Personal Firewall - Für-und-Wider-Diskussionsthread

Personal Firewall - Für-und-Wider-Diskussionsthread (48 Beiträge, 1223 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Angeregt durch einen Disput mit MJY und einen "Unfall" in UMCs Heimnetzwerk, würde ich gerne eine vernünftige Diskussion über Sinn und Unsinn von Firewalls führen.

Hintergrund:
Das Internet sieht sich zunehmend der Gefahr von verteilten Denial-Of-Service Attacken ausgesetzt, die von Tausenden ferngesteuerten Privatrechnern aus durchgeführt werden (sogenannte Zombies, bzw Bot-Netze).

Ursache:
Schlecht abgesicherte Heimrechner, die praktisch permanent und breitbandig mit dem Internet verbunden sind, stellen einen perfekten Nistplatz für Backdoors und Rootkits dar.

These 1:
Wer wenig oder keine Netzwerkkenntnisse hat, soll gefälligst Windows XP einsetzen und die eingebaute Firewall aktivieren.

These 2:
Wer - aus welchem Grund auch immer - nicht XP einsetzt, soll zumindest Zonealarm installieren, um nicht Mittäter in einem Botnetz zu werden.

These 3:
Beides (1 u. 2) hilft nur gegen die offensichtliche und daher geringere Gefahr eines Angriffes _aus_ dem Netz, wenig jedoch gegen Verbindungsversuche von _innen_ nach draussen.

These 4:
Je mehr die FW fragt, desto sinnloser wird sie, da der Laie ohnehin immer nur auf "Ja" klickt.

So, der Disput ist eröffnet, ich freue mich auf qualifizierte Statements

mfg
UMC

Ansich sinds ja gut, nur in Händen von DAUs eben nicht.
IMHO gehört die SW ausschliesslich von Fachleuten installiert.

90% meiner Kunden haben Probleme WEGEN der Firewall, weil sie diese nicht bedienen können.

Leider sind auch Firen wie Symantec schuld, die Ihr Produkt überall beilegen und jeder glaubt installieren reicht..

I google, therefore I am
nico

90 % aller PC - User sind DAUS nehm ich an - was machst mit den vielen privaten Internetnutzern ?

Wir hatten bis vor 2 Jahren nicht mal auf den Firmennotebooks eine Firewall, die wir via RLA zu Hause verwendet hatten - nur weil sie die Virenabteilung der Firma nicht für Eindringversuche zuständig fühlte sondern nur für Viren + Virenscanner

22.11.2005, 10:12 Uhr - Editiert von BMLoidl, alte Version: hier

Theoretisch ist eine FW auch tatsächlich nicht nötig. Ist dein Betriebssystem richtig aufgesetzt, d.h. sind alle unnötigen Dienste deaktiviert, alle offenen Services mit guter Authentifizierung gesichert, sind alle Verwundbarkeiten gepatcht, sollte das für ein Einzelplatz-PC tatsächlich hinreichend sein - immerhin sind ja keine DOS-Attacken gegen diesen PC zu erwarten.

Allerdings ist die Theorie grau, denn die Komplexität moderner Systeme bringt praktisch immer irgendwelche Löcher mit sich.

mfg
UMC

Theoretisch ist eine FW auch tatsächlich nicht nötig.

naja mir hat ein hacker die .pst dateien dann gelöscht was auch nicht angenehm war - hab dann zonealarm installiert dann war ruh

jetzt haben wir im rollout cisco vpn mit "statefull firewall"

ich denk nur beim einem firmennotebook ist es schon tragischer, sind ja angebote, preise, kundendaten etc drauf ..

jeder glaubt installieren reicht..

Was die G'schicht so kompliziert macht, sind die vielen Ausnahmen. Es könnt' so einfach sein: Für Browser wird HTTP, HTTPS und vielleicht FTP freigegeben, Outlook bekommt SMTP und POP, vielleicht IMAP4. Schön.

