Free-/Shareware Personal Firewall

Etwas länger.

willst Du eigentlich helfen?

Nein.

Damit hast Du die Frage schon ehrlich beantwortet. Also bleib auch bei Deiner Aussage und laber nicht immer noch weiter. Denn niemand hat sich nach Deiner Meinung erkundigt.

Oder bist Du nur hier um zu
zeigen, daß Du von der Sache was verstehst und alle anderen
Dir sowieso nicht das Wasser reichen können?

Kaum.

…aber, eigentlich doch? So nach dem Motto: „Unter Blinden ist der Einäugige König“? Wenn Du glaubst der große Linux Papst zu sein, dann antworte auch nur auf solche Fragen, welche sich um Linux drehen. (Aber in den einschlägigen Foren kannst Du wohl nicht so viel Aufregung verursachen?)

Wenn ich Deine Beiträge lese habe ich den Eindruck, daß es Dir
ziemlich auf den Nerv geht, so „banale“ Dinge beantworten.
Warum machst Du’s dann?

Weil diese Forum hier „IT-Sicherheit“ heist (Das sind diese
Krakel auf dem hellen Hintergrund, auf die du vorhin
vermutlich gerade geklickt hast). Und es hat verdammt wenig
mit dem Thema zu tun, wenn hier jemand sagt: „Installier
Teenie-Alarm und Zonen-Wand“ und das so unwidersprochen
bleibt.

Markus hat nur gefragt, ob jemand eine gut funktionierende Firewall kennt. Mehr nicht. Wenn Du Dich schon gezwungen fühlst zu antworten, hätte ein „Nein“ ausgereicht. Mit Begründung. Denn wie oben schon erwähnt, Deine MEINUNG interessiert hier wirklich niemanden.

Es zwingt Dich keiner, den weniger
Wissenden weiter zu helfen.

Es zwingt Dich auch keiner, einfach selber zu helfen - wenn Du
mit meinen Antworten nicht zufrieden bist. Klar, rumnörgeln
ist da wesentlich relaxter.

Er ist auf dem besten Weg sich zu helfen, und ein Schritt ist die Frage hier bei WWW. Wenn man dann allerdings solche Worthülsen, Beleidigungen und dumme Bemerkungen von Dir liest, verliert man schnell die Lust an WWW. Er hat nicht genörgelt, sondern Du hast, wie immer, gepöbelt.

Jupp. Aber Konzept bedeutet denken. Und das, wo Computer
selbiges bekanntlich abnehmen…

Du gibst Antworten auf Fragen die garnicht gestellt wurden. Irgendwie seltsam.

Denk mal drüber nach, ob Du hier noch am richtigen Platz bist,

Wie willst Du das beurteilen? Was willst Du damit in diesem
Kontext sagen?

Da fangen die Schwierigkeiten mit dem selbstständigen Denken ja schon an! Bei Dir.

oder ob Du vielleicht lieber ein „intelligenteres“ Publikum
als es in diesem Forum vorhanden ist mit Deiner Anwesenheit
erfreuen willst.

Joo, er spielt den „Arroganten“. Ist sein Image das er sich hier mühsam erkämpft hat. Dieser krampfhafte Versuch geht für mich aber eher in die Richtung „Pausenclown“.

Worum geht es hier eigentlich: Ich dachte immer um Sicherheit.
Du sagst eben, es geht um „erfreuen“. Ein Brett, wo sich
ZoneAlarmer gegenseitig kraulen und erzählen, wie cool sicher
ihr Computer auch ist.

Abschnitt spricht für sich selber.

Naja.

Bei Deinem männlichen Vornamen hast Du in der Tat wenig
Chancen, wenn Du auch von mir gekrault werden willst.

Deine Streichelgruppe findet Deinen Beitrag aber so hilfreich
wie nur irgendetwas hier. Dazu meine herzlichsten
Glückwünsche.

Nun geht`s wie üblich noch eine Stufe tiefer. ( Gehört immer noch zum Image).

Ich jedenfalls finde Deine arrogante Art
ziemlich daneben

Er möchte gerne arrogant sein, aber für mich ist das eher…

Jaja. Geh’ mal in eine Flugschule, nachdem 20 planlose Leute
Flugzeuge vom Himmel geschmisen haben und frag: "Hey Du, wenn
ich landen will, muß ich erst den roten oder grünen Knopf
drücken - und ‚Roger-roger-mayday‘ ins Mikro brüllen?

Ich weiss nicht, aber ich habe den Verdacht, daß man Dich da
etwas - umm - unglücklich anguckt.

Man muß doch nicht lachen, oder?

und kann auf Deine Wischi-Waschi-Antworten
auf meine ziemlich konkrete Frage gerne verzichten.

Was war daran „Wischi-waschi“?

Alles!

Sebastian

Toni
Nun geht gleich die Meute auf mich los, die der Möchtegern Guru um sich versammelt hat.

Hallo Toni,

ich bitte auch dich, absofort Sachlich zu bleiben.

Wenn du Sebastians (Nivuea) kritisieren möchtest, dann begibt dich nicht auf das tiefe Nivuea der persönlichen Bleidigungen.

Achtung! Für alle. Nachfolgend gehe ich komplett auf jede Bemerkung von Toni ein…
Ihr seit gewarnt worden:smile:

willst Du eigentlich helfen?

Nein.

Damit hast Du die Frage schon ehrlich beantwortet. Also bleib
auch bei Deiner Aussage und laber nicht immer noch weiter.
Denn niemand hat sich nach Deiner Meinung erkundigt.

Wenn du zitierst dann zitiere bitte alles bzw. So das der Sinn erhalten bleibt.
Bitte sachlich bleiben. (Sonst mußt du dir das Argument anhören. Dich hat auch nie jemand nach deiner Meinung gefrag)

Oder bist Du nur hier um zu
zeigen, daß Du von der Sache was verstehst und alle anderen
Dir sowieso nicht das Wasser reichen können?

Kaum.

…aber, eigentlich doch? So nach dem Motto: „Unter Blinden
ist der Einäugige König“? Wenn Du glaubst der große Linux
Papst zu sein, dann antworte auch nur auf solche Fragen,
welche sich um Linux drehen. (Aber in den einschlägigen Foren
kannst Du wohl nicht so viel Aufregung verursachen?)

Du stellst hier eine Behauptung auf. Die nicht bewiesen ist und die nur zur folge hat, das sich die Disku unötig aufschaukelt.

Wenn ich Deine Beiträge lese habe ich den Eindruck, daß es Dir
ziemlich auf den Nerv geht, so „banale“ Dinge beantworten.
Warum machst Du’s dann?

Weil diese Forum hier „IT-Sicherheit“ heist (Das sind diese
Krakel auf dem hellen Hintergrund, auf die du vorhin
vermutlich gerade geklickt hast). Und es hat verdammt wenig
mit dem Thema zu tun, wenn hier jemand sagt: „Installier
Teenie-Alarm und Zonen-Wand“ und das so unwidersprochen
bleibt.

Markus hat nur gefragt, ob jemand eine gut funktionierende
Firewall kennt. Mehr nicht. Wenn Du Dich schon gezwungen
fühlst zu antworten, hätte ein „Nein“ ausgereicht. Mit

Er hat schon begründet. Warum er mehr als mit Nein geantwortet hat. Aber es lässt sich darüber Streiten ob er in einem solchen Fall lieber nichts sagen sollte bzw. wie er es sagt.

Begründung. Denn wie oben schon erwähnt, Deine MEINUNG
interessiert hier wirklich niemanden .

Falsch! Mich schon.
Somit ist deine Behauptung falsefiziert.
Schließe nie von dich auf andere.

Es zwingt Dich keiner, den weniger
Wissenden weiter zu helfen.

Es zwingt Dich auch keiner, einfach selber zu helfen - wenn Du
mit meinen Antworten nicht zufrieden bist. Klar, rumnörgeln
ist da wesentlich relaxter.

Er ist auf dem besten Weg sich zu helfen, und ein Schritt ist
die Frage hier bei WWW.

Das sehe ich in diesem Fall auch so.

Wenn man dann allerdings solche
Worthülsen, Beleidigungen und dumme Bemerkungen von Dir liest,

Soweit wie ich das sehe ging das ganze eigentlich erst mit Markus reply auf Seb*'s los. Ist aber eigentlich auch egal.

Denk mal drüber nach, ob Du hier noch am richtigen Platz bist,

Wie willst Du das beurteilen? Was willst Du damit in diesem
Kontext sagen?

Da fangen die Schwierigkeiten mit dem selbstständigen Denken
ja schon an! Bei Dir.

Das war IMHO eine unötige Äusserung.

oder ob Du vielleicht lieber ein „intelligenteres“ Publikum
als es in diesem Forum vorhanden ist mit Deiner Anwesenheit
erfreuen willst.

Joo, er spielt den „Arroganten“. Ist sein Image das er sich
hier mühsam erkämpft hat. Dieser krampfhafte Versuch geht für
mich aber eher in die Richtung „Pausenclown“.

