Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Personal Firewall toll oder unfug?

Frage Sicherheit

Mitglied: megacarsIT

megacarsIT (Level 1) - Jetzt verbinden

01.03.2009, aktualisiert 01:02 Uhr, 4992 Aufrufe, 11 Kommentare

Hallo Leute!!

Ich hab eine Frage... was denkt Ihr über Personal Firewalls (besonders in Firmen)??

Sygate fand ich damals ja noch halbwegs akzeptabel doch Zone Alarm und
die Windows Firewall emptfinde ich eher als schlechten Scherz....
Bei der Windows Firewall kann man es wohl über die Sicherheitsrichtlinien steuern?!


Ich Frage weil mein Dozent auf Personal Firewalls ständig darauf rumreitet....



Gruss,
megacarsIT
Mitglied: dog
01.03.2009 um 01:16 Uhr
Personall Firewalls sind Müll - Punkt - Und die Windows Firewall führt hier ganz klar das Feld an.

Zuhause schaltet sie jeder User spätestens nach der 5. Meldung "Explorer.exe versucht auf Port 52342 auf 217.123.83.21 Port 8001 zuzugreifen - Wollen Sie das erlauben?" ab oder klickt auf "Immer Zulassen" - damit hat sich der Schutz bereits erledigt.
Wie soll ein User auch erkennen, ob sein PC grade versucht sich mit einem Botnetz zu verbinden?

Und in Firmen sind sie praktisch für jedes Problem verantwortlich (bezieht sich auf die Probleme, die man hat, wenn sie aktiv sind) ;)

Abgesehen davon - vor was sollen die dich schützen?

Vor den berüchtigten Angriffen aus dem Internet schützt dich der NAT-Router.
Vor unvorsichtigen Usern und Halbwissenden, die gerne auf jede .exe in einer E-Mail klicken und ohne 1337haaxt00l.exe nicht arbeiten können schützt dich ein Proxy-Server mit integrierter AV, ein Mailfilter mit AV und Antispam und eine Sicherheitskonfiguration, die es Usern verbietet Programme auszuführen.
Vor Mitarbeitern die gerne mal ihr eigenes virenverseuchtes Laptop mitbringen schützt dich ein Switch mit MAC-Kontrolle (besser: VPN) und drakonische Strafen.
Nur eins musst du sicherstellen: Wenn du mit alle dem anfängst muss dein Netzwerk natürlich auf dem neusten Updatestand sein (das sollte es ohnehin immer) und du musst sicher sein, dass sich nicht schon etwas eingeschlichen hat.

Nicht zu letzt darfst du eins nicht vergessen: Personal Firewalls erhöhen technisch gesehen die Angriffsfläche eines PCs, da eben jeder Traffic durch sie durchgeht. Ist in der Firewall-Software also ein Exploit vorhanden ist es für einen Hacker sehr viel leichter...


Aber das sind nur meine Zwei Cent als Personal-Firewall-Hasser

Grüße

Max
Bitte warten ..
Mitglied: StefanKittel
01.03.2009 um 01:30 Uhr
Hallo,

personal Firewalls, in dem aktuellen Enwicklungsstand, sind unnütz und machen nur Ärger.

Eine Firewall soll 2 Dinge tun. Eingehenden und ausgehenden Traffic filtern bzw. ablehnen

Eingehender Traffic: Ein NAT-Router filterert ja schon alles weg. Das was überbleibt, ist der interne Traffic und da reicht die Windows-Firewall aus, bzw. die Nachteile überwiegen.

Ausgehenden Traffic: Der Windows-Firewall geht vieles durch die Lappen, aber der effektive Nutzen bei einer besseren ist quasi gleich Null.
Ich kenne mich recht gut mit Netzwerkprotkollen aus, aber die Frage einer Firewall "rundll32 versucht auf Port 12345 auf IP 123.123.123.123" zuzugreifen. Wollen Sie dies erlauben?" kann ich nicht beantworten. Wie sollte also ein User das können. Entweder klickt man dann immer auf Ja, dann kann man sich die Firewall sparen, oder immer auf Nein, dann dauert es nicht lange bis irgendwas nicht mehr geht.

