Argh!

Ein weg ist es, erstmal Alle Ports und Dienste zu blocken, und dann nötige wieder freizuschalten. auch SYN Flags zu Protokolliern ist wohl Sinnvoll.

Du hast kein XP? Kannst du nicht haben, sonst würdest du diese Theorien nicht aufstellen können. Ich weiß nicht, wieviele Ports man unter XP so ohne weiteres nicht schließen kann, und wieviele Sicherheitslücken dieses OS noch hat. Übrigens, hast du schon mal alle Dienste abgeschaltet? Dann hättest du den Rechner wahrscheinlich nicht mehr benutzen können.

Wie war das doch gleich mit Sobig.F? ;-)
OK. Das gesteh ich ein. Allerdings ist die Verbreitung dergleicher Software eher durch die "dummheit" der User möglich, die Mailanhänge automatisch ausführen und einfach blöd auf links und Dateien klicken die sie von unbekannten Absendern erhalten...

Danke für die Einschätzung, dass ich dumm bin. Kennst du mich irgendwoher ;)

Da erstellt jemand Filterregeln, die von der Firewall Batch-Mäßig abgearbeitet werden und der Kerl hat nix anderes zu tun als die Filter  (die auch installierten Programmen zugeordnet waren) nach Icons zu sortieren, damit alles ordentlich aussieht.
Toll! Das ist eine Prima Idee! Es war die Keiro / Ex Tiny Firewall

Du verallgemeinerst mir zu sehr. Nicht jedem Nutzer von MS-Produkten ist die goldene Regel namens RTFM unbekannt.

Torsten

PS: Der beste Schutz für einen WinXP-Rechner ist nach meiner unmaßgeblichen Meinung das Schließen aller Ports, soweit dies möglich ist, sowie eine einfache Firewall (z.B. die Freeware-Version von ZoneAlarm), um den Verkehr an den schließbaren Ports zu überwachen und bei unerlaubtem Datentransfer Alarm zu schlagen.

Hi,

"Otto Normalverbraucher" sollten natürlich auch eine Firewall installieren,

Um was genau zu erreichen?
Nachdem ich schon so stolz auf mich war, wie gut ich bestimmte Postings einfach hinnehmen
kann, ohne immer wieder zu antworten, erfordert es hier dann doch die Höflichkeit:

1. Firewalls machen plastischer, was auf einem PC passiert.
      (wer's schon weiß darf sich genervt fühlen, die anderen lernen dadurch)

Dann müßten diese Firewalls bei jeder Meldung ein Knöpfchen anbieten, das eine ausführlcihe Erklärung über das Was, Wann, Wieso, Warum und Sowieso anbietet. Sollte das bei einem Produkt der Fall sein, ist Dein Punkt durchaus plausibel.

2. Firewalls verhindern das Starten von Programmen durch andere Software.
      (natürlich nicht immer, die Fehlerquellen solcher Systeme sind vielfältig, aber
      sie tun mehr als es keine Firewall tut!)

Wie können Firewalls das Starten von Programmen durch andere Programme verhindern? Vor allem: was soll das bringen?
(Kann natürlich auch ein Mißverständnis meinerseits sein, dann bitte ich bereits hier schon um nähere Ausführung)

3. Firewalls sind oftmals in der Lage, Phonehome-Funktionen von Software zu unterbinden.
      (natürlich sind die Freunde von Microsoft und andere Bigplayer in der Lage, sowas zu
      umgehen - eigentlich umgehen sie nicht einmal, sie nutzen den bereits getrampelten Weg -
      aber man kann sich immer wieder überraschen lassen, welch seltsame Programme gerne eine
      Verbindung zu XY haben möchten, die man bisher gar nicht indieser Form kannte oder die
      eigentlich gar keine Funktionen über den eigenen Rechner hinaus zu haben schienen)

Eine Firewall muß in der Lage sein, jedes ausgehende Paket/Verbindung zu bearbeiten. Das wiederspricht sich im Falle von verschlüsselten Paketen selber (end-to-end Security), ich weiß, aber selbst da gibt es, wenn auch sehr begrenzte, Möglichkeiten.
Kann sowas umgangen werden, nein, besser: kann sowas nicht verhindert werden ist das als Bug der Firewall anzusehen.