Und wieder eine Beleidigung.

Naja.

Bei Deinem männlichen Vornamen hast Du in der Tat wenig
Chancen, wenn Du auch von mir gekrault werden willst.

Deine Streichelgruppe findet Deinen Beitrag aber so hilfreich
wie nur irgendetwas hier. Dazu meine herzlichsten
Glückwünsche.

Nun geht`s wie üblich noch eine Stufe tiefer. ( Gehört immer
noch zum Image)

Ich kann nicht beurteilen in wie weit das zu seinem Image gehört.
Aber ich stimme dir zu, das das überzogen war.
.

Ich jedenfalls finde Deine arrogante Art
ziemlich daneben

Er möchte gerne arrogant sein, aber für mich ist das eher…

Man muß doch nicht lachen, oder?

Nun geht gleich die Meute auf mich los, die der Möchtegern
Guru um sich versammelt hat.

Welche Meute Meinst du? Ich habe in keinem der Postings irgend wie ein anzeichen dafür gesehen das Seb* irgendwelche Anhänger hat.

Ich persönlich bin in vielen Punkten Seb’s Meinung. Auch wenn ich die jetzige hitzige Disku nicht gut heisse.

mfg

Markus

willst Du eigentlich helfen?

Nein.

Damit hast Du die Frage schon ehrlich beantwortet.

Dein Ironiedetektor ist maximal kaputt.

[Rhabarber]

Markus hat nur gefragt, ob jemand eine gut funktionierende
Firewall kennt. Mehr nicht.

Das ist das Problem. Die Definition von „Firewall“ ist durchaus umstritten. Wenn ich schon nicht nach der Definition frage, so ist eine Frage nach der Funktion sehr sinnvoll. Oder ist alles erlaubt, was die Buchstaben „A“ „E“ „E“ „F“ „I“ „L“ „L“ und „R“ im Programmnamen trägt?

Wenn Du Dich schon gezwungen
fühlst zu antworten, hätte ein „Nein“ ausgereicht.

Ich kenne durchaus Programme, mit denen sich eine Firewallfunktionalität (ja nach zugrundeliegender Definition) erreichen lässt. Insofern wäre ein „Nein“ die falsche Antwort.

Mit
Begründung. Denn wie oben schon erwähnt, Deine MEINUNG
interessiert hier wirklich niemanden.

Das ist sicher bei Dir grundsätzlich anders.

Er ist auf dem besten Weg sich zu helfen, und ein Schritt ist
die Frage hier bei WWW. Wenn man dann allerdings solche
Worthülsen,

Bitte ein paar Besipiele.

Beleidigungen

Bitte ein paar Besipiele.

und dumme Bemerkungen

Ist „dumm“ „flapsig“ oder „planlos“

Jupp. Aber Konzept bedeutet denken. Und das, wo Computer
selbiges bekanntlich abnehmen…

Du gibst Antworten auf Fragen die garnicht gestellt wurden.
Irgendwie seltsam.

Ich habe auf Markus geantwortet.

Dieser krampfhafte Versuch geht für
mich aber eher in die Richtung „Pausenclown“.

Gute Unterhaltung.

Man muß doch nicht lachen, oder?

Nein. Ich wundere mich ob der Blauäugigkeit hier. Die Analogie in dem Abschnitt hast Du verstanden?

Du weisst, wieviele hier posten, daß sich ihr Computer komisch benimmt, obwohl sie erst vorletzen Monat so ein Sicherheitsprogramm frisch installierten?

und kann auf Deine Wischi-Waschi-Antworten
auf meine ziemlich konkrete Frage gerne verzichten.

Was war daran „Wischi-waschi“?

Alles!

So? Das sehe ich ganz anders. Du machst Dir die inhaltliche Kritik ein wenig einfach.

Nun geht gleich die Meute auf mich los, die der Möchtegern
Guru um sich versammelt hat.

Huch? Achso. Ich poste ja noch unter 13 anderen Psedonymen, darunter 11 weibliche Nammen. Klar.

Etwas sachlicher hätte es sein können…
Stimmt. Aber dann hätte ich Deine Vorgehensweise nicht nachahmen können. Aber genau das wollte ich ja.
Toni

Hallo,

Stimmt. Aber dann hätte ich Deine Vorgehensweise nicht
nachahmen können. Aber genau das wollte ich ja.
Toni

Jemand anderem also den Spiegel vorhalten?

Ich könnt dich dafür:smile: Jetzt habe ich solange auf dein Posting geantwortet. But die Statements die dort drinnen stehen. Stehen ja eigentlich nur wegen dir da drinn. Also danke

In diesem Sinne

Markus

… sondern einfach nur, damit ich Dich mal lächeln sehe

 \_\_\_\_\_\_\_\_\_\_
 /\_\_\_\_;;\_\_\_\
 | / /
 `. ())oo() .
 |\(%()\*^^()^\
 %| |-%-------|
 % \ | % )) |
 % \|%\_\_\_\_\_\_\_\_|
 %%%%

Hallo,

Das ist absolut falsch. Wir haben mehrfach darauf hingewiesen.
Das Zonearlam nicht die Lösung ist. Warum das so ist wurde
auch erwähnt. (Siehe den anderen Thread)

Zone Alarm/bel. Personal Firewall ist so wenig eine alleinige Lösung, wie es jede andere Sicherheitsmassnahme allein auch ist. Allein ist so gut wie jede Sicherheitsmassnahme unzuverlässig. Wie bei jeder Sicherheitsmassnahme gehört immer ein gewisses Maß an Kritik dazu. Absolute Sicherheit ist eh nicht erreichbar. Jedes System ist angreifbar.
Und eine Personal Firewall, sinnvoll konfiguriert, kann auf einer Workstation sicher das Risiko verringern, einem Angriff zum Opfer zu fallen.
Das von Euch immer implizierte „Security through Obscurity“ (was soll einem schon passieren, wenn die Serverdienste beendet sind… naja, man kann nur nicht alle beenden… gegen Anwendungsprogramme, die sich selbständig machen hilft es auch nicht viel…uswusw) ist sicher nicht besser als ein sinnvoll konfigurierter Computer + Personal Firewall. Und nicht jeder wird es sich antun wollen/können, eine eigene Firewall aufzusetzen.
Personal Firewalls können auch in einem durch eine dedizierte Firewall abgesicherten Netz durchaus noch sinnvoll sein. Egal wie gut eine Firewall geplant/realisiert ist, kann sie doch immer angegriffen werden. In vielen neueren Exploits ist es nicht mal nötig sich um die Firewall zu kümmern, da es genug andere Wegen ins Netz gibt. Und wenn der Angreifer mal im Netz ist, dann stellt die Personal Firewall immerhin noch eine weitere Hürde da.
Das ist alles eine Frage der Situation. Personal Firewalls als sinnlos abzustempeln, halte ich für genauso verblendet, wie sie als alleiniges Allheilmittel zu sehen.

Noch zum Ton in der Group:
Ehrlich gesagt finde ich die Kommentare eines bekannten „Experten“ hier auch etwas unpassend. Wenn er helfen will soll er es tun. Wenn ihn was annervt, dann soll er sich doch bitte einen Kommentar dazu verkneifen, der eh keinem weiterhilft. Und auch sein „Fachwissen“ ist durchaus nicht immer der Weisheit letzter Schluss.
auf den Link, der gepostet wurde zum Thema Personal Firewall („http://www.fefe.de/pffaq/halbesicherheit.txt“ ) ist wohl nicht wirklich gewünscht genauer einzugehen? Suggestives Gelaber ist nun wirklich nicht, was man in einer Diskussion gebrauchen kann.

ciao
ralf, der auf mehr vernünftige Diskussion hofft, und einen besseren Ton

Absolute Sicherheit ist eh
nicht erreichbar.

Ja.

Und eine Personal Firewall, sinnvoll konfiguriert, kann auf
einer Workstation sicher das Risiko verringern, einem Angriff
zum Opfer zu fallen.

Was bedeutet hier „sinnvoll konfiguriert“. Gegen welche „Angriffsszenarien“ hilft sie denn dann?

Das von Euch immer implizierte „Security through Obscurity“
[…] ist sicher nicht besser als ein sinnvoll
konfigurierter Computer + Personal Firewall.

Den ersten Satzteil habe ich überhaupt nicht verstanden. Welche „Security through Obscurity“ „implizieren“ „wir“?

Klammeinhalt gesondert kommentiert:

(was soll einem schon passieren, wenn die Serverdienste
beendet sind… naja, man kann nur nicht alle beenden…

Welche sind unverzichtbar im gegebenen Fall?

gegen
Anwendungsprogramme, die sich selbständig machen hilft es auch
nicht viel…uswusw)

Ein „Anwendungsprogramm“, was „raus“ will, umgeht die Firewall halt. Buschtrommel und y3k seien genennt und warum sollte nicht ein Hersteller von Spyware siech ebenso den Fluß seiner Ware sichern?

