Warum Firewall?

#16 Die Gegner gehen halt immer davon aus, dass man das alles irgendwo abstellen kann.
Und wenn es nicht möglich ist, sollte man das Programm eben einfach nicht installieren. Wenn man es trotzdem verwendet dann ist man selbst Schuld, weil man ja sein eigenes System kompromitiert hat.

Dann kommen meistens noch so weltfremde Vorschläge wie:
"Erstell dir einen extra Rechner nur für das Internet"
"Mach regelmäßig Backups von all deinen Daten auf externe Datenträger"
"Steig jetzt sofort komplett auf GNU/Linux um"

IMHO sind viele Firewallgegner ziemlich arrogante Besserwisser, die Desktop-Firewalls eins zu eins mit Norton und Co. gleichsetzen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#17

Zitat

Wie kann ich ein Programm, welches ich benutzen will/muss daran hindern
sich nach Hause zu connecten ohne eine Firewall zu benutzen?

Da die Antwort i.d.R schlicht und ergreifend "gar nicht" ist, muss man die ablehnende Haltung gegenüber Firewalls so interpretieren, dass eine solche "outbound protection" von FW-Gegnern generell für unnötig gehalten wird.
Ähnliches gilt für die andere Richtung (inbound), wobei es hier aber immerhin (wirkungsvollere, dafür aufwendigere/teurere) Alternativen zu FWs gibt.

Es geht also letztlich gar nicht um die Lücken (tunneln, ausschalten) von FWs, sondern um den grundlegenden Sinn und Nutzen einer aplications-basierten inbound/outbound-Kontrolle (bezogen auf den Preis/Aufwand.)
Darüber kann man sicherlich streiten... aber es ist irgendwo Ansichtssache und hängt von vielen individuellen Faktoren ab. Etwa vergleichbar mit der Frage, ob man sich beim Fahrradfahren einen Helm aufsetzen sollte.

Genau deshalb sind so einseitige Aussagen wie: "deinstallier den Sch***!" imho genauso schlimm wie: "installier dir 'ne FW und du bist für immer vor Hackern, Trojanern, Viren, Würmern usw. geschützt."
Die Wahrheit liegt, wie so oft, irgendwo in der Mitte.

Zitat

IMHO sind viele Firewallgegner ziemlich arrogante Besserwisser, die Desktop-Firewalls eins zu eins mit Norton und Co. gleichsetzen.

Den Eindruck habe ich auch, wobei hier anwesende "Zweifler" ausdrücklich ausgeschlossen sind.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#18 ich hätte mal 2 fragen zu euren einträgen (i'm a nube):

1. was ist ActiveX genau?
2. was heißt das: IMHO

#19

Zitat

ActiveX : Skriptsprache, die ausschließlich unter Microsoft Betriebsystemen zur Verfügung steht. In eine Webseite eingebunden, bietet ActiveX jede Menge Möglichkeiten, schädlichen Code auszuführen.

Für Abkürzungen empfehle ich http://www.rhusmann.de/kuerzel/kuer1pke.htm
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#20 Hätte mal da eine Frage die weder ironisch gemeint ist noch etwas konkretes mit FW's zu tun haben will.
Gibt es eigentlich wirklich tolle Programme wegen ihrer Qualität schwer ersetzbar,die heimlich spionieren?
Mit heimlicher Spionage meine ich jetzt nicht die einmalige Überprüfung der
Seriennummer wobei auch in diesem Falle mir jetzt bloß nur ein einziges tolles Programm (ein bekannter E-Mailclient) spontan einfällt.

Gruß
Ajax

#21 Dem "Realplayer" wird z.B. ein solches Verhalten vorgeworfen. Leider ist er in manchen Bereichen kaum zu ersetzen...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#22 Gründe eine effektive Firewall zu Installiern:

hmm wenn man sich sicher ist das man keine schädlichen Ports offen hat und/oder nur Ports offen hat die auch von außen offen sein sollen benötigt man gar keine.

Aber will man zb. nur Ports im lan offen haben und von außen geschlossen haben so benötigt man auf jeden fall einen Packetfilter.