Und dann versuchst am Planet3dnow einen Download. Der geht nur, wenn der FF zu irgendeinem vielstelligen Port verbinden darf. Grrr.

Und der Amazon-Newsletter schaut auch ganz grauslich aus. Hm. Hätt Outlook vielleicht doch port 80 gebraucht? Aber dann ist das Scheunentor erst recht wieder offen.

mfg
UMC

am besten is halt eine HW Firewall - da blocken schon mal irgendwelche RPC Sachen ab; desweiteren eines aktuelle FW wie Kaspersky und einen mailanbieter mit virenschutz..
bzw gesunder menschenverstand was ja keiner mehr hat

I google, therefore I am
nico

bzw gesunder menschenverstand was ja keiner mehr hat

...du also auch nicht?!

Zurück zum Thema:

Also ich wäre doch froh, wenn mein Job durch die Probleme meiner
Kunden durch andere Software "abgesichert" wird. Was wäre, wenn
alle Anwender keine DAUs und absolut in der Lage wären alles selbst
zu machen ...
Microsoft schafft durch seine Fehler(!) mehr Arbeitsplätze als durch
bessere Qualität - so ist das ...

Die Anbieter leben aber von der privaten Käuferschicht und nicht von einigen Firmenlizenzen die dann auch noch privat verwendet werden.

Ich bin der Meinung dass NAT - welcher Art auch immer - als Schutz vollkommen ausreicht (so lange nicht alle Ports offen sind und weitergeleitet werden...). Ob das jetzt durch einen Hardware-Router, einen Linux-PC oder sonstiges geschieht, ist dabei egal.
Notfalls reicht natürlich auch eine Software-Firewall, die einfach alles von außen ablehnt.

Die Gefahr dass sich dann durch Aktionen, die der User selbst setzt, etwas einnistet, besteht dabei natürlich weiterhin.
Für den Fall, dass diese Malware sich dann nach außen connected, können SW-Firewalls schon sinnvoll sein. Jedoch - wie du sagst - wenn jemand sich solche Dinge einfängt wird er wahrscheinlich auch solche Software falsch bedienen und den Schutz somit aufheben...das muss aber nicht sein.

22.11.2005, 09:48 Uhr - Editiert von mko, alte Version: hier

dass sich dann durch Aktionen, die der User selbst setzt

Hatte grad einen Patienten aus der Verwandtschaft da, der genau so zum Problem wurde.

Nachdem die Herrschaften zum 3. Mal hintereinander ihren Hauptrechner mittels Viren etc ausser Gefecht gesetzt hatten, wurde ADSL kurzerhand abgemeldet. Radikal aber effizient.

Die Kinder in Ausbildung brauchen aber Internet. Also wurde nach 2 Monaten Dial-In angemeldet (Laptop mit eingebautem Modem).

Jetzt sind rd. 600 Euro Auslandsgespräche wegen irgendeinem irren Dialer aufgelaufen und die Dame an der Telekom-Hotline hat wieder erfolgreich ein ADSL Paket an den Mann gebracht.

Und mir stehen jetzt die Haare zu Berge. Wie hält man Teenager im Arbeitermilieu davon ab, auf irgendwelchen Klingelton und XXX-Seiten an der falschen Stelle auf "Ja" zu klicken???

mfg
UMC

Gar nicht solange man mit dem IE Explorer suft. Ob man es glaub oder nicht ab und zu muss man ned auf Ja klicken um was zu installieren. Und verhindern das teenager auf xxx seiten gehen kannst ned. Das einzige was du machen kannst ist ihnen die richtigen xxx seiten zu Zeigen ohne Dialer

.

MfG Akilae
Manager of rawclan.at

rawclan.at

Full ack. Als erste Sofortmassnahme habe ich ohnehin FF installiert und alle Links auf den IE entfernt (... was Microsofts Verständnis von Deinstallation des IE mittels Systemsteuerung ist). Dann dem IE gesagt, er soll nicht prüfer, ob er Default-Browser ist - und schliesslich überall, wo sonst der IE aufgerufen wird, FF-Icons und -links gesetzt.

