magnus: Desktop-Firewall

Hallo Welt,

ich habe der Familie meiner Lebenspartnerin (also quasi meine Schwiegerfamilie) zwei günstige Laptops besorgt. Diese Familie hatte bisher nur einen einzelnen Desktop-PC, besteht aber aus sechs Personen. Da alle gerade in der Ausbildung oder Schule sind, müssen sehr oft ausführliche Arbeiten an dem PC geschrieben werden. Mit sechs Personen und einem einzigen PC kann das natürlich nicht gut gehen.
Deshalb musste eine Lösung her, und weil ich Kontakte habe, konnte ich billig an zwei gute Laptops rankommen. Seither gibt es keinen Streit wegen dem PC.

Ich halte es für nötig, eine Firewall auf allen PCs zu installieren. Ich persönlich benutze schon seit Jahren Sunbelt Personal Firewall (ehemals Kerio Personal Firewall). Diese ist für mich (Informatiker) die optimale Lösung. Vorsichtshalber und präventiv habe ich auf den Laptops diese Firewall installiert. Doch wie erwartet kommt die Familie damit nicht zurecht, zumindest nicht auf Dauer. Da alle IT-mäßig unerfahren sind, habe ich keine Chance, ihnen vernünftig zu erklären, was ein Programm darf und was nicht (ist ihnen auch egal - sie erkennen einfach nicht die Fahrlässigkeit die dahinter steckt). Außerdem habe ich keine Lust, dauernd angerufen zu werden wenn die Firewall wieder aufpoppt *gg*

Ich habe, wie gesagt, schon seit etlichen Jahren nur noch die SPF. Hat den Nachteil, dass ich einfach nicht weiß, wie die anderen Firewalls ticken, und ob die vielleicht sogar besser sind.
Ich bräuchte also nun eine Firewall, die quasi ohne viel nachzufragen, funktioniert. Für DAUs eben. Und sicher.
Welche Firewall würdet ihr in diesem Fall empfehlen? Mir ist klar, dass ich ein wenig Einrichtungsaufwand habe, aber den nehme ich hin, wenn die FW danach "funktioniert" und nicht mehr fragt, sondern nur noch warnt!

Liebe Grüße
magnus

  1. Tach,

    Ich halte es für nötig, eine Firewall auf allen PCs zu installieren.

    ich halte es für Unsinn:

    http://www.ulm.ccc.de/PersonalFirewalls
    http://www.fefe.de/pffaq/
    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verarsche

    Vorsichtshalber und präventiv habe ich auf den Laptops diese Firewall installiert.
    Doch wie erwartet kommt die Familie damit nicht zurecht, zumindest nicht auf Dauer.

    Eine Firewall ist vorrangig ein Konzept, keine Software; warum hast du dein Konzept bei der Familie so schlecht implementiert, dass deine Familie noch irgendetwas damit zu tun hat?

    Welche Firewall würdet ihr in diesem Fall empfehlen? Mir ist klar, dass ich ein wenig Einrichtungsaufwand habe, aber den nehme ich hin, wenn die FW danach "funktioniert" und nicht mehr fragt, sondern nur noch warnt!

    Keine Firewall auf den Clientsystemen, diese bieten eh keinen Schutz; nutze die Fähigkeiten des Internetrouters aus.

    mfg
    Woodfighter

    1. Hallo

      Keine Firewall auf den Clientsystemen, diese bieten eh keinen Schutz; nutze die Fähigkeiten des Internetrouters aus.

      Fähigkeiten? Das ist eine Fritzbox...
      Ich habe eine Firewall installiert, weil ich, und natürlich auch die Familie, nicht will, dass irgendein Programm, das nicht aufs Internet zugreifen soll (MS und Konsorten), ebendies tut!

      Meine eigentliche Frage hast du nicht beantwortet. Auf Grundsatzdiskussionen kann ich verzichten.

      Gruß magnus

      1. Hallo

        Fähigkeiten? Das ist eine Fritzbox...

        Die Fritzboxen (mit Router / Breitband-Modem) die ich kennengelernt habe, haben eine imho recht gute Firewall implementiert.