Und nicht jeder
wird es sich antun wollen/können, eine eigene Firewall
aufzusetzen.

Umm. Aber eine personal Firewall?

Personal Firewalls können auch in einem durch eine dedizierte
Firewall abgesicherten Netz durchaus noch sinnvoll sein.

Wozu?

Egal
wie gut eine Firewall geplant/realisiert ist, kann sie doch
immer angegriffen werden. In vielen neueren Exploits ist es
nicht mal nötig sich um die Firewall zu kümmern,

Oha. Das ist klar: wenn man ein Programm hat, für das man durch die „Firewall“ eine Lücke geöffnet hat (weil man es „von aussen“ braucht) ist anfällig für Exploits. Wenn man dieser Gefahr zuvorkommen möchte, sollte man generell überlegen, welche „Vertrauensstellung“ man dem betroffenen Rechner im internen Netz einräumt. Egal.

da es genug
andere Wegen ins Netz gibt. Und wenn der Angreifer mal im Netz
ist, dann stellt die Personal Firewall immerhin noch eine
weitere Hürde da.

Gegen was? Was kann sie dann verhindern? Gegen welchen Angriff in einem vernönftig konfigurierten internen Netz schützt sie?

Das ist alles eine Frage der Situation. Personal Firewalls als
sinnlos abzustempeln, halte ich für genauso verblendet, wie
sie als alleiniges Allheilmittel zu sehen.

Nun. Ein Programm, was nicht reproduzierbar arbeitet (und vom Konzept her mit den gleichen Rechter läuft wie der zu schützende User) ist der Sicherheit nicht zuträglich. Ich habe keine wirklich technische Dokumentation über ZoneAlarm gefunden, der Hersteller hat lediglich eine längere bunte Anleitung, in der die Blinkelampen erklärt werden. ZUmindest so wit ich gesucht habe. Von Quellcode sprechen wir lieber nicht…

Noch zum Ton in der Group:
Ehrlich gesagt finde ich die Kommentare eines bekannten
„Experten“ hier auch etwas unpassend. Wenn er helfen will soll
er es tun. Wenn ihn was annervt, dann soll er sich doch bitte
einen Kommentar dazu verkneifen, der eh keinem weiterhilft.

Wie gesagt: Wenn ich auf jedes Posting so antworte wie hier, dann werde ich vermutlich wunde Finger haben. Deshalb bescränke ich mich oft auf Einwürfe. Wen es interessiert, der mag es als Anregung für weitere Recherchen sehen (ja, ich habe jeden Punkt meiner Bemerkungen hier im Forum bereits dargelegt). Wer nur eben bestätigt haben will, daß er das weltbeste Programm einsetzt, sollte sich vielleicht wirklich überlegen, ob er die Beiträge einfach ignoriert.

Und auch sein „Fachwissen“ ist durchaus nicht immer der
Weisheit letzter Schluss.

Prima. Und an dieser Stelle bitte ich darum, nicht nur etwas anzudeuten, sondern dann auch gleichh inhaltlich zu diskutieren. Ich wäre sehr an Lücken in meinem „Fachwissen“ (ja: die Anführungsstriche könnten nicht passender sein) interessiert und vor allem an deren Schließung.

auf den Link, der gepostet wurde zum Thema Personal Firewall
(„http://www.fefe.de/pffaq/halbesicherheit.txt“ ) ist wohl
nicht wirklich gewünscht genauer einzugehen? Suggestives
Gelaber ist nun wirklich nicht, was man in einer Diskussion
gebrauchen kann.

Wo der Vorwurf aufkommt, Leute würden mit „Fachwissen“ erschlagen, sind Analogien hilfreich. Denke ich. Daß jeder Vergleich ein wenig hinkt, ist sicher kein Geheimnis, aber so übel ist dieser IMHO nicht.

Sebastian

.

Moin Ralf.

Wichtigste Klarstellungen folgen.
Ich bin absolut kein verfechter von „Security through Obscurity“, ganz im Gegenteil ich bin ein Gegner dieser Art der Sicherheit.
Sollte ich in irgendeinem Posting, allerdings doch diesen Anschein geweckt haben, möchte ich dich bitten mich per Mail auf die passenden Stellen hinzuweisen(Damit ich in Zukunft solch einen Fehler nicht mehr mache).

Personal Firewalls können auch in einem durch eine dedizierte
Firewall abgesicherten Netz durchaus noch sinnvoll sein. Egal
wie gut eine Firewall geplant/realisiert ist, kann sie doch
immer angegriffen werden. In vielen neueren Exploits ist es

Ob es sinnvoll oder nicht ist, darüber muß man noch diskutieren ,ich bin aber zu Faul, solche Diskus per Tastatur zuführen, deswegen nur eine kleine Anmerkung.
Wenn man an x-Stellen die Sicherheitsregeln implementiert erhöht das nicht umbeding die Übersichtlichkeit. IHMO ist gerade die Übersicht über sein Netzwerk sicherheitsentscheidend.

nicht mal nötig sich um die Firewall zu kümmern, da es genug
andere Wegen ins Netz gibt. Und wenn der Angreifer mal im Netz
ist, dann stellt die Personal Firewall immerhin noch eine
weitere Hürde da.

Nur ein Gesamtkonzept, kann die Sicherheit ausreichend erhöhen.
Aber wenn ich ein Gesamtkonzept für die Sicherheit habe, warum sollte dann eine Personal Firewall das Netzn sicherer machen?
Zumal auf der Personal Firewall dann ja die selben Regeln implementiert sind.
Wenn ich auf allen Systemen auf die Hostsicherheit achte und zusätzlich IDS Systeme einsetze ist es IMHO besser und ausserdem leichter zu administrieren.

Das ist alles eine Frage der Situation. Personal Firewalls als
sinnlos abzustempeln, halte ich für genauso verblendet, wie
sie als alleiniges Allheilmittel zu sehen.

Da stimme ich dir zu. Mein harter Standpunkt diente eigentlich hauptsächlich dazu die Leute zu sensiblisieren.

Noch zum Ton in der Group:
Ehrlich gesagt finde ich die Kommentare eines bekannten
„Experten“ hier auch etwas unpassend. Wenn er helfen will
er es tun. Wenn ihn was annervt, dann soll er sich doch bitte
einen Kommentar dazu verkneifen, der eh keinem weiterhilft.

Gut wir sollten uns auf folgendes verständigen.
Im Normalfall Antwortet man nur noch auf ein Posting wenn man der person in irgendeiner Weise helfen kann/möchte.
Das steh allerdinds auch in der Netquiette.

**> ciao

ralf, der auf mehr vernünftige Diskussion hofft, und einen
besseren Ton**

bis demnächst in diesem Thread

Markus

Hallo,

Und eine Personal Firewall, sinnvoll konfiguriert, kann auf
einer Workstation sicher das Risiko verringern, einem Angriff
zum Opfer zu fallen.

Was bedeutet hier „sinnvoll konfiguriert“. Gegen welche
„Angriffsszenarien“ hilft sie denn dann?

Nachdem ich gemerkt habe, dass mein Artikel wohl etwas schwammig formuliert war, und ich Nachteile und Vorteile in etwas unterschiedlichen Gebieten durcheinandergeworfen habe, versuche ich es jetzt noch einmal ein bisschen klarer:

Es sind wohl grundsätzlich einmal 2 Einsatzbegbiete zu Unterscheiden:

1. ein einzelner Arbeitsplatz mit einer Dial-Up Connection.

In diesem Fall ist es natürlich eine Frage, was die viel umworbenen Personal Firewalls leisten können. In den meisten Fällen bringen sie aber wohl nicht viel, und machen eher hysterisch.
Unter Win95/98/Me frage ich mich mittlerweile - nachdem ich nochmal darüber nachgedacht habe - auch, was denn eine Personal Firewall überhaupt leisten könnte, selbst wenn sie vernünftig implementiert wäre.
Vielleicht wenn sie die komplette TCP/IP-Implementierung ersetzen würde?
Als erstes dachte ich bei diesen Betriebssystemen an das fehlende Packet-Filtering. Aber was sollte ein Anwender mit einer Dial-Up connection für Interesse daran haben Dienste ins Internet anzubieten, wenn diese nicht gerade ICQ etc. sind, die eh wieder alles untergraben? Vielleicht bleibt noch die Möglichkeit bestimmte Exploits des OS zu verhindern, indem man die Ports dafür schliesst.
Dann denkt man an Programme, die vielleicht etwas unerwünschtes Unternehmen. Aber was hilft es unter diesen Betriebssystemen, wenn die Programme eh mit Admin Rechten laufen, und die Sache somit bequem umgehen können?
Naja, zur Ehrenrettung der Personal Firewalls: es wurden durch sie immerhin ein paar Phone-Home Programme entdeckt…
Puuh… fallen jmd. noch irgendwelche „sinnvollen“ Möglichkeiten ein?
Ich gebe zu - je mehr man darüber nachdenkt - desto schlechter werden sie Werbung Werbung…

Aber dann haben wir ja noch Betriebssysteme wie W2k, WinXP. Hier wäre die Sache ja zumindest schon mal theoretisch sinnvoll zu implementieren.
Hier gibt es ja dann endlich mal Unterscheidung von Rechten, und einen vernünftigen TCP/IP Stack. Und Dienste…
Einfaches Packet-Filtering haben wir ja eh schon, also ist hier die Personal Firewall dafür sowieso nicht intressant.
Was bleibt?
Die Möglichkeit vernünftig Anwendungen auf die Finger zu schauen. Zumindest theoretisch. Glaube kaum, dass es bei dem Zielmarkt von Personal Firewalls schon implementiert wurde.
Natürlich darf der Anwender nicht alles mit Admin-Rechten ausführen, und die Personal Firewall sollte als Dienst eingebunden sein. Dann könnte es ein Hilfsmittel sein.