Mal sehen, ob das nutzt

mfg
UMC

Ich bin der Meinung dass NAT - welcher Art auch immer - als Schutz vollkommen ausreicht

Vollkommen richtig, aber so etwas ist XP-Fuzzis und anderen Firewall-Abhängigen nur schwer beizubringen.

These 4:
Je mehr die FW fragt, desto sinnloser wird sie, da der Laie ohnehin immer nur
auf "Ja" klickt.

So isses, spätenstens nachdem das erste Mal fälschlicherweise einer SW verboten wurde ins Netz zu dürfen (Browser oder Emailclients sind da Klassiker, aber auch Spiele etc) wird in Zukunft immer "JA" geklickt.

überhaupt wenn kommt "soll die iexplore.exe ins internet"
"ja sicher darf mein browser ins internet"
das das vielleicht aba nur eine exe is die auch so heisst, checken ja die wenigstens

ab dann wirds unnötig

I google, therefore I am
nico

Genau da liegt meiner Meinung nach das Problem. "Gute" Backdoors hebeln die meisten Firewalls technisch aus (siehe letzter Firewall-Test in der c't - ich glaub' das war schon voriges Jahr), und wenn das nicht geht, dann probiert man's mit quasi-social-engineering, also tarnen und täuschen. Die IE-Beispiel reicht eh schon aus, um den durchschnittlichen Privatanwender hinters Licht zu führen.

mfg
UMC

Sollt ja eigentlich auffallen, wenn die echte iexplore.exe schon längst ins Internet darf, und plötzlich aus heiterem Himmel eine andere getarnte exe auch noch fragt...

Aber bevor man da nachdenkt, klickt man "Ja" an, weil man will ja "eh" nur schnell was am PC schauen..
LG Hexa

Unsere Geduld erreicht mehr als unsere Stärke
Edmund Burke

Meine Artikel bei eBay

Du bist jung und mit dieser Technik aufgewachsen.

In meiner Familie fällt das allenfalls noch meiner Frau (seit 10 Jahren in IT-Firmen beschäftigt, seit 20 Jahren Arbeit am Computer) auf. Alle anderen stolpern blindlings hinein.

mfg
UMC

Nein, svchost, DAS ist ein Klassiker

Mfg Dogg

Also von aussen herein reicht mir normalerweise der Schutz der durch das NAT des Routers gegeben wird.
Das Problem bei Firewalls ist nunmal einfach, dass sie sich eh von jedem Benutzer konfigurieren lassen. Dazu das klassiche: Wollen sie xxx erlauben ins Inet zu gehen -> Ja. Hat imho keinen wirklich Sinn.
Interessant würde es, wenn man eine Art Grundeinstellung von Programmen vornehmen könnte, die ins Inet dürfen - z.B. Internet Explorer (und zwar genau die exe die dort in dem Verzeichnis liegt), Mozilla Thunderbird und aus.

Dann treten jedoch wieder z.B. Probleme mit Online - Spielen auf, der Benutzer fühlt sich entmündigt und legt - kurzerhand - einen neuen Account an mit allen möglichen Rechten und konfiguriert die Firewall wieder zum. Peng.

Bzgl. dem Thema: Von innen nach aussen: Hier hilft wohl am ehesten wirklich wiederum nur ein Port - basierter Ansatz. Port 80 für Http, 334 für die secure variante, die ports für email usw. dürfen durch, alle anderen nicht. Aber auch hier - selbiges Problem wie oben. Dem Benutzer wirds zu dumm. Peng - Schuss ins Knie.

Du hast auch das Problem der Dialer angesprochen. In Zeiten der Breitbandkommunikation (was für ein Begriff

) finde ich es eigentlich kontraproduktiv, sich noch einer zusätzlichen Gefahr auszusetzen. Die Gefahren bei einer Verbindung bleiben dieselben, es kommt nur noch eine zusätzlich dazu.