4. Firewalls zeigen mindestens mittelbar an, wenn sie ("sicherheitshalber", denn das wäre
      bei ihrer Funktionslosigkeit ja gar nicht nötig!?) deaktiviert wurden.

Ein deaktiviertes Programm (Was soll das sein? Entweder rennt ein Programm oder nicht.) kann nichts anzeigen. Was meinst Du damit genau?

5. Und last but not least:
      Die Mär vom System das unsicherer als vorher ist durch eine Personal Firewall lässt
      sich aus meiner Sicht nur für Ausnahmefälle halten.
      Und die heute auch schon wieder gelesene Geschichte vom unsichereren System durch
      unbedachteren Umgang nach Firewallinstallation mag evtl. einleuchten, ist aber in
      der Allgemeinheit mit der daraus dann Empfehlungen gegeben werden die gleiche
      Bevormundung wie das Ursprungsposting von hilker - nur eloquenter verpackt.

"Eloquenter"? Oh, dankeschön! ;-)
Aber Otto Normalverbraucher bekommt nun einmal nur das mit, was die öffentlichen Medien so verbreiten. Da heißt es: Sie brauchen eine Firewall. Wenn die stattdessen jedesmal "Öffnen sie niemals Anhänge unbekannter Herkunft!" gesagt hätten, wäre der Welt schon eher geholfen.
Der normale Benutzer wird einfach nicht informiert. Hast Du schonmal erlebt, das in einer Kiste, die zusammen mit Software angeboten wird, eine ausführliche Beschreibung derselben enthält? Das auch nur per Default alle Sicherheitseinstellungen _an_ sind?
O.N. will lediglich im Web surfen und Mails schreiben. Das ginge auch mühelos mit OpenBSD in strikter Installation (Wenn auch mit X ;-). Probleme gibt es nur bei Spielen, die laufen meist nur auf Windows. Das kommt auch nicht von ungefähr, schließlich ist eine Spielentwicklung schweineteuer, da suchen sich die Hersteller natürlich den größtmöglichen Kundenkreis.
Das sind nach mehreren unterscheidlichen Erhebungen ungefähr 70% aller Computerbenutzer im privatem Sektor. Ein verdammt großer Kundenkreis, oder? Warum wird der nicht entsprechend bedient? Weil sich damit nix verdienen läßt? Klingt plausibel.
Was ist mit der extremen Hardwaremix im PC-Bereich? Das kostet ungeheuer viele verscheidene Treiber, jeder einzelen davon kann Murks sein. (Wenn man mal davon absieht, das die PC-Architektur selber auch Murks ist. Siehe die Workarounds namens MMX, SSE, SEE2: Eine MD5Sum ist 128 Bit lang, da sollte man vermuten, das so etwas wie "movq $1,%%xmm0;movq $2,%%xmm1;cmpq %%xmm0,%%xmm1" funktionieren würde? gesch... cmpq gibt's nicht.)

Aber hier schweife ich viel zu sehr ab, bitte um Entschuldigung.

Wer so etwas zustimmt, möge sich beim nächsten Aufreger-Thread "Recht", in dem es
   wieder um das Verbraucherleitbild des BGH geht, dann bitte auch zurück halten!
   Da tut's dann nämlich erfahrungsgemäß keiner, weil es meistens Nachteile für Profis bringt! ;-)

Irgendwann vor langer Zeit hieß es einmal:"Der Kunde ist König!", heutzutage heißt es leider immer öfter:"Wenn einer schreit:'Der König trägt ja gar keine Kleider!', dann ist er schon beim Verb auf der Stelle zu erschießen!".

so short

Christoph Zurnieden

Hi Ottonormalverbraucher

also ich glaube bei keinem anderen Programm (ausgenommen Virenscanner) ist die Zielvorgabe klarer definiert als bei Firewalls.

Nein, willst du ein Programm, willst du Hardware, willst du, sorry das so zu sagen, Personalfirewalls die völlig für die Katze sind. Wieviel darf das Ding kosten.