Hiermit kommen wir auch zum 2. Anwendugsbereich:

2. Einsatz in einem (Firmen)Netzwerk:

In einem einfachen Home Netzwerk. Vielleicht läuft hier auch mal ein einfacher FTP Server, oder was auch immer. Hier kann man ohne grossen Aufwand die Rechner gegeneinander „absichern“. Sollte dem Diensteanbieter was passieren, muss er ja nicht gleich auch noch auf den anderen Rechner zugreifen können. Hier könnte man die entsprechenden Ports filtern etc. da ja Windows95/98/Me von sich aus solche Fähigkeiten durchaus missen lassen.
Allerdings glaube ich natürlich kaum, dass sich die meisten Anwender diesen Aufwand antun werden, die enstprechenden Regeln zu definieren. Aber theoretisch ist es möglich zumindest etwas mehr Sicherheit zu erreichen.
Besser ginge es natürlich mit einem eigenen Router/Firewall und dem „Dienste-Rechner“ in einer DMZ. Aber das ist noch wesentlich aufwendiger…

In einem Firmen Netzwerk könnte so eine Personal Firewall durchaus ihre Angenehmlichkeiten haben. Und das Hauptsächlich zum bekräftigen von internen Sicherheitsrichtlinien. So wird es dem Benutzer wesentlich schwerer gemacht schädliche Programme zu benutzen. Das über eine Packet-Filtering Firewall zu machen ist so gut wie ausgeschlossen (Features wie Tunneling verbieten das…). Über eine Application Firewall dürfte es zumindest sehr sehr aufwendig sein. Ausserdem bin ich überfragt, in wie weit wirklich Application Firewalls existieren, die vernünftig mit verschlüsselten Protokollen umgehen können.

Desweiteren besteht in einem Netzwerk bei alten Workstations eben auch die Möglichkeit zu Packetfiltering. Das kann etwa sinnvoll sein, wenn man einen Dienst (va unsichere wie telnet, etc…) nur wenigen Workstations im Netz anbieten will. Dadurch wird es auch einem externen Angreifer erschwert auf solche zusätzlich abgesicherten Dienste zuzugreifen, selbst wenn er die Firewall „in Besitz“ genommen haben sollte. Und alles was dem Angreifer Zeit kostet, erhöht die Sicherheit.

Naja, das waren jetzt so meine Gedankengänge…
Bleibe bei meiner Meinung, dass das Konzept zumindest in speziellen Fällen durchaus sinnvoll sein kann. Gebe Dir aber Recht, dass sie die Werbung der Anbieter auf keinen Fall erfüllen. In den Bereichen für die sie gedacht sind, sind sie wohl am sinnlosesten.

Klammeinhalt gesondert kommentiert:

(was soll einem schon passieren, wenn die Serverdienste
beendet sind… naja, man kann nur nicht alle beenden…

Welche sind unverzichtbar im gegebenen Fall?

Unter W2k etwa sind bestimmte Dienste essentiell für die Funktionalität. Und man weiss ja nie welche Exploits gefunden werden.

gegen
Anwendungsprogramme, die sich selbständig machen hilft es auch
nicht viel…uswusw)

Ein „Anwendungsprogramm“, was „raus“ will, umgeht die Firewall
halt. Buschtrommel und y3k seien genennt und warum sollte
nicht ein Hersteller von Spyware siech ebenso den Fluß seiner
Ware sichern?

Wie bereits erwähnt wird es unter w95… kaum möglich sein das zu verhindern, da gebe ich Dir mittlerweile recht. Hatte nicht genug an das mangelhafte Sicherheitskonzept der Heim-Betriebssysteme an sich gedacht.
Unter W2k/WinXP sollte es aber durchaus möglich sein das zu implementieren. Wenn der Anwender nicht gerade dauernd mit Admin Rechten um sich schmeisst

Und nicht jeder
wird es sich antun wollen/können, eine eigene Firewall
aufzusetzen.

Umm. Aber eine personal Firewall?

Tja, hier gebe ich Dir mittlerweile auch recht. Hier wären wohl vielleicht „vernünftige“ Vorkonfigurationen der Anbieter für bestimmte Fälle angebracht.

Egal
wie gut eine Firewall geplant/realisiert ist, kann sie doch
immer angegriffen werden. In vielen neueren Exploits ist es
nicht mal nötig sich um die Firewall zu kümmern,

Oha. Das ist klar: wenn man ein Programm hat, für das man
durch die „Firewall“ eine Lücke geöffnet hat (weil man es „von
aussen“ braucht) ist anfällig für Exploits. Wenn man dieser
Gefahr zuvorkommen möchte, sollte man generell überlegen,
welche „Vertrauensstellung“ man dem betroffenen Rechner im
internen Netz einräumt. Egal.

Da gebe ich Dir recht. Das Problem sind wiegesagt nur neue Exploits die gefunden wurden. Wahrscheinlich sind sie gar nicht mehr soo neu. Für mich waren sie es
Und zwar sind Probleme mit Protokollen gefunden worden, wie sie etwa in Cisco Routern etc. verwendet werden (hab die Namen gerade nicht im Kopf, habs erst in der neuen CT gelesen). Dadurch wird es möglich die Firewalls komplett auf einer ganz anderen Ebene zu umgehen.
Diese Möglichkeiten lassen es vernünftig erscheinen auch auf Host Sicherheit wieder mehr wert zu legen. Und hier könnte ich mir vorstellen, dass etwa „ähnliche Dinge wie Personal Firewalls“ durchaus weiterhelfen könnten.

So jetzt habe ich mir die Finger wundgetippt. Und bin darauf gekommen, dass wohl die meisten Personal Firewalls für die sie beworbenen Kunden in der momentanen Form nichts taugen (oder nur wenig). Das habe ich nun davon
Aber man kann ja noch hoffen, dass sie mal besser werden =)

ciao
ralf

Versteh ich nicht…

Und eine Personal Firewall, sinnvoll konfiguriert, kann auf
einer Workstation sicher das Risiko verringern, einem Angriff
zum Opfer zu fallen.

Der Knackpunkt ist ‚sinnvoll konfiguriert‘. Zone Alarm und ähnliche Tools implizieren leider dem User, es sei ‚ganz easy‘, eine Firewall zu konfigurieren. Doch das ist nicht der Fall.

Und nicht jeder
wird es sich antun wollen/können, eine eigene Firewall
aufzusetzen.

Das wäre aber die Voraussetzung, damit das Ding a) seinen Namen verdient und b) das Ding auch nützt.

In vielen neueren Exploits ist es
nicht mal nötig sich um die Firewall zu kümmern, da es genug
andere Wegen ins Netz gibt. Und wenn der Angreifer mal im Netz
ist, dann stellt die Personal Firewall immerhin noch eine
weitere Hürde da.

Also, wenn eine dedizierte Firewall kein Hindernis darstellt, warum sollte dann eine Personal Firewall eines sein?

Das ist alles eine Frage der Situation. Personal Firewalls als
sinnlos abzustempeln, halte ich für genauso verblendet, wie
sie als alleiniges Allheilmittel zu sehen.

Korrekt.

Allerdings bin ich nicht so begeistert davon, dass in letzter Zeit in manchen PC-Zeitschriften Personal Firewalls schon fast ‚gehyped‘ werden. Praktisch überall werden die fast als Allheilmittel gepriesen. Kritische Meinungen und deutliche Hinweise auf die ebenso notwendigen Punkte, die man neben der Installation und Konfiguration einer Firewall beachten muss, findet man kaum.

CU
Peter

Moin again,

Es sind wohl grundsätzlich einmal 2 Einsatzbegbiete zu
Unterscheiden:

1. ein einzelner Arbeitsplatz mit einer Dial-Up Connection.
   […]
   Ich gebe zu - je mehr man darüber nachdenkt - desto schlechter
   werden sie Werbung Werbung…

Großententeils Zustimmung zu Punkt eins, zumal du ja zu dem selben Schluß zukommen scheints wie Seb* und ich.

Aber dann haben wir ja noch Betriebssysteme wie W2k, WinXP.
Hier wäre die Sache ja zumindest schon mal theoretisch
sinnvoll zu implementieren.

