Sinn und Nutzen von *dem* Windowsfirewall

Internet Internet Sicherheit
#1

Hallo zusammen…

Habe ein kleines Netz mit WinXP PCs (8 an der Zahl) die per FreeBSD Proxy am Netz hängen. PCs sind alle sauber konfiguriert, Dienste abgeschaltet usw., allerdings kann ich mit dem Tool von www.dingens.org nicht alles abschalten, da ich auf meinen Samba-Fileserver (läuft auf dem Proxy, ja ich weiß das ist schlecht) auch noch zugreifen will.

Meine Frage:
Meine WindowsPCs haben jetzt nur mehr Port 445 offen (wegen Samba-Zugriff). Wenn mal wieder ein Wurm kommt der diese Ports nutzt und irgendwer trägt ihn per Laptop ins interne Netz, kann ich ihn nicht davon abhalten sich zu verbreiten.
Bringt es was *den* Windowsfirewall zu aktivieren? Ich möchte keine Popupfenster o.Ä. sondern nur dass alle Ports der WinPCs von außen dicht sind.
Muss wenn ich nur auf Windowsfreigaben zugreife, d.h. keine eigenen anbiete der Port 445 von außen erreichbar sein?

Gruß
Fabian

#2

Hallo zusammen…

Habe ein kleines Netz mit WinXP PCs (8 an der Zahl) die per
FreeBSD Proxy am Netz hängen. PCs sind alle sauber
konfiguriert, Dienste abgeschaltet usw., allerdings kann ich
mit dem Tool von www.dingens.org nicht alles abschalten, da
ich auf meinen Samba-Fileserver (läuft auf dem Proxy, ja ich
weiß das ist schlecht) auch noch zugreifen will.

Meine Frage:
Meine WindowsPCs haben jetzt nur mehr Port 445 offen (wegen
Samba-Zugriff). Wenn mal wieder ein Wurm kommt der diese Ports
nutzt und irgendwer trägt ihn per Laptop ins interne Netz,
kann ich ihn nicht davon abhalten sich zu verbreiten.
Bringt es was *den* Windowsfirewall zu aktivieren? Ich möchte
keine Popupfenster o.Ä. sondern nur dass alle Ports der WinPCs
von außen dicht sind.

Eine Desktop-Firewall kann mindestens den Schutz des Einzelrechners vor lokal vagabundierenden Schädlingen erhöhen.
Und zumindest melden,wenn ein unbekannter Prozess vom eigenen Rechner aus versucht sich ins LAN oder Internet zu verbinden.
Die XP-eigene „Firewall“ erscheint mir aber zumindest für den zweiten Aspekt völlig ungeeignet,da sie meines Wissens(man verbessere mich,falls sich da was geändert hat!!)nur die Steuerung des ankommenden Verkehrs,nicht aber des ausgehenden erlaubt. Böse Zungen behaupten,dass Microsoft das unpassend fände,weil Windows selber zu gerne seine Dienste nach draussen,bzw. „nach Hause“ funken lässt,und solange der User nicht weiss,wie man das im Einzelnen abstellt,oder zumindest die „automatische Berichterstattung an Microsoft im Fehlerfall“(wenn man davon überhaupt etwas ahnt),erhält MS doch prima kostenlose Privatinformationen vom User,und ausserdem ist MS(wie andere US-Firmen auch) ja gegenüber den US-Geheimdiensten vertraglich,wenn nicht gar gesetzlich verpflichtet,aus „patriotischen“ Gründen die Ausforschung der Windows-Benutzer zu ermöglichen,vielleicht sogar aktiv zu fördern!

Gruss Uwe

#3

ich auf meinen Samba-Fileserver (läuft auf dem Proxy, ja ich
weiß das ist schlecht) auch noch zugreifen will.

Was ist schlecht daran? Da kann ruhig noch mehr laufen, nur Firewall sollte er nicht gleichzeitig sein. Die gehört auf eigene Hardware. Okay, Samba gehört ins Netz, Proxy in die DMZ. Aber das ist eine Frage der Kosten/Nutzenrelation.

Meine WindowsPCs haben jetzt nur mehr Port 445 offen (wegen
Samba-Zugriff). Wenn mal wieder ein Wurm kommt der diese Ports
nutzt und irgendwer trägt ihn per Laptop ins interne Netz,
kann ich ihn nicht davon abhalten sich zu verbreiten.
Bringt es was *den* Windowsfirewall zu aktivieren? Ich möchte
keine Popupfenster o.Ä. sondern nur dass alle Ports der WinPCs
von außen dicht sind.

Keine gute Idee. Innerhalb des Netzwerkes sollten die Ports durchaus offen sein, sie sind ja nicht völlig sinnlos in die Welt gesetzt worden, sondern dienen der gewünschten Kommunikation der PC innerhalb des Netzwerks untereinander. Mit pers. Firewallls im Netzwerk schaffst du dir jede Menge Probleme, ohne auch nur den geringsten theor. Nutzwert.

Gegen das infizierte Notebook hilfst du dir mit aktuellen Updates im Netz und mit technischen Massnahmen, wie z. B. konfigurierbaren Switches und sauberen DHCP-Server-Einstellungen u. ä.

Und von aussen darf sowieso niemand auf Port 445 der Rechner zugreifen, dafür hast du die Firewall vor der DMZ.

Gruss
Schorsch