Ziel ist: Rechner von ausgehenden und eingehenden Anfragen zu schützen. Es gibt gewisse Kriterien nach denen die Sicherheit einer Firewallbeurteilt werden kann. Kann sie von Malware abgeschlatet werden, besitzt sie md5 auth Funktionen für Programmme,etc,etc

Es gibt keine Sicherheit. Dienste abstellen und immer schön Patchen ist wesentlich sicherer als ein System das auf dem selben Rechner eine Firewall betreibt dafür nicht gepatcht wurde. Ein vernünftig konfiguriertes System ohne Firewall ist kaum unsicherer als ein vernünftig konfiguriertes System mit Firewall auf dem selben System installiert.

Nochamls:
Welches Programm kann das am besten? Irgedwer muss die Dinger doch auf Leistungsfähigkeit testen. Es gibt ja auch Stiftung Warentest für normale Produkte.

Kein einziges Programm kann das vernünftig wenn es auf dem selben Rechner läuft wie der zu schützende. Alle Personalfirewalls die ich kenne gaukeln dir Sicherheit vor, sind jedoch völlig für die Katze. Wenn das Betriebssystem unsicher ist auf dem die Firewall läuft, nützt nichts mehr, und ja, für den Einsatz als einzige Firewall ist imho kein einziges Betriebssystem geeignet, nicht umsonst besteht eine vernünftige Hardwarefirewall aus zwei sozusagen getrennten Rechnern mit unterschiedlichen Betriebssystemen.

Rechnerkonfiguration, nicht genutzte Dienste, Sicherheitslücken in Programmen, Social Engineering, oder welche Sicherheitslücke auch immer spielt keine Rolle.

Nein, hat das Betriebssystem eine kritische Lücke, ist jede Firewall auf diesem System drauf einfach nur noch für die Katze.

Gruss Daniela

Hi ottonormalverbraucher,

Du hast nicht spezifiziert was du schützen willst, was du bereit bist auszugeben und was du erwartest. Es gibt keine beste Firewall, es gibt nur eine, die deinen Anforderungen am besten entspricht.
also ich glaube bei keinem anderen Programm (ausgenommen Virenscanner) ist die Zielvorgabe klarer definiert als bei Firewalls.

Wie Daniela bereits schrieb, was genau willst du denn wie schützen, also einen als Webserver betriebenen Windows-Rechner oder einen Home-PC mit Linux drauf oder was genau? Danach wird sich richten, ob Hardware oder Software oder ob überhaupt.

Welches Programm kann das am besten? Irgedwer muss die Dinger doch auf Leistungsfähigkeit testen. Es gibt ja auch Stiftung Warentest für normale Produkte.

Für Softwaretests (idR Windows-Software) schaue ich ganz gern bei [http://www.pcwelt.de] rein.

Viele Grüße
Torsten

Moin,

also ich glaube bei keinem anderen Programm (ausgenommen Virenscanner) ist die Zielvorgabe klarer definiert als bei Firewalls.

Womit du die implizite Annahme du wüsstest nicht wovon du sprichst bestätigt hättest. Eine Firewall ist kein Programm, als Firewall bezeichnet man ein Konzept und dessen Umsetzung. Das kann, muß aber nicht durch Programm geschehen. Und so sage ich: Die beste Firewall für den von dir genannten Zweck besteht darin alle Dienste vom Internetinterface zu entbinden.

Ziel ist: Rechner von ausgehenden und eingehenden Anfragen zu schützen.

Vor eingehenden muß es nicht geschützt werden, das macht das Betriebssystem. Vor ausgehenden _kann_ man sich im PC-Bereich nicht schützen ohne die Internetverbindung komplett zu trennen, da man prinzipiell alles über alles tunneln kann. Für entsprechendes Kleingeld kann man sich aber natürlich auch Systeme basteln lassen, die dafür sorgen dass keine sensiblen Daten nach draussen gelangen. Das bezahlt man dann aber nicht mehr aus der Portokasse.

Rechnerkonfiguration, nicht genutzte Dienste, Sicherheitslücken in Programmen, Social Engineering, oder welche Sicherheitslücke auch immer spielt keine Rolle.

Doch. Immer.