Möglich schon.
Aber aus meinen Erfahrungen kann ich dir nur sagen es ist in der
praxis echt schwer.
(Viele Programmiere, programmieren Ihre Programme so das sie Admin rechte bzw. schreib zugriffe auf %systemroot% benötigen)

[…]

Was bleibt?
Die Möglichkeit vernünftig Anwendungen auf die Finger zu
schauen. Zumindest theoretisch. Glaube kaum, dass es bei dem
Zielmarkt von Personal Firewalls schon implementiert wurde.
Natürlich darf der Anwender nicht alles mit Admin-Rechten
ausführen, und die Personal Firewall sollte als Dienst
eingebunden sein. Dann könnte es ein Hilfsmittel sein.

Oberstes Gebot. Der Anwender sollte sowieso nur nie als Admin arbeiten, ausser es ist für einen Speziellen Fall nötig(Dann muß er sich halt als Admin anmelden und danach wieder abmelden)

Hiermit kommen wir auch zum 2. Anwendugsbereich:

2. Einsatz in einem (Firmen)Netzwerk:

In einem einfachen Home Netzwerk. Vielleicht läuft hier auch
mal ein einfacher FTP Server, oder was auch immer. Hier kann
man ohne grossen Aufwand die Rechner gegeneinander

Warum sollte das jemand machen wollen? Wenn die Person einen FTP Server betreib dann will sie doch das jemand darauf zu greift, oder ?

„absichern“. Sollte dem Diensteanbieter was passieren, muss er

Welchen Dienst anbieter meinst du ?

ja nicht gleich auch noch auf den anderen Rechner zugreifen
können. Hier könnte man die entsprechenden Ports filtern etc.
da ja Windows95/98/Me von sich aus solche Fähigkeiten durchaus
missen lassen.
Allerdings glaube ich natürlich kaum, dass sich die meisten
Anwender diesen Aufwand antun werden, die enstprechenden
Regeln zu definieren. Aber theoretisch ist es möglich
zumindest etwas mehr Sicherheit zu erreichen.

Sehr theoretisch.
Wenn auch noch ander Dinge berücksichtig werden

Besser ginge es natürlich mit einem eigenen Router/Firewall
und dem „Dienste-Rechner“ in einer DMZ. Aber das ist noch
wesentlich aufwendiger…

Findest du ?

In einem Firmen Netzwerk könnte so eine Personal Firewall
durchaus ihre Angenehmlichkeiten haben. Und das Hauptsächlich
zum bekräftigen von internen Sicherheitsrichtlinien. So wird

Sicherheitsrichtlinien sollten immer auf alle Teile eines Netzwerkes angewandt werden. Nur möchte ich bezweifeln das Personal Firwalls, wirklich vorteile bringen.

es dem Benutzer wesentlich schwerer gemacht schädliche
Programme zu benutzen. Das über eine Packet-Filtering Firewall
zu machen ist so gut wie ausgeschlossen (Features wie
Tunneling verbieten das…). Über eine Application Firewall
dürfte es zumindest sehr sehr aufwendig sein. Ausserdem bin
ich überfragt, in wie weit wirklich Application Firewalls
existieren, die vernünftig mit verschlüsselten Protokollen
umgehen können.

Was soll dann die Personal Firewall dagegen machen?
BTW. Mit einem Proxy kannst du die meistens tunneling-ware aufhalten. (Verbiete zum beispiel die connect Methode)
Allerdings gibt es Software die sich davon nicht aufhalten Lässt. Http-tunnel ist so eins.
Aber wenn du wie ich, die Benutzer als Teil deines Netzwerkes siehst(Sie also mit in die Sicherheitslinien reingehören), dann benötigst du dererlei Maßnahmen nicht. Schule die User, erkläre ihnen warum sie nicht die Firewall umgehen dürfen und setzte notfalls auf Personalrechtliche Konsequenzen.

Desweiteren besteht in einem Netzwerk bei alten Workstations
eben auch die Möglichkeit zu Packetfiltering. Das kann etwa
sinnvoll sein, wenn man einen Dienst (va unsichere wie telnet,
etc…)

NACK!
Wenn der Dienst telnet nur auf bestimmten Hosts laufen soll. Dann installiere ihn auch nur auf diesen. Es macht keinen Sinn, einen Dienst zu installieren, um ihn dann mit einem weiteren Dienst zu deaktivieren.

nur wenigen Workstations im Netz an bieten will. Dadurch

wird es auch einem externen Angreifer erschwert auf solche
zusätzlich abgesicherten Dienste zuzugreifen, selbst wenn er
die Firewall „in Besitz“ genommen haben sollte. Und alles was
dem Angreifer Zeit kostet, erhöht die Sicherheit.

Du hast da schon die richtigen Ansätze, aber ich finde nicht das Personal Firewalls, die richtige Lösung darstellen.

Naja, das waren jetzt so meine Gedankengänge…
Bleibe bei meiner Meinung, dass das Konzept zumindest in
speziellen Fällen durchaus sinnvoll sein kann. Gebe Dir aber

Da werde ich dir nicht widersprechen. In speziellen Fällen kann das immer sein. Ich kann mir bloß im Moment keinen vorstellen.

[…]

Und zwar sind Probleme mit Protokollen gefunden worden, wie
sie etwa in Cisco Routern etc. verwendet werden (hab die Namen
gerade nicht im Kopf, habs erst in der neuen CT gelesen).
Dadurch wird es möglich die Firewalls komplett auf einer ganz
anderen Ebene zu umgehen.
Diese Möglichkeiten lassen es vernünftig erscheinen auch auf
Host Sicherheit wieder mehr wert zu legen. Und hier könnte ich

??? wieso wieder mehr wert legen ? Denke immer daran. Die Sicherheit eines Netzwerk, ist nur so sicher wie sein schwächstes Glied!

mir vorstellen, dass etwa „ähnliche Dinge wie Personal
Firewalls“ durchaus weiterhelfen könnten.

Der Admin sollte lieber seine Zeit darauf verwenden, das zu verhindern anstatt sich mit der inst. von Personal FW’s rum zuschlagen.

So jetzt habe ich mir die Finger wundgetippt. Und bin darauf
gekommen, dass wohl die meisten Personal Firewalls für die sie
beworbenen Kunden in der momentanen Form nichts taugen (oder
nur wenig). Das habe ich nun davon

Genau das ist der Punkt.

Aber man kann ja noch hoffen, dass sie mal besser werden =)

Hoffen darf man immer.

bis dann Markus

Hallo nochmal,

muss nur ein paar Missverständnisse ausräumen, also keine Angst, wird nicht mehr ganz so lange

Der Anwender sollte sowieso nur nie als Admin
arbeiten, ausser es ist für einen Speziellen Fall nötig(Dann
muß er sich halt als Admin anmelden und danach wieder
abmelden)

Die meisten Dinge gehen auch mit „Ausführen als…“ besser ist das, weil dann kann man es nicht vergessen. Nur in ganz speziellen Fällen ist es nötig sich als Admin anzumelden.

In einem einfachen Home Netzwerk. Vielleicht läuft hier auch
mal ein einfacher FTP Server, oder was auch immer. Hier kann
man ohne grossen Aufwand die Rechner gegeneinander

Warum sollte das jemand machen wollen? Wenn die Person einen
FTP Server betreib dann will sie doch das jemand darauf zu
greift, oder ?

Missverständnis hier:
Ich meinte: der FTP ist nach aussen offen, aber die Workstation sperrt alle Con-Versuche des FTP Servers auf die Workstation. Damit ist schon ein gewisses Maß an Sicherheit erreicht.

„absichern“. Sollte dem Diensteanbieter was passieren, muss er

Welchen Dienst anbieter meinst du ?

Der Ftp Server ist der Dienst Anbieter. Ich nenns das nächste mal Server. Wenn man was eindeutscht, versteht es keiner mehr

In einem Firmen Netzwerk könnte so eine Personal Firewall
durchaus ihre Angenehmlichkeiten haben. Und das Hauptsächlich
zum bekräftigen von internen Sicherheitsrichtlinien. So wird

Sicherheitsrichtlinien sollten immer auf alle Teile eines
Netzwerkes angewandt werden. Nur möchte ich bezweifeln das
Personal Firwalls, wirklich vorteile bringen.

Das Problem ist, dass es ja wohl des öfteren nicht möglich sein sollte das komplette Netzwerk mit einer Sicherheitsrichtlinie zu versorgen. So kann es durchaus vorkommen das ein Teil der Computer Protokolle benötigt, die nicht unbedingt als sicher zu werten sind. Und je nach grösse des Netzwerks ist es wohl nicht immer möglich Diese durch interne Firewalls abzutrennen.

es dem Benutzer wesentlich schwerer gemacht schädliche
Programme zu benutzen. Das über eine Packet-Filtering Firewall
zu machen ist so gut wie ausgeschlossen (Features wie
Tunneling verbieten das…). Über eine Application Firewall
dürfte es zumindest sehr sehr aufwendig sein. Ausserdem bin
ich überfragt, in wie weit wirklich Application Firewalls
existieren, die vernünftig mit verschlüsselten Protokollen
umgehen können.