        Gruß
        Ole

        --
        Das Wort Vegetarier kommt aus dem Indianischen und bedeutet: Zu dumm zum Jagen.
        1. Hi

          Die Fritzboxen (mit Router / Breitband-Modem) die ich kennengelernt habe, haben eine imho recht gute Firewall implementiert.

          Die Fritzbox die hier im Einsatz ist lässt keinen von außen rein (klar, PAT halt). Aber sie lässt alles raus - also sinnlos, die Fritzbox als Firewall zu benutzen oder als solche zu bezeichnen.

          Gruß

          1. Hallo,

            AVM bietet als Ergänzung zur Firewall der Fritzbox, Fritz Protect an.

            Gruß
            Ole

            --
            Das Wort Vegetarier kommt aus dem Indianischen und bedeutet: Zu dumm zum Jagen.
            1. AVM bietet als Ergänzung zur Firewall der Fritzbox, Fritz Protect an.

              Das Teil leidet aber soweit ich das Verstehe unter den prinzipbedingten Schwächen jeder Desktop-Firewall. Ich verzichte drauf es zu nutzen.

      2. Tach,

        Ich habe eine Firewall installiert, weil ich, und natürlich auch die Familie, nicht will, dass irgendein Programm, das nicht aufs Internet zugreifen soll (MS und Konsorten), ebendies tut!

        das kannst du mit einer Personal Firewall nicht verhindern. Lies bitte die Links, die ich dir gepostet habe.

        Meine eigentliche Frage hast du nicht beantwortet. Auf Grundsatzdiskussionen kann ich verzichten.

        Offensichtlich fehlt es dir an Grundlagenwissen, um deine Frage können wir uns danach kümmern.

        mfg
        Woodfighter

        1. Moin!

          Ich habe eine Firewall installiert, weil ich, und natürlich auch die Familie, nicht will, dass irgendein Programm, das nicht aufs Internet zugreifen soll (MS und Konsorten), ebendies tut!

          das kannst du mit einer Personal Firewall nicht verhindern. Lies bitte die Links, die ich dir gepostet habe.

          Kann man. Man uebergibt der Firewall die Kontrolle ueber das System und den User macht man rechtelos.

          Es gibt natuerlich die einfache Variante: Man nimmt den Computer vom Netz. So kann auch nichts irgendwohin telefonieren.

          Was anderes: Ich hab im Leben noch keine Fritzbox benutzt. (Warum hat eigentlich jeder son Ding?!) Ich habe meinem Router gesagt, dass er erstmal jeden Verkehr dichtmachen soll ausser den auf den standard Ports. Dann noch fuer die verschiedenen Programme Regeln erstellt, welche Ports fuer Welche Protokolle freigeschaltet sein sollen, falls die (meist doch Spiele) nicht mit den Defaulteinstellungen auskommen. Mehr braucht kein Mensch. Geht das mit ner Fritzbox nicht?

          Alles andere ist wohl eher unnoetig und mit nem Virenscanner besser gesichert als mit einer groessenwahnsinnigen Desktop-Firewall, bei der man ein Experte sein muss um zu entscheiden ob da ein Dienst jetzt reden darf oder nicht.

          Der Beste Schutz ist immer noch, jedem Benutzer ein Konto einzurichten das Rechte gemaess seines Sachverstandes hat. Das heisst: Nichts besser als ein standard Benutzerkonto - auch nicht fuer den Admin. Wenn der Admin was braucht kann er sich immer mit dem Adminkonto einloggen.

          --
          "Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
                - T. Pratchett
          1. Tach,

            Kann man. Man uebergibt der Firewall die Kontrolle ueber das System und den User macht man rechtelos.

            http://home.arcor.de/nhb/pf-austricksen.html ff.

            mfg
            Woodfighter

            1. Tach,

              Kann man. Man uebergibt der Firewall die Kontrolle ueber das System und den User macht man rechtelos.

              http://home.arcor.de/nhb/pf-austricksen.html ff.

