Verborgene Ports besser als geschlossene?

Hallo,

bis vor kurzem war ich noch im Internet über eine direkte Einwahl unterwegs. Mit installierer Desktopfirewall von Kerio.
Jetzt hab’ ich mir einen fli4l-Router aufgesetzt über den ich nun surfe, die lahme Firewall hab ich von meinem PC runtergeschmissen.
Was mich gleich irritiert ist, dass der Router anscheinend automatisch alle Ports vorwardet. ICQ, BitTorrent (p2p Tool) alles klappte sofort.

Nun habe ich mal aus Spaß den http://security.symantec.com/sscv6/default.asp?produ… Symantec Security Check „Sicherheitsprüfung“ ausgeführt.
Der sagte mir, mein PC sei nun „sicher“ vor Angriffen und geschützt.
Bei dem Check auf offene Ports, gibt es 3 mögliche „Optionen“. Port offen, geschlossen oder verborgen.

Symantec meint dazu:

Ein geschlossener Port ist zwar sichtbar, aber nicht offen für
Angriffe. Dies bietet eine gewisse Sicherheit, hält aber Hacker
nicht davon ab, die Existenz Ihres Computers im Internet
festzustellen und Angriffe auf ihn zu richten.

Verborgene Ports sind die sichersten Ports. „Verborgen“ bedeutet,
dass Ihr Computer nicht auf Port-Anfragen reagiert. Er ist praktisch
unsichtbar für Hacker, die das Internet nach potentiellen
Angriffszielen durchsuchen. Dies ist ein sehr sicheres Ergebnis,
jedoch können verborgene Ports zu Problemen mit der Leistung einiger
Internet-Anwendungen führen.

Kann das wirklich stimmen? Ein verborgener (aber damit offener) Port besser als ein geschlossener? Kann ich mir nicht vorstellen.

Problem ist, außerdem, dass ICMP-Ping nocht funktioniert, also der Port ist offen. Nur welcher ist das?

Was mich weiter stutzig macht ist, dass das sperren von Ports bei fli4l wohl nicht so richtig funzt.
Ich habe unter „forward_deny_port“ den Portbereich 135:139 "DENY"ed, aber das Symantecdings sagt mir trotzdem, dass diese Ports nur verborgen, nicht geschlossen sind. Woran liegt das?

Wer kann rat geben?

Nachtrag

Problem ist, außerdem, dass ICMP-Ping nocht funktioniert, also
der Port ist offen. Nur welcher ist das?

Der ist jetzt „dicht“ (Symantec sagt verborgen).
Habe in den Configdateien die Option gefunden, dass zu sperren.

Hallo,

Hi,

[fli4l-Router]

Vielleicht keine schlechte Entscheidung, wenn man ein Netzwerk an den Internet-uplink bringen will. (Hast Du ein Netzwerk?)

Was mich gleich irritiert ist, dass der Router anscheinend
automatisch alle Ports vorwardet. ICQ, BitTorrent (p2p Tool)
alles klappte sofort.

Wie hast Du das rausgekriegt? Welche Version von fli4l nimmst Du eigentlich? Die aktuellste nutzt AFAIK iptables und kann damit connection tracking (aka. stateful protection). Alle Verbindungen die von Deinem Rechner initialisiert werden, werden automatisch zugelassen, genauso, wie die Antworten zu diesen Verbindungen.

http://security.symantec.com/sscv6/default.asp?produ…
Der sagte mir, mein PC sei nun „sicher“ vor Angriffen und
geschützt.
Bei dem Check auf offene Ports, gibt es 3 mögliche „Optionen“.
Port offen, geschlossen oder verborgen.

[closed port]
Verborgene Ports sind die sichersten Ports. „Verborgen“ bedeutet,
dass Ihr Computer nicht auf Port-Anfragen reagiert. Er ist praktisch
unsichtbar für Hacker, die das Internet nach potentiellen
Angriffszielen durchsuchen.