Wirkliches Firewalling wird nur dann benötigt wenn man mit NAT (Network Address Translation) arbeitet und hinter einem lan Rechner hat die dennoch von außen ereichbar sein sollen etc.

Eine Firewall kann auch nur als reine Vorsichtsmaßnahme dienen, ich würde jedenfalls von billigen desktop "Firewalls" abraten. Wenn man sich eine Firewall einbaut sollte man auch genug Ahnung haben um diese zu konfigurieren ansonsten nützt die beste Firewall nichts.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#23

Zitat

ich würde jedenfalls von billigen desktop "Firewalls" abraten

Lass mich raten was besser wäre: Ein Rechner mit Debian GNU/Linux oder NetBSD.
Ist ganz einfach man muss sich bloß mal ein paar Monate mit Linux beschäftigen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#24 @asdrubael

Ja am liebsten klar ;) Allerdings wenn man nur einen Rechner hat ist das wiederum auch nicht nötig. Aber ansonsten ja ich würde immer zu einem *X oder *BSD System als FW Lösung raten.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#25 Warum? Da gehen Dir doch die schönen Vorteile einer Desktop Lösung die auf Applikationsebene Ports filtert verloren?

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#26 Hmm welche Vorteile? Die Applikationsebene ist die Absturzebene
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#27 ahja und Deine Texte schreibst Du in der hexadezimalen Koodierung des ASCII Zeichensatzes direkt auf den Streifbanddrucker?????

Ein Vorteil ist beispielsweise, daß ich jedem Programm einzeln sagen kann, welchen Port es benutzen darf. Somit liegen die PFW wieder klar vorn gegenüber eines Port/Paketfilters auf X Basis - die können erst wieder mithalten, wenn SIF Funktionalität hinzukommt - also Checkpoint auf Solaris zum Beispiel.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#28 Moin Boardies,

ich zähle mich nicht unbedingt zu den Hardlinern unter den Firewallgegnern, schlage mich aber im Zweifelsfall auf deren Seite, grad wenn Debatten in ihrer Wortwahl eine Wendung nehmen, wie hier im Moment.

"Weltfremde Vorschläge von arroganten Besserwissern"... hmmm... das stimmt mich etwas nachdenklich. Die mag es sicher geben, ebenso, wie dumme User die auch nach einem ganzen Sack voll Hinweisen und Erklärungen überhaupt nicht peilen, worum's überhaupt geht... zu jedem Topf ein Deckel.

Das Gro der FW-Gegner - und hier sollte man ganz genau unterscheiden, denn die meisten sprechen über App-FW - wissen durchaus wovon sie sprechen. Und wenn man sich als Newbie ein wenig Mühe gibt, kann man anhand der Argumentationen ganz schnell die Spreu vom Weizen unter den FW-Gegnern trennen... wenn!

Bleiben wir mal bei den Fakten: Einem Newbie, und das ist nicht böse gemeint... wir haben alle mal angefangen, das Grundverständnis für eine FW mit allen Vor- und Nachteilen zu vermitteln setzt voraus, dass er sein System durchgeholt hat. Mit allem was dazu gehört... OS, Apps, Hardware, Dienste, Netzwerk... Wenn ein Newbie das irgendwann mal gerallt hat, ist er kein Newbie mehr und stellt sich von allein die Frage: "Wozu eine App-FW". Das Ding ist nur... wie viele von den Einsteigern stellen mal eine Frage nach dem System bevor sie nach einer FW rufen? Hab noch keinen Thread erlebt, der im Verlauf von einer Systemfrage im Ergebnis auf eine App-FW kommt.

Next one: Selbst die Hardliner unter den Befürwortern einer App-FW (im krassen Fall schon gern mal mit 2 FWs im Parallelbetrieb) kommen auf den Punkt gebracht irgendwann dahinter, dass sie das Teil eigentlich nur brauchen um Outbound zu verhindern. Bravo. Da die Anwesenden ja keine Probleme mit Warez, Cracks und ähnlichem haben, bleibt als einzige Anwendung der RealPlayer, der Probleme bereitet. Zumindest solche, die man nicht, wie bei anderen Apps mit zwei Klicks beheben kann. Nur Leute, machen wir uns nichts vor - wie wollt ihr denn eine unerlaubt Übertragung von Daten verhindern, wenn der RealPlayer als Plugin in eurem Browser gestartet wird oder sich Daten von einem Streamingserver holt? Und jetzt bitte nicht der Trick mit der Host.* und 'nem local-Eintrag für real.com...