              Das widerspricht meiner Aussage ja in keiner Weise. Du musst in deinen Gedanken lediglich die Schraube noch etwas weiter andrehen. Dann bist Du da, wo ich mit der Aussage hinwollte. Alles was die Firewall nicht selbst initiiert wird unterbunden. Eine entsprechend tief im System vergrabene Firewall vorrausgesetzt. Quasi das "Zonealarm OS". ;)

              --
              "Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
                    - T. Pratchett
          2. Was anderes: Ich hab im Leben noch keine Fritzbox benutzt. (Warum hat eigentlich jeder son Ding?!)

            Weil man sie ziemlich oft umsonst zu einem DSL-Vertrag dazukriegt? Außerdem bemüht sich der Hersteller ernsthaft um sein Produkt, der Support ist brauchbar und es gibt eine aktive Community.

            Ich habe meinem Router gesagt, dass er erstmal jeden Verkehr dichtmachen soll ausser den auf den standard Ports. Dann noch fuer die verschiedenen Programme Regeln erstellt, welche Ports fuer Welche Protokolle freigeschaltet sein sollen, falls die (meist doch Spiele) nicht mit den Defaulteinstellungen auskommen. Mehr braucht kein Mensch. Geht das mit ner Fritzbox nicht?

            Die Fritzbox hat sinnvolle Regeln als Voreinstellung, ist also IMHO gut für DAUs konfiguriert: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/11518.php3

            Verständnisfrage: Wie erklärst Du Deinem Router woran er erkennt, daß das Datenpaket von dem Programm kommt, für das Du das Loch gebohrt hast?

            1. Hi!

              Verständnisfrage: Wie erklärst Du Deinem Router woran er erkennt, daß das Datenpaket von dem Programm kommt, für das Du das Loch gebohrt hast?

              Gar nicht. Hab ich nie behauptet. Ich weiss nur: Der Server moechte gerne den und den Port, also wird der freigeschaltet. Schoen fuer alles, was da sonst noch kreucht und fleucht. Ich sorge lediglich dafuer, dass die Programme, die ich nutzen will auch freie Bahn haben. Wenn da noch was anderes auf Kontakt von aussen wartet,  hab ich Pech oder was falsch gemacht. Die Wahrscheinlichkeit, dass sich ein Dienst eingenistet hat ist aber eher gering und die Firewall eher sowas wie die letzte schwache Verteidigung - Ausser ich unterstelle Softwareherstellern pauschal die Verbreitung von Malware.

              --
              "Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
                    - T. Pratchett
              1. Gar nicht. Hab ich nie behauptet.

                Danke, ging aus Deiner Formulierung nicht so klar hervor. Das bedeutet, daß Du auch mit der Fritzbox-Firewall glücklich werden würdest.

                1. Gar nicht. Hab ich nie behauptet.

                  Danke, ging aus Deiner Formulierung nicht so klar hervor. Das bedeutet, daß Du auch mit der Fritzbox-Firewall glücklich werden würdest.

                  Dafur wiederum danke ich Dir. Eine interessante info, da mein Modem/Router/Firewall doch langsam in die Tage kommt. Der kommt mit dem, was heute so im Netz passiert nicht mehr mit und macht gelegentlich dicht, weil er es fuer nen Flood haelt bzw. nicht so richtig mitkommt. Damals waren 700er Leitungen toll! Updates gibts keine, also ueberleg ich, was neues anzuschaffen. Eigentlich schade.

                  --
                  "Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
                        - T. Pratchett
  2. Hallo magnus,

    ich halte nicht viel von Desktop Firewalls, schon garnicht in den Händen von DAUs.
    Wenn ich bei Bekannten ein Netzwerk einrichte nutze ich i.d.R. die Firewall des Routers.
    Außerdem gibt es ja auch noch die Windows Firewall.

    Gruß
    Ole

    --
    Das Wort Vegetarier kommt aus dem Indianischen und bedeutet: Zu dumm zum Jagen.
    1. Hallo

      Außerdem gibt es ja auch noch die Windows Firewall.

      Irgendwie denke ich bei diesem Satz gerade die Steinigungs-Aktion aus Das Leben des Brian...

      Gruß
      magnus

      1. Tach,

        Außerdem gibt es ja auch noch die Windows Firewall.

        Irgendwie denke ich bei diesem Satz gerade die Steinigungs-Aktion aus Das Leben des Brian...

        Wieso? Seit WindowsXP Servicepack 2 ist die Windows Firewall sehr gut dazu geeignet Verbindungen von außen zu blocken. Bei Verbindungen von innen nach außen wirst du mit Software-Firewalls sowieso keine rechte Freude haben.

        thebach

        --
        selfcode: ie:% fl:( br:> va:) ls:& rl:( n4:~ ss:| de:> js:( ch:? mo:} zu:)
        "Egal, ob ein Sandkorn oder ein Stein. Im Wasser sinken sie beide."
        1. Hallo

          Wieso? Seit WindowsXP Servicepack 2 ist die Windows Firewall sehr gut dazu geeignet Verbindungen von außen zu blocken. Bei Verbindungen von innen nach außen wirst du mit Software-Firewalls sowieso keine rechte Freude haben.

          ... und vor allem nicht die die Windows-Feierwool, weil ich ja eigentlich Windows-Anwendungen behindern will. SPF kann das ziemlich gut und deshalb bin ich damit auch zufrieden.

          magnus

          1. Tach

            ... und vor allem nicht die die Windows-Feierwool, weil ich ja eigentlich Windows-Anwendungen behindern will. SPF kann das ziemlich gut und deshalb bin ich damit auch zufrieden.

            Nur mal so aus Neugierde:

            Woran erkennst du, dass wirklich alles von deiner Firewall geblockt wirst was du geblockt haben willst?

            Was tust du, wenn die Firewall meldet das ein Prozess names svchost.exe auf das Internet zugreifen will?

            --
            selfcode: ie:% fl:( br:> va:) ls:& rl:( n4:~ ss:| de:> js:( ch:? mo:} zu:)
            "Egal, ob ein Sandkorn oder ein Stein. Im Wasser sinken sie beide."
            1. Hallo

              Woran erkennst du, dass wirklich alles von deiner Firewall geblockt wirst was du geblockt haben willst?

              Dessen kann man sich nicht sicher sein. Es fragt bei jedem "neuen" Programm, das aufs Internet zugreifen will.
              Es hat schon einiges gemeldet, was ich nicht erwartet hätte (z.b. die Windows-Hilfe, die ins Internet wollte; irgendwelche Installationen die plötzlich nach Hause telefonieren wollten, dies aber nicht brauchen etc.). Die gefilterten Abfragen haben sich übrigens mit den Paketen, die ich in Wireshark gesehen habe, gedeckt.
              Ohne Firewall würden diese Sachen also tatsächlich ungesehen ins Internet kommen. Und ich möchte zumindest dieses aufhalten. Der Rest, der ohnehin ungesehen ins Internet geht, lässt sich sowieso nicht gescheit aufhalten, zumindest nicht mit einer Software-Firewall und auch nicht mit einer professionellen Hardware-Firewall.
              Ich bin selbst Programmierer und lasse mir in meinen Programmen auch immer ein Hintertürchen offen, mit dem ich noch ins Programm komme. Denke MS wirds nicht anders gemacht haben.

              Was tust du, wenn die Firewall meldet das ein Prozess names svchost.exe auf das Internet zugreifen will?

              Das kam noch nicht vor, aber ich würde erst recherchieren was das für eine Remote-Adresse ist, und wenn ich die Adresse nicht einordnen kann, lehne ich es ab.

              Gruß
              magnus

              1. Moin!

                Ok, bezeichnen wir den Zustand, in dem du dich befindest, einfach mal als etwas paranoid. Daran ist noch nichts schlimmes.

                Aus deiner Schilderung:

                Es hat schon einiges gemeldet, was ich nicht erwartet hätte (z.b. die Windows-Hilfe, die ins Internet wollte; irgendwelche Installationen die plötzlich nach Hause telefonieren wollten, dies aber nicht brauchen etc.). Die gefilterten Abfragen haben sich übrigens mit den Paketen, die ich in Wireshark gesehen habe, gedeckt.

