Hallo alle zusammen,
ich habe seit geraumer Zeit Outpost Firewall Pro auf meinem Rechner installiert.
Leider kann ich seit 3 Tagen nicht mehr ins Internet ohne die Firewall auszuschalten. Ich finde den Fehler einfach nicht. Kann mir eventuell jemand helfen oder eine andere Firewall empfehlen (nur kein Zone Alarm :c)).
Vielen Dank im Voraus.
Tanja
Hallo Tanja
ich habe seit geraumer Zeit Outpost Firewall Pro auf meinem
Rechner installiert.
Gibt es bei dir überhaupt einen Grund eine PFW zu benutzen? Vergleiche deine Antwort mal mit dem, was hier geschrieben steht: http://www.ntsvcfg.de. Das Problem ist so ernst, das man hier den Entwicklern derartiger Software erstmal erläutern muss, was sie da anstellen wollen: http://entwickler.com/itr/news/psecom,id,26251,nodei… Der Grund dafür ist sehr Einfach: Eine Firewall, so wie du sie dir vielleicht vorstellst befindet sich zwischen dem „Bösen“ Internet und deinem PC oder Heimnetzwerk. Eine PFW befindet sich im System des zu beschützenden Systems.
Der Nachteil ist der, das diese PFW (egal von welchem Hersteller) einfach von einer, auf welchem Weg auch Immer, eingedrungenen „Bösen“ Software abgeschaltet und dauerhaft gepatcht werden kann. Wenn du dir dazu die Beschreibung „moderner“ Schadsoftware ansiehst wirst du feststellen, das dies nicht nur Theorie sondern durchgängige Praxis ist: http://www.viruslist.com/de/index.html.
Eine Firewall, die wirklich ein System schützen kann, beginnt so etwa bei 850€ und die wirst du wohl kaum ausgeben wollen. Ich übrigens auch nicht und so habe ich mein System erfolgreich nach den hier beschriebenen Prinzipien abgesichert: http://www.hinterwaeldlers-home.de/NewsGroups/Sicher…
der hinterwäldler
Servus,
Eine Firewall, die wirklich ein System schützen kann, beginnt
so etwa bei 850€ und die wirst du wohl kaum ausgeben wollen.
also das halte ich für ein Gerücht. Man bekommt bereits eine gute Firewall für 0€, nämlich IPCop.
Kopfschüttelnd
A.J.
Hi AJ
ich gehe davon aus, dass es beim Fragesteller um einen PC mit WIN-OS geht - funzt IPCop auch da oder nur auf Linux-Systemen?
ich gehe davon aus, dass es beim Fragesteller um einen PC mit
WIN-OS geht - funzt IPCop auch da oder nur auf Linux-Systemen?
IPCop ‚funzt‘ überall da, wo es darum geht, einen PC oder ein Netzwerk gegen unerwünschte Zugriffe zu schützen. Es versagt allerdings - wie Outpost, wie Zonealarm, wie diverse andere PF - da, wo Firewall-Rechner und zu schützender PC sich die gleiche Hardware teilen.
Und taugt leider garnix, wenn die Fragestellerin in dieser Hinsicht offenkundig damit überfordert ist, ihren Rechner zu bedienen.
Ich wünschte, ich könnte ihr den Rat geben, sich an den Händler / die Werkstatt ihres Vertrauens zu wenden um dort für ein angemessenes Entgelt ihren Rechner absichern zu lassen. Leider ‚funzen‘ diese Adressen viel zu oft genau so nix wie Outpost.
Kommen wir zur Beantwortung der eigentlichen Fragestellung:
Warum hast du Outpost installiert? Wovor soll es dich schützen? Welches Betriebssystem hast du? Welches Servicepack? Auf welche Weise (Modem, Router, WLAN…) bist du ans Internet angebunden?
Scheisse, wieder keine Antwort, nur noch mehr Fragen. Die aber der Beginn einer wunderbaren Antwort sein könnten
Humphrey
Hi Gunter,
ich gehe davon aus, dass es beim Fragesteller um einen PC mit
WIN-OS geht - funzt IPCop auch da oder nur auf Linux-Systemen?
es ging mir nur darum aufzuzeigen, daß eine echte Firewall nicht unbedingt teuer sein muß, wie Hinterwäldler behauptet hatte. Ich habe dabei nicht von einer PFW geredet. Das sollte auch Deine Frage mit der Lauffähigkeit beantworten.