Sonstige Nachteile sind vielfältige Fehlfunktionen innerhalb des Netzwerkes, wenn die Firewall mal wieder der Meinung war, dass irgendwas böse wäre.
Da die meisten Programme sehr schlechte Kommunikationsfunktionen haben, bekommt man dann Fehler wo man sehr lange für die Fehleranalyse braucht.
Beispiel gefällig? Meldung von Lexware beim buchen! Sonst geht alles! "Zugriff verweigert (Der Vorgang wurde fehlerfrei ausgeführt)" mit einem "OK" darunter.

Außerdem reduzieren Sie die Geschwindigkeit des PCs teilweise recht deutlich.

Versteht mich nicht falsch. Eine funktionieren Firewall, die Informationen verständlich aufbereitet, so dass man auf die Frage auch wirklich eine Antwort geben könnte, halte ich für Sinnvoll. Aber sowas habe ich bis jetzt nicht gesehen und ich glaube, dass es sowas unter Windows auch nicht geben wird/kann.

Dann müßte die Meldung so heißen.
Programm Lexware Buchhalter versucht Daten an einen Server der Lexware GmbH zu übertragen. Wollen Sie dies zulassen?
Details:
Programm: c:\programme\Lexware Buchhalter\LxUpdater.exe
Unterstützr: rundll32.dll
Server update.lexware.de (123.123.123.123 Port 80)

Stefan
Bitte warten ..
Mitglied: spacyfreak
01.03.2009 um 06:05 Uhr
Da hat natürlich jeder so seine "Meinung", kommt immer drauf an wen man frägt.

Unternehmens-Netze (Intranet) mit zig tausend Benutzern sehe ich nicht als wesentlich "sichereres" Terrain an als das Internet.
Jeder "mitgebrachte" Notebook das ans LAN angestöpselt wird kann einen Wurm einschleusen (und tut dies gelegentlich auch).

Ich weiss nicht wie Leute dazu kommen zu behaupten die Windows Firewall würde nichts taugen.
Sie "hätte" vor jedem bekannten Wurm und üblichen Netzangriffen geschützt wenn sie aktiv gewesen wäre.
Mit netsh Befehlen kann man sie auch gut via Script konfigurieren.
http://technet.microsoft.com/en-us/library/cc728285.aspx

Jeden Tag kann ein neuer Wurm kommen, und jeder PC im LAN der "zufällig" nicht gepatcht ist (und das kann keiner garantieren dass jeder PC im LAN jederzeit aktuell gepatcht ist..) hat binnen dem Bruchteil einer Sekunde eine Infektion.
Bei tausenden Rechnern macht das unglaubliche Kosten und führt zu Produktionsverlust.
Server für die ich zuständig bin schütze ich stets mit einer lokalen Firewall und öffne nur das was unbedingt notwendig ist.
Warum eine grosse Angriffsfläche bieten, nur aus Bequemlichkeitsgründen?

Daher finde ich eine Personal Firewall grundsätzlich notwendig. Man sollte sich nicht der Illussion hingeben, nur weil man IT-Security Policies auf dem Papier hat wäre das Intranet "sicher". Das war es nie und wird es nie sein.
Bitte warten ..
Mitglied: spacyfreak
01.03.2009 um 06:10 Uhr
Nicht zu letzt darfst du eins nicht vergessen: Personal Firewalls
erhöhen technisch gesehen die Angriffsfläche eines PCs, da
eben jeder Traffic durch sie durchgeht. Ist in der Firewall-Software
also ein Exploit vorhanden ist es für einen Hacker sehr viel
leichter...

Also weil "eventuell" eine Personal Firewall einen Bug haben "könnte" sollte man schon im Voraus keine verwenden? Das gab es relativ selten - Fälle wo die Firewall jedoch vor irgendwas schützt gibt es jedoch fast täglich.
Weil mein Autogurt eine Fehlfunktion haben könnte sollte ich mich präventiv nicht anschnallen?