Was soll dann die Personal Firewall dagegen machen?
BTW. Mit einem Proxy kannst du die meistens tunneling-ware
aufhalten. (Verbiete zum beispiel die connect Methode)
Allerdings gibt es Software die sich davon nicht aufhalten
Lässt. Http-tunnel ist so eins.

Tja, und jedes Programm unterstützt mittlerweile http Tunnel .
Eine PErsonal Firewall kann anhand des Programmes Filtern, ob es zugreifen darf. Und das macht einen grossen Unterschied aus. Es sichert nicht vollkommen. Aber es erinnert den Benutzer daran, dass er nichts gutes Tut. Erinnert mich irgendwie an die Aussage MS zu der Aktivierungspflicht…
Ausserdem ist es dann vom Benutzer mit voller Absicht gemacht. Und das kann sicher zu anderen personellen Konsequenzen führen (bzw. schneller)

Aber wenn du wie ich, die Benutzer als Teil deines Netzwerkes
siehst(Sie also mit in die Sicherheitslinien reingehören),
dann benötigst du dererlei Maßnahmen nicht. Schule die User,
erkläre ihnen warum sie nicht die Firewall umgehen dürfen und
setzte notfalls auf Personalrechtliche Konsequenzen.

Das wäre immer die beste Möglichkeit. Und ohne geht es sowieso nicht. Aber ob es allein reicht, bezweifle ich.

Desweiteren besteht in einem Netzwerk bei alten Workstations
eben auch die Möglichkeit zu Packetfiltering. Das kann etwa
sinnvoll sein, wenn man einen Dienst (va unsichere wie telnet,
etc…)

NACK!
Wenn der Dienst telnet nur auf bestimmten Hosts laufen soll.
Dann installiere ihn auch nur auf diesen. Es macht keinen
Sinn, einen Dienst zu installieren, um ihn dann mit einem
weiteren Dienst zu deaktivieren.

Missverständniss:
Es sollen nur bestimmte Hosts auf den Telnet-Server zugreifen können!

??? wieso wieder mehr wert legen ? Denke immer daran. Die
Sicherheit eines Netzwerk, ist nur so sicher wie sein
schwächstes Glied!

Nein! Eine Firewall führt ja gerade Deinen Satz ad absurdum. Dir wird es nie gelingen ein vernünftig laufendes Netz, intern so sicher zu gestalten, wie es nach aussen darstehen soll. Das geht allein schon vom Prinzip her nicht. Interne Netzwerk Server Dienste lassen oft Sicherheitsfeatures missen. Deshalb wurden doch Firewalls überhaupt erst erfunden. Um ein an sich unsicheres Netz beim Übergang in ein feindliches Netz abzuschotten.
Und denke daran: Du kannst nie das ganze Netz nur aus Computern bestehen lassen, deren Sicherheit der einenes Bastion Hosts etwa gleicht. Naja, ausser Du stellst die Computer nur hin, damit die Leute in ansehen dürfen

mir vorstellen, dass etwa „ähnliche Dinge wie Personal
Firewalls“ durchaus weiterhelfen könnten.

Der Admin sollte lieber seine Zeit darauf verwenden, das zu
verhindern anstatt sich mit der inst. von Personal FW’s rum
zuschlagen.

Weiss nicht wie es unter anderen Betriebssystemen aussieht, aber unter w2k ist das in einem vernünftig geplanten Netzwerk keine Affäre. Geht alles schön automatisiert.

ciao
ralf

Hallo nochmal,

Hallo nochmal,

Die meisten Dinge gehen auch mit „Ausführen als…“ besser ist
das, weil dann kann man es nicht vergessen. Nur in ganz
speziellen Fällen ist es nötig sich als Admin anzumelden.

Mag sein. Ist aber unter NT nicht soeinfach möglich und wie schon öfter erwähnt. Ich bin kein Windowser mehr.

Missverständnis hier:
Ich meinte: der FTP ist nach aussen offen, aber die
Workstation sperrt alle Con-Versuche des FTP Servers auf die
Workstation. Damit ist schon ein gewisses Maß an Sicherheit
erreicht.

???
Das macht meiner Meinung nach in diesem Zusammenhang keinen Sinn.

„absichern“. Sollte dem Diensteanbieter was passieren, muss er

Welchen Dienst anbieter meinst du ?

Der Ftp Server ist der Dienst Anbieter. Ich nenns das nächste
mal Server. Wenn man was eindeutscht, versteht es keiner mehr

Plonk (bin gerade vom Stuhl gefallen)

-)

Tu mir sowas nie wieder an.

In einem Firmen Netzwerk könnte so eine Personal Firewall
durchaus ihre Angenehmlichkeiten haben. Und das Hauptsächlich
zum bekräftigen von internen Sicherheitsrichtlinien. So wird

Sicherheitsrichtlinien sollten immer auf alle Teile eines
Netzwerkes angewandt werden. Nur möchte ich bezweifeln das
Personal Firwalls, wirklich vorteile bringen.

Das Problem ist, dass es ja wohl des öfteren nicht möglich
sein sollte das komplette Netzwerk mit einer
Sicherheitsrichtlinie zu versorgen. So kann es durchaus
vorkommen das ein Teil der Computer Protokolle benötigt, die
nicht unbedingt als sicher zu werten sind. Und je nach grösse
des Netzwerks ist es wohl nicht immer möglich Diese durch
interne Firewalls abzutrennen.

Die Sicherheitsrichtlinien werden festgelegt und werden dann auf allen Systemen implementiert.
Beispiel.

1. Telnet ist nicht erlaubt.

• Firewall block alle Telnet Verbindungen
• Auf den internen Hosts wird kein Telnetserver installiert.
• Zuwiderhandlungen werden mit dem Tod (userdel -r $user) bestraft:smile:

2. SSH ist default mäßig nicht erlaubt.

• Die Firewall block default mäßig SSH
• Bestimmte Hosts dürfen per ssh erreicht
• Nur auf den Hosts die ssh benutzen, wird es auch installiert.

3. Intern ist ftp erlaubt

• Firwall blockt ftp
• Es werden FTP Server eingerichtet
• Die Clients greifen darauf zu

(Dies sind Beispiele und ich würde das nicht direckt so in Regeln implementieren)

Wenn man nach diesem minimal Prinzip vorgeht. Gib es per definition nichts, was der Admin nicht möchte.
Zur Kontrolle seiner Regeln sollte er dann ein IDS einsetzen.

Da so keine Ports offen sind, die nicht offen sein sollen. benötigst du keine Personal Firewall, zumal sie keinen größeren nutzen bringen, als das schon erwähnte.

Tja, und jedes Programm unterstützt mittlerweile http Tunnel

http-tunnel ist ein extra Programm, ich meinte nicht http Tunnel im allgemeinen. Die lassen sich nämlich mit der connect Methode erfolgreich verbieten.
Http-tunnel setzt auf einen externen Server, mit dem du dich verbindest und der geht das sozusagen als proxy für dich raus.

(Für den User heißt das: Runter mit der Rübe:smile:

(.

Eine PErsonal Firewall kann anhand des Programmes Filtern, ob
es zugreifen darf. Und das macht einen grossen Unterschied
aus. Es sichert nicht vollkommen. Aber es erinnert den
Benutzer daran, dass er nichts gutes Tut. Erinnert mich
irgendwie an die Aussage MS zu der Aktivierungspflicht…

Auch das kann man umgehen. (beides:smile:

Aber wenn du wie ich, die Benutzer als Teil deines Netzwerkes
siehst(Sie also mit in die Sicherheitslinien reingehören),
dann benötigst du dererlei Maßnahmen nicht. Schule die User,
erkläre ihnen warum sie nicht die Firewall umgehen dürfen und
setzte notfalls auf Personalrechtliche Konsequenzen.

Das wäre immer die beste Möglichkeit. Und ohne geht es sowieso
nicht. Aber ob es allein reicht, bezweifle ich.

Alleine reicht nie etwas. Es muß immer das Gesamtkonzept stimmig sein.
IMHO ist der User immer das größte Sicherheitsloch(Aus der Praxis: Die schlimmsten User sind die Administratoren).

Lösung hierfür: Keine User:smile:
Man wäre das ein sicheres Netz:smile:

Desweiteren besteht in einem Netzwerk bei alten Workstations
eben auch die Möglichkeit zu Packetfiltering. Das kann etwa
sinnvoll sein, wenn man einen Dienst (va unsichere wie telnet,
etc…)

NACK!
Wenn der Dienst telnet nur auf bestimmten Hosts laufen soll.
Dann installiere ihn auch nur auf diesen. Es macht keinen
Sinn, einen Dienst zu installieren, um ihn dann mit einem
weiteren Dienst zu deaktivieren.

Missverständniss:
Es sollen nur bestimmte Hosts auf den Telnet-Server zugreifen
können!