Gruss
A.J.
Bitte um (Er-) KLärung
Hi Schorsch,
IPCop ‚funzt‘ überall da, wo es darum geht, einen PC oder ein
Netzwerk gegen unerwünschte Zugriffe zu schützen. Es versagt
allerdings - wie Outpost, wie Zonealarm, wie diverse andere PF
- da, wo Firewall-Rechner und zu schützender PC sich die
gleiche Hardware teilen.
ich danke Dir für Deine Ausführungen - dennoch bleibt für mich Klärungsbedarf: Verstehe ich Dich richtig, dass IPCop auf einem separaten PC laufen muss, um quasi „Schleuse“ für „nachgeschaltete“ PC zu sein?
Also der PC mit IPCop ist im (W)LAN der PC mit Anschluss zum Internet, über den alle anderen PC des (W)LAN Zugang zum Internet erhalten?!
Sofern Du mich aufklären magst, bedenke bitte, dass ich kein Fachmann bin und versuche es möglichst laienhaft zu beschreiben.
ich danke Dir für Deine Ausführungen - dennoch bleibt für mich
Klärungsbedarf: Verstehe ich Dich richtig, dass IPCop auf
einem separaten PC laufen muss, um quasi „Schleuse“ für
„nachgeschaltete“ PC zu sein?
So sieht’s aus. Unabhängig davon, welche Firewall zu welchem Zweck (du könntest z. B. in einem Firmennetz durchaus auch lokale Teilnetze voneinander trennen wollen) du einsetzt - sie sollte immer auf eigener Hardware zwischen diesen Netzen stehen. Sie ist also nicht Bestandteil eines der voneinander zu trennenden Netze. Im Grunde kannst du dir das also genauso vorstellen, wie z. B. einen DSL-Router, wobei allerdings ein solcher Router, auch wenn er Firewall-Funktionalitäten bietet, noch lange keine Firewall ist.
Also der PC mit IPCop ist im (W)LAN der PC mit Anschluss zum
Internet, über den alle anderen PC des (W)LAN Zugang zum
Internet erhalten?!
Zum Thema WLAn sag ich jetzt mal nichts, dort sind so spezielle Anforderungen zu betrachten, dass die Erläuterungen überaus komplex würden. Trotzdem als Einstieg diese Problematik kurz angerissen: Eine Schnittstelle zwischen zwei Netzen zu definieren, ergibt nur dann Sinn, wenn du sicherstellen kannst, dass die Kommunikation zwischen diesen Netzen auch ausschliesslich über diese Schnittstelle läuft. Wie aber willst du sicherstellen, dass dein Notebook daheim ausschliesslich über deine Firewall eine Verbindung ins Netzwerk aufbaut, nicht aber über den Access Point deines Nachbarns oder gar über ein Ad hoc-Netzwerk mit dem Notebook des Hackers draussen vor der Tür?
Voraussetzung dafür ist die Aufstellung eines Konzepts, eines Regelwerks, in dem du genau festlegt, wie die Kommunikationsströme innerhalb deines Netzes bzw. mit fremden Netzen aussehen sollen und wie auf Datenströme, die diese Schema verletzen, reagiert werden soll. Dieses Regelwerk ist bereits integraler, wenn nicht gar der wichtigste Teil einer Firewall.
Im nächsten Schritt ist dann die Frage zu stellen, wie dieses Konzept in Hard- bzw. Software gegossen wird. Die Firewall liegt, wie du schon richtig erkannt hast, auf einem dedizierten Rechner, auf dessen Einrichtung besonderen Wert zu legen ist. So sollte auf diesem Rechner ausschliesslich die benötigte Software auf einem auf’s unverzichtbare Minimum abgespeckten Betriebssystem laufen. Wobei natürlich sicherzustellen ist, dass BS und Software sich grundsätzlich auf aktuellem Patch-Stand befinden. Hierfür sind Hardware-Appliances, wie der oben erwähnte DSL-Router, eine durchaus geeignete Wahl, soweit diese von ihren Herstellern bereits für genau diesen Zweck konzipiert sind.
