Welche Firewall für Windows?

[ojamaney]

@navy:

Eine Firewall "arbeitet" also nicht sondern setzt um? Danke, ein Glück dass ich Dich getroffen habe, sonst wäre ich wohl dumm gestorben^^.
User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite immer als Admin^^.


Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus. Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur Unkenntlichkeit zerpflücken kannst.

Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran

 

[Andreas Späth]

Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran

Was einen der Ahnung hat wovon er redet?
Ich entdecke in dem Posting von Navy keinerlei Pompöses geschwafel.
Im gegensatz zu diesem Kommentar von dir...

Ich kann so ziemlich alles was Navy hier gepostet hat unterschreiben.

 

[fluessig]

AndreG schrieb:
Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.

Hmm, wo finde ich diesen? Bisher hab ich meine PFW aus einem ganz anderen Grund benutzt, der den Altklugen PFW-Gegnern nicht in den Sinn zu kommen scheint: Datenschutz. Da fällt mir gleich dazu ein: wer weiss wie TCP/IP funktioniert und wirklich etwas über Netzwerke erfahren möchte, dem kommt es sehr wohl auf einen weiteren HOP an.

Also wenn es eine vertrauenswürdige Alternative mit Windowsbordmitteln gibt, wie ich den Datenverkehr den meine Anwendungen verursachen kontrollieren kann, dann freue ich mich über den Tipp wie ich das machen kann. Deinstallieren ist sicher keine brauchbare Lösung.

 

[AndreG]

Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen
und da ist er.

Jedoch (meiner Meinung nach) unbrauchbar da:

1. Schwer zu erreichen
2. Jeden sch**** Port muß ich per Hand freigeben.
3. Es ist genau so "unsicher" wie ne PFW

Wenn man Sicherheit haben will, muss der Rechner vom Netz und zu DOS zurück gekehrt werden.

@Navy ich hoffe du hast keine Programme, BS oder sonst fast installiert weil es da x mal mehr leaks gibt als in den vorhandenen PFW nur mal so am Rande.

Mfg Andre

 

[fluessig]

Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen
und da ist er.

Jedoch (meiner Meinung nach) unbrauchbar da:

1. Schwer zu erreichen
2. Jeden sch**** Port muß ich per Hand freigeben.
3. Es ist genau so "unsicher" wie ne PFW

Das ist nicht dasselbe. Ich kann nicht Programme definieren, denn es kann sehr wohl vorkommen, dass ich einem Programm einen Port erlauben möchte und einem anderen nicht. Von daher ist es doch keine Alternative.

Zum Thema: ich bin mit der Ashampoo Personal Firewall zufrieden. Die gibt es auch kostenlos und sie hat einige gute Features, die andere Firewalls erst in der Kaufversion haben. Mehr kann man auf tecchannel.de lesen.

Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.

 

[AndreG]

Das unter anderem auch, von daher kommt sie nicht in Frage.

 

[Navy]

ojamaney schrieb:
> Eine Firewall "arbeitet" also nicht sondern setzt um?

Nein. Sie *wird* umgesetzt. Eine Firewall ist ein Konzept und kein Server, Programm oder ähnliches.

> User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite
> immer als Admin^^.

Wenn *Du* meinst, daß dieses Vorgehen clever ist, dann mach es -- empfehle das aber bitte nicht weiter. Ohne Dir zu Nahe treten zu wollen, jedoch empfehle ich Dir, Dich mit den Grundlagen der IT-Sicherheit vertraut zu machen.
Unter http://www.linkblock.de findest Du eine Menge Links zum Tehma.

> Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus.
> Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur
> Unkenntlichkeit zerpflücken kannst.

Du nimmst sachliche Argumente persönlich und reagierst nicht professionell.
Welche meiner Aussagen im vorherigen Post sind falsch? Wir können auf einer sachlichen Ebene problemlos drüber diskutieren.

fluessig schrieb:
> Hmm, wo finde ich diesen?

Unter Systemsteuerung -> Firewall. Diese lernt ausgehenden Verkehr so zu blocken, wie Du es für richtig hälst.

> Bisher hab ich meine PFW aus einem ganz anderen Grund benutzt, der den Altklugen
> PFW-Gegnern nicht in den Sinn zu kommen scheint: Datenschutz.

Du verwendest also Programme, denen Du nicht vertraust. Warum? Bei den guten Programmen ist es möglich, deren Verbindung zum Internet zu unterbieten. Letztendlich prüfen die /meisten/ Programme aber nur nach neuen Versionen ihrer selbst und verschicken keine persönliche Daten. Diese Märchen von Informationssammelnder Software wurde vor Jahren mal bei der Einführung von XP geschürt und auf alle anderen übertragen.

> Da fällt mir gleich dazu ein: wer weiss wie TCP/IP funktioniert und wirklich etwas
> über Netzwerke erfahren möchte, dem kommt es sehr wohl auf einen weiteren HOP an.

Ja. Gut möglich. Und? Worauf beziehst Du Dich? Auf die Aussage, daß einem TCP-Paket ein weiterer Hop von Router zum Userrechner egal ist, weil es da ankommt, wo es hin soll?

> Also wenn es eine vertrauenswürdige Alternative mit Windowsbordmitteln gibt, wie ich
> den Datenverkehr den meine Anwendungen verursachen kontrollieren kann, dann freue
> ich mich über den Tipp wie ich das machen kann. Deinstallieren ist sicher keine
> brauchbare Lösung

Die "Firewall" von XP ist vertrauenswürdiger als jede Software von 3.Anbietern -- und dabei bin ich wahrlich kein Freund von Windows.

[...]

> Das ist nicht dasselbe. Ich kann nicht Programme definieren, denn es kann sehr wohl
> vorkommen, dass ich einem Programm einen Port erlauben möchte und einem anderen
> nicht. Von daher ist es doch keine Alternative.

Doch, es ist möglich. Ohne Probleme. In der Konfiguration der FW unter "Ausnahmen" kann man Programme wie auch Ports eintragen.

> Zum Thema: ich bin mit der Ashampoo Personal Firewall zufrieden. Die gibt es auch
> kostenlos und sie hat einige gute Features, die andere Firewalls erst in der Kaufversion
> haben. Mehr kann man auf tecchannel.de lesen.

You get what you pay for.

> Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht
> in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen
> dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.

Doch, sie gehört genau hier hin, da der OP nach einer Alternative zu ZA gefragt hat und aus sicherheitstechnischer Sicht die Verwendung dieser Art von Software in vielen Fällen sehr gefährlich sein kann.

 

[ojamaney]

ojamaney schrieb:
> Eine Firewall "arbeitet" also nicht sondern setzt um?

Nein. Sie *wird* umgesetzt. Eine Firewall ist ein Konzept und kein Server, Programm oder ähnliches.

Das ist doch wirklich kleinkariert! Selbst wenn Du recht hättest, so hätte der allgemeine Sprachgebrauch immer noch Gültigkeit, auch wenn es Dir nicht gefällt!
Wenn ich mir ZoneAlarm kaufe, habe ich mir eine Software, Programm gekauft und nicht ein Konzept! Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja ausführbar. Ganz sicher aber nicht als Konzept.

> User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite
> immer als Admin^^.

Wenn *Du* meinst, daß dieses Vorgehen clever ist, dann mach es -- empfehle das aber bitte nicht weiter. Ohne Dir zu Nahe treten zu wollen, jedoch empfehle ich Dir, Dich mit den Grundlagen der IT-Sicherheit vertraut zu machen.
Unter http://www.linkblock.de findest Du eine Menge Links zum Tehma.

Ich kenne die Grundlagen der IT-Sicherheit. Und wenn Du niemanden zu nahe treten willst, was soll dann dieser Post? Gefällt Dir mein Name nicht? Stört Dich mein Bild? Oder was passt Dir an meinen Post nicht, dass Du nichts besseres zu tun hast als alles was ich schreibe als geistigen Dünnpfiff hinzustellen?

> Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus.
> Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur
> Unkenntlichkeit zerpflücken kannst.

Du nimmst sachliche Argumente persönlich und reagierst nicht professionell.
Welche meiner Aussagen im vorherigen Post sind falsch? Wir können auf einer sachlichen Ebene problemlos drüber diskutieren.

Aber selbstverständlich nehme ich das persönlich wenn jemand daher kommt und meine Aussage als "technischen Blödsinn" bezeichnet (siehe Dein Post). Das trifft einen IT'ler hart ^^. (Und ich mache meinen Job nicht erst seit gestern!)
Und wie reagiert man Deiner Meinung nach denn professionell? Indem man anderen sagt, sie seien zu blöd dafür? Die sachliche Ebene hast Du mit Deinem ersten Post bereits verlassen, indem Du alle Deine Aussagen als allgemein gültig dahinstellst und alles andere zum ausgemachten Schmarrn erklärst. So fängt man sicher keine sachliche Diskussion an. (Die beginnt eher mit: "Ich bin der Meinung..." oder "Nach meiner Erfahrung verhält es sich so und so...")

> Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht
> in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen
> dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.

Doch, sie gehört genau hier hin, da der OP nach einer Alternative zu ZA gefragt hat und aus sicherheitstechnischer Sicht die Verwendung dieser Art von Software in vielen Fällen sehr gefährlich sein kann.

Nanu? Ist ZoneAlarm nicht eine Firewall? Und hast Du hier gerade selber diese Firewall als Software bezeichnet? Tztztz.....
Und komm jetzt bitte nicht damit, dass diese Software das Konzept "Firewall" umsetzt. Solche pedantische Zerpflückung von Begrifflichkeiten braucht nun wirklich keiner. Denn wenn es danach geht, setzt jedes Programm ein Konzept um.

Und hier noch was zum Thema: http://www.stiftung-warentest.de/online/computer_telefon/test/1494233/1494233/1495154.html

Ps: navi, wenn es noch etwas zu diskutieren gibt, dann bitte per pn. Für längere sachliche Diskussionen steh ich Dir auch per eMail zu Verfügung. In diesem Sinne: peace und prost kaff'

 

[Dennis Wronka]

Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja ausführbar. Ganz sicher aber nicht als Konzept.

Dieses Script setzt aber, durch den Aufruf bestimmter Befehle ein Sicherheitskonzept um.
Ich persoenlich sehe es auch noch so eng. Man kann durchaus einen Rechner oder ein anderes Device, oder meinetwegen gern als Firewall bezeichnen. Immerhin hat es sich so eingebuergert. Im Grunde waere es wesentlich richtiger von einem Paketfilter zu sprechen, denn das ist was die meisten "Firewalls" schlichtweg sind.

Denn wenn es danach geht, setzt jedes Programm ein Konzept um.

Richtig, und genau dies ist ja die Problematik und Gefahr der Softwarepatente. Das aber nur mal so am Rande.

@Navi: Ich verstehe Deine Einwaende, aber Du solltest akzeptieren, dass sich der Begriff Firewall im allgemeinen Sprachgebrauch eine andere Bedeutung angeeignet hat als es urspruenglich gedacht war. Nicht jeder hier beschaeftigt sich seit Jahren mit Netzwerk-Security, Marketing-Kampagnen steuern den Rest dazu bei.
Es ist richtig, und wichtig, dass Du darauf ansprichst dass eine zusaetzliche Software zusaetzliche Luecken mit sich bringen kann, aber es ist nicht notwendig gleich einen Kurs ueber Security zu halten und gross und breit zu erklaeren warum eine PFW eigentlich garkeine Firewall ist sondern lediglich ein Paketfilter.
Ich moechte Dich aber dazu ermuten Dein Wissen ueber diesen Bereich mal in ein Tutorial zu packen, welches sicher dazu beitragen kann Usern die in diesem Feld eben nicht zu Hause sind ein paar Begrifflichkeiten ordentlich zu erklaeren.

 

[Navy]

> Das ist doch wirklich kleinkariert! Selbst wenn Du recht hättest, so hätte der allgemeine
> Sprachgebrauch immer noch Gültigkeit, auch wenn es Dir nicht gefällt!

Im Rahmen meines beruflichen Aufgabenbereichs habe ich nur mit Menschen zu tun die Deiner Auffassung wiedersprechen, lediglich im privaten, abseits des Hobbys und hier sehe ich den Begriff Firewall in diesem (nicht ganz korrektem) Zusammenhang. Die Bezeichnung Personal-Firewall ist jedoch ein gewachsener Begriff der wohl überall so verwendet wird und gegen den ich nichts habe. Technisch gesehen sind das dennoch Paketfilter.

> Wenn ich mir ZoneAlarm kaufe, habe ich mir eine Software, Programm gekauft und nicht
> ein Konzept!

Du hast Dir dann einen Paketfilter gekauft der als Personal-Firewall bezeichnet wird.

> Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden
> und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja
> ausführbar. Ganz sicher aber nicht als Konzept.

Was auch immer *Du* unter Linux als Firewall bezeichnest, ich habe bisher nur Routingkonfigurationen mit Paketfiltern gesehen.

> Ich kenne die Grundlagen der IT-Sicherheit. Und wenn Du niemanden zu nahe treten
> willst, was soll dann dieser Post? Gefällt Dir mein Name nicht? Stört Dich mein Bild?
> Oder was passt Dir an meinen Post nicht, dass Du nichts besseres zu tun hast als
> alles was ich schreibe als geistigen Dünnpfiff hinzustellen?

Du hast behauptet, daß ein Router zwischen LAN und WAN einen Schutz bietet, das ist falsch. NAT bietet keinen zusätzlichen Schutz, denn die Pakete werden dorthin durchgereicht,wo sie hinsollen.

> Aber selbstverständlich nehme ich das persönlich wenn jemand daher kommt und meine
> Aussage als "technischen Blödsinn" bezeichnet (siehe Dein Post). Das trifft einen IT'ler
> hart ^^. (Und ich mache meinen Job nicht erst seit gestern!)

Wenn Du mit Kritik nicht umgehen kannst, ist das Dein Problem. Ich habe Deine Aussage als Blödsinn bezeichnet, weil sie in keiner Sichtweise richtig ist.

> Und wie reagiert man Deiner Meinung nach denn professionell? Indem man anderen
> sagt, sie seien zu blöd dafür? Die sachliche Ebene hast Du mit Deinem ersten Post
> bereits verlassen, indem Du alle Deine Aussagen als allgemein gültig dahinstellst und
> alles andere zum ausgemachten Schmarrn erklärst. So fängt man sicher keine
> sachliche Diskussion an. (Die beginnt eher mit: "Ich bin der Meinung..." oder "Nach
> meiner Erfahrung verhält es sich so und so...")

Man reagiert professionell, indem man sich (nochmals) beliest und überprüft, ob man nicht vielleicht doch Blödsinn geschrieben hat. Ich für meinen Teil bin immer bereit dazuzulernen und akzeptiere andere *Meinunge*, bei *Wissen* jedoch muß ich vorher nicht relativieren.

> Nanu? Ist ZoneAlarm nicht eine Firewall? Und hast Du hier gerade selber diese Firewall
> als Software bezeichnet? Tztztz.....

ZoneAlarm ist Software und wird als Personal-Firewall klassifiziert. Qualitativ bringt sie keinen Sicherheitsvorteil für den User und ist im Gegenteil eigentlich gefährlich. Die Gründe dafür kannst Du jederzeit in dem von mir geposteten Link (http://www.linkblock.de) nachlesen.

> Und komm jetzt bitte nicht damit, dass diese Software das Konzept "Firewall" umsetzt.

Macht sie nicht. Sie erhöht die Angriffsbasis auf das System druch die Vergrößerung der Codebasis, veschaft dem User ein gutes Gewissen ohne leisten zu können was sie verspricht und verbraucht nur Systemressourcen.

> http://www.stiftung-warentest.de/online/computer_telefon/test/1494233/1494233/1495154.html

Und was soll das beweisen?
http://groups.google.de/group/de.co...6?q=Stiftung+Warentest+Firewall&lnk=ol&hl=de&

> Ps: navi, wenn es noch etwas zu diskutieren gibt, dann bitte per pn. Für längere
> sachliche Diskussionen steh ich Dir auch per eMail zu Verfügung. In diesem Sinne:
> peace und prost kaff'

Ich bleibe lieber hier. Sollte ich etwas falsches äußern, kann man mich gleich hier berichtigen.

Dennis Wronka schrieb:

> Ich verstehe Deine Einwaende, aber Du solltest akzeptieren, dass sich der Begriff
> Firewall im allgemeinen Sprachgebrauch eine andere Bedeutung angeeignet hat als es
> urspruenglich gedacht war.

Ehrlich gesagt ist er mir aber sehr viel weniger in diesem Zusammenhang begegnet als in der eigentlichen Bedeutung. Entweder hänge ich mit zu vielen "Fachidioten" rum oder aber es gibt regionale Unterschiede.

> Ich moechte Dich aber dazu ermuten Dein Wissen ueber diesen Bereich mal in ein
> Tutorial zu packen, welches sicher dazu beitragen kann Usern die in diesem Feld eben
> nicht zu Hause sind ein paar Begrifflichkeiten ordentlich zu erklaeren.

Das wäre eine gute Idee. Mal sehen ob ich in den nächsten Wochen ein wenig Zeit hab mal einen Crashkurs dazu zu schreiben. Das bedeutet aber auch, daß Grundlagen von Netzwerken erklärt werden müssen und das kann laaaaang werden.

Um aber mal wieder zum Thema zu kommen:
Die Windowsfirewall ist in der Lage ausgehenden Verkehr zu filtern, für eingehenden reicht es entsprechende Dienste nicht oder nur User/Adress-beschränkt zur Verfügung zu stellen. Andere PFW machen das recht umständlich indem sie einkommende Pakete verwerfen (droppen) oder zurückweisen (reject) und zumindest der erste Fall -- also der des drop -- wird sehr gerne als "stealth"-Variante verkauft was es jedoch überhaupt nicht ist, denn ein potentieller Hacker bekommt ja keine Antwort (also auch keine Fehlermeldung des Netzes) und weiß demnach, daß dort jemand ist, der versucht sein Netz zu schützen.

Ich sehe es auch als beunruhigend an, daß die meisten PFW bei ICMPs wild mit Alarmmeldungen um sich schlagen und diese droppen und zerstören damit die eigentliche Verwaltungsfunktion solcher Pakete. Diese Warnmeldungen sollen dem User ein Gefühl der Sicherheit geben, denn die Software verhindert ja "böse" Angriffe wie Portscans oder Pings, der Wert dieser Meldungen geht aber gegen 0.