# Firewalls: Outpost Pro 3.5 vs. ZoneAlarm



## Private Joker (21. April 2006)

Also wie oben beschrieben.

Welche ist die bessere Firewall. Ich hatte vorher ZA aber nun bin ich bei Outpost.

Bin mit Outpost aber mehr zufrieden, aber ich will gerne wissen welche WIRKLICH besser ist!

Bitte Kommentare!


thx


----------



## Dennis Wronka (21. April 2006)

Ohne jetzt Zone Alarm wirklich zu kennen wuerde ich mal behaupten, dass Outpost die bessere der beiden ist.
Ich hab mir vor einer Weile auch ein paar Firewalls angeschaut und muss sagen, dass mir die Outpost bei weitem am besten gefallen hat.
ZoneAlarm hab ich mir dabei aber erst garnicht angesehen, da ich darueber nicht so viel gutes wie ueber die Outpost gehoert hatte.


----------



## Private Joker (21. April 2006)

Ich tendiere auch eher zu Outpost, aber dafür muss man die erst mal richtig einstellen. Dann muss ich mich wohl wieder durchwühlen :|

Aber ich habe auch noch nen bissel gesucht und bin auf nen kleinen Vergleich gestoßen und dabei hatte die Outpost die Nase vor. Ausserdem ist die Outpost im Vergleich zu ZA nicht so ressourcenhungrig.


----------



## Dennis Wronka (21. April 2006)

Die Outpost hat im Grunde keine Auswirkungen auf meine Systemperformance. Sie benoetigt nur ein paar MB im Speicher und haelt sich in der Regel schoen bedeckt.
Das Set-Up ist in der Regel auch recht einfach.
Ich hab am Anfang erstmal den Wizard aktiviert, sodass jedes Mal wenn ein Programm verbinden will das PopUp kommt und mich fragt wie das Programm gehandhabt werden soll. Als dann fuer alles was meiner Meinung nach zugreifen darf entsprechende Regeln aufgestellt waren hab ich dann auf "Block most" gestellt. Und mit dieser Einstellung fahre ich seitdem.
Was mir an der Outpost auch sehr gut gefaellt ist, dass ich mir genau ansehen kann wer wo warum verbindet. Die Uebersicht ist sehr gut und trotzdem recht einfach gehalten.


----------



## metalgear (21. April 2006)

Ich will keinen "Glaubenskrieg" lostreten, aber IMO solltest Du Dir mal Gedanken über die generelle Verwendung einer PFW machen. 

Zu diesem Zweck schau *dringend* mal *hier* vorbei. 



> [...]1. Der Paketfilter erhöht die Menge an Code, die ein Paket durchlaufen muß, ganz beträchtlich. Damit steigt logischerweise auch die Möglichkeit, daß bei der Verarbeitung eines Datenpakets ein Fehler auftritt, der dann eventuell ausgenutzt werden kann. Im Vergleich dazu ist der TCP/IP-Stack der gängigen Betriebssysteme mittlerweile "gut abgehangen", d.h. schon älter und auf Herz und Nieren geprüft.
> 
> 2. Clients müssen nicht weiter geschützt werden. Der TCP/IP-Stack lehnt alle Pakete ab, die nicht vom Client selbst angefordert wurden. Selbst wenn der Stack versagen würde, würde der Client selbst ein nicht angefordertes Paket abweisen.
> 
> ...



Wer sich auch davon nicht von einer PFW abbringen lassen will, sollte sich *dieses* Video des renomierten Chaos-Computer Clubs anschaunen, in dem eindrucksvoll die schwerwiegenden Schwächen verschiedener PFWs aufgezeigt werden. 

In diesem Sinne


----------



## Dennis Wronka (21. April 2006)

Eine Personal-Firewall ist immer besser als garkeine Firewall.
Ich hab mir die PFW installiert weil jetzt kein zusaetzlicher Rechner mehr zwischen mir und dem Internet steht wie es back in Germany noch der Fall war. Dort hat der Server das Firewalling uebernommen und dafuer gesorgt, dass nichts reinkam was nicht sollte.