IPCop hingegen ist keine Appliance, sondern eine Linux-Distribution, also eine Kombination von Betriebssystem und Anwendungsprogrammen, die genau auf die Anforderungen einer Firewall zugeschnitten ist. Eine derartige Lösung bietet gegenüber der Appliance den Vorteil der wesentlich freieren Konfigurier- und Erweiterbarkeit. So ist in IPCop z. B. bereits ein Proxy-Server (Squid) enthalten, mit dem du z. B. die Zugriffe einzelner Rechner oder Anwender auf bestimmte Internetseiten reglementieren oder protokollieren kannst; du kannst einen Virenscanner integrieren um sämtliche Datenströme aus dem Internet bereits zentral zu prüfen; du kannst einen Eindringlingsalarm (Intrusion Detection System IDS) oder ein Virenausbruchsverhinderungssystem (Intrusion Prevention IPS, bekannt aus der IBM-Werbung mit dem Manager und seiner kleinen Tochter, deren per Spielediskette eingeschleuster Virus ‚vom Netzwerk gefangen‘ wird)…
Kurz, der Phantasie und Möglichkeiten sind keine Grenzen gesetzt, die Obergrenze wird ausschliesslich durch den eigenen Sicherheitsbedarf gesetzt. Aber bevor du dich durch die genannten Schlagworte abschrecken lässt: Du kannst diese Möglichkeiten einsetzen, du musst aber nicht. Die Obergrenze wird von dir festgelegt!
Nur eines geht bei dieser Firewall, im Ggsatz zur hostbasierten oder Personal Firewall nicht: Du kannst nicht kontrollieren, welche Anwendung da versucht, ins Internet zuzugreifen. Wenn dein Rechner also in der Firewall für die Kommunikation ins Internet freigegeben ist, darf der Wurm, den du dir auf diesem Rechner eingefangen hast, genauso ins Internet durchgreifen und dort z. B. Daten nachladen oder an DDOS-Attacken teilnehmen. Die Firewall sichert also tatsächlich nur die Kommunikation zwischen den Netzen, sie entbindet ihren Betreiber nicht von der Pflicht, für den Schutz der Rechner im lokalen Netz vor ihren Anwendern zu sorgen. Die Firewall regelt die Kommunikation zwischen zwei Netzen, sie verhindert aber nicht oder nur begrenzt, dass legitime Wege für illegitime Transfers genutzt werden.
Da aber, eine saubere Konzeption des Netzes und Realisierung der Firewall vorausgesetzt, auch dieser Wurm zwingend über die Firewall musst, sollten sich Infektionen anhand der Firewall- oder Proxyprotokolldateien leicht erkennen lassen. Bleibt dann aber noch festzustellen, welche Software auf dem betroffenen Rechner tatsächlich befallen ist.
Und natürlich gibt es eine weitere Möglichkeiten, lokale Weiterverbreitung von Würmern oder deren Schadaktivitäten zu unterbinden. Die Firewall ist allerdings hierfür zwar Voraussetzung, die benötigten Techniken zu erörtern gingen aber weit über dieses Thema hinaus. Vor allem aber würde deren Erläuterung weit über den Rahmen des Schutzbedarfs in einem privaten Heimnetz hinausgehen.
Sofern Du mich aufklären magst, bedenke bitte, dass ich kein
Fachmann bin und versuche es möglichst laienhaft zu
beschreiben.
Ich hab’s zumindest versucht
Schorsch
Verständlich erklärt
Hallo Schorsch
Ich hab’s zumindest versucht
. . . und prima geschafft; das hagelt Sternchen - Danke!
Warum hast du Outpost installiert? Wovor soll es dich
schützen? Welches Betriebssystem hast du? Welches Servicepack?
Auf welche Weise (Modem, Router, WLAN…) bist du ans Internet
angebunden?Scheisse, wieder keine Antwort, nur noch mehr Fragen. Die aber
der Beginn einer wunderbaren Antwort sein könnten
Humphrey
Die Firewall soll meinen Rechner nur vor ungewünschten Zugriffen beschützen, natürlich auch vor so Dingern wie Trojanern und ähnlichem.
Betriebssystem Win XP
Servicepack -> weiß ich nicht.
Router
Reicht das für die wunderbare Antwort?
Gruß
Tanja
Die Firewall soll meinen Rechner nur vor ungewünschten
Zugriffen beschützen, natürlich auch vor so Dingern wie
Trojanern und ähnlichem.Betriebssystem Win XP
Servicepack -> weiß ich nicht.
Router
Reicht das für die wunderbare Antwort?
Für eine Antwort reichts, ob sie dann wunderbar wird oder wunderlich wirkt, liegt in deinem Bewertungsermessen.
