Welche Firewall ist die beste???

#16 Hi spunki,

VisNetic FW ist die Weiterentwicklung der wohlbekannten Conseal09(seinerzeit einer der besten FW's)
Leider hat sie kein Application-Filtering und ist nicht gerade billig.

http://www.ccsoftware.ca/visnetic/features.cfm

Was mich ein wenig wundert,daß die m.E. z.Z. gelungenste und stabilste FW
(Look'nStop leider auch kostenpflichtig) kaum erwähnt wird.Würde persönlich zwar kein Geld für eine FW ausgeben ,finde es aber trotzdem kuriös.

Gruß
Ajax

#17

Zitat

Ajax postete
Was mich ein wenig wundert,daß die m.E. z.Z. gelungenste und stabilste FW
(Look'nStop leider auch kostenpflichtig) kaum erwähnt wird.Würde persönlich zwar kein Geld für eine FW ausgeben ,finde es aber trotzdem kuriös.

Gruß
Ajax[/i]

Looknstop? Stabil? Mein WinXPpro kam mit dessen lnsdriver überhaupt nicht klar. Schon bei der Installation meckerte Windows wegen des Windows Logo Tests. Nicht umsonst, denn bei der ersten Installation hatte Looknstop gleich mal alles eingefroren, es lief nichts mehr. Ich mußte unter Mühen den granzen Kram wieder von meiner Platte kratzen. Allerdings hatte ich eine Vermutung: ich hatte die Kerio noch nebenbei laufen (sollte an sich nicht so problematisch sein). Als ich diese dann deinstallierte und Looknstop nochmal versuchte, ging es dann plötzlich. Ohne großen Einstellungen versuchte ich gleich mal einfach zu connecten. Doch nix da. Kein Connecten möglich. Eine halbe Stunde lang suchte ich nach dem Fehler. Ich gab es auf, kein Bock auf 1000 und ein Problem. Nun läuft wieder still und friedlich die Kerio. Basta.

#18 Na ja, dass zwei parallel betriebene FWs Probleme machen können, ist eigentlich ganz normal, wenn nicht vorprogrammiert...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#19 Kann nur forge77 zustimmen.Habe selber das Teil zwar nur unter w98secE und w2k getestet,aber unter xp soll es auch einwandfrei laufen.
Soll auch nicht als Empfehlung verstanden werden.Ob überhaupt oder welche FW die beste ist sollte ein jeder für sich entscheiden(können).

#20 Einige lassen mehrere Firewalls parallel laufen (ob das nun Sinn macht, oder nicht). Kenne das eher von Virenprogrammen, daß die sich nicht gegenseitig abkönnen. Naja, aber auch so wollte es irgendwie nicht richtig laufen.
Muß aber jeder letztlich selbst entscheiden, wie schon gesagt wurde.

#21 IP-Tables gehören zu denn Besten Firewalls die es gibt!
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#22 Windws XP:
Übersicht über den InternetverbindungsfirewallEin Firewall ist ein Sicherheitssystem, das als Schutzwall zwischen einem Netzwerk und der Außenwelt dient. Der Internetverbindungsfirewall (Internet Connection Firewall, ICF) ist eine Firewallsoftware, mit der die Daten eingeschränkt werden, die zwischen Ihrem Netzwerk zu Hause oder in einem kleinen Büro und dem Internet ausgetauscht werden.

Wenn Ihr Netzwerk die gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing, ICS) verwendet, um mehreren Computern den Internetzugriff zu ermöglichen, sollte ICF für ICS aktiviert sein. ICS und ICF können jedoch getrennt aktiviert werden. Sie sollten ICF für ICS auf allen Computern aktivieren, die eine direkte Verbindung zum Internet aufweisen. Weitere Informationen, wie Sie feststellen, ob ICF aktiviert ist, oder wie Sie den Firewall aktivieren, finden Sie unter So aktivieren oder deaktivieren Sie den Internetverbindungsfirewall.