Zu Deinem Punkt 2: Wie sind dann Verbindungen zum Client moeglich?
Und selbst wenn dem so waere, aber so drastisch wie es dort ausgedrueckt ist ist es nunmal nicht, gibt es noch immer hinreichend Moeglichkeiten mit nicht angeforderten Paketen (zumindest kurzfristig) Schaden anzurichten. Man denke da nur an den PoD, und jedes Windows akzeptiert standardmaessig erstmal ICMP.

Weiterhin bietet die Outpost Firewall nicht nur einen Paketfilter sondern auch einen Content-Filter. Der hilft zwar nicht bei Angriffen, aber beim Surfen (und auch beim Rudern  ) kann dieser zum Teil ganz interessant sein.

Und nein, der TCP-Stack von Windows ist nicht so gut wie man meinen sollte.
Siehe TCP-Reset.


----------



## metalgear (21. April 2006)

Keine Firewall ist natürlich keine Alternative - aber davon redet ja auch niemand. Anstatt Geld in Software zu investieren (da leistet der oft unterschätze XP-eigene Paketfilter seinen Teil) lässt sich mit ähnlichem finanzellen Aufwand viel effizienter an einer Hardwarelösung (NAT Router, etc) arbeiten. Lies Dir bitte die nagegebenenen Quellen komplett durch. 

Darüber hinaus: Ich verweise gerne nochmal auf das *Video*


----------



## Dennis Wronka (21. April 2006)

Ich hab den Link ueberflogen, weiss dass der Kollege dort durchaus aus fanatischer Ueberzeugung uebertreibt.
Jede Hardware-Loesung setzt eine Software ein, viele kommerzielle Loesungen setzen dabei auf Netfilter, welches meiner Meinung nach die beste Variante ist.
Daher, wenn es mir darum geht was zum absichern zwischen mich und das Internet zu setzen bau ich mir aus ein paar alten Teilen noch einen Rechner zusammen und nutz diesen als Firewall.


----------



## metalgear (21. April 2006)

Dennis Wronka hat gesagt.:
			
		

> [...]wenn es mir darum geht was zum absichern zwischen mich und das Internet zu setzen bau ich mir aus ein paar alten Teilen noch einen Rechner zusammen und nutz diesen als Firewall.[...]



Was im allgemeinen als "Hardware-FW" bezeichnet wird - im Gegensatz zu PFWs. 

Um dem üblichen Glaubenskrieg hiermit präventiv Einhalt zu gebieten ziehe ich mich hiermit aus diesem Thread zurück und verweise noch einmal auf das bis Dato scheinbar ausser Acht gelassene *Video*.


----------



## Dennis Wronka (21. April 2006)

Das Video lade ich grad runter, nur ist der Server mit knapp 50KB/s nicht der schnellste und somit dauern die gut 150MB ein wenig.
Auf der Arbeit kann ich solche Downloads eh vergessen, sodass ich erst jetzt, wo ich wieder daheim bin damit anfangen konnte.
Ich bezweifle jedoch, dass mir dort etwas neues erzaehlt werden kann.

Ich hab irgendwie das Gefuehl Du denkst ich waere einer der viel zu zahlreichen Normal-User die keinerlei Ahnung von Security haben.


----------



## metalgear (21. April 2006)

Dennis Wronka hat gesagt.:
			
		

> Ich hab irgendwie das Gefuehl Du denkst ich waere einer der viel zu zahlreichen Normal-User die keinerlei Ahnung von Security haben.



Nein, Du hast nur einen andern Standpunkt. Es sollte nicht der Eindruck entstehehn, dass ich Dich für einen DAU halte - ist wohl falsch rübergekommen. 

An sonsten verbleib ich bei meinem Statement (_"keinen Glaubenskrieg anzetteln"_) aus dem vorigen Post, und klink mich aus dieser Diskussion aus.


----------



## Dennis Wronka (21. April 2006)

Naja, einen Glaubenskrieg will hier niemand, aber eine vernuenftige Diskussion, und eine solche kann ja auch durchaus mal hitzig werden, hilft oft mehr als sie schadet.
Mein Standpunkt ist: Besser eine Personal-Firewall als garkeine. Aber natuerlich besser eine externe als eine Personal-Firewall. In einem (Firmen-)LAN kann sogar beides ganz hilfreich sein, denn all zu oft kommt der Feind nicht von draussen. Es muessen auf einem Rechner nicht immer alle Dienste fuer das LAN offen sein.
Auf meinem Server auf der Arbeit laeuft auch MySQL, aber der ist auch fuer das LAN nicht zugaenglich sondern lediglich ueber Loopback.


----------



## Private Joker (22. April 2006)

Ich habe ja beides.

Ne PFW und ne HFW. Erst muss man durch die HFW und dann durch die PFW um an meinen Rechner zu komme. Ich habe nämlich Angst dass ein geübter Hacks o.ä. einen Port in der Port-Forwarding ausnutzen könnte, deswegen benutze ich ja auch noch ne PFW!


----------



## NomadSoul (22. April 2006)

Wo würdet ihr die N!vidia Firewall einordnen?!


----------



## Private Joker (23. April 2006)

Welche nVidia-FW? Kannste ganeuere Infos geben. Man muss ja vergleichen können^^


----------



## NomadSoul (23. April 2006)

Ich weiss nicht laut Beschreibung ist es ne HW/SW kombination.
http://www.nvidia.com/object/security.html
Bin mir nur nicht wirklich sicher ob sie über eine PFW.
hinausgeht.


----------



## Private Joker (23. April 2006)

MMH... Ne ich würde bei den altbekannten PFW bleiben und dazu noch ne HFW (Router) damit ist man fast aut der sicheren Seite.


----------



## NomadSoul (23. April 2006)

Kannst das auch irgendwodran Festmachen?!


----------



## Dennis Wronka (23. April 2006)

Allein schon hinter einem Router zu haengen bringt fuer die meisten User im Grunde genug Sicherheit durch NAT. Zugriffe vom Internet erfolgen ja nur auf den Router und nicht auf den/die Rechner dahinter. Ausser natuerlich man setzt Port-Forwarding ein, aber da hilft auch ein Paketfilter nichts. Ein eben solcher ist im Grunde auch nur dann interessant wenn man den Zugriff auf verfuegbare Ports unterbinden/beschraenken will, und um gegebenenfalls ein paar der simpleren Angriffe zu filtern.
Fuer richtig gute Sicherheit, z.B. fuer ein Firmennetz, sollte mit mehreren Schichten der Sicherheit gearbeitet werden. So kann z.B. eine Firewall erstmal Angriffe auf TCP/IP-Ebene herausfiltern. Danach kann dann ein IPS (Intrusion Protection System) auf hoeheren Ebenen nach Angriffen suchen und diese blockieren. Zudem sollten die Server im Netz auch noch mit Firewalls ausgestattet sein um, wie zuvor erwaehnt, den Zugriff auf bestimmte Dienste nur den Rechnern zu gewaehren die auch zugreifen muessen. Zusaetzlich dazu muss es natuerlich noch eine gute User-Verwaltung geben um auch nur User zuzulassen die zugreifen muessen.
Sub-Netting kann auch zusaetzliche Sicherheit bieten, so koennte man zum Beispiel einzelne Abteilungen der Firma in eigene Sub-Netze packen die wiederum durch Firewalls miteinander verbunden sind, dadurch kann dann z.B. die Hotline davon abgehalten werden auf die Daten der Finanz- oder Personal-Abteilung zuzugreifen (obwohl das auch anders realisierbar ist).

Das nur mal so um eben etwas das Thema Sicherheit anzureissen...


----------