Telnet ist IMHO am besten nie zu erlauben.
Aber auch dafür benötigst du keine PFW.

??? wieso wieder mehr wert legen ? Denke immer daran. Die
Sicherheit eines Netzwerk, ist nur so sicher wie sein
schwächstes Glied!

Nein! Eine Firewall führt ja gerade Deinen Satz ad absurdum.

Wieso?

Dir wird es nie gelingen ein vernünftig laufendes Netz, intern
so sicher zu gestalten, wie es nach aussen darstehen soll. Das
geht allein schon vom Prinzip her nicht. Interne Netzwerk
Server Dienste lassen oft Sicherheitsfeatures missen. Deshalb
wurden doch Firewalls überhaupt erst erfunden. Um ein an sich
unsicheres Netz beim Übergang in ein feindliches Netz
abzuschotten.

Ich glaube du(oder ich? siehst das vollkommen falsch.

Eine Firewall dient zu Unterstützung der Sicherheit, mehr nicht!
Was nütz dir die beste Firewall, wenn du einen HTTP-Server laufen lässt der absolut unsicher ist? Antwort: Garnichts.
Der HTTP-Server ist das schwächste Glied in der Sicherheitskette gewesen und somit ist deine Sicherheitskette gerissen.

Und denke daran: Du kannst nie das ganze Netz nur aus
Computern bestehen lassen, deren Sicherheit der einenes
Bastion Hosts etwa gleicht. Naja, ausser Du stellst die

Richtig ist ja auch gar nicht notwendig.
Allerdings müsste ich jetzt noch weiter aussholen um das zu Erklären. Um ehrlich zu sein habe ich dazu keine Lust.

Deswegen mein Tip. Hol dir das Buch „Building Internet Firewalls von Oreilly“. Dieses Buch enthält IMHO einen guten Gesamtüberblick in Sachen Sicherheit und ist ein gutes Nachschlage Werk.

Computer nur hin, damit die Leute in ansehen dürfen

hey gar keine Schlechte IDEE:smile:

Weiss nicht wie es unter anderen Betriebssystemen aussieht,
aber unter w2k ist das in einem vernünftig geplanten Netzwerk
keine Affäre. Geht alles schön automatisiert.

Cool. Macht das ganze dann aber nicht umbedingt sicherer.

In diesem Sinne

Markus

Hiho,

oder Nachzuschlagen in „building internet firewalls“ von O’Reilly
(SCNR)

Die meisten Dinge gehen auch mit „Ausführen als…“ besser ist
das, weil dann kann man es nicht vergessen. Nur in ganz
speziellen Fällen ist es nötig sich als Admin anzumelden.

Mag sein. Ist aber unter NT nicht soeinfach möglich und wie
schon öfter erwähnt. Ich bin kein Windowser mehr.

Mit Rechtsklick sehr einfach möglich

Missverständnis hier:
Ich meinte: der FTP ist nach aussen offen, aber die
Workstation sperrt alle Con-Versuche des FTP Servers auf die
Workstation. Damit ist schon ein gewisses Maß an Sicherheit
erreicht.

???
Das macht meiner Meinung nach in diesem Zusammenhang keinen
Sinn.

Doch doch und nochmal doch
Bei einer richtigen Firewall Implementation sueht es ja auch so ähnlich aus. Der Server steht in einer DMZ. Alle Zugriffe von diesem müssen über den Router am Perimeter zum internen Netz laufen - werden also im günstigsten Fall komplett geblockt. Während Zugriffe aus dem internen Netz erlaubt sind. Ersetze den Router zum internen Netz durch Deine Personal Firewall und Du hast den Sinn

Die Sicherheitsrichtlinien werden festgelegt und werden dann
auf allen Systemen implementiert.
Beispiel.

1. Telnet ist nicht erlaubt.

• Firewall block alle Telnet Verbindungen
• Auf den internen Hosts wird kein Telnetserver installiert.
• Zuwiderhandlungen werden mit dem Tod (userdel -r $user)
  bestraft:smile:

2. SSH ist default mäßig nicht erlaubt.

• Die Firewall block default mäßig SSH
• Bestimmte Hosts dürfen per ssh erreicht
• Nur auf den Hosts die ssh benutzen, wird es auch
  installiert.

3. Intern ist ftp erlaubt

• Firwall blockt ftp
• Es werden FTP Server eingerichtet
• Die Clients greifen darauf zu

(Dies sind Beispiele und ich würde das nicht direckt so in
Regeln implementieren)

In einfachen Fällen dürfte auch eine Implementierung für alle User ausreichen. Aber wie gesagt: es gibt Fälle in denen verschiedene User-Gruppen eben unterschiedliche Bedürfnisse haben. In manchen Fällen wird es sinnvoll sein solche Usergruppen durch interne Firewalls zu trennen. Dadurch wird die evtl. Anfälligkeit eines Teil des Netzwerks nicht zu einer für das gesamte Netzwerk.
Wenn aber etwa eine Usergruppe zu klein ist, ist vielleicht eine Personal Firewall besser geeignet, sie ist einfacher zu implementieren, und erfordert keinen dedizierten Rechner, und schränkt in bestimmten Fällen die Geschwindigkeit des Netzwerkes weniger ein.
Man schafft in seinem Netz also Untereinheiten mit unterschiedlichen Sicherheitsanforderungen.

Wenn man nach diesem minimal Prinzip vorgeht. Gib es per
definition nichts, was der Admin nicht möchte.
Zur Kontrolle seiner Regeln sollte er dann ein IDS einsetzen.

Wie gesagt: das dürfte schwer in allen Fällen zu realisieren sein.

Missverständniss:
Es sollen nur bestimmte Hosts auf den Telnet-Server zugreifen
können!

Telnet ist IMHO am besten nie zu erlauben.
Aber auch dafür benötigst du keine PFW.

Wie gesagt: es geht um das interne Netzwerk. Hier kann es durchaus Anforderungen geben, für die es vonnöten ist. Dass nach aussen nie ein Telnet Server existieren sollte, gebe ich Dir vollkommen recht. Aber wie gesagt: Es ist nicht immer möglich im internen Netz alle Dienste zu verbieten, die wenn sie nach aussen offen sind, gefährlich sind.
In solchen Fällen kann es dann doch durchaus sinnvoll sein, dass auf diesen Server nur die nötigsten User, und der unsichere Server nur auf die wenigsten Netz-Ressourcen zugreifen kann.

Dir wird es nie gelingen ein vernünftig laufendes Netz, intern
so sicher zu gestalten, wie es nach aussen darstehen soll. Das
geht allein schon vom Prinzip her nicht. Interne Netzwerk
Server Dienste lassen oft Sicherheitsfeatures missen. Deshalb
wurden doch Firewalls überhaupt erst erfunden. Um ein an sich
unsicheres Netz beim Übergang in ein feindliches Netz
abzuschotten.

Ich glaube du(oder ich? siehst das vollkommen falsch.

Eine Firewall dient zu Unterstützung der Sicherheit, mehr
nicht!
Was nütz dir die beste Firewall, wenn du einen HTTP-Server
laufen lässt der absolut unsicher ist? Antwort: Garnichts.
Der HTTP-Server ist das schwächste Glied in der
Sicherheitskette gewesen und somit ist deine Sicherheitskette
gerissen.

Bei richtiger Konfiguration der Firewall eben nicht. Der http-Server auf den von draussen zugegriffen wird, findet seinen Platz sinnigerweise im Perimeter-Netzwerk (oder DMZ, wie man es nun auch immer nennen will). Dort sollte er auch möglichst sicher sein, aber eine Kompromittierung des Servers gefährdet nicht die Sicherheit des Netzes. Das interne Netz ist ja von diesem „abgetrennt“. Er hat damit den Server, aber sonst nichts gewonnen. Wichtige interne Daten kommen an ihn nicht ran. Dieser Server sollte natürlich trotzdem vernünftig abgesichert werden, da es allemal ärgerlich ist, wenn er geknackt wird. Defacements sind sicher nicht immer schön…

Ein http-Server, der nur den Clients des inneren Netzes dienen soll und vertrauliche Daten bietet, wird sinnigerweise nicht (niemals!) sich im Perimeter Netzwerk befinden. Er wird sich allein im internen Netz befinden. Von aussen wird keiner auf ihn zugreifen dürfen. So ist der Server zwar potentiell unsicher, aber er wird durch die Firewall nach aussen hin abgeschirmt.
Genauso verhält es sich mit den meisten Server Diensten, die im internen Netz für dessen Funktionieren essentiell sind. Sie sind oft gefährlich/unsicher. Daher wird jedweger Zugriff von Aussen auf sie eben durch eine vernünftige Firewall Implementation vereitelt.
Am besten wäre es natürlich, wären die internen Netzprotokolle auch sicher, aber leider kann man das heute noch nicht (kaum) haben.