ICF schützt auch einzelne Computer, die mit dem Internet verbunden sind. Wenn ein einzelner Computer per Kabelmodem, DSL-Modem oder DFÜ-Modem mit dem Internet verbunden ist, schützt ICF die Internetverbindung. Sie sollten ICF bei VPN-Verbindungen nicht aktivieren, weil dies die gemeinsame Nutzung von Dateien und andere VPN-Funktionen stören würde.

Funktionsweise des Internetverbindungsfirewalls
Der Internetverbindungsfirewall (Internet Connection Firewall, ICF) wird als statusbehafteter Firewall eingestuft. Ein statusbehafteter Firewall überwacht alle Kommunikationsaspekte und überprüft die Quell- und Zieladresse der verarbeiteten Nachrichten. Um unaufgeforderten Datenverkehr von der öffentlichen Seite der Verbindung zu verhindern, verwaltet ICF eine Tabelle der gesamten Kommunikation, die vom ICF-Computer stammt. Bei einem einzelnen Computer verfolgt ICF Datenverkehr, der von diesem Computer stammt. In Kombination mit ICS verfolgt ICF den gesamten Datenverkehr, der vom ICF/ICS-Computer sowie von Computern in privaten Netzwerken stammt. Der gesamte eingehende Datenverkehr aus dem Internet wird mit den Einträgen in der Tabelle abgeglichen. Der eingehende Internetverkehr darf nur dann die Computer in Ihrem Netzwerk erreichen, wenn ein entsprechender Eintrag in der Tabelle vorhanden ist, dass der Kommunikationsaustausch von Ihrem Computer oder privaten Netzwerk ausging.

Nachrichten, die von Quellen außerhalb des ICF-Computers ausgehen, wie z. B. dem Internet, werden ignoriert, es sei denn, es wurde ein entsprechender Eintrag auf der Registerkarte Dienste vorgenommen. Anstatt Ihnen Benachrichtigungen über die Aktivität zu senden, verwirft ICF die unaufgeforderte Kommunikation, wodurch verbreitete Versuche von Hackern, wie etwa das Scannen von Anschlüssen, unterbunden werden. Solche Meldungen könnten zu häufig auftreten und stören. Anstelle dessen kann ICF ein Sicherheitsprotokoll erstellen, um die vom Firewall verfolgten Aktivitäten anzuzeigen. Lesen Sie dazu die Informationen unter Übersicht über das Sicherheitsprotokoll des Internetverbindungsfirewalls.

Dienste können so konfiguriert werden, dass unaufgeforderter Datenverkehr aus dem Internet vom ICF-Computer an das private Netzwerk weitergeleitet wird. Wenn beispielsweise ein HTTP-Webserverdienst installiert wurde und Sie den HTTP-Dienst auf dem ICF-Computer aktiviert haben, wird der unaufgeforderte HTTP-Datenverkehr vom Computer an den HTTP-Webserver weitergeleitet. ICF benötigt eine Reihe von Betriebsparametern, die als Dienstdefinition bezeichnet werden, damit unaufgeforderter Internetverkehr an den Webserver in Ihrem privaten Netzwerk weitergeleitet werden kann. Informationen zu Diensten finden Sie unter So fügen Sie eine Dienstdefinition hinzu und Übersicht über Dienstdefinitionen.

Hinweise zum Internetverbindungsfirewall
ICF und die Kommunikation mit privaten Netzwerken oder Netzwerken in kleinen Büros
Sie sollten den Internetverbindungsfirewall (Internet Connection Firewall, ICF) nicht für jede Verbindung aktivieren, die keine direkte Verbindung zum Internet herstellt. Wird der Firewall für den Netzwerkadapter eines ICS-Clientcomputers aktiviert, kommt es zu Störungen bei der Kommunikation zwischen diesem Computer und anderen Computern im Netzwerk. Aus einem ähnlichen Grund lässt der Netzwerkinstallations-Assistent die Aktivierung von ICF für die private Verbindung des ICS-Hosts nicht zu (die Verbindung, die den ICS-Hostcomputer und die ICS-Clientcomputer miteinander verbindet), da die Aktivierung eines Firewalls an dieser Position die Netzwerkkommunikation vollständig unterbinden würde.

