Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist eigentlich eine Software-Firewall für interne Clients nötig?

Mitglied: 57439

57439 (Level 1)

22.11.2007, aktualisiert 14:36 Uhr, 3699 Aufrufe, 8 Kommentare

Hi all,

ich weiß, dass klingt ein bisschen "blöd", aber in unserer Firma haben die Clients entweder die XP-Firewall an, oder eben eine Softwarefirewall von Norton. Und ich habe bisher noch wie was davon gelesen, dass Clients innerhalb eines Netzwerkes eine Firewall benötigen.

Ist das eigetnlich notwendig, wenn man einen guten Router + ISA-Server besitzt?

Achja.. es handelt sich um ein relativ kleines Small Business Server- Netzwerk von 38 Personen.

Würd gern mal euere Meinung hören!

Achja, noch am Rande. Welchen Antivirenkiller (netzübergreifend) würdet ihr bevorzugen?

vielen Dank im voraus!
Mitglied: GumJack85
22.11.2007 um 12:14 Uhr
bezüglich der AV Lösung.

wir haben hier Sophos AV im Einsatz! Da müsste es auchw as für Small Business geben.
Bitte warten ..
Mitglied: Gagarin
22.11.2007 um 12:21 Uhr
Eines der wichtigsten Konzepte in der IT-Sicherheit wird als Defense-in-Depth bezeichnet. Man geht davon aus das jede Verteidigungslinie ueberwunden werden kann (Fehlkonfiguration, 0-Day Exploit, etc...). Um es dem Angreifer so schwer wie moeglich zu machen baut man mehrer Linien auf in der Hoffnung das er an einer scheitert. Ich sehe die Softwarefirewall am Client als letzte Linie. Sie bringt aber auch nur etwas wenn sie, wie die AV-Software, zentral verwaltet wird.

Zu deiner Frage: Meiner Meinung nach kannst du die Frage nur nach deiner Risikoanlyse/Bewertung beantworten. Es ist sicherlich nuetzlich eine schon integrierte Firewall einzuschalten.
Bitte warten ..
Mitglied: manuel-r
22.11.2007 um 12:21 Uhr
Ich bin der Meinung, dass es zumindest nicht schadet die (XP-) Firewall zu aktivieren. Das beugt zumindest dem Risiko vor, dass ein - warum auch immer - verseuchter Rechner alle anderen gleich mit infiziert. Außerdem kann eine Firewall auch recht wirkungsvoll die Kommunikation unerwünschter aber nicht schädlicher Software unterbinden.

Manuel
Bitte warten ..
Mitglied: Darkraver
22.11.2007 um 12:39 Uhr
Sicherlich sinnergebene Konfiguration.
Ich weiss ja nicht ob eure Clients verschlossen sind ansonsten könnte auch ungewollter Code per Datenträger eingeschleust werden(da hilft dann die externe Firewall relative wenig).
Bitte warten ..
Mitglied: spacyfreak
22.11.2007 um 12:44 Uhr
Tja, wenn man 10 Admins frägt, kriegt man 23 Antworten!

WENN im internen Firmen-Netz eine strenge Policy besteht, und diese auch ERZWUNGEN wird mit technischen Mitteln, kann es mehr Vorteile bringen, die Client FW abzuschalten, als sie anzulassen. Ansonsten könnte nämlich auch SMS oder Domänen-Admin Zugriff auf die Clients "erschwert" oder verhindert werden mit der client firewall, was nicht immer erwünscht ist. Ferner blockt der User gerne erwünschte und notwendige Verbindungen mit seiner Firewall, und wundert sich warum er auf XY nicht zugreifen kann (das ist wohl das Hauptproblem, WENN was nicht geht, dass eine Firewall den Zugang blockt).

Ansonsten sprechen für mich mehr Gründe FÜR eine lokale Client Firewall, da beim Eintreffen "neuer Schädlinge" wie Würmer oft genug über das Netzwerk automatisch nach neuen potentiellen Opfern gesucht wird, und diese dann auch gleich infiziert werden können, nur weil ihnen ein bestimmter Patch fehlt. Ein infizierter Client PC, der ohne es zu merken zu einem Bot-Netz gehört, und tausende von SPAM-Mails oder sonstigen Müll verbreitet ist nicht gerade etwas erfreuliches - doch etwas alltägliches, wenn die User lokale adm. Rechte haben und gerne wild im Internet herumsurfen. Das geht mittlerweile schneller, als man schauen kann.

Daher wäre meine Empfehlung - Client-Firewall JA, aber Zugang auf den ClientPC zu administrativen Zwecken freischalten, durch Freischaltung des IP-Bereichs aus dem der Administrator zuzugreifen pflegt.

