# Welche Firewall für Windows?



## partitionist (22. August 2007)

Hallo, ich möchte mir eine andere Firewall zulegen, bisher habe ich immer Zone Alarm verwendet, da ich aber gehört habe diese sei nicht sicher wollte ich euch fragen welche *guten *Alternativen gibt es?


----------



## Navy (23. August 2007)

Nimm einfach die 'FW' die bei XP bei XP bei ist. Was anderes brauchst Du nicht und mehr Schutz bekommst Du auch nicht.

Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.


----------



## ojamaney (23. August 2007)

Es gibt keine Software-Lösung die wirklich empfehlenswert ist. Meine besten Erfahrungen habe ich mit Kerio gemacht, aber jede Software-FW sollte nur eine Übergangslösung sein. 
Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren. 
Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.


----------



## zeroize (23. August 2007)

Es gibt (wie für fast jedes allgemeine Computerproblem) auch hier ein wunderbare FAQ:
http://www.fefe.de/pffaq/


----------



## partitionist (23. August 2007)

Wer hat die Comodo Firewall Pro getestet/installiert, habe ein sehr guten Testbericht gefunden:

http://www.tecchannel.de/pc_mobile/402411/index24.html

Die Firewall hat sehr gut abgeschnitten und ist dazu noch kostenlos!


----------



## Navy (23. August 2007)

Wenn Du auf Schlangenöl stehst. bitte.

http://de.wikipedia.org/wiki/Schlangenöl


----------



## Radhad (23. August 2007)

ojamaney hat gesagt.:


> Es gibt keine Software-Lösung die wirklich empfehlenswert ist. Meine besten Erfahrungen habe ich mit Kerio gemacht, aber jede Software-FW sollte nur eine Übergangslösung sein.
> Besorg Dir einen anständigen Router (FritzBox oder Netgear zB), dann kannst Du die Windows-FW deaktivieren.
> Aber Hände weg von den Billigprodukten! Auf denen läuft meistens nur eine NAT und was man braucht ist eben eine "echte" FW, sprich SPI. Auch würde ich von sämtlichen Siemens-Produkten abraten, wie sie zB von Telekom und Hansenet bei Vertragsabschluss mitgeliefert werden.
> Auf dem neuesten Gerät welches Hansenet in Verbindung mit dem TV-Home-Tarif verschickt ist zB die SPI deaktiviert, da es sonst zu Problemen mit dem TV-Home-Gerät kommen kann. Darüber weiss der Verbraucher natüllich nichts und ich weiss es auch nur weil ich einen Techniker bei Hansenet kenne. Dazu kommt dass man diese Geräte nicht konfigurieren kann, also keinen Zugriff darauf bekommt.



SPI schön und gut, aber das schützt dich nicht vor potenziell gefährlichem Inhalt. Wenn man wirklich sehr sicher surfen will, muss man neben einem Paketfilter wie sie Fritz!Box etc. anbietet auch eine Application Firewall haben, und die gibt es nur Client-seitig per Software Firewall! Und Application & Pakete sind nicht die einzigen Dinge, die man Filtern sollte...

Wer noch sicherer sein will stellt statt Port Forwarding seine Ports unter Port Triggering ein, dort werden nur Ports aufgemacht, wenn eine entsprechende Anfrage aus dem Netzwerk losgeschickt wird und nach einer gewissen Zeit wieder geschlossen.


----------



## AndreG (23. August 2007)

Navy hat gesagt.:


> Nimm einfach die 'FW' die bei XP bei XP bei ist. Was anderes brauchst Du nicht und mehr Schutz bekommst Du auch nicht.
> 
> Da ich aber die Argumente der PFW-Befürworter zu Genüge kenne: im aktuellen ct'-special gibt es auf Seite 62 (IIRC) einen sehr schönen Artikel, der aufzeigt, warum eine PFW keinen Sicherheitsvorteil bringt und im Gegenteil die Anfälligkeit des Systems erhöht.



Welche Ct meinst du explizit? (Möchte ihn auch lesen) Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige nette Schnitzer gelesen).

Bisher ist bei mir eine Sygate im Einsatz, die sich bisher gut bewährt hat. 
Auch im Hinblick auf das jetzt angeschlossene Wlan. Man kann voralledingen nicht nur eingehenden Traffic sperren und es sind eigene Regeln definierbar.

Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.