Be Personal Firewalls die ausgehenden Traffic sperren gebe ich dir recht - das war beispielsweise bei der Zone Alarm recht nervig, der User ist von solchen Meldungen überfordert und sie interessieren ihn auch nicht. Den eingehenden Traffic zu filtern ist jedoch nützlich um vor allem vor "Day Zero" Angriffen (neuer Wurm) zu schützen die es regelmässig gibt.
Bitte warten ..
Mitglied: Suffer1981de
01.03.2009 um 09:26 Uhr
Ich denke auch das eine Personal Firewall relativ gut schützen kann, wenn man sie denn richtig konfiguriert hat. Eine Aussage wie "Wollen Sie das erlauben?" ab oder klickt auf "Immer Zulassen" kann bei einer vernünftig konfigurierten Firewall im Firmennetz nicht passieren. Ich gebe dem User nämlich gar nicht die Möglichkeit das zu tun.

Alle Ports die ich brauche sind darüber schon freigegeben und die anderen dürfen meine Kollegen gar nicht benutzten. Fertig.

Ich denke aber, daß je nach Größe des Unternehmens eine PF nicht den Schutz bietet, den man braucht.

Viele PF kann man gezielt durch Overflow zum Absturz bringen etc, da ist es natürlich besser eine Hardwarefirewall zu verwenden. Ist halt eine Frage der Finanzen.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: spacyfreak
01.03.2009 um 09:53 Uhr
Viele PF kann man gezielt durch Overflow zum Absturz bringen etc, da
ist es natürlich besser eine Hardwarefirewall zu verwenden. Ist
halt eine Frage der Finanzen.


Ist eine Frage der Wahrscheinlichkeit - es ist viel wahrscheinlicher dass ein pc der nicht durch PF geschützt ist einen Wurm einfängt, als dass einer im internen Netz sich mit Angreifbarkeiten der PF beschäftigt und diese gezielt angreift. Wobei das zwar je nach Unternehmenskultur vorkommen kann - jedoch wohl eher die Ausnahme darstellt.
Bitte warten ..
Mitglied: maretz
01.03.2009 um 10:01 Uhr
Gut - ich reihe mich mal in der Anti-PF-Reihe ein.

Teils sind die Punkte ja schon genannt worden: Meldungen sind kryptisch und damit für User nahezu unverständlich.

Nehmen wir jetzt mal den Punkt "Laptop mit Wurm" unter die Lupe. Ok - die direkte Infektion vom Laptop aus wird gestoppt. Allerdings: Was passiert wenn der Wurm (mal wieder) das Outlook-Adressbuch mitnimmt und dann via Outlook (oder anderem Standard-Mailprog) die Mail mitsenden will? Die Mail geht jetzt von nem Kollegen raus - an die eigenen Kollegen. Erfahrungsgemäß (und ich mache den Job auch schon ein paar Tage länger) werden 90% der User schonmal gucken "Ah, den kenn ich, und der Anhang 'Lustig.exe'" wird bedenkenlos geöffnet - wobei Lustig.exe auch durch beliebige andere Namen ersetzt werden kann). Damit ist der Wurm jetzt auf dem nächsten PC - und versucht sich dort bei aktiver Firewall weiterzusenden. Die PF fragt jetzt "Soll outlook.exe der Zugriff auf Port (SMPT oder MAPI) erlaubt werden?". Wenn der User nicht eh schon auf "Ja" drückt (klar, Outlook kenn ich, der macht nix böses) dann rufte er ggf. noch in der EDV an. Und je nach häufigkeit dieser Anrufe passiert es schnell das er von dort aus "Klar, Outlook möchte deine Mail senden - klick auf Ja/Immer erlauben" hört. So - und mit diesem Klick haben wir ne ganze Reihe ausgelöst:
a) der Wurm darf Outlook freundlich für alles nutzen
b) Je nach Funktion von "Lustig.exe" kann die Personal-Firewall jetzt auch nen "Patch" enthalten der allen Netzwerktraffic mitpackt. Oder die Firewall wird komplett umgangen/deaktiviert - der User glaubt also noch an Schutz und hat nix mehr

Allerdings: Wer meint etwas ist schrott - der sollte auch immer einen besseren Vorschlag haben. Dies wäre auch bei mir der vorgeschalte Router. Die Verbindungen können dort (sofern das nen halbwegs gutes Gerät ist - oder z.B. ein Linux-Router) direkt mit einer Firewall auf dem Router gesteuert werden. Auf der Firewall wird jedoch nix anderes geöffnet - damit können dort auch keine Programme die Firewall direkt umkonfigurieren (ganz davon abgesehen das die Firewall selbstverständlich eher selten mit root-Rechten bedient wird). Weiterhin gibt es hier keinen User der mal eben unbedarft auf "Ja, mach scho hin" klickt - dafür fehlen gleich die Rechte. Und wenn man seine Server schützen möchte - so kann man die gleich noch zusätzlich hinter nen 2ten Port der Firewall hängen - und schon hat man auch da keine Sorgen mehr...

Einziger Nachteil an der Router-Lösung: Die ist weder Transportabel noch "umsonst". Wenn man sich nen 20-Euro-Router kauft so wird der keine ernsthafe "Innen->Aussen"-Firewall haben, da is meist nach nen paar Port-Forwards schluss... Aber: Sicherheit gibts nunmal nicht umsonst - und bei den meisten Heimanwendern wäre eine komplexere Router-Firewall auch (leider) vergebens - da die nunmal nicht einfach nur "Ja/Nein"-Klicken beinhalten sondern Wissen über Netzwerke und Ports vorraussetzen...
Bitte warten ..
Mitglied: ITwissen
01.03.2009 um 12:57 Uhr
Ueblicherweise laesst die Unternehmensfirewall nur von einem Rechner SMTP nach aussen und das ist der offizielle Mailserver. An diesen muss sich der User mit seinem Mailprogramm authentifizieren.

Damit gehen keine Wurm/Spam/Sonstwas Mails im Namen der Firma raus.

Wer das anderst eingestellt hat, ist selber Schuld
Bitte warten ..
Mitglied: DerWoWusste
01.03.2009 um 22:46 Uhr
Filterung von ausgehendem Verkehr ist weiterhin nahezu unmöglich, wenn sich ein Schädling auf dem Rechner befindet, der nicht eben ungeschickt ist. Mit Vista wurde dies eingeführt - was Microsofts Securityexperte Steve Riley davon hält, kannst Du hier sehen: http://www.microsoft.com/emea/spotlight/sessionh.aspx?videoid=352 - Abschnitt „outbound controls“ (25:37-30:00). Dies gilt prinzipiell für jede Firewall, die sich auf dem zu schützenden System selbst befindet. Und eingehender Verkehr ist entweder erwünscht oder wird eh vom Router abgefangen bzw. an der Unternehmenshardwarefirewall, dafür braucht man ebensowenig eine Softwarefirewall.
Bitte warten ..
Mitglied: spacyfreak
07.03.2009 um 16:14 Uhr
Und eingehender Verkehr ist
entweder erwünscht oder wird eh vom Router abgefangen bzw. an der
Unternehmenshardwarefirewall, dafür braucht man ebensowenig eine
Softwarefirewall.

In einem Enterprise Intranet mit zig tausend Clients oder einem Campus Netzwerk ist das Intranet nicht als sicherer zu betrachten als das Internet selbst.
Und ins Internet klinkt man sich ja auch nicht ohne Personal Firewall, ausser es ist einem egal oder der Rechner lauscht eh auf keinen Ports, was aber so gut wie nie vorkommt, ausser man weiss genau was man macht.
Bitte warten ..
Mitglied: ITwissen
07.03.2009 um 17:35 Uhr
Für den Sysadmin von 100en von Clients ist sind Personal Firewalls die Hölle, vor allem, wenn die Benutzer die Kontrolle darüber haben (Stichworte: Fernwartung, Automatische Updates, Application Deployment, ...).

Besonders in einem Enterprise Netzwerk gibt es besser Möglichkeiten als Personal Firewalls. Da sind keine SOHO Netzwerkkomponenten im Einsatz, sonder richtige Geraete, die auch "böse Pakete" automatisch Filtern. Die Netzwerktopologie laesst sich da auch entsprechend Planen, dass die Risiken minimiert sind.

Ich kenn aber auch Sysadmins, die auf PF schwören. Allerdings haben mich deren Argumente bisher nicht überzeugt.

Gute Virenscanner sind meiner Ansicht nach effektiver.

Eventuell lass ich mich noch bei "vagabundierenden" Laptops von der Notwendigkeit einer PF ueberzeugen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (5)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...