Zunächst: Wenn du einen Router einsetzt, sind unmittelbare Durchgriffe aus dem Internet auf deinen PC so gut wie ausgeschlossen. Zwar kann ein Router falsch konfiguriert oder u. U. als erstes Angriffsziel gehackt und dann auf den PC durchgeschossen werden. Bei der falschen Konfiguration müsstest aber du bzw. derjenige, der den Router installiert hat, bewusst manipuliert haben. Und Hacken des Routers um anschliessend aufs Netz dahinter zuzugreifen ist zwar kein ganz exotisches Szenario, kann aber für einen privaten PC vernachlässigt werden.
Handelt es sich aber um einen WLan-Router, ist dein Rechner kabellos angebunden, sind die Angreifer nicht mehr aus dem Internet zu erwarten, sondern aus deiner unmittelbaren Nachbarschaft. In dem Fall muss deine Sorge dahin gehen, das WLan sicher zu gestalten. Ansatzpunkt hierfür ist aber der Router, auf dem du Verschlüsselung konfigurieren musst. Ausserdem sind dann auf dem Router sämtliche Standard-Passwörter zu ändern, da per WLan jeder Nachbar auf die Konfigurationsschnittstellen des Routers zugreifen kann.
Fazit bisher: Eine Personal Firewall (PF) benötigst du nicht. Wenn für dein WinXP das ServicePack 2 installiert ist und die automatischen Updates ausgeführt werden, hättest du ausserdem eine auch in anderen Einsatzszenarien (Modem-Anbindung u. ä.) hinreichende PF bereits ‚on board‘.
Schutz vor Trojanern etc.: Dies ist nicht die klassische Aufgabe einer Firewall sondern die eines Virenscanners. Soweit im Handel angebotene Produkte etwas anderes versprechen, handelt es sich nicht um klassische PF-Lösungen, sondern um Sicherheits-Suiten, in denen mehrere Produkte gebündelt sind.
Hierzu benötigst du erstens einen sicheren und sicher konfigurierten Browser sowie ein sicheres Mailprogramm. Setzt du den Internet Explorer ein, sind alle aktuellen Updates einzuspielen (autom. Updates) sowie im IE die Sicherheitseinstellungen für den Internetzugang auf die höchste Stufe zu stellen. Insbesondere ActiveX ist vollständig zu deaktivieren. Besuchst du Webseiten, die Sicherheitslücken im IE direkt angreifen, sind ansonsten alle Hilfsmittel wie Firewalls, Virenscanner etc. völlig wirkungslos. Alternativ zum IE sind der Firewall und Opera zu empfehlen, an denen du nicht viel konfigurieren musst, die aber selbstverständlich auch immer auf dem aktuellsten Stand gehalten sein sollten.
Ähnliches gilt für dein Mailprogramm, insbesondere wenn du Outlook Express oder exotische Mailclients wie Incredimail u. ä. einsetzt. Auf diese solltest du möglichst ganz verzichten. Stattdessen den bei Microsoft Office mitgelieferten Outlook benutzen oder z. B. den Thunderbird.
Wenn du soweit bist, ist dein System schon ziemlich gut geschützt. Auf einen Virenscanner kannst du dennoch nicht verzichten, da Mailanhänge oder selbst aus dem Internet heruntergeladene Dateien nach wie vor überprüft werden müssen. Welchen Virenscanner du da einsetzt, ob den für privaten Bedarf kostenlosen AntiVir, ob Kaspersky, Norton oder schiessmichtot, kannst du frei wählen. In ihrer Qualität geben sie sich m. E. alle nicht viel. Hier kann ich schon deshalb keine Empfehlung geben, weil ich die meisten dieser Produkte selbst nicht kenne.
Aus verschiedenen anderen Diskussionsbeiträgen in den wer-weiss-was-Foren geht hervor, dass offenbar der AntiVir recht häufig weitgehend problemlos eingesetzt wird, über manche Bezahl-Produkte hingegen wird regelmässig geklagt. Letztlich aber bleibt es deinem persönlichen Geschmack überlassen.
Gruss
Schorsch
Korrektur
Firewalls, Virenscanner etc. völlig wirkungslos. Alternativ
zum IE sind der Firewall und Opera zu empfehlen, an denen du
Soll natürlich heissen: …sind der Fire fox und Opera…