Nochmal zu den arroganten Besserwissern, "...die Desktop-Firewalls eins zu eins mit Norton und Co. gleichsetzen.: asdrubael... das "Co." musst du mal erklären, bzw. was bleibt übrig außer Norton und Co.? IMO haben die Besserwisser recht... nenn' sie Norton oder Kerio oder Outpost oder... es bleiben alles App-FW.

Soooo... nur damit von mir kein falsche Bild entsteht... einige hier kennen mich seit Jahren... Jeder soll das machen, was er für richtig hält! Wenn jemand 5 FWs parallel laufen hat... is ok, wenn er herausfinden möchte, ob sie sich gegenseitig behindern. Ein Vorschlag an die Boardadmins: Heftet diesen Thread irgendwo ganz oben an... zwingt die Leute ihn vor betreten des Forum zu lesen... egal, die Hauptsache Fragen wie "Welche FW?" tauchen nicht mehr auf. Jedes mal wird's an irgendeiner Stelle persönlich, unsachlich... haarsträubend. Das muss nicht sein, zumal alle FÜRs und WIDERs schon 1000mal gebracht wurden und keine neuen Erkenntnisse dazu kommen.

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#29 Zum Thema "Weltfremde Vorschläge von arroganten Besserwissern" solltest du dir einfach mal folgenden (exemplarischen) Link durchlesen: http://www.fefe.de/pffaq/.
Folgt man der Logik weiter sollte man sein OS selbst programmieren und kompilieren oder zumindest sämtliche Sourcen verstanden haben.

Zitat

Da die Anwesenden ja keine Probleme mit Warez, Cracks und ähnlichem haben

Dem kann ich mich persönlich nur teilweise anschließen.

Ich kann und will nicht bei jedem einzelnen Programm wissen ob es Phonehome betreibt und wo ich das abstellen kann. Bei der Anzahl an Programmen die ich teilweise installiert habe wäre das ein unglaublicher Mehraufwand.

Der Real Player kommt bei mir nicht als Plugin in den Browser. So einfach ist das.
Wenn sich die Datei nicht auch herunterladen läßt ist es eh meistens Streaming-Müll.

Thema Norton und Co:
Ich habe das geschrieben weil oft folgende Argumente gegen Desktop-Firewalls kommen:
- Man kann den Firewall-Task einfach abschießen
- Man kann die Firewall austricksen indem man z. B. die iexplore.exe einfach mit einem Trojaner überschreibt
- Die Firewall nervt einen bei jedem Portscan mit Popup-Fenstern
- Firewalls sind sehr leicht zu tunneln

Diese Argumente mögen auf Norton, Zonealarm und andere Klicki-Bunti-Firewalls durchaus zutreffen. Allerdings trifft z. B. keines der Argumente auf die Kerio zu:
Man kann einen Registry-Eintrag erstellen der die Verbindung kappt sobald der Firewall-Task abgeschossen wurde.
Sie bildet MD5-Checksummen der einzelnen Programme und meldet wenn diese verändert wurden bevor es eine Regel ausführt.
Ich konnte die Firewall mit keinem Programm erfolgreich tunneln.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#30 @Robert


Ein Vorteil ist beispielsweise, daß ich jedem Programm einzeln sagen kann, welchen Port es benutzen darf. Somit liegen die PFW wieder klar vorn gegenüber eines Port/Paketfilters auf X Basis"

Bringt mir überhaupt gar nichts. Eine Desktop Firewall kann auf gar keinen Fall mit einer Kernel implementierten FW von linux/*BSD mithalten. In keinem Falle.

Den Vorteil den du beschrieben hast funktioniert auch nur lokal.
Was meinst du mit X? Doch nicht etwa xfree86?!

Naja eine Desktop FW ist nochlange nicht so zuverfässig, wie linux/*BSD.

Checkpoint auf Solaris, ne Enterprise FW - nee nicht für meine 4 Rechner aber klar du hast recht ist bestimmt net schlecht :)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode