Hallo,
ich habe des öfteren gelesen, dass weder Software Firewalls wie ZoneAlarm noch Hardware Firewalls in Routern Schutz bieten. Diese Aussagen haben mich zunächst überrascht, aber Begründungen gab es zu den Aussagen keine.
Mich würde interessieren, ob mir jemand in einfachen Worten erklären könnte, ob das stimmt und wenn ja warum. Oder kennt jemand Links von Seiten, die sich mit dem Thema -anwenderfreundlich dargestellt- beschäftigen?
Welche akzeptablen Möglichkeiten gibt es derzeit für kleinere Netzwerke?
Danke für Hilfe, Gruß DP
ich habe des öfteren gelesen, dass weder Software Firewalls
wie ZoneAlarm noch Hardware Firewalls in Routern Schutz
bieten. Diese Aussagen haben mich zunächst überrascht, aber
Begründungen gab es zu den Aussagen keine.
Schutz bieten beide, beide bieten keine Sicherheit. Die Frage, die zu stellen ist, lautet, wovor sie schützen sollen. Nehmen wir einen privaten PC, der via DSL oder Modem/ISDN ins Internet geht. Wenn dieser PC sauber eingerichtet ist, keine überflüssigen Dienste laufen, keine Freigaben ans Internet-Interface gebunden sind und bezügl. Browser, promiskuitiven Verhalten und Mailclient die notwendigen Vorsichtsmassnahmen eingehalten werden, bieten beide keinen nennenswerten Zugewinn an Sicherheit. Ist dir Sicherheit aber in soweit egal, als du nicht bereits bist, selbst auf Sicherheit zu achten und grundlegende Regeln schlicht ignorierst, bieten sowohl die Personal wie auch die echte Firewall eine minimal erhöhte Barriere, die einen erfolgreichen Angriff verzögern, nicht aber verhindern können.
Anders sieht es aus, wenn dein PC oder Netzwerk tatsächlich Dienste anbieten, diese aber nicht jedem zur Verfügung stehen sollen. Zum Bsp. ein Mailserver, der nach aussen SMTP; POP3 oder IMAP aber nur nach innen anbieten soll. In dem Fall kann eine Firewall (keine PF) den Verkehr deinen Wünschen entsprechend steuern. Oder nimm, um beim privaten PC zu bleiben, an, die willst aus dem Büro heraus per ftp auf Dokumente auf deinen Rechner zuhause zugreifen. Wenn du im Büro eine feste IP-Adresse hast, kannst du per Firewall einstellen, dass von genau dieser einen Adresse auf Port 21 zugegriffen werden darf, alle anderen gesperrt werden.
Aber gerade in diesem Szenario gilt, dass ein echter Schutz nur im Zusammenhang mit anderen Massnahmen geschaffen werden kann.
Gruss,
Schorsch
Personal Firewall: FAQ- Hinweis
Hallo,
ich habe des öfteren gelesen, dass weder Software Firewalls
wie ZoneAlarm bieten. Diese Aussagen haben mich zunächst überrascht,
aber Begründungen gab es zu den Aussagen keine.
Schorsch Ausführungen ist zuzustimmen. Da es aller 3 Wochen hier zu Ausschweifungen zum Un-/Sinn von PFs gibt, wurde vor ewigen Zeiten mal eine FAQ (hier [FAQ:138]) eingerichtet weitere FAQs (z.B. 139) haben auch einen Titel, der mit PF zun tun hat. Vielleicht sind diese ja für dich hilfreich.
Ciao maxet.
Ja,
wie sehe muss man sich doch tiefgehender mit der Materie beschäftigen. Ich danke Euch für die Informationen.
Gruß DP
Hallo DP,
Welche akzeptablen Möglichkeiten gibt es derzeit für kleinere
Netzwerke?
höchstmögliche Sicherheit bekommst Du über ein ausgefeiltes Sicherheitskonzept. Da umfangreiche IT Sicherheitsmaßnahmen in kleinen Netzwerken oft aus Kostengründen nicht umsetzbar sind, werden Kompromisse erforderlich.
