Firewall oder nicht Firewall

[Alladin]

Ich sitze auch hinter einem Router und habe zusätzlich noch Zonealarm an. Der entscheidente Vorteil, ich habe den Überblick wer alles raus will. Ihr glaubt ja garnicht, wer da alles der Meinung ist online gehen zu müssen. Dazu kommt dann noch, das man einen Trojaner sofort erkennt, wenn er telefonieren will.

[Sven Lange]

Zitat:

Original geschrieben von einmot-flieger
Zur Erklärung: ja, theoretisch reicht die FW im Router aus. Aber ich hab schon Pferde kotzen gesehen. Eine FW ist gut. Zwei sind besser, drei noch besser. Hier muss ein Hacker durch drei Firewalls durch anstatt durch eine. Dir Hürde, ein so konfiguriertes System zu hacken ist wesentlich höher als bei einem System, das nur durch eine FW gesichert ist.

Sorry aber das ist Quatsch. Was willst Du mit 2 oder mehr FW Systemen als Privater absichern? Du schreibst, dass Deine FW richtig konfiguriert seien. Was bitte soll die 2.te FW dann noch filtern, was nicht schon die 1.te FW erledigt hat? Ein richtiges FW System (ob jetzt Hardware oder nur über Paketfilter) ist bei weitem Leistungsfähiger als ein System mit 2 oder mehr FW. Eine FW liegt normalerweise in einem Bereich des Netzwerkes, von dem ein Weiterkommen in ein Firmen/Privates Netz nicht möglich ist. Alles andere ist total Unsinnig und leichtsinnig. Von sog. Desktop FW halte ich persönlich garnix, da der mögliche Angreifer schon in meinem eigentlichen Netz ist und dann die Desktop FW ausschalten dürfte keine große Sache sein. Die vollmundigen Versrechen von Zonealarm und Norten ect. ist nur um dem User Sicherheit zu propagieren. Nix anderes. Einen wirksamen Schutz bieten diese überhaupt nicht. Den Hacker interessiert nicht wieviele FW er knacken muss, sondern wie er Dir schaden kann. Und das kann er nur in Deinem Netz.

Wenn also die Netzwerktopologie und das FW des Routers sinnig und richtig konfiguriert ist, ist für den Privatmann der Sicherheit genüge getan. Alles andere ist sinnlose Verschwendung von Resourcen. Einzigst ein Virenscanner muss noch vorhanden sein.

Der weitere große Knackpunkt ist auch, das Surfverhalten des Users. Was nützt mir die beste FW & Virenscanner, wenn ich doch ohne zu denken jeden Mist sauge und anklicke.

[thb]

Zitat:

Original geschrieben von Sven Lange
Die vollmundigen Versrechen von Zonealarm und Norten ect. ist nur um dem User Sicherheit zu propagieren. Nix anderes. Einen wirksamen Schutz bieten diese überhaupt nicht.

Dem widerspreche ich aus den von Jens und mir oben angeführten Gründen.

Was das Surfverhalten des Users angeht, da kann natürlich keine FW wirksamen Schutz bieten, wenn man die Türen freiwillig weit aufmacht. Das ist aber nicht das Thema.

[Sven Lange]

Zitat:

Original geschrieben von thb
Software-Firewalls haben meistens eine Funktion, die von Router-Firewalls naturgemäß nicht geleistet werden kann.

Router FW Systeme sind meist leitungsfähiger als Ihre Desktoppedanten. Nur richtig konfiguriert werden müssen sie. Und da kommt meist das Problem bei billigen Routern zu Tage. Wenn ich den Internetverkehr grundsätzlich verbiete und nur die Sachen erlaube, die für mich notwendig sind, dann brauche ich keine Desktop FW. Dann kann ein möglicher Trojaner jammern wie er will. Natürlich ist ein aktuelles gepatchtes BS Voraussetzung dafür. Mit einem richtigen Virenscanner kommt der Trojaner übrigens garnicht soweit...

[thb]

Es geht nicht nur um Trojaner, auch bei normaler Software möchte ich nicht immer, dass sie Zugang zum Internet hat. Du darfst das gerne anders sehen, aber diese Funktion kann nur eine Desktop-Firewall bieten.

Ich kann bei einer Router-FW nur Ports sperren oder freigeben. Die entsprechenden Programme, die über diese freigegebenen Ports kommunizieren dürfen, kontrolliert diese FW nie.

[Alladin]

Sven, es geht bei ZL um die Ausgangskontrolle. Den Eingang hat der Router sehr gut im Griff.
Im Übrigen spare ich mir dafür eine aktive Antiviren Software. Diese benutze ich nur um per Rechtsklick eine verdächtige Datei zu checken.
Bisher hatte ich zwei Viren drauf und dies aus eigener Dummheit.

[einmot-flieger]

Zitat:

Original geschrieben von Sven Lange
Sorry aber das ist Quatsch...

Gut, dann ist das aus deiner Sicht eben Quatsch. Kann ich mit leben, ich konfiguriere mein System jedenfalls so, wie ich es für richtig halte und nach den Erfahrungen, die ich gemacht habe.

[thb]

Thorsten, wenn Du mehrere Desktop-Firewalls aktiv hast, ist das aber wirklich nicht sonderlich produktiv. Diese Firewalls können nämlich nicht wirklich "in Reihe" geschaltet werden. Der Datenstrom wird über die zuletzt installierte Firewall gelenkt und dann direkt an die betreffenden Anwendungen weitergeleitet. Die anderen FWs haben keine Schutzfunktion mehr. Darauf wird auch in vielen FW-Manuals hingewiesen. Insofern hat Sven da schon Recht.

Es kann aber sein, dass es da Ausnahmen gibt, bei denen es in Reihe funktioniert. Ich bin mir nicht zu 100% sicher.

[einmot-flieger]

Zitat:

Original geschrieben von thb
Thorsten, wenn Du mehrere Desktop-Firewalls aktiv hast, ist das aber wirklich nicht sonderlich produktiv. Diese Firewalls können nämlich nicht wirklich "in Reihe" geschaltet werden. Der Datenstrom wird über die zuletzt installierte Firewall gelenkt und dann direkt an die betreffenden Anwendungen weitergeleitet. Die anderen FWs haben keine Schutzfunktion mehr. Darauf wird auch in vielen FW-Manuals hingewiesen. Insofern hat Sven da schon Recht.

Es kann aber sein, dass es da Ausnahmen gibt, bei denen es in Reihe funktioniert. Ich bin mir nicht zu 100% sicher.

Ich habe eine selbst installierte Desktop-Firewall und das ist Zonealarm. Dann hab ich noch die eingebaute FW von WinXP. Die beiden laufen definitiv in Reihe, das merkt man z. B. daran, dass beide FWs eine Freigabe verlangen, wenn Daten von einem nicht genehmigten Prozess oder über einen gesperrten Port laufen. Und dass die FW im Hardware-Router zu den Desktop-FWs in Reihe geschaltet ist, ist ja wohl logisch. Von daher ist mein Setup gar nicht ungewöhnlich.

[Welpert]

Okay, danke Leute,

dann werde ich mal Kerio laufen lassen, weil wirklich schaden kann es nicht.