ICF wird nicht benötigt, wenn Ihr Netzwerk bereits über einen Firewall oder einen Proxyserver verfügt.

Wenn Ihr Netzwerk nur eine einzige gemeinsam genutzte Internetverbindung aufweist, sollten Sie diese durch Aktivieren von ICF schützen. Einzelne Clientcomputer können ebenfalls Adapter aufweisen, wie etwa ein DFÜ- oder DSL-Modem, die individuelle Verbindungen zum Internet bieten und ohne Schutz durch einen Firewall nicht vor Angriffen geschützt sind. ICF kann nur die Kommunikation über die Internetverbindung überprüfen, für die der Firewall aktiviert ist. ICF arbeitet auf Verbindungsbasis, weshalb Sie ihn auf allen Computern mit einer Internetverbindung aktivieren müssen, um den Schutz des gesamten Netzwerkes zu gewährleisten. Wenn Sie den Firewall für die Internetverbindung auf dem ICS-Hostcomputer aktiviert haben, ein Clientcomputer mit einer direkten Internetverbindung jedoch den Firewall nicht zum Schutz verwendet, ist das Netzwerk aufgrund dieser ungeschützten Verbindung anfällig.

Die Dienstdefinitionen, die den Betrieb von Diensten über ICF ermöglichen, funktionieren auch auf Verbindungsbasis. Wenn mehrere Firewallverbindungen im Netzwerk eingerichtet sind, müssen Dienstdefinitionen für jede Verbindung mit einem Firewall, über die der Dienst funktionieren soll, konfiguriert werden.

ICF und Benachrichtigungen
ICF überprüft die gesamte eingehende Kommunikation, weshalb manche Programme, insbesondere E-Mail-Programme, bei aktiviertem ICF ein unterschiedliches Verhalten aufweisen. Einige E-Mail-Programme fragen in regelmäßigen Abständen den E-Mail-Server nach neuer Mail ab, während andere Programme auf Benachrichtigungen vom E-Mail-Server warten.

Microsoft Outlook Express prüft z. B. immer dann, ob neue E-Mail eingetroffen ist, wenn der Zeitgeber dies veranlasst. Ist neue E-Mail vorhanden, teilt Outlook Express dem Benutzer dies über eine Benachrichtigung mit. ICF hat keine Auswirkung auf die Funktionsweise dieses Programms, weil die Anforderung für die Benachrichtigung über neue E-Mail von innerhalb des Firewalls stammt. Der Firewall nimmt einen Eintrag in einer Tabelle vor und notiert die ausgehende Kommunikation. Wenn die Benachrichtigung über neue E-Mail vom Mailserver bestätigt wird, der Firewall einen entsprechenden Eintrag in der Tabelle findet und die Kommunikation weiterleitet, erhält der Benutzer die Benachrichtigung, dass eine neue E-Mail eingetroffen ist.

Office 2000 Outlook ist hingegen mit einem Microsoft Exchange-Server verbunden, der einen Remoteprozeduraufruf (Remote Procedure Call, RPC) zum Senden von Benachrichtigungen über neue E-Mails an Clients verwendet. Office 2000 Outlook prüft nicht automatisch, ob neue E-Mails eingetroffen sind, wenn eine Verbindung mit einem Exchange-Server besteht. Der Exchange-Server benachrichtigt Office 2000 Outlook, wenn neue Nachrichten eintreffen. Da die RPC-Benachrichtigung vom Exchange-Server initiiert wird, der sich außerhalb des Firewalls befindet, und nicht von der Anwendung Office 2000 Outlook, die sich innerhalb des Firewalls befindet, kann ICF den entsprechenden Eintrag in der Tabelle nicht finden. Deshalb werden keine RPC-Nachrichten aus dem Internet in das private Netzwerk übertragen. Die RPC-Benachrichtigung wird gelöscht. Die Benutzer können E-Mail senden und empfangen, müssen jedoch manuell prüfen, ob neue E-Mail vorhanden ist.

