partitionist
Erfahrenes Mitglied
Hallo, ich möchte mir eine andere Firewall zulegen, bisher habe ich immer Zone Alarm verwendet, da ich aber gehört habe diese sei nicht sicher wollte ich euch fragen welche guten Alternativen gibt es?
Welche Firewall für Windows?
- Themenstarter partitionist
- Beginndatum
Navy
Freiwillige Serverwehr
Nimm einfach die 'FW' die bei XP bei XP bei ist. Was anderes brauchst Du nicht und mehr Schutz bekommst Du auch nicht.
Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.
Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.
ojamaney
Erfahrenes Mitglied
Es gibt keine Software-Lösung die wirklich empfehlenswert ist. Meine besten Erfahrungen habe ich mit Kerio gemacht, aber jede Software-FW sollte nur eine Übergangslösung sein.
Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren.
Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.
Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren.
Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.
zeroize
Erfahrenes Mitglied
Es gibt (wie für fast jedes allgemeine Computerproblem) auch hier ein wunderbare FAQ:
http://www.fefe.de/pffaq/
http://www.fefe.de/pffaq/
partitionist
Erfahrenes Mitglied
Wer hat die Comodo Firewall Pro getestet/installiert, habe ein sehr guten Testbericht gefunden:
http://www.tecchannel.de/pc_mobile/402411/index24.html
Die Firewall hat sehr gut abgeschnitten und ist dazu noch kostenlos!
http://www.tecchannel.de/pc_mobile/402411/index24.html
Die Firewall hat sehr gut abgeschnitten und ist dazu noch kostenlos!
Navy
Freiwillige Serverwehr
Radhad
Erfahrenes Mitglied
SPI schön und gut, aber das schützt dich nicht vor potenziell gefährlichem Inhalt. Wenn man wirklich sehr sicher surfen will, muss man neben einem Paketfilter wie sie Fritz!Box etc. anbietet auch eine Application Firewall haben, und die gibt es nur Client-seitig per Software Firewall! Und Application & Pakete sind nicht die einzigen Dinge, die man Filtern sollte...
Wer noch sicherer sein will stellt statt Port Forwarding seine Ports unter Port Triggering ein, dort werden nur Ports aufgemacht, wenn eine entsprechende Anfrage aus dem Netzwerk losgeschickt wird und nach einer gewissen Zeit wieder geschlossen.
AndreG
Erfahrenes Mitglied
Welche Ct meinst du explizit? (Möchte ihn auch lesen) Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige nette Schnitzer gelesen).
Bisher ist bei mir eine Sygate im Einsatz, die sich bisher gut bewährt hat.
Auch im Hinblick auf das jetzt angeschlossene Wlan. Man kann voralledingen nicht nur eingehenden Traffic sperren und es sind eigene Regeln definierbar.
Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.
Mfg Andre
ojamaney
Erfahrenes Mitglied
Meinst Du FritzDSL? Ich habe eine FritzBox und FritzDSL verstehe ich eher als Steuer-Software um die Firewall zu konfigurieren. Das heisst man kann damit bestimmten Programmen/Prozessen Zugriff erlauben/entziehen, Ports öffnen/schliessen/zuweisen usw.
Ob Port-Forwarding oder Triggering ist nicht eine Frage der Sicherheit sonder eine des Bedarfs. Triggering nutzt mir zB herzlich wenig wenn ich von aussen auf meinen PC zuhause zugreifen will.
Wer so sicher wie möglich sein will, sollte zunächst erstmal wissen wie eine Firewall arbeitet und sich im klaren darüber sein, dass jede Firewall nur so sicher sein kann wie sein Benutzer weiss was er tut. Soll heissen, die beste Firewall nützt nichts wenn jemand sich einen Trojaner runterlädt und ihn ausführt! Wer achtlos im Netz surft und auf alle möglichen Links klickt muss sich nicht wundern wenn was schief geht. Denn nicht die Firewall erlaubt dem Trojaner die Verbindung, sondern der Benutzer!
Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom PC angefordert worden sind, abgelehnt werden.
Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP zugewiesene IP endet am Router.
Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat auch sofort auf dem PC zugreifen kann. Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten Router nicht erreichen kann (lokale IP eben).
Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil, sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls gegenseitig ausschliessen.
Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
- man in einem grossen Netzwerk arbeitet und sich vor "dummen" Kollegen und deren leichtfertigen Umgang mit dem Internet schützen will
- oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)
Kurzum, um sich vor potenziell gefährlichem Inhalt zu schützen und sicher zu surfen bedarf es nur einer Hardware-Firewall und dem gewissenhaften Umgang mit dem Internet. Ein Antivirenprogramm (inklusive Mail-Guard) ist selbstredend.
Achja, weil ich hier grade was von WLan gelesen habe. Wer WLan nutz sollte sich Geräte holen die die WPA- oder besser noch WPA2-Verschlüsselung beherrschen. WEP ist längst nicht mehr sicher und es gibt bereits Programme zum freien Download mit denen man WEP-geschützte WLans ruckzuck knacken kann.
Mehr Informationen dazu hier: http://www.heise.de/security/artikel/59098
Ps.: ISP = Internet Service Provider (Telekom, Arcor usw)
Zuletzt bearbeitet:
Navy
Freiwillige Serverwehr
AndreG schrieb:
> Welche Ct meinst du explizit? (Möchte ihn auch lesen)
http://www.heise.de/kiosk/special/ct/07/03/
> Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige
> nette Schnitzer gelesen).
Ich übernehme nichts unflektiert -- der Artikel spiegelt einfach das wieder, was ich vorher hier schon über IT-security gepostet habe.
> Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.
Eine PFW ist sinnlos und durchaus gefährlich. (Erhöhte Anfälligkeit des Systems durch vergrößerung der Codebasis, Risikokompensation, fehlende Dokumentationen, fehlende Mächtigkeit, etc)
ojamaney schireb:
> Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom
> PC angefordert worden sind, abgelehnt werden.
Nein. Eine Firewall arbeitet nicht sondern wird umgesetzt. Soll heißen:
- die Sicherheitsrichtlinien zum Userverhalten werden beachtet
- User arbeiten nicht mit admin/root-Rechten
- die Sicherheitssoftware wie Paketfilter, IDS, etc. läuft auf einem/mehreren dedizierten System/en und sind entsprechend der Richtlinien konfiguriert
Wenn eine Richtlinie sagt, daß jeder einkommende Verkehr geblockt wird und nur gefilterter durchgelassen wird, dann wird der entsprechende Teil der Software konfiguriert. Es ist aber per se kein Teil der Firewall, denn im Grunde ist die Firewall ein Konzept, keine Software oder Hardware.
Was umgangsprachlich mit Firewall gemeint ist zeigt der letzte Punkt, wie diese "Firewall" aber letztendlich arbeitet ist von Implementation zu Implementation völlig unterschiedlich.
> Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer
> Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit
> einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP
> zugewiesene IP endet am Router.
Das ist kein Merkmal einer Firewall. Was Du meinst nennt sich NAT und ist *kein* echter Bestandteil einer Sicherheitskonzeptes sondern die logische Konsequenz der Verbindung zwischen WAN und LAN.
> Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP
> endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat
> auch sofort auf dem PC zugreifen kann.
Das ist ebenso hinter einem Router möglich. Den Paketen ist es egal, ob sie noch einen Hop mehr machen müssen.
> Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall
> für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten
> Router nicht erreichen kann (lokale IP eben).
Sorry, aber das ist technischer Blödsinn. Die lokale IP spielt für die Angreifbarkeit eines Rechners eine sehr untergeordnete Rolle. Genau hier sorgt nämlich NAT dafür, daß die Pakete da landen, wo sie hinsollen.
Das Lesen der Dokumentationen von TCP/IP Protokolls sowie der ISO/OSI Layer sind hier wsehr hilfreich.
> Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil,
> sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls
> gegenseitig ausschliessen.
Sie ist sinnlos. Aber nicht aus diesem Grund.
> Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine
> Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
[...]
> - oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen
> (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)
Trojaner, Malware, Viren, etc. die sich nicht erkennen lassen wollen, werden sich sicher nicht bei einer Firewall melden. Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.
> Welche Ct meinst du explizit? (Möchte ihn auch lesen)
http://www.heise.de/kiosk/special/ct/07/03/
> Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige
> nette Schnitzer gelesen).
Ich übernehme nichts unflektiert -- der Artikel spiegelt einfach das wieder, was ich vorher hier schon über IT-security gepostet habe.
> Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.
Eine PFW ist sinnlos und durchaus gefährlich. (Erhöhte Anfälligkeit des Systems durch vergrößerung der Codebasis, Risikokompensation, fehlende Dokumentationen, fehlende Mächtigkeit, etc)
ojamaney schireb:
> Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom
> PC angefordert worden sind, abgelehnt werden.
Nein. Eine Firewall arbeitet nicht sondern wird umgesetzt. Soll heißen:
- die Sicherheitsrichtlinien zum Userverhalten werden beachtet
- User arbeiten nicht mit admin/root-Rechten
- die Sicherheitssoftware wie Paketfilter, IDS, etc. läuft auf einem/mehreren dedizierten System/en und sind entsprechend der Richtlinien konfiguriert
Wenn eine Richtlinie sagt, daß jeder einkommende Verkehr geblockt wird und nur gefilterter durchgelassen wird, dann wird der entsprechende Teil der Software konfiguriert. Es ist aber per se kein Teil der Firewall, denn im Grunde ist die Firewall ein Konzept, keine Software oder Hardware.
Was umgangsprachlich mit Firewall gemeint ist zeigt der letzte Punkt, wie diese "Firewall" aber letztendlich arbeitet ist von Implementation zu Implementation völlig unterschiedlich.
> Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer
> Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit
> einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP
> zugewiesene IP endet am Router.
Das ist kein Merkmal einer Firewall. Was Du meinst nennt sich NAT und ist *kein* echter Bestandteil einer Sicherheitskonzeptes sondern die logische Konsequenz der Verbindung zwischen WAN und LAN.
> Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP
> endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat
> auch sofort auf dem PC zugreifen kann.
Das ist ebenso hinter einem Router möglich. Den Paketen ist es egal, ob sie noch einen Hop mehr machen müssen.
> Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall
> für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten
> Router nicht erreichen kann (lokale IP eben).
Sorry, aber das ist technischer Blödsinn. Die lokale IP spielt für die Angreifbarkeit eines Rechners eine sehr untergeordnete Rolle. Genau hier sorgt nämlich NAT dafür, daß die Pakete da landen, wo sie hinsollen.
Das Lesen der Dokumentationen von TCP/IP Protokolls sowie der ISO/OSI Layer sind hier wsehr hilfreich.
> Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil,
> sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls
> gegenseitig ausschliessen.
Sie ist sinnlos. Aber nicht aus diesem Grund.
> Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine
> Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
[...]
> - oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen
> (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)
Trojaner, Malware, Viren, etc. die sich nicht erkennen lassen wollen, werden sich sicher nicht bei einer Firewall melden. Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.
