Tobias: Personal Firewall

Hallo,
ich habe mich ja inzwischen davon überzeugen lassen, dass Personal Firewalls unnütz sind, wenn man über einen Router ins Internet geht.

Aber wie sieht es aus, wenn ich mit Windows 2000 Service Pack 4 per ISDN ins Internet gehe. Macht hier der Einsatz einer Personal Firewall Sinn?

Vielen Dank für eure Antworten.

Tschau

Tobias

--
Speedswimming? Finswimming? Flossenschwimmen?|http://www.tobiasklare.de |  Mein Wunschzettel
fo:) ch:? rl:( br:^ n4:° ie:{ mo:) va:| fl:) ss:| ls:<
Die Erklärung zum Selfcode findest du hier: http://emmanuel.dammerer.at/selfcode.html
Einen Decoder für den Selfcode findest du hier: http://peter.in-berlin.de/projekte/selfcode
  1. Hallo Tobias,

    Aber wie sieht es aus, wenn ich mit Windows 2000 Service Pack 4 per ISDN ins Internet gehe. Macht hier der Einsatz einer Personal Firewall Sinn?

    Windows steht per se offen wie ein Scheunentor mit seinen Netzwerkdiensten. In Anbetracht dessen ist eine Firewall, die die Ports abschottet, schon sinnvoll. Personal Firewalls haben aber eine ganz andere grundlegende Schwäche: Eine Firewall sollte nie auf dem zu schützenden PC laufen. Das ist nämlich totaler Unsinn, weil die Schutzfunktion flöten geht, kann sie doch sehr einfach kompromittiert werden (und zwar vom PC heraus, z.B. über einen Trojaner, den irgendein Vollpfosten aufm Windows-Computer aktiviert).

    Von daher meine Meinung: Mit Windows direkt am Internet, das ist absoluter Selbstmord.

    Viele Grüße,

    Sven

    1. Moin!

      Windows steht per se offen wie ein Scheunentor mit seinen Netzwerkdiensten.

      Nein, da würde ich widersprechen wollen. Auch bei Microsoft hat sich mittlerweile die Idee durchgesetzt, dass jeder nicht gestartete Dienst die Sicherheit schon mal grundsätzlich erhöht. Und außerdem benötigt man natürlich immer aktuelle Updates.

      In Anbetracht dessen ist eine Firewall, die die Ports abschottet, schon sinnvoll.

      In gewissen Szenarien sicherlich. Nämlich wenn es darum geht, Netzwerkzugriff von außen zu verhindern. Seit XP hat Windows da ja entsprechende Möglichkeiten eingebaut, die sollte man einfach nutzen. Hilft gegen den Angriff auf laufende Dienste mit Schwachstellen ganz hervorragend (hieß das Ding nicht Sasser, was sich auf alle ungeschützten Windows-Rechner stürzte und durch eigene Programmfehler nach 60 Sekunden einen Reboot erforderlich machte).

      Personal Firewalls haben aber eine ganz andere grundlegende Schwäche: Eine Firewall sollte nie auf dem zu schützenden PC laufen. Das ist nämlich totaler Unsinn, weil die Schutzfunktion flöten geht, kann sie doch sehr einfach kompromittiert werden (und zwar vom PC heraus, z.B. über einen Trojaner, den irgendein Vollpfosten aufm Windows-Computer aktiviert).

      Es hängt extrem davon ab, welche Schutzfunktion man betrachtet.

      Hereinkommenden Netzverkehr sperrt auch eine Personal Firewall ganz gut. Aber zu mehr ist sie nicht zu gebrauchen. Dummerweise ist das, was ganz gut funktioniert, nur eines von hunderten Features, die beworben werden, und auf die sich Benutzer blind verlassen, ohne zu wissen, daß dieser erhoffte Schutz nicht realisierbar ist.

      Von daher meine Meinung: Mit Windows direkt am Internet, das ist absoluter Selbstmord.

      Selbstmord - nein, soweit würde ich absolut nicht gehen wollen. Denn auch NAT-Router und externe Firewalls bieten keinen absoluten Schutz. Ein vernünftig konfiguriertes und aktuell gehaltenes Windows direkt am Netz ist genauso problematisch wie Linux.

      Aber genau wie bei Linux wird der unerfahrene Privatnutzer es nicht unbedingt hinbekommen, solch eine Konfiguration hinzukriegen.

      - Sven Rautenberg

      --
      "Love your nation - respect the others."
      1. gudn tach!

        In Anbetracht dessen ist eine Firewall, die die Ports abschottet, schon sinnvoll.

        In gewissen Szenarien sicherlich. Nämlich wenn es darum geht, Netzwerkzugriff von außen zu verhindern. Seit XP hat Windows da ja entsprechende Möglichkeiten eingebaut, die sollte man einfach nutzen.

        und bei windows 2000 - und darum ging es ja hier - kann dann eine schlichte pfw diese aufgabe uebernehmen.

        Hilft gegen den Angriff auf laufende Dienste mit Schwachstellen ganz hervorragend (hieß das Ding nicht Sasser, was sich auf alle ungeschützten Windows-Rechner stürzte und durch eigene Programmfehler nach 60 Sekunden einen Reboot erforderlich machte).

        "sasser" 2004 und ein jahr vorher "blaster".
        das meinte ich uebrigens, als ich sagte, dass es eigentlich nur zwei moeglichkeiten gebe, ein jungfraeulich insalliertes windows upzudaten. wobei man trotzdem aufpassen muss (siehe gleich verlinkter bug-hinweis). das wenigstens temporaere abschalten der anfaelligen, nicht-ueberlebenswichtigen dienste ist auf jeden fall etwas sicherer.

        [...] Dummerweise ist das, was ganz gut funktioniert, nur eines von hunderten Features, die beworben werden, [..]

        ack. ich benutze seit 2003 (oder sogar noch langer) fuer solche zwecke die kerio pfw 2.1.5. allerdings hat selbst diese oft gelobte, schlichte pfw einige bugs.

        Von daher meine Meinung: Mit Windows direkt am Internet, das ist absoluter Selbstmord.

        Selbstmord - nein, soweit würde ich absolut nicht gehen wollen.

        hihi, der Sven immer mit seinem vorsichtigen konjunktiv.
        ich wuerd^Wbin auch der meinung, dass die umschreibungen "scheunentor" und "selbstmord" hier polemische uebertreibungen sind, die so nicht mehr zeitgemaess sind... sonst waere ich schon lange "tot", vom trecker ueberfahr'n, oder so.

        prost
        seth

        1. Moin seth, sven,

          Von daher meine Meinung: Mit Windows direkt am Internet, das ist absoluter Selbstmord.
          Selbstmord - nein, soweit würde ich absolut nicht gehen wollen.
          ich wuerd^Wbin auch der meinung, dass die umschreibungen "scheunentor" und "selbstmord" hier polemische uebertreibungen sind, die so nicht mehr zeitgemaess sind... sonst waere ich schon lange "tot", vom trecker ueberfahr'n, oder so.

          herrje, ihr lebt ja schon in Vista-Zeiten, da hat sich eh alles geändert. Ich bin erst letztes Jahr hier im Haus von Windows 95 komplett auf w2k umgestiegen. Und da ist es leider noch trauriger Alltag, dass Microsoft seine Software miserabel pflegt. Windows 2000 lässt sich übrigens hier nicht mehr updaten, M$ hat den Service eingestellt.

          Grüße,

          Sven

          1. gudn tach!

            Windows 2000 lässt sich übrigens hier nicht mehr updaten, M$ hat den Service eingestellt.

            was heisst "hier"? meins laesst sich noch wunderbar updaten. was passiert denn, wenn du im msie auf www.windowsupdate.com gehst?

            prost
            seth

  2. Hallo Tobias.

    Hallo,
    ich habe mich ja inzwischen davon überzeugen lassen, dass Personal Firewalls unnütz sind, wenn man über einen Router ins Internet geht.

    Aber wie sieht es aus, wenn ich mit Windows 2000 Service Pack 4 per ISDN ins Internet gehe. Macht hier der Einsatz einer Personal Firewall Sinn?

    Nein, nicht wirklich. Ein bedachter Umgang mit dem System bezüglich Diensteverwaltung und genutzter Software (Was soll installiert werden? Warum? Ist die Quelle vertrauenswürdig?) ist weitaus sinnvoller.

    Einen schönen Samstag noch.

    Gruß, Mathias

    --
    ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
    debian/rules
  3. gudn tach!

    Aber wie sieht es aus, wenn ich mit Windows 2000 Service Pack 4 per ISDN ins Internet gehe. Macht hier der Einsatz einer Personal Firewall Sinn?

    ist die kiste alleine oder ist sie in einem lan? moeglicherweise als ics-server?
    solange frisch nach der installation von w2ksp4 noch nicht alle windows-updates installiert sind, gibt es vermutlich nur zwei moeglichkeiten, dies nachzuholen. entweder man deaktiviert alle nicht ueberlebenswichtigen dienste (siehe link in Mathias' posting) und aktiviert nach den vollzogenen updates wieder die, die man im lan braucht. oder man installiert eine schlichte pfw, die einfach mal so ziemlich alles abblockt, was reinkommt. fuer www.windowsupdate.com braucht man afaik nur rausgehende requests vom ie und svchost. danach kann man die pfw wieder runterschmeissen.

    eine pfw kann einem aber auch ganz gute dienste beim ip-filtering (z.b. wegen web-werbung) erweisen. das geht zwar auch ueber die etc/hosts, aber evtl. bietet die pfw mehr moeglichkeiten, z.b. wenn's um ip-ranges geht.

    und wenn man sich dafuer interessiert, welche software so alles ueber tcp und udp mit wem so kommuniziert, dann kann einem eine pfw auch hier informative dienste erweisen. (oder halt windump oder sowas)

    aber im grund genommen, bringt sie sicherheitstechnisch keinen wirklichen vorteil, wenn man sich bei ms regelmaessig mit updates versorgt.
    theoretisch kann sie einem nuetzen in der zeitspanne vom bekannt-werden einiger bestimmter sicherheitsrelevanter bugs bis zur herausgabe eines patches von seiten ms.

    und um das, was Mathias bereits sagte, naemlich den vernuenftigen umgang mit seinem system kommt man so oder so nicht herum.

    prost
    seth