Erweiterte Einstellungen für ICF
Die Sicherheitsprotokollfunktion von ICF bietet die Möglichkeit, ein Sicherheitsprotokoll der Firewallaktivitäten zu erstellen. ICF kann zulässigen Datenverkehr und abgelehnten Datenverkehr protokollieren. Beispielsweise lässt der Firewall eingehende Echoanforderungen vom Internet standardmäßig nicht zu. Wenn die ICMP-Option Eingehende Echoanforderung zulassen nicht aktiviert ist, schlägt die eingehende Anforderung fehl, und es wird ein Protokolleintrag für den fehlgeschlagenen eingehenden Datenverkehr generiert. Lesen Sie dazu die Informationen unter Übersicht über das Sicherheitsprotokoll des Internetverbindungsfirewalls. Informationen zu ICMP finden Sie unter Internet Control Message-Protokoll (ICMP).

Mit ICMP können Sie das Verhalten des Firewalls durch Aktivieren verschiedener ICMP-Optionen ändern, wie etwa Eingehende Echoanforderung zulassen, Eingehende Zeitstempelanforderung zulassen, Eingehende Routeranforderung zulassen und Umleiten zulassen. Kurze Beschreibungen dieser Optionen finden Sie auf der Registerkarte ICMP. Informationen zum Navigieren und Anweisungen für ICMP finden Sie unter So aktivieren Sie Internet Control Message-Protokolle (ICMP).

Die zulässige Größe des Sicherheitsprotokolls kann festgelegt werden, um einen möglichen Überlauf zu verhindern, der durch Dienstverweigerungsangriffe verursacht werden könnte. Die Ereignisprotokollierung wird im erweiterten Protokolldateiformat generiert, wie vom World Wide Web Consortium (W3C) festgelegt. Weitere Informationen zur ICF-Sicherheitsprotokollierung finden Sie unter Übersicht über die Sicherheitsprotokolldatei des Internetverbindungsfirewalls.

Anmerkung

Die Dienste Gemeinsame Nutzung der Internetverbindung, Internetverbindungsfirewall, Ermittlung und Steuerung sowie Netzwerkbrücke sind unter Windows XP 64-Bit Edition nicht verfügbar.

#23 Die beste FW ist keine PFW

System nach offenen Ports scannen und dann alle nicht benötigten Dienste entfernen.
Wenn nur Phonehome kontrolliert bzw unterbunden werden soll erst mal Adaware und dann u.U ein Paketfilter

#24 Wie soll ein Paketfilter gegen Homephone helfen?
Und Adaware findet (wie alle Filescanner) auch nicht alles.

In dem Punkt mit dem Beenden der Dienste stimme ich dir aber zu.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#25 Ich glaube, daß ich an der Stelle mal ins Gedächtnis rufen muß, daß es sehr viele Unterschiede zwischen den genannten Techniken gibt!

Ein PFW ist ein Paketfilter auf Applikationsebene - IPTables ist ein reiner Paketfilter - beide arbeiten auf OIS Schicht 3.

Meiner Meinung nach wird eine Firewall erst eine Firewall, wenn sie durch Techniken wie SIF (Stateful Inspection Firewall) glänzt.

