Firewall verhindert gemeinsamen Netzzugang

Hallo,
um meinen alten (stationären)Computer und mein neues Notebook zu schützen, habe ich mich durchgerungen, jeweils die McAfe-Firewall (Freeware) zu installieren. Das klappt soweit auch (einigermaßen) gut, wenn ich mir nicht in den Kopf gesetzt hätte, mittels WLan mein Notebook über den Desktop-Comuter an die ISDN-Leitung zu bringen (Win2000, gemeinsame Nutzung der Internetverbindung ist aktiviert). Ohne Firewall auf dem festen Computer klappt das auch hervorragend. Sobald ich aber die Firewall einschalte, komme ich mit dem Notebook nicht mehr ins Netz (wohl aber immer noch mit dem stationären). Ich habe die Firewall auch auf Netzwerkcomputer gestellt und das auch freigegeben, aber es tut sich nichts (außer, ich gebe noch eine feste IP - z.B. von Google frei, aber dann komme ich auch nicht weiter als google…)
Frage: Welche Einstellungen muss man tätigen, um durch die Firewall des stationären Compters in die Freie Welt zu kommen? (wobei der Schutz gegen Angreifer bestehen bleiben soll).

Gruß
Flaves

Hallo,

sog. „personal Firewalls“ sind wirklich überflüssig. Deinstalliere das Teil und schon ist’s gut.

Zur Firewall: Welche Server hast Du denn auf Deinem „stationären“ Rechner installiert, dass Du meinst, Dich mit einer „Firewall“ schützen zu müssen?

Merke: Wo keine Serverdienste sind, ist auch kein Angriff möglich. Und wenn Deine Ports noch so oft gescannt werden. Also alles bestens. Jetzt sagen viele „Ja, aber wenn ich mir einen „Trojaner“ einfange? Dann brauche ich doch die Firewall!“. Prinzipiell ja. Nur umgehen moderne „Trojaner“ jede personal Firewall. Also auch wieder nix. Wie gesagt, lösch’ das Teil und lade Dir kein komisches Zeug runter, von dem Du nicht weisst, was es tut.

Gruß

Fritze

Hallo Fritze,

schlechte Idee, die Firewall grundsätzlich abzuschalten, nur weil man meint, keinen Server zu betreiben. Hat man Windows 2000/NT/XP in der Grundeinstellung laufen, dann gibt es genug Dienste, die von aussen erreichbar sind und entsprechen Unfug anstellen können (siehe z.B. den Blaster-Wurm, der sich selbständig über einen offenen Port 135 ins System bringen konnte. Folgen sind ja bekannt)

Gruß

Markus

Hi,

schlechte Idee, die Firewall grundsätzlich abzuschalten, nur
weil man meint, keinen Server zu betreiben.

Warum, wenn man keinen Server betreibt?

Hat man Windows 2000/NT/XP in der Grundeinstellung laufen,

Just for fun: „Die vernuenftigste Konfiguration eines Windows-System entspricht der exakten Invertierung aller Voreinstellungen.“ (gehoert von einem Admin)

dann gibt es genug Dienste, die von aussen erreichbar sind

Also doch Server? Ich dachte, dass will man nicht? Bitte entscheide Dich, solch schnelle Meinungsaenderungen verwirren mein einfach gestricktes Gemuet.

und entsprechen Unfug anstellen können (siehe z.B. den
Blaster-Wurm, der sich selbständig über einen offenen Port
135 ins System bringen konnte. Folgen sind ja bekannt)

Warum ist der offen? Braucht den wer? Koennte man ihn ja abstellen. Warum kann man nicht einfach den patch nicht installieren? Warum finde ich Deine Argumente nicht?

Ich versteh’s wirklich nicht,
Gruss vom Frank.

Hallo,
der Artikel ist schon ein wenig älter, aber ich finde, dass man ihn so nicht stehen lassen kann.

schlechte Idee, die Firewall grundsätzlich abzuschalten, nur
weil man meint, keinen Server zu betreiben.

Warum, wenn man keinen Server betreibt?

Hast Du eine Freigabe für ein Verzeichnis oder einen Drucker?
Wenn nicht hat jede NT/2000/XP Maschine eine administrative Freigabe.
Ist das kein Serverdienst?
Gefallen Dir PopUps über den Nachrichtendienst?
Willst Du Tür und Tor für jeden Wurm und Trojaner offen halten?
Eine Firewall ist grundsätzlich immer eine sinnvolle Angelegenheit.

Zurück zum eigendlichen Thread.
Wenn die Firewall zu restriktiv ist, gehe den umgekehrten Weg.
Öffne die Ports, an denen es liegen könnte, teste wann Deine Verbindung abreisst und überlege warum.
Dann schliesse wieder die Ports

Gruß

Hallo,

Hi,

der Artikel ist schon ein wenig älter, aber ich finde, dass
man ihn so nicht stehen lassen kann.

You’re welcome.

schlechte Idee, die Firewall grundsätzlich abzuschalten, nur
weil man meint, keinen Server zu betreiben.

Warum, wenn man keinen Server betreibt?

Hast Du eine Freigabe für ein Verzeichnis oder einen Drucker?

Ich persoenlich? Nun… nein. Allgemein: wenn ja, betreibt man einen server.

Wenn nicht hat jede NT/2000/XP Maschine eine administrative
Freigabe.

… und man betreibt wieder einen server.

Ist das kein Serverdienst?

Doch, doch. Deshalb explizit die Einschraenkung: keine server.

Gefallen Dir PopUps über den Nachrichtendienst?

Ich weiss nicht, noch nie gesehen. Sind sie bunt? Anyway, wenn der Nachrichtendienst laeuft, betreibt man … richtig: einen server.

Willst Du Tür und Tor für jeden Wurm und Trojaner offen
halten?

Noe. Deshalb betreibe ich die obengenannten server ja auch nicht.

Eine Firewall ist grundsätzlich immer eine sinnvolle
Angelegenheit.

Grundsaetzlich? Das heisst, es gibt Ausnahmen? Z.B. wenn man sie nicht bei KundK kauft (SCNR)?

Zurück zum eigendlichen Thread.
Wenn die Firewall zu restriktiv ist, gehe den umgekehrten Weg.
Öffne die Ports, an denen es liegen könnte, teste wann Deine
Verbindung abreisst und überlege warum.

Puh, das sind mindestens 2x65536 ports… waere mir zu aufwendig.

Dann schliesse wieder die Ports

Full ACK: durch Abstellen der nicht benoetigten Dienste. Insbesondere dem (IMHO nicht benoetigten) Dienst, der gerade an allen ports laeuft.

YMMV,
Gruss vom Frank.

Hallo nochmal

der Artikel ist schon ein wenig älter, aber ich finde, dass
man ihn so nicht stehen lassen kann.

You’re welcome.

thanks

schlechte Idee, die Firewall grundsätzlich abzuschalten, nur
weil man meint, keinen Server zu betreiben.

Warum, wenn man keinen Server betreibt?

Hast Du eine Freigabe für ein Verzeichnis oder einen Drucker?

Ich persoenlich? Nun… nein. Allgemein: wenn ja, betreibt
man einen server.

Absolut nicht, der Hauptthread beschreibt eine Situation, in der ein Laptop ins Inernet über eine WS geht. Beide benutzen Win2k und haben also standardmässig den Netbiosdienst (Freigabe) und mindestens den Nachrichtendiesnt laufen.
Auch als Workstation.
Weiter schildert Flaves, dass er mittels WLAN zwischen den Rechnern kommuniziert. Wird da wohl der Freigabedienst genutzt?

Doch, doch. Deshalb explizit die Einschraenkung: keine
server.

Jede Workstation, selbst XP Home liefert diese „Server“-Dienste mit!

Gefallen Dir PopUps über den Nachrichtendienst?

Ich weiss nicht, noch nie gesehen. Sind sie bunt? Anyway,…

Habe letztens einen nagelneuen Rechner mit einem Modem ans Internet über Tiscali verbunden. Nach 2 Minuten hatte ich mein erstes Popup.
Wem dann noch nicht bewusst ist, dass jeder Rechner Schutz braucht, der sollte seine Zeit im Internet geniessen, sie könnte kurz sein.

Eine Firewall ist grundsätzlich immer eine sinnvolle
Angelegenheit.

Grundsaetzlich? Das heisst, es gibt Ausnahmen? Z.B. wenn man
sie nicht bei KundK kauft (SCNR)?

Nein, immer :smile:))

Im Haupthread klingt es stark danach, dass es keine allgemeine Port80 Freigabe ins interne Netz gibt.

Idee wäre also, wer überfordert ist von den Einstellungen der PF, sollte nur die gefährlichsten Ports nach Aussen abstellen. Somit können gefahrlos Netzfreigaben und Druckerdienste genutzt werden.
Und wie soll das ohne Firewall funktionieren?
Wer sich Sicher bei den Einstellungen der PF fühlt sollte dann restriktiver alles schliessen und einzelne Ports öffnen, aber niemals ohne.

Gruß
Witold

Hallo nochmal

Hi,

Hast Du eine Freigabe für ein Verzeichnis oder einen Drucker?

Allgemein: wenn ja, betreibt man einen server.

Absolut nicht, der Hauptthread beschreibt eine Situation, in
der ein Laptop ins Inernet über eine WS geht. Beide benutzen
Win2k und haben also standardmässig den Netbios dienst
(Freigabe) und mindestens den Nachrichten diesnt laufen.
Auch als Workstation.

Ich hab die wichtigen Stellen markiert: Dienst! Server. Alles klar? Das Du ein Ding, das Dienste anbietet, auch als workstation missbrauchen kannst ist klar. Deshalb ist es trotzdem eine server machine, die mit den auf ihr laufenden servern services anbietet.

Weiter schildert Flaves, dass er mittels WLAN zwischen den
Rechnern kommuniziert. Wird da wohl der Freigabedienst
genutzt?

Kommunikation==Freigabedienst? Deine Schluesse sind sehr interessant. Selbst wenn er den nutzt, muss der nicht an das interface zum Internet gebunden sein, sondern nur ans interne.

Jede Workstation, selbst XP Home liefert diese
„Server“-Dienste mit!

Natuerlich. Aber warum sollte man sie ins Internet anbieten?

Gefallen Dir PopUps über den Nachrichtendienst?

Habe letztens einen nagelneuen Rechner mit einem Modem ans
Internet über Tiscali verbunden. Nach 2 Minuten hatte ich mein
erstes Popup.

Was erwartest Du? Du bietest einen Dienst an. Warum tust Du das, obwohl Du sowas offensichtlich nicht willst?

Wem dann noch nicht bewusst ist, dass jeder Rechner Schutz
braucht, der sollte seine Zeit im Internet geniessen, sie
könnte kurz sein.

Definiere kurz. Funktioniert bei mir seit mehreren Jahren. Erst denken, dann geniessen.

Idee wäre also, wer überfordert ist von den Einstellungen der
PF, sollte nur die gefährlichsten Ports nach Aussen abstellen.
Somit können gefahrlos Netzfreigaben und Druckerdienste
genutzt werden.

Genau: er loest die Dienste an diesen ports vom externen interface. Was bringt Dich auf den abwegigen Gedanken, jemand, der den Haken bei „Client fuer Microsoft-Netzwerke“ nicht trifft, koenne dies um so besser bei der personal firewall? Weil die bunter ist?

Und wie soll das ohne Firewall funktionieren?

Abstellen der Dienste.

Wer sich Sicher bei den Einstellungen der PF fühlt […]

"Och, heute ist so schoenes Wetter draussen, da ‚hacken‘ sie mich bestimmt nicht…’ Sicherheit ist kein Gefuehl. Sicherheit ist ein Zustand.

OT: bei allem Respekt, aber ich bin ein wenig entsetzt darueber, in welcher Branche Du taetig bist und welche Sprueche Du hier los laesst.

Wartend auf den exploit fuer $PF,
Gruss vom Frank.