Deine These 1 muss ich aber verteufeln. Zumindest ohne weitere Vorsichtsmassnahmen ist diese wirkungslos. Grad eben wieder erst - neue Version von Sober per Mail - eine Firewall hätte hier schonmal gar nichts gesagt, gilt natürlich auch für These 2.

Aus diesem Grund setze ich schon seit langem keine Firewalls mehr ein, die Windows Firewall läuft zwar mit, aber extra für ein zusätzliches, vielleicht besseres Produkt zu zahlen, das würde ich nicht.

Es hilft hier wirklich nur eine Aufklärun der Benutzer mit Schreckszenarien ("der damals hat dann über 600€ gezahlt", "da das gefährlich war, ham sie ihm die Leitung zugedreht", ...). Ansonsten merken sichs die meisten leider nicht. Immerhin - meine Freundin fragt mich mittlerweile immer wenn ein merkwürdiges Mail ankommt

That last wish of yours got the contract broken. Don't you ever read the contract? Article 147, paragraph 9, subsection 3. Selfless redemption.
If you commit one truly benevolent act, it voids the contract. (Bedazzled / Teuflisch)

Danke für die gute Darstellung.

Zusammenfassend würde ich sagen, dieser Problemkreis lässt sich (zur Zeit) praktisch nicht technisch lösen. Der einzige Ausweg ist auf sozialer Ebene durch bessere Ausbildung der User zu suchen.

Bei allen konzeptionellen Problemen die der "so-bequem-wie-möglich"-Ansatz von Windows mit sich bringt, bezweifle ich, dass Linux a la long die richtige Antwort wäre. In jedem Betriebssystem würden sich - entsprechende Massenverbreitung vorausgesetzt - genügend psychologische Tricks finden, um den unbedarften Anwender hinters Licht zu führen.

mfg
UMC

Bei allen konzeptionellen Problemen die der "so-bequem-wie-möglich"-Ansatz von
Windows mit sich bringt, bezweifle ich, dass Linux a la long die richtige
Antwort wäre. In jedem Betriebssystem würden sich - entsprechende
Massenverbreitung vorausgesetzt - genügend psychologische Tricks finden, um
den unbedarften Anwender hinters Licht zu führen.

Installieren sie jetzt - WLAN mit nur einem Klick

*klick*klick*cklick*cklick*

Uff. Zieh das sofort zurück.

Stell dir vor, meine Verwandschaft liest das und dann wollen sie auch noch ein 1-Klick-WLAN installiert haben

mfg
UMC

Das stimmt so nicht ganz...

Du hast zwar meiner Meinung nach 100%ig recht, daß durch Sozial Engineering alle Technischen Maßnahmen verschwinden... Wenn einer einen Linux-Shadsoftware verbreiten will, mußte er IMHO nur 2 Pakete bauen - eines für NVidia und eines für ATI - und behaupten, daß dadurch mehr Performance für OpenGL-Kram ermöglicht wird... Und Millionen DAUs (ich könnte selbst einer davon sein - insbesondere wenn sie auf für mich vertrauenswürdigen Servern wie sf.net liegen) würden brav ihr

./configure ; make ; make install

absetzen und sich das eintreten.

Dagegenhalten möchte ich, daß eine manuelle Verteilung der SW (wo der User selbst was tun muß) nicht ausreichend Schadpotenzial hat... Denn sonst hätte man nie auf Würmer ausweichen müssen (die ja doch mehr Aufwand mit sich ziehen), wenn es auf diese Variante auch gehen würde.

Beispiel bei mir zuhause... Meine Frau nutzt den Rechner als "normaler" User - sie hat das root-Kennwort nicht. "Halbautomatische" Malware kann so nicht auf den Rechner gelangen - dadurch ist das schon stark eingeschränkt...

Wo ich hinwill:
Wenn du in der Familie nur einen mit Admin-Kennwort hast (egal welches System) - und sich SW nur bewußt durch den Admin aufbringen läßt, dann kann sich Schadsoftware bei weitem nicht so schnell verbreiten - einfach weil ein einziges Familienmitglied nicht so super skaliert

.