Eine Firewall, die auch ausgehenden Traffic filtert ist sinnvoll um einen Wurmbefallenen Client dran zu hindern, schädlichen Code über das Netzwerk zu verbreiten. Dabei ist nicht nur das Problem dass andere PCs infiziert werden können, sondern auch der erhebliche Netzwerktraffic, den ein einzelner infizierter Client verursachen kann und u. U. gar das Netzwerk funktionsuntüchtig wird, wenn die Bandbreite allein von den herumirrenden Würmern weggefressen wird.
Die Firewall sollte jedoch so konfiguriert sein, dass der User nicht jeden Pups bestätigen muss, sonst stumpft er schon nach zwei Tagen ab, und erlaubt jeglichen Traffic, und die Sache hat ihren Zweck verfehlt.
Bitte warten ..
Mitglied: manuel-r
22.11.2007 um 13:08 Uhr
Die Firewall von XP kann ja eigentlich ganz gut über GPO konfiguriert werden. Somit können für einzelne OUs Regeln definiert und ausgerollt werden. Je nach Voreinstellung darf/muss der einzelne User nicht mehr selbst einstellen.

Manuel
Bitte warten ..
Mitglied: Gagarin
22.11.2007 um 13:34 Uhr
@von einfach-mal-die-klappe-halten

Ich muss dir in vielen Punkten rechtgeben.

Wichtig fuer mich ist noch einmal herauszustellen das die Firewall, wenn sie denn aktiv auf dem Client ist, nicht vom Nutzer verwaltet werden darf sondern definitiv nur zentral administriert wird. Zuviele wuerden aus unwissen Verbindungen blockieren die vital sind, (Traffic zum DC und aehnliches) oder aber auch einfach alle Verbindungen erlauben weil das ja viel einfacher ist.

Der Aufwand ist natuerlich relativ hoch, allerdings lohnt es sich. Wichtig ist auch das nach der implementierung nicht bei jeder Kleinigkeit ein Loch in die Firewall gerissen wird.

Das Argument das auch der Traffic nach Aussen geflitert werden sollte unterstreiche ich noch mal ganz fett. Wenn ich als Angreifer weiss das eine Firewall im Einsatz ist wird mein erster Ansatz sein vom Zielclient selber eine Verbindung nach draussen herzustellen (am besten noch getunnelt ueber Port 80 und kryptiert). Wichtig ist natuerlich auch die rechtliche Frage wie ich eventuell Haftbar gemacht werden kann wenn meine Clients als Bots fungieren.
Bitte warten ..
Mitglied: 57439
22.11.2007 um 14:36 Uhr
Danke für die vielen Antworten!

Die haben mir sehr geholfen!
Bitte warten ..
Ähnliche Inhalte
Microsoft

Wozu braucht man eigentlich eine Hardware Firewall?

Frage von thomasreischerMicrosoft34 Kommentare

Hallo, habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht Es ist doch schon eine ...

Sicherheit

Wie funktioniert ein Angriff aus dem Internet eigentlich? Und wie schützt eine Firewall davor?

Frage von thomasreischerSicherheit8 Kommentare

Hallo, ACHTUNG: Das Folgende ist eine Anfängerfrage - wenn Du also keine Geduld hast und Anfänger generell verachtest, empfehle ...

LAN, WAN, Wireless

Was kostet eigentlich die Software Ruckus Flexmaster (V9)?

Frage von G-KALAN, WAN, Wireless14 Kommentare

Hallo! Mich würde mal interessieren, was die Software Ruckus Flexmaster (Version 901-0100-FME0 ) eigentlich kostet. Habe die Software nämlich ...

Netzwerkmanagement

Hardware vs. Software-Firewall

gelöst Frage von pianoman82Netzwerkmanagement6 Kommentare

Guten Morgen liebe Forengemeinde! Ich bin aktuell auf der Suche nach einer Hardware-Firewall und bin etwas hin und hergerissen ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 1 TagMicrosoft4 Kommentare

Da diese Infos scheinbar unerwünscht sind, habe ich diese wider gelöscht.

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 1 TagSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 2 TagenHardware2 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen40 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic20 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...

DSL, VDSL
PPPOE Einwahl über Sophos UTM und FritzBox per PPPOE Passthrough
gelöst Frage von Leo-leDSL, VDSL16 Kommentare

Hallo zusammen, vielleicht habt Ihr noch eine Idee?? Ich besitze einen 1u1 Anschluss und möchte meine UTM ASG 110 ...