                Du hast also die Meldung deiner FW, schmeißt dann Wireshark an, und machst auch noch eine Recherche zur Ziel-IP, wenn irgendein bisher unbekanntes Programm ein Datenpaket ins Netz schicken will.

                Ich fände das ziemlich aufwendig. Zumal du damit allenfalls herausfindest, welches Programm mit welchem Ziel kommuniziert, aber nicht, zu welchem Zweck das geschieht.

                Die Begründung für deine Paranoia lieferst du auch direkt mit:

                Ich bin selbst Programmierer und lasse mir in meinen Programmen auch immer ein Hintertürchen offen, mit dem ich noch ins Programm komme. Denke MS wirds nicht anders gemacht haben.

                Und die Hersteller von Firewall-Software sicher auch nicht anders. Die simulieren nur, dass ihre Firewall wirklich was tut, und wiegen dich in Sicherheit. Kriegen dafür aber von dir eine nicht unerhebliche Menge an Geld, oder halten dich zumindest nennenswert von der Arbeit ab - wenn man deinen Rechercheaufwand mal so betrachtet.

                Aber bis hierhin ist noch alles vollkommen in Ordnung: Es ist deine eigene Freiheit, dir das Computerleben schwierig und aufwendig zu machen.

                Allerdings kommt jetzt der Schritt, wo es problematisch wird: Du überträgst deine eigene Paranoia auf die von dir installierten Computer Dritter. Die haben gefälligst genauso kritisch und paranoid zu sein und allen Datenverkehr als böse zu betrachten, so wie du es tust.

                Und da scheitert es leider. Denn deine User haben eben nicht den Sachverstand, um eine Analyse der soeben aufgepoppten Firewall-Meldung durchführen zu können.

                Es gibt ein paar Lösungen dafür:

                1. Bilde deine User passend aus. Das ist zeitaufwendig und unrealistisch. Am Ende wird vielleicht sogar herauskommen, dass deine User aufgrund eigenen Denkens die These entwickeln, dass deine eigene Paranoia vollkommen überflüssig ist, und sie deinstallieren diese Firewall und sind mit dem Standard von Windows vollkommen zufrieden.

                2. Lehre deine User, die richtige Standardantwort zu geben: "Blockieren". Das führt dann dazu, das kein Programm ins Internet kommt (außer denen, die schon mal benutzt wurden und denen es erlaubt wurde, wie z.B. Browser). Problem dabei wird sein: Irgendwann will man als User Programme installieren, die auch ins Internet gehen SOLLEN - man weiß es nur noch nicht. Und blockiert dann erstmal. Resultat: Anruf bei dir, "Das Programm geht nicht". Und der User lernt: "Blockieren" ist eigentlich die blöde Antwort, wenn man will, dass alles problemlos funktioniert. "Erlauben" ist viel schlauer - Scheiß halt auf die Paranoia, am Computer geht sowieso schon zuviel Zeit drauf.

                3. Verzichte auf die Durchsetzung deiner eigenen Paranoia, und liefere deinen Usern ein hinreichend abgesichertes System ohne diesen Firewall-Bloat, der, wie du selbst zugibst, ja sowieso nur den vom Programmierer sichtbar gemachten Teil der Datenkommunikation abfangen kann, und absolut nichts dagegen ausrichtet, was absichtlich unsichtbar gesendet wird. Damit erleichterst du deinen Usern das Leben ganz erheblich, weil sie nicht mehr von verängstigenden Meldungen genervt werden, und trotzdem ein sinnvolles Maß an Sicherheit haben. Stattdessen bleibt dir die Aufgabe, deinen Usern beizubringen, nicht auf jedes Attachment in Mails blind sofort draufzuklicken, und in jedem Fall sämtliche Systemaktualisierung für Windows, aber insbesondere auch für alle weiteren Komponenten von Drittherstellern, darunter ganz wichtig den Flash-Player und den PDF-Reader, topaktuell zu halten. Nur so wird verhindert, dass man sich durch bekannte Sicherheitslücken was einfängt. Gegen unbekannte Lücken ist natürlich kein Kraut gewachsen.

                - Sven Rautenberg

                1. Hallo

                  Du hast also die Meldung deiner FW, schmeißt dann Wireshark an, und machst auch noch eine Recherche zur Ziel-IP, wenn irgendein bisher unbekanntes Programm ein Datenpaket ins Netz schicken will.

                  Nein, nicht "jedesmal". Das habe ich nur ab und zu zu Testzwecken gemacht, um zu schauen ob der Wireshark mehr sieht als meine Firewall. Hat nichts mit Adressverfolgung zu tun. Die Adresse zeigt mir die SPF ja an.

                  Ich fände das ziemlich aufwendig. Zumal du damit allenfalls herausfindest, welches Programm mit welchem Ziel kommuniziert, aber nicht, zu welchem Zweck das geschieht.

                  Zu welchem Zweck weiß man sowieso nie. Aber über welches Protokoll das geschieht könnte einen Hinweis geben. Aber wie gesagt, das dient nicht der Adressverfolgung.

                  Und die Hersteller von Firewall-Software sicher auch nicht anders. Die simulieren nur, dass ihre Firewall wirklich was tut, und wiegen dich in Sicherheit. Kriegen dafür aber von dir eine nicht unerhebliche Menge an Geld, oder halten dich zumindest nennenswert von der Arbeit ab - wenn man deinen Rechercheaufwand mal so betrachtet.

                  Es ist nicht gerade so dass ich wenig Zeit hätte ;) Solange ich meine Firewall noch frisch installiert habe, muss ich sehr oft erlauben bzw ablehnen, aber mit der Zeit kommt immer weniger hinzu. Weil die Programme, die man dann am meisten benutzt, schon längst eine Standardregel "immer erlauben" oder "immer ablehnen" haben.

                  Allerdings kommt jetzt der Schritt, wo es problematisch wird: Du überträgst deine eigene Paranoia auf die von dir installierten Computer Dritter. Die haben gefälligst genauso kritisch und paranoid zu sein und allen Datenverkehr als böse zu betrachten, so wie du es tust.

                  Nein, nicht "böse", aber kritisch.

                  1. Lehre deine User, die richtige Standardantwort zu geben: "Blockieren". Das führt dann dazu, das kein Programm ins Internet kommt (außer denen, die schon mal benutzt wurden und denen es erlaubt wurde, wie z.B. Browser). Problem dabei wird sein: Irgendwann will man als User Programme installieren, die auch ins Internet gehen SOLLEN - man weiß es nur noch nicht. Und blockiert dann erstmal. Resultat: Anruf bei dir, "Das Programm geht nicht". Und der User lernt: "Blockieren" ist eigentlich die blöde Antwort, wenn man will, dass alles problemlos funktioniert. "Erlauben" ist viel schlauer - Scheiß halt auf die Paranoia, am Computer geht sowieso schon zuviel Zeit drauf.

                  Naja, das Oberhaupt der Familie hat zuerst den Vorschlag einer Firewall eingebracht, wo ich ihm natürlich zugestimmt habe. Also mir geht es gegen den Strich, das System einfach "machen zu lassen".

                  1. Verzichte auf die Durchsetzung deiner eigenen Paranoia, und liefere deinen Usern ein hinreichend abgesichertes System ohne diesen Firewall-Bloat, der, wie du selbst zugibst, ja sowieso nur den vom Programmierer sichtbar gemachten Teil der Datenkommunikation abfangen kann, und absolut nichts dagegen ausrichtet, was absichtlich unsichtbar gesendet wird. Damit erleichterst du deinen Usern das Leben ganz erheblich, weil sie nicht mehr von verängstigenden Meldungen genervt werden, und trotzdem ein sinnvolles Maß an Sicherheit haben.

                  Naja, wie gesagt, es war anfangs gar nicht meine Idee. Aber natürlich finde ich Firewalls immer noch sinnvoll, meine Paranoia habe ich trotzdem.

                  Stattdessen bleibt dir die Aufgabe, deinen Usern beizubringen, nicht auf jedes Attachment in Mails blind sofort draufzuklicken, und in jedem Fall sämtliche Systemaktualisierung für Windows, aber insbesondere auch für alle weiteren Komponenten von Drittherstellern, darunter ganz wichtig den Flash-Player und den PDF-Reader, topaktuell zu halten.

                  Ja das mache ich sowieso.

                  magnus

                  1. Moin!

                    Naja, das Oberhaupt der Familie hat zuerst den Vorschlag einer Firewall eingebracht, wo ich ihm natürlich zugestimmt habe. Also mir geht es gegen den Strich, das System einfach "machen zu lassen".

                    Da trafen sich also ein uninformierter User mit medien- und marketinggeschürter Angst und ein fachlich nicht komplett informierter Paranoiker und fanden die Idee einer Firewall, die alles blockt, eine gute Idee.

                    Und jetzt kommt raus: Alles blocken ist doch blöd. Oh Wunder! :->

                    Naja, wie gesagt, es war anfangs gar nicht meine Idee. Aber natürlich finde ich Firewalls immer noch sinnvoll, meine Paranoia habe ich trotzdem.

                    Firewalls sind auch sinnvoll - für die Aufgabe, die sie eindeutig gut erledigen können, und zwar hereinkommenden Traffic blocken. Rausgehende Daten können sie prinzipbedingt nicht im Zaum halten.

                    Und diese Aufgabe einer unauffällig und gut arbeitenden Firewall, die unerwünschten Traffic von außen blockt, die erledigt die eingebaute Windows-Firewall sehr sehr gut.

                    Uns insbesondere nervt sie nicht mit unsinnigen, den User verunsichernden, Meldungen über irgendwelche geblockten "Angriffe", nur weil sich ein Datenpaket verirrt hat und ganz harmlos einfach ignoriert wurde.

                    Stattdessen bleibt dir die Aufgabe, deinen Usern beizubringen, nicht auf jedes Attachment in Mails blind sofort draufzuklicken, und in jedem Fall sämtliche Systemaktualisierung für Windows, aber insbesondere auch für alle weiteren Komponenten von Drittherstellern, darunter ganz wichtig den Flash-Player und den PDF-Reader, topaktuell zu halten.

                    Ja das mache ich sowieso.

                    Aber machen es auch deine User?

                    - Sven Rautenberg

                  2. Zu welchem Zweck weiß man sowieso nie. Aber über welches Protokoll das geschieht könnte einen Hinweis geben.

                    Nein, das Protokoll sagt prinzipiell nichts über den Zweck der Verbindung und dessen Inhalt aus - wenn jemand lustig ist, holt er sich Daten zur Softwareaktualisierung nicht über HTTP oder FTP sondern benutzt irgend ein antikes IRC-Protokoll.

                    Meinetwegen wird per RDP eine Verbindung zu einem entsprechenden Server aufgebaut, dieser schickt ihm den Screenshot seinen Desktops auf dem ein Strichcode zu sehen ist - der wird dann entsprechend analysiert und dient für irgendetwas. Zwar ist allein der Gedanke absurd, aber es zeigt deutlich, dass man im schlimmsten Fall nichtmal einen Hinweis darauf erhält, was eigentlich passiert.

      2. Hallo,

        Irgendwie denke ich bei diesem Satz gerade die Steinigungs-Aktion aus Das Leben des Brian...

        Die Windows Firewall ist (mittlerweile) viel besser als ihr Ruf. Wie thebach schon schrieb, seit XP SP2.

        Gruß
        Ole

        --
        Das Wort Vegetarier kommt aus dem Indianischen und bedeutet: Zu dumm zum Jagen.
  3. Hallo,

    Welche Firewall würdet ihr in diesem Fall empfehlen?

    den in Windows integrierten Paketfilter, sonst nichts.
    Siehe Jens.

    Freundliche Grüße

    Vinzenz