Wenn ein Admin sehenden Auges ins Verderben rennt.. Hast natürlich weniger Chancen... Wobei alles, was "unsichtbar" passiert, natürlich ausgeschlossen sein muß... Und dabei bieten Unixoide weit mehr Möglichkeiten...

Danke. Diesen Punkt habe ich tatsächlich vernachlässigt. Es ist ein konzeptioneller Fehler, sich immer mit Admin-Rechten anzumelden. Auf meinen XP-Kisten habe ich schon x-mal mit dem Gedanken gespielt, das zu ändern. Aber jeder neue "Eingeschränkte-Rechte leicht gemacht"-Artikel in c't (und anderen Publikationen) hatte auf mich eher abschreckende Wirkung

Dieses Problem gibt es in UNIX-Derivaten tatsächlich nur marginal und Linux hat daher einen natürlichen Vorteil.

mfg
UMC

Ich halte mich da an die puristische Grufti-Auffassung: eine Firewall hat VOR dem PC zu sitzen, den sie schützen soll. Wenn sie IM zu schützenden PC sitzt, macht sie wenig Sinn.

Ergo scheint mir eine Kombi aus Router und potentem Virenscanner (der autom. updatet!) die n00b-sicherste. In dem Zusammenhang scheint mir eine Router-FW auch einen weiteren Vorteil zu bringen: sie stellt keine Fragen.

Schlecht abgesicherte Heimrechner, die praktisch permanent und breitbandig mit dem Internet verbunden sind, stellen einen perfekten Nistplatz für Backdoors
und Rootkits dar.

Jo mei, das impliziert die Frage-der-Fragen: wie kann man einen PC mit INet-Anschluss wirklungsvoll schützen vor seinem dummen Eigentümer, der überall draufclickt, bzw. "untiefe Gewässer besurft" ohne besondere Sorgfalt walten zu lassen?

--
Karl Toffel = nicht die Mamma

Ich halte mich da an die puristische Grufti-Auffassung: eine Firewall hat VOR dem PC zu sitzen, den sie schützen soll. Wenn sie IM zu schützenden PC sitzt, macht sie wenig Sinn.

Dem Schluß kann ich nicht so folgen...
Wenn noch im tcpip-Stack geprüft wird, ob das Paket überhaupt ausgepackt wird (eben anhand der Firewall-Regeln) - dann ist das gleich gut/schlecht wie wenn ein anderes Kasterl das übernimmt...

Und ad extra-Kasterl:
Ich habe einen echt DAU-Wlan-Router (Belkin)... Wo man u.a. einstellen kann "DoS-Protection". Ich habe allerdings keine Ahnung, was diese Regel denn nun genau macht - weder in der Anleitung noch auf den Hersteller-Webseiten wird's erklärt...

Mich verblüfft nur folgendes: Ich habe
INet==Linux-SRV==WLAN-RTR---Clients
Im Log des RTRs finde ich gelegentlich Einträge, daß er DOS geblockt hat... Wobei ich mir ziemlich sicher bin, daß mein Linux-SRV kein DoS gegen den RTR initiierte

Meine Meinung zu Konfigurations- und Erklärungslosen DAU-Produkten: Finger Weg! Die machen irgendwas, was uU ein wenig kompetenter Ferialpraktikant implementierte

Da habe ich lieber /volle/ Kontrolle... Und das geht IMHO am Betriebssystem, wenn die Firewall eben komplett in meiner Hand ist - oder bei einem sehr guten Router (zB bessere CISCOs).. Die sind dann aber nicht mehr in der Preisklasse für SOHO...

Da habe ich lieber /volle/ Kontrolle...

Das Problem ist aber nun: Dieser Thread behandelt nicht DICH, sondern n00bs.

Und für einen n00b ist eine Router-"Blackbox" (Definition Blackbox: ein Kastl, wo ma ned weiss, was das tut und was da überhaupz drin is.