Das ist Quark. Warum steht in der [FAQ:141].

Dies ist ein sehr sicheres Ergebnis, jedoch können verborgene
Ports zu Problemen mit der Leistung einiger Internet-Anwendungen
führen.

Uh.

Kann das wirklich stimmen? Ein verborgener (aber damit
offener) Port besser als ein geschlossener? Kann ich mir nicht
vorstellen.

Ein geschlossener port ist einer, an den auf Deinem Rechner kein Dienst gebunden ist, an einen offnen ist einer gebunden. Zu diesen zwei zueinander inversen Zustaenden haben die PF-Hersteller noch einen verkaufsfoerdernden dritten erfunden.

Problem ist, außerdem, dass ICMP-Ping nocht funktioniert, also
der Port ist offen. Nur welcher ist das?

ICMP verwendet keine ports. Es ist ein Protokoll auf gleicher Ebene wie TCP und UPD, aber auch ESP oder AH. Die Verwendung von ports ist nur TCP und UDP zueigen. Weiterhin ist ICMP nichts boeses sondern dient zur Netzwerkdiagnose: Fehler werden per ICMP gemeldet. Es zu sperren ist ein effizienter Weg, sich ins Bein zu schieszen. Warum willst Du echo request (aka. ping und nur eins der ~30 ICMP-Meldungen) sperren? Es gibt dadurch praktisch keinen Sicherheitsgewinn.

Was mich weiter stutzig macht ist, dass das sperren von Ports
bei fli4l wohl nicht so richtig funzt.

Ach.

Ich habe unter „forward_deny_port“ den Portbereich 135:139
"DENY"ed, aber das Symantecdings sagt mir trotzdem, dass diese
Ports nur verborgen, nicht geschlossen sind. Woran liegt das?

Auf eine Anfrage auf einen offenen port antwortet ein Rechner entweder mit ‚Ja, herein damit.‘ oder mit ‚Nee, des hamma hier nit.‘ Dein Rechner (vermutlich die fli4l-Kiste) ist jetzt so kaputtkonfiguriert, dass sie gar nicht mehr antwortet. Wie will denn da der arme bot von Symantec entscheiden, ob da nun ein Dienst an dem port laeuft oder nicht?

Wer kann rat geben?

Ich nehme mal an, Du hast irgendwo dem Rechner das ICMP anbgewoehnt. Stell das wieder an und alles wird gut. Ansonsten hatte fli4l frueher mal eine mailinglist bzw. newsgroup, IIRC. Inzwischen findet sich auf der Seite allerdings: „Bei mittlerweile über 100 Postings pro Tag und immer mehr Usern, die nicht mehr imstande sind, die Doku zu lesen, wurde der Aufwand für das Support-Team einfach zu viel.“ Eigentlich verstaendlich.

HTH,
Gruss vom Frank.

Hallo,

Nun habe ich mal aus Spaß den
http://security.symantec.com/sscv6/default.asp?produ…
Symantec Security Check „Sicherheitsprüfung“ ausgeführt.

bedenke: Das ist eine Seite, die Werbung für Symantec-Produkte machen soll.

Bei dem Check auf offene Ports, gibt es 3 mögliche „Optionen“.
Port offen, geschlossen oder verborgen.

Nun ja…

Symantec meint dazu:

Ein geschlossener Port ist zwar sichtbar, aber nicht offen für
Angriffe. Dies bietet eine gewisse Sicherheit,

Das bietet hohe Sicherheit. Nicht nur „gewisse“.

hält aber Hacker
nicht davon ab, die Existenz Ihres Computers im Internet
festzustellen und Angriffe auf ihn zu richten.

Verborgene Ports sind die sichersten Ports.

Das ist Quark.

„Verborgen“ bedeutet,
dass Ihr Computer nicht auf Port-Anfragen reagiert.

Das ist eher korrekt.