Eine Übersicht der gängigen Techniken findet Ihr unter: http://www.different-thinking.de/firewall.html

An einer kleinen Erklärung, was SIF wirklich bedeutet, arbeite ich im Moment noch.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#26

Zitat

spunki postete
bitte poste mal genaueres über visnetic hab noch nie was drüber gehört

Oh, sorry-war lange nicht hier!
Was möchtest du denn wissen? VisNetic ist eine englischsprachige Firewall, welche sich bei entspechender Einstellung nicht von außerhalb abschalten lässt.
Falls doch mal einer den Dreh raus hat, dann blockiert das Programm im ausgeschalteten Zustand den Datenverkehr ins Netzwerk.(Vorausgesetzt du hast das Ding entsprechend eingestellt-geht nämilch auch ohne.)
Dabei ist egal ob du das "LAN" oder das "www" filterst.

Es gibt da auch eine Serverversion mit Möglichkeit der Virenscannung, aber da kenne ich mich nicht aus.

Ein spezielles Feature überprüft ob deine Daten, welche du bekommst, auch mit der Internetverbindung welche du haben willst zu tun haben.(Mir ist jedoch unklar wie so etwas funktioniert).
Ein Hilfsprogramm hiflt dir bei der Erstellung der Grundregeln- die mußt du dann aber noch optimieren(meiner Meinung nach).
Das geht aber relativ gut.

In einer Log- Datei kannst du dir dann ansehen was so alles abgewehrt oder zugelassen wurde.
Ebenso findest du dort die Möglichkeit die Regeln zu Abwehr zu überprüfen, und nach Bedarf zu optimieren. Das Programm sagt dir z.B. warum eine Regel versagt hat oder nicht richtig arbeitet.
Na ja und so weiter.
Wer möchte dem helfe ich damit. Hier nochmal:Le.wasai@web.de
(Keycode + Version 1.1 habe ich)
Also Tschüß erstmal.

#27 @Ralf
Ein spezielles Feature überprüft ob deine Daten, welche du bekommst, auch mit der Internetverbindung welche du haben willst zu tun haben.(Mir ist jedoch unklar wie so etwas funktioniert).

Das Feature nennt sich SPI(Statefull Packet Inspection)
Dabei wird nicht nur der Header sondern auch der Inhalt eines Paketes überprüft.

Stateful Packet Inspection

Packets are analyzed at all OSI layers. This is another firewall method, a more in depth process. Like packet filtering, this method analyzes the header information for source and destination, but this system also checks the contents. This method is most commonly used to ensure all information coming in was originally initiated by the receiving computer.
Packet inspection also has the capacity to close all ports until a specific connection is requested. This feature offers additional protection from threats such as port scanning.

Gruß
Ajax

#28

Zitat

Ajax postete
[i]@Ralf


Das Feature nennt sich SPI(Statefull Packet Inspection)
Dabei wird nicht nur der Header sondern auch der Inhalt eines Paketes überprüft.

Hi Ajax,
danke für diese sehr informative Antwort! Hat mir wirklich sehr genützt!
Jetzt wird mir auch einiges klar.Befasse mich noch nicht lange mit Netzwerktechnik.
Dass das Feature "Use Stateful Packet Inspection" heißt, war mir bekannt, aber wie das geht, das war für mich aus der Programm-Hilfe nicht so zu entnehmen.
Danke nochmals! Gruß Ralf

#29 Es gibt verschiedene Formen der SIF/SPF: Eine preiswerte Form ist die, daß nur bei Protokollen der Netzwerk- und Transportschicht die Zustände überwacht werden. Professionelle System können dann auch die aufwendige Überwachung der Applikationsprotokolle.

Ich schreibe grad was zu dem Thema, bin aber noch nicht ganz fertig, aber da Ihr es seit: http://www.different-thinking.de/sif.html

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#30 Hallo,

ich habe seit sehr langer Zeit Sygate Personal Firewall 5.5. Ich war eig immer zufrieden, ich frage mich nur ob das immernoch aktuell ist. Was denkt ihr? Oder solli mir eine andere besorgen?

Ciao