), wo er nichts dran rumfingern kann, die sicherere Lösung.
--
Karl Toffel = nicht die Mamma

22.11.2005, 12:02 Uhr - Editiert von KarlToffel, alte Version: hier

Einem Noob muß man so oder so das System aufsetzen...
Entweder preinstalled beim Einkauf oder Freunde müssen ran...

Und es ist ja immer so, daß sich die Freunde irgendwas kaufen (natürlich ohne vorher zu fragen), dann XYZ machen wollen, draufkommen, daß das nicht geht - und einen dann quälen, das man das machen soll... Oder enttäuscht sind, warum man das nicht hinkriegt (wenn das Teil das einfach nicht kann)...

Daher auch lieber Konfigurierbare Teile... Oder kombinationen...
(WLAN-)RTR, die sich mit OpenWRT flashen lassen zB...

natürlich ohne vorher zu fragen

auch wenn sie fragen ignorieren sie das und kaufen eher das was in der emedia steht

I google, therefore I am
nico

Einem Noob muß man so oder so das System aufsetzen...
Entweder preinstalled beim Einkauf oder Freunde müssen ran...

Ich seh das etwas differenzierter: Es gibt durchaus Leute, die problemlos einen Rechner (Windows XP, Office & Co.) aufsetzen können, aber wenig bis keine Ahnung von Netzwerken haben. Und für diese Leute ist ein - so wie Du ihn bezeichnest - DAU-Router durchaus eine brauchbare Lösung.

Es ist so bequem, unmündig zu sein.
Immanuel Kant (1724-1804)

Von wegen volle Kontrolle.

Die habe ich auch gesucht. Als Profi aus dem Telco-Grade-Bereich wird man ja wohl selbst eine Firewall konfigurieren können. Also lebte ich glücklich und zufrieden mit meiner Kerio 2.x, mit der ich ein sehr restriktives Regelwerk betrieb (ja, sogar die MS-Heimnetzwerkfunktionen habe ich händisch konfiguriert).

Und dann im Juni das böse Erwachen. Ein paar Tage zuvor hatte ich eine WLAN-Karte in meinen ICS-Rechner eingebaut, war stolz alles funktionsfähig zu haben und auch die Firewall war angepasst. Plötzlich schlug AntiVir an und meldete einen Unhold namens Robobot. Na schön. Kann ja in den besten Häusern mal vorkommen. Wohl irgendwo hingesurft, wo man besser nicht hingegangen wäre.

Rechner gesäubert, XP Patchlevel nochmals geprüft, Firefox ist sowieso immer aktuell, schaun wir mal.

Im August meldet AntiVir plötzlich Stanit. Noch nicht ausgebrochen, aber fertig zum Anklicken

. Ja Fix-Sackel-Zement. Herumgegoogelt und plötzlich draufgekommen, dass von dem Ding auch andere Profis betroffen sind. Leute, die wissen wie man ihre Rechner aufsetzt.

Dann eines Tages im Oktober der Schock: Mein Upload-Counter rennt wie irr. Browser und Mail geschlossen, der rennt weiter. Ok. Verwaltung geöffnet - und siehe da, ein Rechner aus Yankeestan hat eine NetBios-Session zu mir offen

Gut. Dann prüfen wir halt mal mit Heise, auditmypc u. dgl. mehr. Tatsächlich, 2 Ports offen, die sicher nicht offen sein sollten. Komisch.

Nach tagelangen Suchaktionen und Prüfungen bin ich nun zu Outpost gewechselt. Jetzt sind die Ports zu.

Langer Rede, kurzer Sinn: Die gute alte Kerio 2.x hat ganz offensichtlich ausgedient. XPSP2 mit ADSL-Modem am USB, gebrücktem Kabel- und WLAN, sowie aktiviertem ICS (zugegeben, das ist eine geistesgestörte Kombination, aber ich haben nun mal keinen Geldshicer) ist mehr als sie schützen konnte. Aber witzig find' ich das nicht...

mfg
UMC

22.11.2005, 13:27 Uhr - Editiert von UMC, alte Version: hier

war in der KPF 2.1.5 ´Internet Gateway Protection´ aktiviert ?