Deswegen mein Tip. Hol dir das Buch „Building Internet
Firewalls von Oreilly“.

hab ich^^
aber ich habe anscheinend zu wenig Ahnung davon, deshalb sollte ich vielleicht doch nochmal lieber von vorne anfangen? oder was willst Du mir damit sagen?
Achja, und wir gerade dabei sind. Lies doch mal nach, als was in diesem Buch die Firewall eingeführt wird.
Ich empfehle die Lektüre von Seite 23ff: „What can a firewall do?“
englisch, 2. Auflage.
Noch was über Unsicherheit vin File Sharing im internen Netz:
p. 45ff File Sharing.
p. 63ff Unterschied zwischen schwächster Punkt in der Kette, und Stärke eines choke points (hier setzt die Firewall an).

nur ein paar Beispiele. Die meisten werden später noch genauer ausgeführt. Gutes Buch zum Nachschlagen
(SCNR)

Weiss nicht wie es unter anderen Betriebssystemen aussieht,
aber unter w2k ist das in einem vernünftig geplanten Netzwerk
keine Affäre. Geht alles schön automatisiert.

Cool. Macht das ganze dann aber nicht umbedingt sicherer.

Einfachheit muss nicht zu Unsicherheit führen. Man darf sich nur nie von etwas verleiten lassen. Deshalb lieben wohl auch viele LEute Linux/Unix, weil es so kompliziert ist, muss es sicherer sein?
Selbst in dem von Dir empfohlenen Buch wird von diesem Vorurteil Abstand genommen!

in diesem Sinne auch
ralf

Erst mal Tschuldigung…
das ich mich falsch verhalten habe.

´:

oder Nachzuschlagen in „building internet firewalls“ von
O’Reilly
(SCNR)

Deswegen mein Tip. Hol dir das Buch „Building Internet
Firewalls von Oreilly“.

hab ich^^
aber ich habe anscheinend zu wenig Ahnung davon, deshalb
sollte ich vielleicht doch nochmal lieber von vorne anfangen?
oder was willst Du mir damit sagen?

Ich wollte dir in keinster weise persönlich zu nahe treten, noch in irgend einer Form eine Aussage über deine Qualifikation tätigen.
Ich habe auf diese - wie ich im nachhinein zugeben muß- schlechte Art versucht das hickhack zwischen uns abzukürzen.

Ich möchte mich also bei dir in aller Form entschuldigen.

Auf dein restliches Posting werde ich später Antworten.

In diesem Sinne

Markus

Hätte Dir gern einen…
…Bewertungspunkt gegeben. Aber seltsamerweise kann ich das nicht .
Toni

…Bewertungspunkt gegeben. Aber seltsamerweise kann ich das
nicht .
Toni

… in den ersten 2 monaten nach deiner anmeldung geht es noch nicht!
gruss Franz

Hallo,

nach dem ich ein wenig nachgedacht habe.
Komme ich zu folgenem Schluß. Soweit liegen unsere Meinungen gar nicht auseinander, ich denke es ist einfach ein Kommunikations Problem, das hauptsächlich auf dem Medium beruht.
Wenn wir das ganze telefonisch diskutieren würden, würden wir uns bestimmt schnell einig werden.

Um abzuküzen werde ich versuchen nur auf die wichtigesten Punkte einzugehen. (Hoffe das gelinkt mir:smile:

Missverständnis hier:
Ich meinte: der FTP ist nach aussen offen, aber die
Workstation sperrt alle Con-Versuche des FTP Servers auf die
Workstation. Damit ist schon ein gewisses Maß an Sicherheit
erreicht.

???
Das macht meiner Meinung nach in diesem Zusammenhang keinen
Sinn.

Doch doch und nochmal doch

Hier reden wir an einander vorbei.
Welche Zugriffe des FTP Servers auf den Client Meinst du eigentlich?
FTP-DATA?
AUTH?

Bei einer richtigen Firewall Implementation sueht es ja auch
so ähnlich aus. Der Server steht in einer DMZ. Alle Zugriffe
von diesem müssen über den Router am Perimeter zum internen
Netz laufen - werden also im günstigsten Fall komplett
geblockt. Während Zugriffe aus dem internen Netz erlaubt sind.
Ersetze den Router zum internen Netz durch Deine Personal
Firewall und Du hast den Sinn

Mit dem nachteil das du so an mehreren Stellen regeln warten mußt, anstatt es an einer Zentralen Stelle zu tun. Und genau das ist es wo rauf ich hinaus will.
IMHO ist es einfacher, das an einer zentralen Stelle zu machen. Wenn jemand dort durch die Regeln schlüpft, dann schafft er auch, wenn die Regeln auf 2 oder mehr Systemen liegen, der Zeitaufwand wird nicht sehr viel höher sein.

In einfachen Fällen dürfte auch eine Implementierung für alle
User ausreichen. Aber wie gesagt: es gibt Fälle in denen
verschiedene User-Gruppen eben unterschiedliche Bedürfnisse
haben. In manchen Fällen wird es sinnvoll sein solche
Usergruppen durch interne Firewalls zu trennen. Dadurch wird
die evtl. Anfälligkeit eines Teil des Netzwerks nicht zu einer
für das gesamte Netzwerk.

Nochmals. Es muß ein Gesamtkonzept existieren. In dem auch steht, wie man Einzelfälle regelt. (Weiteres geht zu sehr ins detail)

Wenn aber etwa eine Usergruppe zu klein ist, ist vielleicht
eine Personal Firewall besser geeignet, sie ist einfacher zu

Wie schon erwähnt. Natürlich kann es in spezial Fällen eine Lösung sein. Es macht jetzt bloss keinen Sinn diese mit aller Gewalt zu suchen. Auch bei diesem Beispiel gebe ich zu bedenken. Wenn es die Möglichkeit gibt die Sicherheit zentral zu lösen ist das übersichtlicher als dezentral. (Denn wie du weiter unten bemerkst. Nicht immer ist das komplizierte das besserere)

Missverständniss:
Es sollen nur bestimmte Hosts auf den Telnet-Server zugreifen
können!

Telnet ist IMHO am besten nie zu erlauben.
Aber auch dafür benötigst du keine PFW.

Wie gesagt: es geht um das interne Netzwerk. Hier kann es
durchaus Anforderungen geben, für die es vonnöten ist. Dass
nach aussen nie ein Telnet Server existieren sollte, gebe ich

Gut aber dafür hast du dann eine zentrale Firewall und keine PFW auf dem Server oder ?

Bei richtiger Konfiguration der Firewall eben nicht. Der
http-Server auf den von draussen zugegriffen wird, findet

Eben doch.
Zum einen bei deinem Ansatz mit der PFW. Dann gibt es nämlich keine DMZ.
Zum anderen.
Der Server wurde gehackt und das weil er das schwächste Glied war. (Das er gottseidank in der DMZ steht, spricht für eine gute FW config, besser wäre gewesen er wäre nicht gehackt worden, weil der Admin die notwendigen Patches eingespielt hätte)

hab ich^^
aber ich habe anscheinend zu wenig Ahnung davon, deshalb
sollte ich vielleicht doch nochmal lieber von vorne anfangen?
oder was willst Du mir damit sagen?

Dafür habe ich mich ja schon entschuldigt:smile:

Achja, und wir gerade dabei sind. Lies doch mal nach, als was
in diesem Buch die Firewall eingeführt wird.
Ich empfehle die Lektüre von Seite 23ff: „What can a firewall
do?“

englisch, 2. Auflage.
Noch was über Unsicherheit vin File Sharing im internen Netz:
p. 45ff File Sharing.
p. 63ff Unterschied zwischen schwächster Punkt in der Kette,
und Stärke eines choke points (hier setzt die Firewall an).

Es ist schon länger her das ich das Buch gelesen habe, aber an etwa der selben Stelle befindet sich auch der Hinweis das es sinnvoller ist, die Kontrolle an einem Punkt anzusetzen, als an mehreren.

nur ein paar Beispiele. Die meisten werden später noch genauer
ausgeführt. Gutes Buch zum Nachschlagen

Ist es in der Tat.
Wenigstens da sind wir einer Meinung:smile:

Weiss nicht wie es unter anderen Betriebssystemen aussieht,
aber unter w2k ist das in einem vernünftig geplanten Netzwerk
keine Affäre. Geht alles schön automatisiert.

Cool. Macht das ganze dann aber nicht umbedingt sicherer.

Einfachheit muss nicht zu Unsicherheit führen. Man darf sich
nur nie von etwas verleiten lassen. Deshalb lieben wohl auch
viele LEute Linux/Unix, weil es so kompliziert ist, muss es
sicherer sein?
Selbst in dem von Dir empfohlenen Buch wird von diesem
Vorurteil Abstand genommen!

Absolut richtig. BTW Ich rate auch die ganze Zeit davon ab.
Und mein Cool bezieht sich ja gerade darauf. Einfacher ist es zentral zu administrieren, als mit irgend einer Software weitere Software übers Netz zu verteilen.

Nacht

Markus

PS
Habs wohl nicht geschafft mich kurz zufassen.