Er ist praktisch
unsichtbar für Hacker,

Das ist ziemlich falsch.

die das Internet nach potentiellen
Angriffszielen durchsuchen. Dies ist ein sehr sicheres Ergebnis,

Das ist ein vollkommen unnötiges Ergebnis,

jedoch können verborgene Ports zu Problemen mit der Leistung einiger
Internet-Anwendungen führen.

… was Probleme macht, aber nichts weiter nützt.

Kann das wirklich stimmen? Ein verborgener (aber damit
offener) Port besser als ein geschlossener? Kann ich mir nicht
vorstellen.

Nein, das ist in der Tat Unsinn. Ziel der Aussage ist, Dich zur Installation eines der Symantec-Produkte zu brigen. Ziel iet es dagegen nicht, den Nutzer zu informieren.

Problem ist, außerdem, dass ICMP-Ping nocht funktioniert, also
der Port ist offen. Nur welcher ist das?

Ping wird nicht über Ports übertragen. Ports gehören zu TCP/IP, Pings sind ICMP.

Es ist auch keine gute Idee, Ping komplett zu blocken. Unter Linux kann man aber – wenn man denn will – ein ICMP rate limiting einstellen, keine Ahnung, wie man das unter fl4i konkret macht.

Gruß,

Sebastian

Hallo,

Hi,

[fli4l-Router]

Vielleicht keine schlechte Entscheidung, wenn man ein Netzwerk
an den Internet-uplink bringen will. (Hast Du ein Netzwerk?)

Mein Netzwerk besteht nur aus einem PC
Noch.

Was mich gleich irritiert ist, dass der Router anscheinend
automatisch alle Ports vorwardet. ICQ, BitTorrent (p2p Tool)
alles klappte sofort.

Wie hast Du das rausgekriegt?

Na die Programme laufen halt, sie können verbinden, funktionieren wie eh und je.

Welche Version von fli4l nimmst

Die neueste 2.0.8

Du eigentlich? Die aktuellste nutzt AFAIK iptables und kann
damit connection tracking (aka. stateful protection). Alle
Verbindungen die von Deinem Rechner initialisiert werden,
werden automatisch zugelassen, genauso, wie die Antworten zu
diesen Verbindungen.

Achso ist das.

http://security.symantec.com/sscv6/default.asp?produ…
Der sagte mir, mein PC sei nun „sicher“ vor Angriffen und
geschützt.
Bei dem Check auf offene Ports, gibt es 3 mögliche „Optionen“.
Port offen, geschlossen oder verborgen.

[closed port]
Verborgene Ports sind die sichersten Ports. „Verborgen“ bedeutet,
dass Ihr Computer nicht auf Port-Anfragen reagiert. Er ist praktisch
unsichtbar für Hacker, die das Internet nach potentiellen
Angriffszielen durchsuchen.

Das ist Quark. Warum steht in der [FAQ:141].

Hab’ ich mir schon gedacht, kam mir spanisch vor.

Dies ist ein sehr sicheres Ergebnis, jedoch können verborgene
Ports zu Problemen mit der Leistung einiger Internet-Anwendungen
führen.

Uh.

Kann das wirklich stimmen? Ein verborgener (aber damit
offener) Port besser als ein geschlossener? Kann ich mir nicht
vorstellen.

Ein geschlossener port ist einer, an den auf Deinem Rechner
kein Dienst gebunden ist, an einen offnen ist einer gebunden.
Zu diesen zwei zueinander inversen Zustaenden haben die
PF-Hersteller noch einen verkaufsfoerdernden dritten erfunden.

Problem ist, außerdem, dass ICMP-Ping nocht funktioniert, also
der Port ist offen. Nur welcher ist das?

ICMP verwendet keine ports. Es ist ein Protokoll auf gleicher
Ebene wie TCP und UPD, aber auch ESP oder AH. Die Verwendung
von ports ist nur TCP und UDP zueigen. Weiterhin ist ICMP
nichts boeses sondern dient zur Netzwerkdiagnose: Fehler
werden per ICMP gemeldet. Es zu sperren ist ein effizienter
Weg, sich ins Bein zu schieszen. Warum willst Du echo request
(aka. ping und nur eins der ~30 ICMP-Meldungen) sperren? Es
gibt dadurch praktisch keinen Sicherheitsgewinn.

Ok, hatte ja ICMP schon dicht bekommen, aber wenn es nix bringt, kann ich es wieder öffnen.

Was mich weiter stutzig macht ist, dass das sperren von Ports
bei fli4l wohl nicht so richtig funzt.

Ach.

Denke ich mir halt so, wenn das Symantecding sagt (ok, ich sollte dem wohl nicht trauen), dass meine DENYten Ports nur verborgen und nicht geschlossen sind, irritiert mich das halt.

Ich habe unter „forward_deny_port“ den Portbereich 135:139
"DENY"ed, aber das Symantecdings sagt mir trotzdem, dass diese
Ports nur verborgen, nicht geschlossen sind. Woran liegt das?

Auf eine Anfrage auf einen offenen port antwortet ein Rechner
entweder mit ‚Ja, herein damit.‘ oder mit ‚Nee, des hamma hier
nit.‘ Dein Rechner (vermutlich die fli4l-Kiste) ist jetzt so
kaputtkonfiguriert, dass sie gar nicht mehr antwortet. Wie
will denn da der arme bot von Symantec entscheiden, ob da nun
ein Dienst an dem port laeuft oder nicht?

Da ist nix kaputtkonfiguriert
Die Frage ist halt, ob das Symantecding das (absichtlich) falsch erkennt oder ich nur was falsch eingestellt habe. Ich bin mir ja nichtmal sicher, ob ich Reject oder Deny wählen muss.

Wer kann rat geben?

Ich nehme mal an, Du hast irgendwo dem Rechner das ICMP
anbgewoehnt. Stell das wieder an und alles wird gut.

Habe ich, immer noch das gleiche.

Ansonsten hatte fli4l frueher mal eine mailinglist bzw.
newsgroup, IIRC. Inzwischen findet sich auf der Seite
allerdings: „Bei mittlerweile über 100 Postings pro Tag und
immer mehr Usern, die nicht mehr imstande sind, die Doku zu
lesen, wurde der Aufwand für das Support-Team einfach zu
viel.“ Eigentlich verstaendlich.

Habe ich auch schon gesehen, schade eigentlich. Mit Newsgroups will ich mich nicht herumschlagen. Aber ich werde mal den IRC-Channel gehen.

Kann das wirklich stimmen? Ein verborgener (aber damit
offener) Port besser als ein geschlossener? Kann ich mir nicht
vorstellen.

Grundsätzlich kann man auf ein ankommendes Paket für einen bestimmten Port auf 3 Arten reagieren:

• Eine Anwendung ist an den Port gebunden und kümmert sich um einen Verbindungsaufbau

• Keine Anwendung ist gebunden oder die Firewall verweigert die Annahme (IPTables: -j DENY), der IP-Stack antwortet dann mit „Connection Refused“

• Die Firewall verwirft das ankommende Paket einfach (IPTables: -j DROP). Der „anrufende“ Rechner hat keine Ahnung, was aus seinem Verbindungsversuch geworden ist und wartet bis zum Timeout auf eine Antwort.

Hallo,

Ach.

Denke ich mir halt so, wenn das Symantecding sagt (ok, ich
sollte dem wohl nicht trauen), dass meine DENYten Ports nur
verborgen

DENY entspricht „kaputt“ und "verborgen und wird von Symantec aus Marketinggründen als „besser“ eingestuft.

REJECT bedeutet im Symantex-Speak „geschlossen“, ist aber sinnfrei, sofern auf dem Port ohnehin kein Dienst lauscht.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.h…

Ich habe unter „forward_deny_port“ den Portbereich 135:139
"DENY"ed, aber das Symantecdings sagt mir trotzdem, dass diese
Ports nur verborgen, nicht geschlossen sind.

Weil sie „verborgen“ sind, kann Symantec nicht beurteilen, ob sie geschlossen sind Dumm gelaufen.

Da ist nix kaputtkonfiguriert

Doch. DENY ist an sich ziemlich kaputt.

Die Frage ist halt, ob das Symantecding das (absichtlich)
falsch erkennt oder ich nur was falsch eingestellt habe. Ich
bin mir ja nichtmal sicher, ob ich Reject oder Deny wählen
muss.

Nimm – falls Du das wirklich brauchst – REJECT. Symantec funktioniert hier „as designed“. Ich habe aber schon Firewall-testseiten gesehen, die kolossal falsche Infoamtionen über den eigenen Rechner gemeldet haben und mir nahelegten, Dinge zu schließen, die definitiv nicht offen waren.

Marketing …

Ansonsten hatte fli4l frueher mal eine mailinglist bzw.
newsgroup, IIRC. Inzwischen findet sich auf der Seite
allerdings: „Bei mittlerweile über 100 Postings pro Tag und
immer mehr Usern, die nicht mehr imstande sind, die Doku zu
lesen, wurde der Aufwand für das Support-Team einfach zu
viel.“ Eigentlich verstaendlich.

Habe ich auch schon gesehen, schade eigentlich. Mit Newsgroups
will ich mich nicht herumschlagen. Aber ich werde mal den
IRC-Channel gehen.

Es ist manchmal nicht dumm, einfach die generische Dokumentation zu lesen. Hier zum gelegentlichen Schmökern:

http://www.netfilter.org/documentation/HOWTO/de/netw…
http://www.netfilter.org/documentation/HOWTO/de/pack…
http://www.netfilter.org/documentation/HOWTO/de/NAT-…
http://www.linuxguruz.com/iptables/howto/
http://www.linuxfaq.de/f/cache/382.html
http://www.netfilter.org/documentation/

HTH & Gruß,

Sebastian

Text

Ich danke dir, jetzt kann ich wieder beruhigt schlafen (und dabei im Netz bleiben)…und mich stolz zu den Menschen zählen, die sich von ihrer PF losgesagt haben. Ihr hier im Forum seid nicht ganz unschuldig dran

Ich hab’ übrigens logging am Router eingestellt und schau’ mir gerade an, was geloggt wurde, als der Test durchgeführt wurde…

May 9 16:28:52 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
217.xx.xx.x:1778 217.xx.xxx.xxx:445 L=52 S=0x00 I=64243 F=0x4000
T=60 SYN (#8)

Na bitte, so solls doch sein

Es ist manchmal nicht dumm, einfach die generische
Dokumentation zu lesen. Hier zum gelegentlichen Schmökern:

http://www.netfilter.org/documentation/HOWTO/de/netw…
http://www.netfilter.org/documentation/HOWTO/de/pack…
http://www.netfilter.org/documentation/HOWTO/de/NAT-…
http://www.linuxguruz.com/iptables/howto/
http://www.linuxfaq.de/f/cache/382.html
http://www.netfilter.org/documentation/

Werde ich mir sicherlich mal zu Gemüte führen.

(Hast Du ein Netzwerk?)

Mein Netzwerk besteht nur aus einem PC

Ein host ist per Definition kein Netzwerk. Netzwerk geht definitiv ab drei los, bei zwei kann man sich streiten.

Die neueste 2.0.8

Die verwendet immer noch einen 2.2.x-Kernel und damit auch ipchains. Damit ist connection tracking nur leidlich moeglich. Hast Du nicht mal Lust die Entwicklerversion auszuprobieren?

Dein Rechner (vermutlich die fli4l-Kiste) ist jetzt so
kaputtkonfiguriert, dass sie gar nicht mehr antwortet.

Da ist nix kaputtkonfiguriert

Doch. Nein, ich suche den RFC jetzt nicht raus.

Ansonsten schliesze ich mich Sebastians unmaszgeblicher Meinung an.

Gruss vom Frank.

(Hast Du ein Netzwerk?)

Mein Netzwerk besteht nur aus einem PC

Ein host ist per Definition kein Netzwerk. Netzwerk geht
definitiv ab drei los, bei zwei kann man sich streiten.

Ok, darüber wollen wir uns nichtmal streiten…für mich ist das ein Netzwerk, weil DSL-Modem, Router und mein PC miteinander verbunden sind…Irgendwann kommt vielleicht auch nochmal ein Notebook dazu.

Die neueste 2.0.8

Die verwendet immer noch einen 2.2.x-Kernel und damit auch
ipchains. Damit ist connection tracking nur leidlich
moeglich. Hast Du nicht mal Lust die Entwicklerversion
auszuprobieren?

Das habe ich beim Lesen von Sebastations aufgeführten Links auch gemerkt, aber es funktioniert ja alles so wie ich will. Entwicklerversion ist mir zu heikel und jetzt wo der Router wunderbar läuft folge ich der Devise „never touch a running system“.

Dein Rechner (vermutlich die fli4l-Kiste) ist jetzt so
kaputtkonfiguriert, dass sie gar nicht mehr antwortet.

Da ist nix kaputtkonfiguriert

Doch. Nein, ich suche den RFC jetzt nicht raus.

Worum ging’s jetzt eigentlich noch?

Ein geschlossener Port ist zwar sichtbar, aber nicht offen für
Angriffe.

Ich weiß ja micht, was Symantec unter einem geschlossenen Port versteht. Ich verstehe darunter einen Port, der an keine Applikation gebunden ist. Ein solcher Port ist letztendlich keiner, und daher ist er auch nicht sichtbar oder unsichtbar oder was weiß ich.

Dies bietet eine gewisse Sicherheit, hält aber Hacker
nicht davon ab, die Existenz Ihres Computers im Internet
festzustellen und Angriffe auf ihn zu richten.

Schlimm, schlimm.

Verborgene Ports sind die sichersten Ports.

Schwachsinn übelster Sorte. Typisches Krawattengewäsch.

Stefan

Moin,

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.h…

Super Artikel. Endlich mal eine gute Zusammenfassung, wenn es ums leidige Theme PF geht.
Sollte der nicht in die FAQ aufgenommen werden?

Gruß,
Andreas

Ich weiß ja micht, was Symantec unter einem geschlossenen Port
versteht. Ich verstehe darunter einen Port, der an keine
Applikation gebunden ist. Ein solcher Port ist letztendlich
keiner, und daher ist er auch nicht sichtbar oder unsichtbar
oder was weiß ich.

Ist schon sichtbar, insofern als auf einen Zugriff eine definierte Antwort („Connection Refused“) erfolgt. Ein wirklich unsichtbarer Port wäre alles, worauf ein „no route to host“ zurückkommt

Hallo Andreas!

Aber dort ist der doch schon … *g*

Gruß
Martin

P.S.: Der Link zu der docvalde.net in genau der FAQ („ist meine PF sicher“) ist tot.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Servus,

Aber dort ist der doch schon … *g*

Der Link muß wohl durch meine nicht vorhanden PF gefiltert worden sein
Oder es war doch mein Blindheit …

Gruß,
Andreas

Toter Link
Hi,

P.S.: Der Link zu der docvalde.net in genau der FAQ („ist
meine PF sicher“) ist tot.

Mail mit neuem Link an FAQ-Betreuer ist raus. Das Dokument ist zu finden unter http://m.bsdhackers.org/stuff/personal_firewalls.pdf

Gruß,

Malte.

Was spricht eigentlich dagegen, ZoneAlarm zu benutzen, wenn man folgenden Auszug aus dem hier angesprochenen Artikel beherzigt:

"Ich will meine Firewall richtig konfigurieren, wie gehe ich vor?
Verbiete alles.
Wenn irgendetwas nicht funktioniert, lerne, was diese Software wirklich braucht und warum. Dann schalte es bei Bedarf frei.

Nochmals: Schalte nichts frei, von dessen sachlicher Notwendigkeit Du nicht von Grund auf überzeugt bist. "

fragt sich

AndyM

Was spricht eigentlich dagegen, ZoneAlarm zu benutzen, wenn
man folgenden Auszug aus dem hier angesprochenen Artikel
beherzigt:

"Ich will meine Firewall richtig konfigurieren, wie gehe ich
vor?
Verbiete alles.
Wenn irgendetwas nicht funktioniert, lerne, was diese Software
wirklich braucht und warum. Dann schalte es bei Bedarf frei.

Nochmals: Schalte nichts frei, von dessen sachlicher
Notwendigkeit Du nicht von Grund auf überzeugt bist. "

Nach dem ich diverse Seiten gelesen habe, würde ich sagen:
Die Firewall läuft lokal auf deinem Rechner, kann also durch Schadprogramme leicht ausgehebelt oder vielleicht sogar umgangen werden.

Weiterer „Nebeneffekt“ ist, dass die Firewall ziemlich an der Systemleistung nagt. Bei meiner Kerio Firewall war das ganz schlimm, die hat das Internet mehr als spürbar verlangsamt und ziemlich viel speicher gefressen. Und trotzdem war mein PC noch „offen“, wie nachträgliche Port-Scan-Tests gezeigt haben. Auch wenn ich eigentlich alles aktiviert habe, was „Sicherheit“ schaffen soll.

Die Investition in den Router hat übrigens nur 25€ gekostet…das teuerste waren Switch und Kabel für insgesamt knapp 20€ (mit Versand). Den Rechner habe ich für 5,50€ bei eBay ersteigert und abgeholt.

Hallo Olaf,

Nach dem ich diverse Seiten gelesen habe, würde ich sagen:
Die Firewall läuft lokal auf deinem Rechner, kann also durch
Schadprogramme leicht ausgehebelt oder vielleicht sogar
umgangen werden.

Das ist natürlich richtig. Das ist dann so als wäre sie nicht da. D.h. schaden tut sie nicht, nur im Zweifelsfall, der übrigens in meiner Umgebung noch nie eingetreten ist, kann sie nicht nützen.

Weiterer „Nebeneffekt“ ist, dass die Firewall ziemlich an der
Systemleistung nagt. Bei meiner Kerio Firewall war das ganz
schlimm, die hat das Internet mehr als spürbar verlangsamt und
ziemlich viel speicher gefressen. Und trotzdem war mein PC
noch „offen“, wie nachträgliche Port-Scan-Tests gezeigt haben.
Auch wenn ich eigentlich alles aktiviert habe, was
„Sicherheit“ schaffen soll.

Das ist dann wohl nicht ein PE Problem, sondern ein Kerio Problem. ZoneAlarm verwende ich aus Überzeugung und habe keine nennenswerten Performanceeinbußen. Ich könnte mir auch vorstellen, daß Kerio da mittlerweile nachgebessert hat.

Ich muß zugeben daß ich einen Portscan noch nie gemacht habe, aber bisher war mein System sicher (nach Wahrscheinlichkeitsaspekten). Wenn ich ZoneAlarm herunterfahre sitzt auf meinem Laptop nach spätestens fünf Minuten ein Virus. Jetzt gibt es natürlich kluge Menschen, die sagen ich soll diesen und jenen Dienst deaktivieren. Aber ich muß mich im Kundenumfelg mit dem DAU auseinandersetzen, der in jedem Hotel ins Internet geht, und da muß einfach gewärleitet sein, daß sie zwar an der Kiste rumschrauben, aber trotzdem das Risiko minimiert ist. Und da gebe ich den Usern lieber den Befehl „Beende niemals den Virenscanner oder ZoneAlarm“ als „Du darfst Port xyz nicht, Dienst abc muß immer…“

Die Investition in den Router hat übrigens nur 25€
gekostet…das teuerste waren Switch und Kabel für insgesamt
knapp 20€ (mit Versand). Den Rechner habe ich für 5,50€ bei
eBay ersteigert und abgeholt.

Wenn ich an jedem meiner Aufenthaltsorte einen Router aufstellen würde, wäre das allein schon wegen des potentiellen Diebstahls, aber auch wegen meines Stundensatzes deutlich teurer als einfach ZoneAlarm zu installieren.

Ich halte eine PF als Bestandteil des Konzepts für sinnvoll.

Gruß, AndyM

Hallo Olaf,

Hi, darf ich auch?

Nach dem ich diverse Seiten gelesen habe, würde ich sagen:
Die Firewall läuft lokal auf deinem Rechner, kann also durch
Schadprogramme leicht ausgehebelt oder vielleicht sogar
umgangen werden.

Das ist natürlich richtig. Das ist dann so als wäre sie nicht
da. D.h. schaden tut sie nicht, nur im Zweifelsfall, der
übrigens in meiner Umgebung noch nie eingetreten ist, kann sie
nicht nützen.

Jede software erhoeht die Komplexitaet eines Systems. Mit der Komplexitaet steigt auch die Anzahl von bugs im System, und zwar nicht linear, sondern schaetzungsweise quadratisch. Im Zweifelsfall hast Du ein kaputtes (anfaelliges) OS und eine kaputte personal firewall drauf.

ZoneAlarm verwende ich aus Überzeugung und habe keine
nennenswerten Performanceeinbußen.

Aber es sind welche da. Und die sind unnoetig, wenn wir die Tatsache, dass Du die software nicht benoetigst, als gegeben annehmen.

Ich muß zugeben daß ich einen Portscan noch nie gemacht habe,
aber bisher war mein System sicher (nach
Wahrscheinlichkeitsaspekten).

Sicherheit wird nicht mit stochastischen Methoden gemessen.

Wenn ich ZoneAlarm herunterfahre sitzt auf meinem Laptop nach
spätestens fünf Minuten ein Virus.

Warum? Kannst Du den Rechner nicht so konfigurieren, dass das nicht passiert? Wie ist es moeglich, dass wildfremde Leute an Deinem Eigentum rumfummeln? Willst Du das?

Aber ich muß mich im Kundenumfelg

Oh, ploetzlich sind es die Kunden, gerade sprachst Du noch von Deinem laptop.

mit dem DAU auseinandersetzen, der in jedem Hotel ins
Internet geht,

Wozu braucht er zum ‚ins Internet gehen‘ die Dateifreigabe auf dem externen interface?

Und da gebe ich den Usern lieber den Befehl „Beende niemals
den Virenscanner oder ZoneAlarm“ als „Du darfst Port xyz
nicht, Dienst abc muß immer…“

Es mag an mir liegen, aber „Du darfst die Dateifreigabe nicht anklicken.“ erscheint mir persoenlich immer noch einfacher, zumal die weitaus besser versteckt ist als das bunte icon von ZoneAlarm im systray sowie die staendig nervenden aufploppenden Fenster von dem Ding, die das Verlangen, es endgueltig mundtot zu machen nur steigern (YMMV). Noch einfacher erscheint mir, dass die Konfiguration des Rechners administrativ unterbunden wird. Am Rechner rumspielen darf nur, wer Ahnung hat.

Wenn ich an jedem meiner Aufenthaltsorte einen Router
aufstellen würde, wäre das allein schon wegen des potentiellen
Diebstahls, aber auch wegen meines Stundensatzes deutlich
teurer als einfach ZoneAlarm zu installieren.

Ich halte Olafs Idee, vor einen einzelnen host einen router zu setzen, immer noch fuer Schwachsinn. Wenn er noch mehr Rechner anbringt, mag es sinnvoll werden.

Ich halte eine PF als Bestandteil des Konzepts für sinnvoll.

Und ich nicht,
Gruss vom Frank.