Aus der KPF-Hilfe:

Internet Gateway Protection
Kerio Personal Firewall can also be used for protecting an Internet gateway, i.e. a computer that provides access to the Internet for computers in a local network (a router or a NAT router). Typically, this can be done in combination with Microsoft's Internet Connection Sharing (ICS) application, a component of Windows 98 SE, Me, 2000 and XP operating systems. ICS enables access to the Internet for all local computers via a single IP address. However, it does not provide any protection from external attacks. In combination with Kerio Personal Firewall you can have a secure shared Internet connection.

Personal Firewall is designed for protecting a single computer. However, a great amount of packets pass the internet gateway (router) that are not addressed to this computer. In order not to be forced to define complex packet filters, Personal Firewall can be switched to a special mode designed for Internet gateways. This can be done in the Firewall Configuration window (after pressing the Advanced button) on the Miscellaneous tab by enabling the option Is running on Internet gateway.

Note: Do not enable this option if Personal Firewall does not really run on an real Internet gateway as the security level of your computer will be downgraded.

Na was denkst du denn. Natürlich war "Is running on gateway" aktiviert

Muss aber dazu sagen, dass mir die Bedienphilosophie von Outpost so zuwider ist, dass ich nur noch abwarte, bis die Übernahme von Kerio (http://www.heise.de/newsticker/meldung/66889 ) abgeschlossen ist, dann werde ich mir vermutlich eine Kerio4 Lizenz leisten.

mfg
UMC

ich verwende meine firewall primär als kontrolle welche anwendung wohin telefonieren will.
und um mit meinem laptop oder lan party rechner auf lan partys nicht eine einladung auszuteilen wer meine daten will.
natürlich gehts auch anders......aber ich hatte schon mal dictionary und brute force attacken auf die admin freigaben meines rechners......najo.....die schalte ich auch immer ab aber sicher ist sicher.

die xp firewall ist fürn hugo.....dort trägt sich mit leichtigkeit jede andwendung ein als ausnahme...und manchnmal auch so das man sie nicht sehen kann ohne die reg zu hacken

noch was....für mich hat eine firewall nix mit cookie blocken, emails scannen oder webseiten für kinder sperren zu tun...sondern einen reinen port/ip filter auf anwendungsbasis.

da ich einen router habe...und nun nicht mehr im DMZ hänge komme ich drauf das ich die firewall nur wegen der ausgangskontrolle noch immer brauche.

die sygate verbraucht fast keine leistung.....also ists ok

Grundsätzlich halte ich nicht besonders viel von Personal Firewalls, aber Sygate und Zonealarm sind zumindest besser als nix.
Das Problem liegt aber eigentlich auch eher an den Nutzern, weil mit ein bissel Verstand und wenn man sich vorher informiert kann man auch Windows "sicherer" machen. Wobei Windows XP als Lösung gegen ungesicherte Heimnetzwerke entlockt mir maximal ein Schmunzeln.

bzgl. Personal Firewalls möchte ich auf einen Vortrag beim 21c3 verweisen:

http://www.ccc.de/congress/2004/fahrplan/event/317.de.html

Ich war live dabei und die Firewall hat echt schlecht ausgschaut.

Servus UMC!

Bei mind. 70% der Leute die vorm Comp sitzen gilt sicherlich deine These 4.
Ich kümmer mich z.B. um die PCs von etlichen Verwandten, Bekannten und Freunden, sind so ca. 15 Haushalte und 20 PCs.
Das ganze wird fast schon zum Teilzeitjob.

Firewalls sind bei fast allen sinnlos, da null komma josef Ahnung von PCs oder Software, oder noch schlimmer gar kein Interesse besteht sich ein klein wenig mit der Materie zu befassen, hauptsache es funktioniert alles.

