Welche Firewall waehrend Flusieren verwenet Ihr?

[SilverCircle]

Zitat:

Original geschrieben von Mentos79
Und wie schützt Du dich vor Attacken durch Hacker und Würmer?

Hacker: Die wirklich guten, vor denen man Respekt haben sollte, weil sie was drauf haben, interessieren sich nicht für Deinen PC zu Hause. Der Rest sind Spielkinder mit wenig bis gar keiner Ahnung, die beim kleinsten Widerstand ohnehin scheitern und denen man schon eine "Lücke" in der Größe eines Hangartores bieten muss.

Wenn keine überflüssigen Dienste laufen und keine Ports offen sind, dann kann auch der beste Hacker nichts ausrichten, denn er braucht zumindest mal einen Angriffspunkt.

Man bekommt ein Windows XP tatsächlich so dicht, sodaß es auf dem internetseitigen Interface keine offenen ports mehr benötigt, und zwar ohne gravierende Einschränkung der Funktionalität. Auch ein eventuell vorhandenes lokales Netz wird nicht beeinträchtigt. Das ist zwar etwas Aufwand, technisch aber möglich. Damit könnte man auf einen packetfilter für eingehende Verbindungen komplett verzichten, denn wie gesagt: Wo keine offenen ports sind, gibt es auch keinen Angriffspunkt. Sitzt man dann noch hinter einem router, braucht man sich wirklich keine Sorgen mehr machen, dass ein Angreifer von außen ohne Zutun des Benutzers auch nur irgendetwas ausrichten könnte.

Würmer: die meisten sind insofern harmlos, da man sie erst explizit (wenn, in den meisten Fällen auch unwissend) auf den PC holen muss. Gab nur sehr wenige Ausnahmen und davon war eigentlich nur der sasser wirklich gefährlich. Hätte es damals bereits SP2 und damit die integrierte firewall gegeben, wäre gar nix passiert.

Wer Würmer als ernsthafte Bedrohung empfindet (auch solche, die man mit einer selbst durchzuführenden Aktion erst "aktivieren" muss), der sollte halt eine entsprechende software verwenden. Im Idealfall ein umfassender Virenschutz. Der beste Schutz gegen solche Schädlinge ist aber das eigene Gehirn und ein wenig technisches Verständnis, gepaaart mit einer gesunden Portion Paranoia (aber nicht übertreiben...)

Zitat:

Mit NAT-Router, der in meinem Fall noch SPI unterstüzt, fühl ich mich einigermaßen sicher. Wlan würde ich definitiv nicht mehr ohne mein Router machen wollen, da ich hier auch noch den Zugriff über die Mac-Adresse regeln kann.
Von Desktop-Firewalls halte ich ja auch nicht viel, aber sie können zumindest bei einigen Attacken helfen. [/b]

Das Hauptroblem it desktop firewalls ist: Sie helfen erst dann, wenn es eigentlich schon zu spät ist. Sie schlagen dann Alarm, wenn bereits auf dem Rechner vorhandene Schadsoftware eine unautorisierte Verbindung nach außen aufbauen will. Im günstigsten Fall, können sie diesen Verbindungsaufbau unterbinden (so fern der Wurm nicht clever genug ist, die firewall auszutricksen) und so vor *noch größerem* Schaden schützen. Der Schaden ist aber trotzdem da, denn der Wurm oder Trojaner befindet auf dem Rechner und muss entfernt werden.

Sie schlagen auch dann Alarm, wenn jemand auf einen meiner ports zugreifen will. Nur.. wen interessiert das? Mich interessiert es schlicht und einfach nicht, wer da versucht, ports zu scannen. Das passiert heutzutage eh ständig - früher, vor Jahren, war das mal interessant

Um sich vor Bedrohungen "von draußen" zu schützen, braucht man keine desktop firewall. Möglichst alle ports dicht machen, Rest erledigt ein router oder die eingebaute XP firewall. So spart man Geld, resourcen und Ärger, denn die meisten desktop firewalls graben sich notwendigerweise so tief ins System ein, dass sie früher oder später in Zusammnhang mit irgendeiner anderen software Probleme verursachen werden.

Zitat:

Original geschrieben von klausdonath
Wenn ich ne DOS Attacke auf Deine IP starten würde von einem Server mit 100Mbit Anbindung, kann ich Dir Deine Leitung sehr wahrscheinlich zumüllen, da Dein Router nix anderes machen kann, als die Pakete abzulehnen. Dein Downloadkanal ist trotzdem dicht...

Wenn mich jemand gezielt lahm legen will, dann hätte ich auch mit meinem Router ein Problem - fantastisch, wer hätte es gedacht. Ich denke, aber dass die meisten Attacken automatisiert sind und auf gut Glück ablaufen - klappts bei mir nicht, klappts beim nächsten, oder übernächsten usw..

