Internetverbindung vollkommen irrelevant.

Kapieren die meisten nur nicht, ist aber so. Dass in einer Standardkonfiguration diverse ports auf allein Interfaces offen sind ist zwar Tatsache, aber keine Notwendigkeit. Und man kann es ändern.

Siehe auch: http://www.ntsvcfg.de/

Eins ist natürlich klar. Eine Firewall ist nur ein Stein im Mosaik und kann nur im Zusammenhang mit anderen Schutzmechanismen gesehen werden. Der User an der Tastatur bleibt immer noch der größte Schwachpunkt am PC. Nur wer schon im Vorfeld wachsam ist wird sich auf Dauer schützen können.
Nur wenn ich keine Firewall oder Virenscanner benutzte werde ich noch nicht einmal irgendwelche Alarmsignale bekommen. Ich bin dadurch noch viel Annungsloser, als so schon. Vielleicht habe ich dann schon keine Macht mehr über meinen PC, nur ich weis es nicht.
Die Ahnungslosen werden nie ein Problem haben. Woher sollten sie es denn auch wissen.
Ich habe schon Dutzende von PCs gesäubert von Personen, die das gar nicht bemerkt haben, was alles auf dem PC war.

die wichtigsten Ports, beliebt
für Trojaner, Bots etc.

gefiltert, bedeutet , abgesichert,
vom WEB nicht angreifbar


Port Name Status Erläuterung
================================================== ==
25 smtp gefiltert Mail-Server (SMTP)
53 domain gefiltert DNS
80 www gefiltert Web-Server
135 oc-srv gefiltert MS-RPC
137 netbios-ns gefiltert NetBIOS Name Service
138 netbios-dgm gefiltert NetBIOS Datagram Service
139 netbios-ssn gefiltert NetBIOS Session Service
443 https gefiltert Web Server (HTTPS)
445 microsoft-ds gefiltert SMB over TCP
1214 kazaa gefiltert Kazaa Standard-Port
1433 ms-sql-s gefiltert MS SQL Server
1900 nicht reserviert gefiltert Universal PnP
3389 nicht reserviert gefiltert MS Terminal Services
4662 nicht reserviert gefiltert Standard-Port eDonkey
5800 nicht reserviert gefiltert VNC via HTTP
5900 nicht reserviert gefiltert VNC
6667 ircd gefiltert IRC Server
6881 nicht reserviert gefiltert Bittorrent Standard-Port

Jede vernünftige Firewall
sollte bei einem Portscan auf diese
Ports Alarm schlagen.




Mike

Ein Schutz vor was denn?

Es gibt keine Alternative. Das Betriebssystem reagiert nur auf Ports wo Sachen drauf laufen. Zum Beispiel der Windows Nachrichtendienst (seit sp2 abgeschaltet) und wenn der Fehler hat, kann man dort schadcode einschleusen, zum Beispiel über einen BufferOverflow. Ob man nun eine Firewall hat oder nicht.

Der Internetexplorer ist aber meistens das erste Ziel wenn es ums ausnutzen von Exploits geht, somit ist man da schonmal etwas weniger sicher. Aber solange man auf seriösen Seiten surft, hat man eh nichts zu befürchten.

Hallo? Wenn auf diesen Ports nichts läuft, ist das, als würde der Virus eine Telefonnummer anrufen, die nicht existiert!!! Völlig überflüssig diese Ports zu sperren...

Und warum Alarm schlagen??? Wenn da eh nichts passiert???

Das kann man leider auch nicht mehr so sagen. Selbst seriöse Seiten können Schwachstellen haben, und gerade *diese* sind es, die sich ganz besonders gut ausnutzen lassen um auf Umwegen Schadsoftware zu verbreiten, weil die Benutzer von als seriös geltenden Seiten sich dort sicher fühlen. Alles schon vorgekommen.

Wer heute immer noch mit dem IE surft, ist selbst schuld, wenn er sich irgendeinen Mist einfängt. Das Ding kriegen die *niemals* dicht, weil es einfach "broken by design" ist.

Es gibt keinen Grund mehr, den IE zu verwenden. Die Konkurrenz bietet nicht nur mehr Sicherheit, sondern auch mehr features und Funktionalität. Daran ändert auch der IE7 (gesehen, gelacht, gelöscht) nichts.

Hab noch nie gesehen, dass man sich auf Seiten wie spiegel.de tagesschau.de oder heise.de irgendwelche Trojaner und Viren einfängt. Ich kenne auch niemanden...

Vom Prinzip ist der IE7 nicht unsicherer als der Firefox oder was auch immer. Regelmäßif finden sich aus slashdot.com Meldungen über solche Exploits in gleichmäßiger Häufigkeit...

Daher kann ich Dich nicht nachvollziehen...

http://www.microsoft.com/austria/win...2/wfintro.mspx

Meine Frage war an Alex gerichtet, der meinte, dass man nur andere Software als die von MS nutzen müsse und schon hätte man mehr Sicherheit. Mich würden nun die Namen der so sicheren Alternativen interessieren...

Ich gebs auf...

Softwarefirewalls die nix machen außer Ports zu sperren (auf denen meißtens eh nichts läuft) sind natürlich toll und machen den PC sicherer :rolleyes:, da Sie mich vor angerufenen Telefonnummern (Ports) alarmieren an denen niemand ran geht (es läuft kein Programm, dass an diesem Port hört) und natürlich rettet es mich vor Nachrichten die mein böses Microsoft betriebssystem nach Hause senden will und virenprogrammierer sind zu blöd einen bereits offenen Port (genehmigter Browser) zu hijacken... :rolleyes:

Ist das die Antwort auf mein Beitrag, oder nur so allgemein?
:confused:

Ist auch besser so. Ist eh nix sinnvolles.

Dort nicht, was aber nicht heißt, dass es unmöglich ist.

Vor einiger Zeit wurde(n) mehrere server eines bekannten webhosters in den USA kompromittiert. Das betraf dann ein paar *hundert* domains (u.A. auch durchaus seriöse Firmenseiten), über die versucht wurde, IE exploits zu verbreiten. Glücklicherweise ging die Sache aufgrund eines Fehlers schief, was aber nicht bedeutet, es wäre nicht möglich. Es ist möglich, und es wird auch irgendwann passieren, denn das cracken von websites ist schon lange keine Spielerei von ein paar Geltungssüchtigen mehr, sondern eine Möglichkeit so richtig viel Geld zu machen.

Menschen machen nun mal Fehler, und davon sind auch die (durchaus fähigen) admins von großen sites nicht ausgenommen.
Doch, der IE ist eben sehr wohl vom Prinzip her unsicher. MS betreibt seit Jahren Flickwerk, um die unzähligen Lücken zu stopfen, anstatt einfach diesen ActiveX Kram über den Jordan zu befördern und damit einen Großteil der Probleme los zu werden. Dass man es nicht braucht, beweisen Millionen von Firefox-usern, die auch ohne ActiveX im browser leben können.

Beim firefox sorgen in erster Linie bugs für Lücken und die sind dann auch lange nicht so gefährlich.

Klar ist weder firefox noch Opera noch sonst *irgendeine* software dieser Größenordnung und Komplexität frei von Fehlern, aber man muss es sich als Anwender nicht extra schwer machen, indem man software mit den meisten sicherheitsrelevanten Problemen verwendet. Alternative software *alleine* führt natürlich auch nicht zum Erfolg. Der beste Schutz sitzt immer noch vor dem Bildschirm (so sollte es zumindest sein).

Wer wahllos überall hin klickt und sich keine Gedanken macht, warum einem sexyCindy18 tolle Nacktfotos schicken mag, dem wird auch die beste software nicht helfen...

Gibt massenhaft Alternativen zu Outlook & IE. Namen sollten ja bekannt sein.

Selbst zu den Standard-messengern von ICQ, AIM, MSN & Co. gibt es zahlreiche brauchbare Alternativen mit deutlich geringerem Sicherheitsrisiko.

Das Hauptproblem von IE, Outlook & Co. ist deren extreme Verbreitung. Dadurch werden Anwender dieser software zur interessantesten Zielgruppe.

Übrigens kann man auch mit dem IE halbwegs sicher surfen. Nur eben nicht mit Standardeinstellungen. Höhere Sicherheit bedeutet für den Benutzer außerdem meistens reduzierte Bequemlichkeit.

[removed]

Alternativen ja, aber welche die auch viel sicherer sind, fallen mir momentan nicht ein. Mit sicherer meine ich auch auf den Datenschutz bezogen...

Nur leider schützen einen solche Alternativen auch nicht vor z.B. den AGBs von ICQ..


Genau das haben wir ja jetzt auch mit FF und TB.

Das war mir neu, ich glaub, ich probier gleich mal den IE7 aus ;)

Ja, wenn Du noch Datenschutz mit einbringst, sind wir ja ohnehin ganz woanders :) Das ist leider etwas, das der Benutzer überhaupt nicht mehr unter Kontrolle haben kann, sobald er *irgendwelche* Daten aus dem Internet empfängt oder ebendorthin überträgt.
Richtig. Die AGBs akzeptierst Du aber, wenn Du einen ICQ Account erstellst und damit ist es etwas, das Du selbst beeinflussen kannst und nichts was Dir aufgezwungen wird. Wem es nicht passt, dass er damit praktisch alle Rechte an jedem von ihm geschriebenem Wort aufgibt, dann eben einfach kein ICQ nutzen. Die ToS verbieten auch das Verwenden von alternativen clients, trotzdem gibt es Millionen von Leuten die mit Trillian, Gaim, Miranda oder sonst einem Programm ICQ nutzen (und damit zumindest sicherheitstechnisch wenig zu befürchten haben).
Aber noch lange nicht in dem Ausmaß. Und ich bezweifle, dass es jemals dieses Ausmaß erreichen wird, da die Gefahren in firefox & tb einfach nicht so drastisch sind. Es gibt ne Menge DoS exploits für firefox, die den browser einfach abstürzen lassen. Gut, ist ärgerlich, aber nicht wirklich gefährlich. Die potentiellen Gefahren eines solchen "simplen" exploits (code injection z.b.) werden von DEP ganz gut abgefangen.

Der IE ist ungleich gefährlicher, da er aufgrund der verwendeten Techniken (ActiveX z.b.) den Programmierern von Schadsoftware deutlich mehr Handlungsfreiheit und Möglichkeiten gibt.

Also ich gehe seit einigen wochen nur mehr mit meinem neuen Apple Powerbook und dem recht wenig verbreiteten Safari BNrowser ins Internet.

Mir ist klar das auch Apple immer verbreiteter wird, aber eheer wegen der Intelkompatibilitaet da die meisten dor wahrscheinlich erst wieder Windows und co. installieren werden...:D

Ich bin ueberrascht welch hitzige Debatte meine urspruengliche Frage aufgeworfen hat:-).

Gruss
Ben

Kennst Du denn den Quellcode? Wenn Du Lücken Stopfen als Flickwerk bezeichnest, was ist denn dann der Firefox?
Google mal nach "Firefox Exploits"

Und ActiveX benötige ich zum Beispiel sehr wohl:
- Video on Demand Portale benutzen es alle
- Machst Du keine Windows Updates?

Daher ist der Firefox noch kein Vollständiger IE Ersatz. Dazu kann man den IE7 auf XP und Vista wohl kaum vergleichen. Denn der in Vista läuft in einer Art Sandbox und ist damit vom Prinzip her schonmal sicherer!

Ist doch gut. Aber es soll halt noch Leute geben, die glauben Ihre Softwarefirewall macht noch was anderes als Ressourcen verbrauchen und für Irritationen sorgen, wenn mal was übers Netzwerk nicht klappt :-)

Genügt denn nicht generell die Hardware-Firewall vom Router? Man muß doch nicht doppelt moppeln oder doch?

Wolfgang

Naja, eine Router als Firewall zu bezeichnen... Grundsätzlich lässt ein Router numal nur Pakete durch ins eigene Netzwerk, die auch angefordert worden sind. Es muss also ein TCP Handshake stattgefunden haben. Dann "mogelt" der Router und schreibt in den Datastack noch eine automatisch generierte Zahl rein, damit er später weiss, an wen das Paket gehen soll (schließlich kann das Internet das Paket nur an deine InternetIP Adresse schicken) Der Router Pakt dieses Paket aus und schaut, ob es einen Rechner mit dieser Zahl / Code gibt. Wenn nicht, wird das Paket sowieso verworfen! Also filtert ein Router immer alles, was nicht angefordert wurde!

Das Problem dabei ist, dass MS tatsächlich schwere designfehler und nicht nur einfache bugs "flicken" muss. Dazu muß man den quellcode nicht kennen. Wer sich ernsthaft mit den zugrundeliegenden Techniken (com, activex etc.) beschäftigt hat, der erkennt auch, dass diese Dinge, so brauchbar sie für Anwendungen auch sein mögen, in einem browser einfach nix verloren haben.
Ja und. Wer behauptet es gäbe keine. Natürlich gibts die, nur sind sie lange nicht so schlimm wie beim IE, weil der firefox gar nicht den Spielraum bietet.

Und wie ich bereits schrieb, ist die software alleine niemals eine Lösung. Ein wenig Nachdenken ist schon notwendig. Nur stehe ich auf dem Standpunkt, dass man es sich nicht absichtlich schwer machen sollte. Und genau das tut man, indem man IE, outlook & co. verwendet.
Nein. Es geht auch ohne. Plugins für videoplayer gibt es auch für firefox, und mehr braucht man nicht. Und wenn eine Seite nicht geht, dann liegt es einzig und alleine am Design der Seite und nicht am Browser. Wenn der Betreiber gerne auf Besucher verzichtet - seine Sache. Ich wechsle deswegen sicher nicht meine software.
Doch. Ich mach sie aber nicht aus dem browser. Warum auch, es gibt *alle* updates auch als direkten download. Oder glaubst Du wirklich, dass ein IT manager, der ein paar 100 Kisten betreuen muss, sich vor jede dieser Kisten setzt und die updates via IE einspielt?
Für mich und für Millionen von anderen ist er das. Im Gegenteil, er ist nicht nur Ersatz, er macht so gut wie alles besser.
Werden wir sehen. Als XP damals rauskam, behauptete MS genau das Gleiche - das sicherste Windows aller Zeiten. Heute, ein paar hundert sicherheitsrelevanter patches später, wissen wir alle, was davon zu halten war.

Fakt ist, dass bereits jetzt die Suche nach Vista exploits los geht, und es Firmen (aber auch andere "Organisationen") gibt, die für funktionierende so richtig viel Geld zahlen (dazu gabs vor kurzem sogar einen Artikel auf heise).

Aber macht nix. Benutzt halt weiter eure tolle software und gebt Geld für Gegenmaßnahmen aus. Ich bin seit '95 online und habe seit dem noch keinen cent für irgendwelche Schutznaßnahmen (für private Nutzung) ausgegeben - Probleme hatte ich in den 12 Jahren aber auch keine.