Neben Tools wie Anti Spy Ware und Anti Virus, die Attacken unschädlich machen, bietet eine Firewall die Möglichkeit, den unerlaubten Zugriff aus dem Internet zu unterbinden. Positive Nebenerscheinung, aber in meinen Augen nicht wirklich Argumentationskriterium, ist die Tatsache, daß im Schadensfall durch eine Firewall Schadensbegrenzung betrieben wird. Dies ist im Sinne der aktuellen Haftungsregelung (siehe iX 06/04) ein Thema sein, aber nicht aus pragmatischer IT Sicherheitssicht.
Theoretisch könnte man das, was die Firewall abblockt, auf jedem PC durch die Maßnahmen 1. Alle Sicherheitsupdates einspielen, 2. risikobehaftete Dienste nicht zur Verfügung stellen, abblocken. Doch ich würde es nicht wagen, eine Bewertung darüber abzugeben, ob nicht nur die bisherigen Sicherheitslücken, sondern auch welche, die erst in Zukunft erkannt werden, abgesichert sind.
Und selbst bei täglichem Update des Virenscanners und der Sicherheitsupdates ist man unter Umständen mehrere Stunden unsicher. Da die Attacken zunehmend schneller werden wird es auch immer wahrscheinlicher, daß man selber in den ersten Stunden schon Ziel eines Angriffs wird.
Der Empfehlung, den PC sicher zu machen und auf eine Firewall grundsätzlich zu verzichten, würde ich auf keinen Fall folgen.
Eine Hardwarefirewall bietet im Gegensatz zur Personal Firewall einen deutlich höheren Schutz, weil sie nicht als Computerdienst angreifbar ist. Auch Ausfälle von Personal Firewalls haben ganz andere Auswirkungen. Bei einem Ausfall der PC Firewall ist der PC nicht mehr geschützt. Bei einem Ausfall der Hardwarefirewall ist im Idealfall Idealfall kein Internet Access mehr möglich. Dies bewirkt zum einen daß keine Angriffe möglich sind und erfolgte Angriffe nicht raus können. Zum anderen hat es natürlich noch den psychologischen Nebeneffekt, daß man sich der Problembehebung auch annimmt.
Wie Du hier sehen kannst bieten Personal Firewalls durchaus einen Schutz:
http://www.wer-weiss-was.de/cgi-bin/forum/showarticl…
Alle angezeigten Dienste sollten natürlich auch mit Einsatz einer Personal Firewall deaktiviert sein, um doppelt abgesichert zu sein. (Hier habe ich eine XP Standardkonfiguration mit aktuellem Virenscanner und allen Sicherheitspatches ohne weitere Konfiguration zur Demonstration verwendet.) Insofern ist es im Zweifelsfall besser, eine Personal Firewall einzusetzen, als gar keine Firewall. Dies gilt z.B. für Dial In über ISDN oder Modem (auch DSL).
NATtting und Proxy bieten weiteren Schutz, lassen sich aber auch nur im Netzwerk realisieren, nicht bei direkten Dial In über ISDN oder Modem (auch DSL).
Durch den Einsatz immer mächtigerer Abwehrmechanismen gegen ungeliebte Gäste auf dem PC wird zwar die Systemkomplexität erhöht, was mancher naiv als Nachteil schildert. Doch die Viren, Trojaner, Würmer, Spione und wie sie alle heißen sowie die menschlichen Hacker werden immer intelligenter und man kann IMO nur dagegen halten, wenn man kein windowsbasiertes Betriebssystem einsetzt oder eben sein Windows rund um schützt.
ich habe des öfteren gelesen, dass weder Software Firewalls
wie ZoneAlarm noch Hardware Firewalls in Routern Schutz
bieten. Diese Aussagen haben mich zunächst überrascht, aber
Begründungen gab es zu den Aussagen keine.
Es gibt hierfür auch keine vernünftige Begründung. Jeder Mechanismus schützt einen Teilbereich und erst in der Gesamtheit ist der Schutz ausreichend.
Mich würde interessieren, ob mir jemand in einfachen Worten
erklären könnte, ob das stimmt und wenn ja warum.
Ich hoffe das waren einfache Worte, sonst frag noch mal nach. In Summe sollte man immer darauf achten, daß man doppelt bis dreifach abgesichert ist: Ursache bekämpfen, Symptome ausschalten, Wirkung verhindern.
Danke für Hilfe, Gruß DP
Gruß, AndyM
Hi Andy,
vielen Dank für deinen Beitrag, er war aufschlußreich und hat mir geholfen. Gruß DP