Zitat:

Original geschrieben von klausdonath

Diese Empfehlung ist hirnrissig und wird ja unter dem Punkt, den ich Dir linken wollte auch quasi wieder zurückgenommen! Ich weiss ja nicht wie ich Dir das mit den Ports noch erklären soll, aber leuchtet das nicht ein, dass ne Desktopfirewall nix bringt???

Nein, die Empfehlung ist nicht hirnrissig, denn eine Desktop-firewall (da zähl ich mal die XP-Firewall dazu), macht dann Sinn, wenn ich eben nicht alle Dienste deaktivieren kann, wenn mein System eben nicht immer mit allen aktuellen Updates versehen ist, wenn ich z.B. Wlan nutze und ich wissen will, wer tatsächlich alles auf mein System zugreift und eben auch gegen einige bekannte Attacken. Natürlich kein 100%iger Schutz. Wer gezielt reinkommen will, kommt rein und wenn keine Dienste laufen ist eh (fast) alles schön und gut, aber wenn man z.B. sein Windows gerade frisch installiert hat und sich erst noch die Updates besorgen muss, ist ne Desktop-Firewall sehr wohl hilfreich - so meinen die das übrigens auch auf der von Dir geposteten Seite, aber auch da scheinst Du nur das zu lesen, was Du lesen willst...

Das mit den Ports hättest Du mir überhaupt nicht erklären müssen. Nochmal meine Frage: wo wiederspreche ich Dir in dem Punkt?? Wo Wiederspreche ich den Seiten, die Du gepostet hast??
Wo rufe ich zum Einsatz von Desktop-Firewalls als Allheilmittel auf? ? Irgendwie habe ich den Eindruck, dass Du meine Beiträge nicht wirklich liest, bzw. mehr reinliest als tatsächlich dasteht...

Aber danke für deine ergoogelten Links. Wenns einem wirklich um Sicherheit geht, sollte man natürlich ergoogelte Links posten, wo Scripte angeboten werden, die einem unwichtige Dienste deaktivieren - hoffentlich wirklich nur die...

Zitat:

Original geschrieben von klausdonath

Die MAC Adresse bekommt man natürlich raus, wenn man darauf "hört", was Dein Rechner Deinem Router sendet. Du muss Deinem Router ja die MAC senden, sonst wüsste er ja nicht, ob Du darfst! Bei gewissen WLAN Karten kann man unter Linux und mit Aufwand auch unter Windows die Rohdaten mitschneiden. Ab 3-4Gigabyte hat man genug Daten um per Bruteforce zu knacken. Zumindest bei WEP und mit Aufwand auch bei WPA-PSK. Ohne Verschlüsselung hat man die MAC Adresse natürlich sofort!

Ja und? Dann knack mal die Verschlüsselung, nur zu. Ich bezweifle ja gar nicht, dass das machbar ist. 100%ige Sicherheit gibts nirgends blablabla
Aber das setzt voraus, dass jemand wirklich gezielt auf MEIN System will - wie wahrscheinlich ist das?

Sicherheit bedeutet für mich, es dem Angreifer so schwer wie möglich zu machen, d.h. alle sinnvollen Mittel zu verwenden, um dem Angreifer so viele Barrieren wie möglich zum knacken zu geben. Das wird zumindest die abschrecken, die nicht gezielt zu mir wollen und die, die wirklich gezielt zu mir wollen, sind ne Weile beschäftigt..


@Alex
Wow, total interessant, danke...
Aber ich fände es klasse, wenn auch Du nicht mehr in meine Beiträge reinlesen würdest wie tatsächlich dasteht.
Oder sollte das nur ein Versuch sein, den berechtigten Fragen von Klaus zum Thema IE vs FF zu entgehn...

[Wolfgank]

Jetzt nochmal in die Niederungen der Praxis!
Wenn ich mit online-Wetter fliege, muß ich ja einen Port in jeder Virensoftware freigeben, und wenn es nur der eine ist. Der Router läßt also schon jedes angeforderte Datenpaket durch. Die Software mit dem freigeschalteten Port ja wohl auch. Wo existiert denn da überhaupt noch ein Filter für diese METAR-Datenpakete, wenn sie nicht sauber sind?

Wolfgang

[Drelb]

Ist ja lustig was man hier mal wieder teilweise so liest!

Man sollte grundsätzlich einen Router, eine Hardware-, eine Software-Firewall und eine Virenscanner mit aktueller Pattern verwenden, um den Rechner so sicher wie möglich zu machen!
Und daran gibt es garnichts zu rütteln!

Für den privaten Bedarf steckt in vielen Routern bereits eine Firewall.

Was ebenfalls sehr wichtig ist, und das unterschätzen die meisten, das man Administratorenkonten auch nur zum Administrieren und nicht als "Standartkonto" benuzt!
Dann können die Software-Firewalls und Vierenscanner auch nicht so einfach umgangen werden!

Welchen Browser zum Surfen verwendet wird, ist eigentlich ehr unerheblich und mehr ne Glaubensfrage.
Abgesehen von der Sicherheit, wenn man den Datenschutz nicht zur Sicherheit zählt, sollten sich die Firefox-Benutzer mal fragen, wie es kommt, das Mozilla (entwickler von Firefox) im Jahr 2006 mit einem kostenlosen Browser einen Gewinn von 6 Mio. gemacht hat.

Gruß,
Thomas

[superburschi]

Zitat:

Original geschrieben von Drelb
---schnipp---

Abgesehen von der Sicherheit, wenn man den Datenschutz nicht zur Sicherheit zählt, sollten sich die Firefox-Benutzer mal fragen, wie es kommt, das Mozilla (entwickler von Firefox) im Jahr 2006 mit einem kostenlosen Browser einen Gewinn von 6 Mio. gemacht hat.

Gruß,
Thomas

Das frage ich mich nicht:

Einem Bericht von CRN zufolge hat die Mozilla Corporation bereits viele Millionen US-Dollar durch die Google-Suchbox im Webbrowser Firefox eingenommen.

Das ist legitim und völlig ungefährlich

Gruß

Superburschi

[Drelb]

Zitat:

Original geschrieben von superburschi
Das frage ich mich nicht:

Einem Bericht von CRN zufolge hat die Mozilla Corporation bereits viele Millionen US-Dollar durch die Google-Suchbox im Webbrowser Firefox eingenommen.

Das ist legitim und völlig ungefährlich

Gruß

Superburschi

Legitim für Google ja, völlig ungefährlich für den Computer zumindest auch!
Aber, weist Du auch was da so alles an Daten an Dritte weitergegeben wird?
Was ich damit nur sagen wollte ist, man sollte sich nicht in falscher Sicherheit wiegen, nur weil man keinen ach so bösen Browser von Microsoft mehr benutzt!

Gruß,
Thomas

[SilverCircle]

Zitat:

Original geschrieben von Drelb
[b]Ist ja lustig was man hier mal wieder teilweise so liest!

Man sollte grundsätzlich einen Router, eine Hardware-, eine Software-Firewall und eine Virenscanner mit aktueller Pattern verwenden, um den Rechner so sicher wie möglich zu machen!
Und daran gibt es garnichts zu rütteln!

Das ist so lange richtig, so lange das zu schützende System auch allen möglichen Angriffsmöglichkeiten ausgesetzt ist - z.b. indem es als frei zugänglicher server oder gateway arbeitet. Denjenigen server, der in einem Firmennetzwerk die Internetanbindung übernimmt würde ich auch nicht ohne einen Haufen Sicherheitsmaßnahmen ans Netz hängen, schon gar nicht, wenn er gleichzeitig als Web- oder Mailserver arbeitet (ich weiß, das alleine ist schon eine recht riskante und unsaubere Lösung, aber leider aus Kostengründen, vor allem bei Kleinbetrieben, immer noch recht verbreitet) und damit prinzipiell angreifbar ist.

Zu Hause reicht ein router oder eine einfache firewall die vor ungewollten Verbindungen von außen schützt, zusammen mit einer sinnvollen Konfiguration des Rechners, völlig.

Über den Sinn von Virenscannern die wirklich jeden Zugriff im Hintergrund überprüfen kann man streiten. Ich brauch das nicht - ich scanne Dinge, bei denen gewisse Bedenken angebracht sind, manuell. Wer sich mit einem "Vollschutz" sicherer fühlt, der kann ihn ja verwenden.

Zitat:

Was ebenfalls sehr wichtig ist, und das unterschätzen die meisten, das man Administratorenkonten auch nur zum Administrieren und nicht als "Standartkonto" benuzt!

Tja, bring das mal einem Anwender bei. Der will einfach nicht einsehen, warum er zum Installieren eines Programms mal den Benutzer wechseln sollte. Darüberhinaus gibt es immer noch massenhaft Anwendungssoftware, die nur mit Administratorrechten problemlos funktioniert, weil sie beispielsweise das Programmverzeichnis zur Datenspeicherung nutzt, anstatt Daten dort unterzubringen wo sie eigentlich hin gehören.

Die strikte Trennung von Programm- und Datenverzeichnissen, etwas das unter anderen Betriebssystemen seit Jahrzehnten selbstverständlich ist, hat sich in der Windowswelt scheinbar immer noch nicht herumgesprochen.

Und das ist *nicht* die Schuld von MS, denn die notwendige Unterstützung seitens des OS(Zugriffsrechte, Benutzerprofile etc.) gibt es seit mehr als 10 Jahren.

[SilverCircle]

Zitat:

[i]Das ist legitim und völlig ungefährlich

Es ist sicherlich ungefährlich.

Trotzdem - wer glaubt, Google wäre der nette Nachbar der uns nur Gutes tun mag, irrt wohl auch gewaltig. Google ist keine karitative Organisation, sondern eine stark profitorientierte Firma. Alles Weitere kann man sich denken...

Was Google in den letzten Jahren an Daten angesammelt hat, ist heute schon ein Vermögen wert - oder was sonst kann an einem Unternehmen wie Google so viel Geld wert sein?

Zitat:

Original geschrieben von Wolfgank
Jetzt nochmal in die Niederungen der Praxis!
Wenn ich mit online-Wetter fliege, muß ich ja einen Port in jeder Virensoftware freigeben, und wenn es nur der eine ist. Der Router läßt also schon jedes angeforderte Datenpaket durch. Die Software mit dem freigeschalteten Port ja wohl auch. Wo existiert denn da überhaupt noch ein Filter für diese METAR-Datenpakete, wenn sie nicht sauber sind?

Wolfgang

Die Wahrscheinlichkeit wäre sehr groß, dass das Paket durchkäme, wobei der Router eigentlich noch am ehesten als Fliter fungieren könnte, sofern er die Funktionalität besitzt. Die wäre allerdings sehr sehr begrenzt, aber besser als gar nix. Wenn man einem Programm selbst die Tür öffnet ists natürlich schwierig sich zu schützen, aber man kanns ja zumindest versuchen - ohne dabei in Paranoia zu verfallen und ohne dabei Spyware und Rootkits in Form von Desktop-Firewalls und Virenscannern, von bestimmten Herstellern zu verwenden...

[klausdonath]

Tut mir leid, falls ich nicht genau drauf geantwortet habe und verstehe Deine Meinung, da sie ja von den Medien à la "Chip" verbreitet wird. Gegen einen Stereotypen zu reden ist schwierig. Ich bin Informatikstudent höheren Semesters und habe diverse Vorlesungen zum Thema Sicherheit gehört... Ich will nur sagen, ich weiss auch wovon ich da rede.

Zitat:

Original geschrieben von Mentos79

eine Desktop-firewall (da zähl ich mal die XP-Firewall dazu), macht dann Sinn, wenn ich eben nicht alle Dienste deaktivieren kann, wenn mein System eben nicht immer mit allen aktuellen Updates versehen ist,

Diese Firewall warnt Dich dann vor einem Zugriff auf einen Port auf dem entweder nichts läuft oder auf dem etwas läuft, der aber eh freigegeben ist.
Beispiel: Grundsätzlich hast Du vielleicht den Port freigegeben, der Dir anzeigt "Huhu, es gibt ein neues Windowsupdate". Den hast Du freigegeben. Also kann jeder an diesen Port senden und eine etwaige Sicherheitslücke ausnutzen ohne das die Firewall was sagt!

Zitat:

Original geschrieben von Mentos79

Aber danke für deine ergoogelten Links. Wenns einem wirklich um Sicherheit geht, sollte man natürlich ergoogelte Links posten, wo Scripte angeboten werden, die einem unwichtige Dienste deaktivieren - hoffentlich wirklich nur die...

Das sind gebräuchliche Links, die aus Disskusionen auf unserer Fachschaftsseite stehen. Wenn die unter google zu finden sind, um so besser, denn sie sind wirklich lesenswert

Zitat:

Original geschrieben von Mentos79

Ja und? Dann knack mal die Verschlüsselung, nur zu. Ich bezweifle ja gar nicht, dass das machbar ist. 100%ige Sicherheit gibts nirgends blablabla
Aber das setzt voraus, dass jemand wirklich gezielt auf MEIN System will - wie wahrscheinlich ist das?

Eben und wenn jemand das will, schafft er das. Mit oder ohne Softwarefirewall!

Zitat:

Original geschrieben von Mentos79

Das wird zumindest die abschrecken, die nicht gezielt zu mir wollen und die, die wirklich gezielt zu mir wollen, sind ne Weile beschäftigt..

Die kommen sowieso nicht rein. Mit oder ohne Softwarefirewall. Eine Softwarefirewall stellt keinerlei Hürde da!

Und das mit dem WLAN ist wirklich schnellstens gemacht. Als ich umgezogen bin, hatte es noch 3 Wochen gedauert bis mein Telefonanschluss stand. Übergangslösung: Nach 2 Tagen Traffic horchen hatte ich genug gesammelt um selbst online zu können Aber der hatte nur WEP... WPA-PSK ist schon deutlich schwieriger, aber manche spornt das ja an...