Auch wenn ich einen Comp wieder tip top herrichte bzw. sogar neu aufsetze kann ich sicher sein, daß spätestens nach 3-4 Wochen der Anruf kommt: dies oder das geht nimma *grrr*
Da wird auf alles und jedes draufgeklickt und installiert was das Zeug hält.
Softwarefirewalls sind bei solchen Leuten für den Hugo, weil ja keiner weiss ob er jetzt mit ja oder nein antworten soll, entweder sie machen alles wieder auf oder sie sperren sich vom I-Net aus.
Am schlimmsten ist es bei einem Verwandeten, 2 PCs einer für die 4 Kinder (Alter 12-19) im 1. Stock und einer im Erdgeschoß für meinen Cousin.
Binnen 4 Wochen war der PC der Kinder lt. Spybot mit sage und schreibe 500 Würmern, Trojanern etc. verseucht, Outlook express (was anderes is sinnlos ihnen beizubringen wies funktioniert) war durch Incredimail und Konsorten ersetzt.

Fazit: Ich habs aufgegeben, nach dem neu aufsetzen, mach ich ein Ghost Image, speicher es bei mir und spiels immer wieder neu auf.

Gruß

Wie sich die Bilder gleichen

http://forum.geizhals.at/t377952,2971694.html#2971694

Ich habe nun auch hier beschlossen, die Sache mit einem Image zu lösen. Die Tochter des Hauses, durchaus vernünftig und gerade grossjährig geworden, wird instruiert, wie das Image zurückzuspielen geht. Einen anderen Lösungsansatz sehe ich leider auch nicht.

mfg
UMC

Meine persönliche Erfahrung mit Firewalls:

Bis vor ca. 1 Jahr hatte ich nie eine benutzt; zwar testweise hin und wieder Mal eine installiert, mehr allerdings nicht. Und ich bin ganz gut damit klar gekommen.

Dann, nach dem neu aufsetzen des PCs, war ich mit dem Internet verbunden und nichts hat mehr richtig funktioniert. Up- und Download waren nahezu voll ausgelastet, PC stürzte immer ab,...

Danach installierte ich Sygate Personal Firewall und die Probleme waren weg. Ich verwende das Programm noch immer und bin sehr zufrieden damit.

Ich kann jedem nur eine Firewall nahelegen, und ich hab sie schon vielen Freunden und Bekannten empfohlen. Und erklärt ist das Programm auch relativ schnell.

"Aus Anonymitätsgründen nennen wir sie Lisa S. Oder Nein, doch lieber L. Simpson." Rektor Skinner

" ...Dann, nach dem neu aufsetzen des PCs, war ich mit dem Internet verbunden und nichts hat mehr richtig funktioniert. Up- und Download waren nahezu voll ausgelastet, PC stürzte immer ab,..."

Tjo, ich würd mal auf Blaster tippen.

Nein nein, der Blaster war es nicht, den kenn ich. Es war viel mehr so, das sich diverse Internetprogramme aufgrund des hohen Datenverkehrs (abgesehen vom Traffic wurden unzähligen Verbindungen hergestellt; netstat lieferte ein praktisch unendliches Ergebnis) aufgehängt hatten... tja was dann letztendlich zum Absturz führte.

music is my life ... save the vinyl

na ja..ich verwende an meinem router nur die NAT einstellung, daduch wird soweit alles geblockt das von draußen rein will

und auf den pcs welche aufs internet zugreifen müssen ist je eine firewall installiert (bitdefender und sygate)
auf den restlichen nur die xp FW aktiv weil von dort eh nicht ins internet gegangen wird

eine SW firewall würd ich trotzdem immer verwenden da man dadurch kontrollieren kann was vom pc RAUS will.
außerdem blockts auch recht gut spyware und so zeug

nur wie gesagt bei leuten die sich nicht auskennen hats keinen sinn da eh immer auf ja geklickt wird..

Mfg Marax

Vertrau mir, ich bin einer von den Guten

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung