Hallo, ich möchte mir eine andere Firewall zulegen, bisher habe ich immer Zone Alarm verwendet, da ich aber gehört habe diese sei nicht sicher wollte ich euch fragen welche guten Alternativen gibt es?

Nimm einfach die 'FW' die bei XP bei XP bei ist. Was anderes brauchst Du nicht und mehr Schutz bekommst Du auch nicht.

Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.

Es gibt keine Software-Lösung die wirklich empfehlenswert ist. Meine besten Erfahrungen habe ich mit Kerio gemacht, aber jede Software-FW sollte nur eine Übergangslösung sein.
Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren.
Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.

Es gibt (wie für fast jedes allgemeine Computerproblem) auch hier ein wunderbare FAQ:
http://www.fefe.de/pffaq/

Wer hat die Comodo Firewall Pro getestet/installiert, habe ein sehr guten Testbericht gefunden:

http://www.tecchannel.de/pc_mobile/402411/index24.html

Die Firewall hat sehr gut abgeschnitten und ist dazu noch kostenlos!

Wenn Du auf Schlangenöl stehst. bitte.

http://de.wikipedia.org/wiki/Schlangen%C3%B6l

Zitat von ojamaney

Es gibt keine Software-Lösung die wirklich empfehlenswert ist. Meine besten Erfahrungen habe ich mit Kerio gemacht, aber jede Software-FW sollte nur eine Übergangslösung sein.
Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren.
Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.

SPI schön und gut, aber das schützt dich nicht vor potenziell gefährlichem Inhalt. Wenn man wirklich sehr sicher surfen will, muss man neben einem Paketfilter wie sie Fritz!Box etc. anbietet auch eine Application Firewall haben, und die gibt es nur Client-seitig per Software Firewall! Und Application & Pakete sind nicht die einzigen Dinge, die man Filtern sollte...

Wer noch sicherer sein will stellt statt Port Forwarding seine Ports unter Port Triggering ein, dort werden nur Ports aufgemacht, wenn eine entsprechende Anfrage aus dem Netzwerk losgeschickt wird und nach einer gewissen Zeit wieder geschlossen.

Zitat von Navy

Nimm einfach die 'FW' die bei XP bei XP bei ist. Was anderes brauchst Du nicht und mehr Schutz bekommst Du auch nicht.

Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.

Welche Ct meinst du explizit? (Möchte ihn auch lesen) Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige nette Schnitzer gelesen).

Bisher ist bei mir eine Sygate im Einsatz, die sich bisher gut bewährt hat.
Auch im Hinblick auf das jetzt angeschlossene Wlan. Man kann voralledingen nicht nur eingehenden Traffic sperren und es sind eigene Regeln definierbar.

Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.

Mfg Andre

Zitat von Radhad

SPI schön und gut, aber das schützt dich nicht vor potenziell gefährlichem Inhalt. Wenn man wirklich sehr sicher surfen will, muss man neben einem Paketfilter wie sie Fritz!Box etc. anbietet auch eine Application Firewall haben, und die gibt es nur Client-seitig per Software Firewall! Und Application & Pakete sind nicht die einzigen Dinge, die man Filtern sollte...

Wer noch sicherer sein will stellt statt Port Forwarding seine Ports unter Port Triggering ein, dort werden nur Ports aufgemacht, wenn eine entsprechende Anfrage aus dem Netzwerk losgeschickt wird und nach einer gewissen Zeit wieder geschlossen.

Meinst Du FritzDSL? Ich habe eine FritzBox und FritzDSL verstehe ich eher als Steuer-Software um die Firewall zu konfigurieren. Das heisst man kann damit bestimmten Programmen/Prozessen Zugriff erlauben/entziehen, Ports öffnen/schliessen/zuweisen usw.
Ob Port-Forwarding oder Triggering ist nicht eine Frage der Sicherheit sonder eine des Bedarfs. Triggering nutzt mir zB herzlich wenig wenn ich von aussen auf meinen PC zuhause zugreifen will.
Wer so sicher wie möglich sein will, sollte zunächst erstmal wissen wie eine Firewall arbeitet und sich im klaren darüber sein, dass jede Firewall nur so sicher sein kann wie sein Benutzer weiss was er tut. Soll heissen, die beste Firewall nützt nichts wenn jemand sich einen Trojaner runterlädt und ihn ausführt! Wer achtlos im Netz surft und auf alle möglichen Links klickt muss sich nicht wundern wenn was schief geht. Denn nicht die Firewall erlaubt dem Trojaner die Verbindung, sondern der Benutzer!
Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom PC angefordert worden sind, abgelehnt werden.
Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP zugewiesene IP endet am Router.
Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat auch sofort auf dem PC zugreifen kann. Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten Router nicht erreichen kann (lokale IP eben).
Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil, sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls gegenseitig ausschliessen.

Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
- man in einem grossen Netzwerk arbeitet und sich vor "dummen" Kollegen und deren leichtfertigen Umgang mit dem Internet schützen will
- oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)

Kurzum, um sich vor potenziell gefährlichem Inhalt zu schützen und sicher zu surfen bedarf es nur einer Hardware-Firewall und dem gewissenhaften Umgang mit dem Internet. Ein Antivirenprogramm (inklusive Mail-Guard) ist selbstredend.

Achja, weil ich hier grade was von WLan gelesen habe. Wer WLan nutz sollte sich Geräte holen die die WPA- oder besser noch WPA2-Verschlüsselung beherrschen. WEP ist längst nicht mehr sicher und es gibt bereits Programme zum freien Download mit denen man WEP-geschützte WLans ruckzuck knacken kann.

Mehr Informationen dazu hier: http://www.heise.de/security/artikel/59098



Ps.: ISP = Internet Service Provider (Telekom, Arcor usw)

AndreG schrieb:

> Welche Ct meinst du explizit? (Möchte ihn auch lesen)

http://www.heise.de/kiosk/special/ct/07/03/

> Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige
> nette Schnitzer gelesen).

Ich übernehme nichts unflektiert -- der Artikel spiegelt einfach das wieder, was ich vorher hier schon über IT-security gepostet habe.

> Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.

Eine PFW ist sinnlos und durchaus gefährlich. (Erhöhte Anfälligkeit des Systems durch vergrößerung der Codebasis, Risikokompensation, fehlende Dokumentationen, fehlende Mächtigkeit, etc)

ojamaney schireb:

> Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom
> PC angefordert worden sind, abgelehnt werden.

Nein. Eine Firewall arbeitet nicht sondern wird umgesetzt. Soll heißen:
- die Sicherheitsrichtlinien zum Userverhalten werden beachtet
- User arbeiten nicht mit admin/root-Rechten
- die Sicherheitssoftware wie Paketfilter, IDS, etc. läuft auf einem/mehreren dedizierten System/en und sind entsprechend der Richtlinien konfiguriert

Wenn eine Richtlinie sagt, daß jeder einkommende Verkehr geblockt wird und nur gefilterter durchgelassen wird, dann wird der entsprechende Teil der Software konfiguriert. Es ist aber per se kein Teil der Firewall, denn im Grunde ist die Firewall ein Konzept, keine Software oder Hardware.

Was umgangsprachlich mit Firewall gemeint ist zeigt der letzte Punkt, wie diese "Firewall" aber letztendlich arbeitet ist von Implementation zu Implementation völlig unterschiedlich.

> Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer
> Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit
> einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP
> zugewiesene IP endet am Router.

Das ist kein Merkmal einer Firewall. Was Du meinst nennt sich NAT und ist *kein* echter Bestandteil einer Sicherheitskonzeptes sondern die logische Konsequenz der Verbindung zwischen WAN und LAN.

> Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP
> endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat
> auch sofort auf dem PC zugreifen kann.

Das ist ebenso hinter einem Router möglich. Den Paketen ist es egal, ob sie noch einen Hop mehr machen müssen.

> Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall
> für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten
> Router nicht erreichen kann (lokale IP eben).

Sorry, aber das ist technischer Blödsinn. Die lokale IP spielt für die Angreifbarkeit eines Rechners eine sehr untergeordnete Rolle. Genau hier sorgt nämlich NAT dafür, daß die Pakete da landen, wo sie hinsollen.

Das Lesen der Dokumentationen von TCP/IP Protokolls sowie der ISO/OSI Layer sind hier wsehr hilfreich.

> Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil,
> sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls
> gegenseitig ausschliessen.

Sie ist sinnlos. Aber nicht aus diesem Grund.

> Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine
> Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
[...]
> - oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen
> (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)

Trojaner, Malware, Viren, etc. die sich nicht erkennen lassen wollen, werden sich sicher nicht bei einer Firewall melden. Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.

@navy:

Eine Firewall "arbeitet" also nicht sondern setzt um? Danke, ein Glück dass ich Dich getroffen habe, sonst wäre ich wohl dumm gestorben.
User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite immer als Admin.


Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus. Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur Unkenntlichkeit zerpflücken kannst.

Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran

Zitat von ojamaney

Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran

Was einen der Ahnung hat wovon er redet?
Ich entdecke in dem Posting von Navy keinerlei Pompöses geschwafel.
Im gegensatz zu diesem Kommentar von dir...

Ich kann so ziemlich alles was Navy hier gepostet hat unterschreiben.

Zitat von Navy

AndreG schrieb:
Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.

Hmm, wo finde ich diesen? Bisher hab ich meine PFW aus einem ganz anderen Grund benutzt, der den Altklugen PFW-Gegnern nicht in den Sinn zu kommen scheint: Datenschutz. Da fällt mir gleich dazu ein: wer weiss wie TCP/IP funktioniert und wirklich etwas über Netzwerke erfahren möchte, dem kommt es sehr wohl auf einen weiteren HOP an.

Also wenn es eine vertrauenswürdige Alternative mit Windowsbordmitteln gibt, wie ich den Datenverkehr den meine Anwendungen verursachen kontrollieren kann, dann freue ich mich über den Tipp wie ich das machen kann. Deinstallieren ist sicher keine brauchbare Lösung.

Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen
und da ist er.

Jedoch (meiner Meinung nach) unbrauchbar da:

1. Schwer zu erreichen
2. Jeden sch**** Port muß ich per Hand freigeben.
3. Es ist genau so "unsicher" wie ne PFW

Wenn man Sicherheit haben will, muss der Rechner vom Netz und zu DOS zurück gekehrt werden.

@Navy ich hoffe du hast keine Programme, BS oder sonst fast installiert weil es da x mal mehr leaks gibt als in den vorhandenen PFW nur mal so am Rande.

Mfg Andre

Zitat von AndreG

Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen
und da ist er.

Jedoch (meiner Meinung nach) unbrauchbar da:

1. Schwer zu erreichen
2. Jeden sch**** Port muß ich per Hand freigeben.
3. Es ist genau so "unsicher" wie ne PFW

Das ist nicht dasselbe. Ich kann nicht Programme definieren, denn es kann sehr wohl vorkommen, dass ich einem Programm einen Port erlauben möchte und einem anderen nicht. Von daher ist es doch keine Alternative.

Zum Thema: ich bin mit der Ashampoo Personal Firewall zufrieden. Die gibt es auch kostenlos und sie hat einige gute Features, die andere Firewalls erst in der Kaufversion haben. Mehr kann man auf tecchannel.de lesen.

Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.