Mfg Andre


----------



## ojamaney (24. August 2007)

Radhad hat gesagt.:


> SPI schön und gut, aber das schützt dich nicht vor potenziell gefährlichem Inhalt. Wenn man wirklich sehr sicher surfen will, muss man neben einem Paketfilter wie sie Fritz!Box etc. anbietet auch eine Application Firewall haben, und die gibt es nur Client-seitig per Software Firewall! Und Application & Pakete sind nicht die einzigen Dinge, die man Filtern sollte...
> 
> Wer noch sicherer sein will stellt statt Port Forwarding seine Ports unter Port Triggering ein, dort werden nur Ports aufgemacht, wenn eine entsprechende Anfrage aus dem Netzwerk losgeschickt wird und nach einer gewissen Zeit wieder geschlossen.



Meinst Du FritzDSL? Ich habe eine FritzBox und FritzDSL verstehe ich eher als Steuer-Software um die Firewall zu konfigurieren. Das heisst man kann damit bestimmten Programmen/Prozessen Zugriff erlauben/entziehen, Ports öffnen/schliessen/zuweisen usw.
Ob Port-Forwarding oder Triggering ist nicht eine Frage der Sicherheit sonder eine des Bedarfs. Triggering nutzt mir zB herzlich wenig wenn ich von aussen auf meinen PC zuhause zugreifen will.
Wer so sicher wie möglich sein will, sollte zunächst erstmal wissen wie eine Firewall arbeitet und sich im klaren darüber sein, dass jede Firewall nur so sicher sein kann wie sein Benutzer weiss was er tut. Soll heissen, die beste Firewall nützt nichts wenn jemand sich einen Trojaner runterlädt und ihn ausführt! Wer achtlos im Netz surft und auf alle möglichen Links klickt muss sich nicht wundern wenn was schief geht. Denn nicht die Firewall erlaubt dem Trojaner die Verbindung, sondern der Benutzer!
Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom PC angefordert worden sind, abgelehnt werden. 
Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP zugewiesene IP endet am Router. 
Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat auch sofort auf dem PC zugreifen kann. Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten Router nicht erreichen kann (lokale IP eben).
Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil, sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls gegenseitig ausschliessen.

Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
- man in einem grossen Netzwerk arbeitet und sich vor "dummen" Kollegen und deren leichtfertigen Umgang mit dem Internet schützen will
- oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)

Kurzum, um sich vor potenziell gefährlichem Inhalt zu schützen und sicher zu surfen bedarf es nur einer Hardware-Firewall und dem gewissenhaften Umgang mit dem Internet. Ein Antivirenprogramm (inklusive Mail-Guard) ist selbstredend.

Achja, weil ich hier grade was von WLan gelesen habe. Wer WLan nutz sollte sich Geräte holen die die WPA- oder besser noch WPA2-Verschlüsselung beherrschen. WEP ist längst nicht mehr sicher und es gibt bereits Programme zum freien Download mit denen man WEP-geschützte WLans ruckzuck knacken kann. 

Mehr Informationen dazu hier: http://www.heise.de/security/artikel/59098



Ps.: ISP = Internet Service Provider (Telekom, Arcor usw)


----------



## Navy (24. August 2007)

AndreG schrieb:

> Welche Ct meinst du explizit? (Möchte ihn auch lesen)

http://www.heise.de/kiosk/special/ct/07/03/

> Und auch bei denen würde ich nicht alles glauben was geschrieben wird (Schon einige 
> nette Schnitzer gelesen).

Ich übernehme nichts unflektiert -- der Artikel spiegelt einfach das wieder, was ich vorher hier schon über IT-security gepostet habe.  

> Ein guter Router+PFW reicht für normale Anwender ab vollkommen aus.

Eine PFW ist sinnlos und durchaus gefährlich. (Erhöhte Anfälligkeit des Systems durch vergrößerung der Codebasis, Risikokompensation, fehlende Dokumentationen, fehlende Mächtigkeit, etc)

ojamaney schireb: 

> Grundsätzlich arbeitet eine Firewall so, dass alle Anfragen von aussen, die nicht vom 
> PC angefordert worden sind, abgelehnt werden.

Nein. Eine Firewall arbeitet nicht sondern wird umgesetzt. Soll heißen: 
- die Sicherheitsrichtlinien zum Userverhalten werden beachtet
- User arbeiten nicht mit admin/root-Rechten
- die Sicherheitssoftware wie Paketfilter, IDS, etc. läuft auf einem/mehreren dedizierten System/en und sind entsprechend der Richtlinien konfiguriert

Wenn eine Richtlinie sagt, daß jeder einkommende Verkehr geblockt wird und nur gefilterter durchgelassen wird, dann wird der entsprechende Teil der Software konfiguriert. Es ist aber per se kein Teil der Firewall, denn im Grunde ist die Firewall ein Konzept, keine Software oder Hardware.

Was umgangsprachlich mit Firewall gemeint ist zeigt der letzte Punkt, wie diese "Firewall" aber letztendlich arbeitet ist von Implementation zu Implementation völlig unterschiedlich.

> Und der Unterschied zwischen einer Hardware-Firewall (also ein Router zB) und einer
> Softwarelösung ist eben der, dass lokale IP-Adressen (und die bekommt man nur mit 
> einem Router/LAN) nicht vom Internet aus aufgerufen werden können. Die vom ISP 
> zugewiesene IP endet am Router.

Das ist kein Merkmal einer Firewall. Was Du meinst nennt sich NAT und ist *kein* echter Bestandteil einer Sicherheitskonzeptes sondern die logische Konsequenz der Verbindung zwischen WAN und LAN.

> Bei einer Software-Firewall sieht das schon anders aus. Die zugewiesene IP des ISP 
> endet direkt am PC. Das heisst also, dass ein Hacker der eine Firewall geknackt hat
> auch sofort auf dem PC zugreifen kann.

Das ist ebenso hinter einem Router möglich. Den Paketen ist es egal, ob sie noch einen Hop mehr machen müssen.

> Anders bei der Hardware-Firewall. Wenn ein Router gehackt wird (was ich im Normalfall 
> für unmöglich halte) nutz es dem Hacker recht wenig, da er den PC trotz gehackten
> Router nicht erreichen kann (lokale IP eben).

Sorry, aber das ist technischer Blödsinn. Die lokale IP spielt für die Angreifbarkeit eines Rechners eine sehr untergeordnete Rolle. Genau hier sorgt nämlich NAT dafür, daß die Pakete da landen, wo sie hinsollen.

Das Lesen der Dokumentationen von TCP/IP Protokolls sowie der ISO/OSI Layer sind hier wsehr hilfreich.

> Eine Software-Firewall ist also (fast) nutzlos sofern man einen Router hat. Im Gegenteil, 
> sie kann dazu führen, dass die Verbindung schlechter wird oder sich die Firewalls 
> gegenseitig ausschliessen.

Sie ist sinnlos. Aber nicht aus diesem Grund.

> Auch auf die Gefahr hin, dass ich mir jetzt selber widerspreche, aber eine 
> Software-Firewall (zusätzlich zu einer Hardware-Firewall) kann dann Sinn machen wenn:
[...]
> - oder man zusätzliche Kontrolle über Programme braucht die auf das Internet zugreifen 
> (ich glaube das meinte Radhad auch, wenn ich es richtig verstanden habe)

Trojaner, Malware, Viren, etc. die sich nicht erkennen lassen wollen, werden sich sicher nicht bei einer Firewall melden. Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.


----------



## ojamaney (24. August 2007)

@navy:

Eine Firewall "arbeitet" also nicht sondern setzt um? Danke, ein Glück dass ich Dich getroffen habe, sonst wäre ich wohl dumm gestorben^^.
User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite immer als Admin^^.


Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus. Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur Unkenntlichkeit zerpflücken kannst. 

Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran


----------



## Andreas Späth (24. August 2007)

ojamaney hat gesagt.:


> Naja, so einen gibs in jedem Forum. So langsam gewöhn ich mich dran


Was einen der Ahnung hat wovon er redet?
Ich entdecke in dem Posting von Navy keinerlei Pompöses geschwafel.
Im gegensatz zu diesem Kommentar von dir...

Ich kann so ziemlich alles was Navy hier gepostet hat unterschreiben.


----------



## fluessig (24. August 2007)

Navy hat gesagt.:


> AndreG schrieb:
> Und wenn man Programmen die Kommunikation verbieten will, dann reicht der Windowsinterne Paketfilter aus. Oder man deinstalliert das Programm, wenn man diesem nicht vertraut.



Hmm, wo finde ich diesen? Bisher hab ich meine PFW aus einem ganz anderen Grund benutzt, der den Altklugen PFW-Gegnern nicht in den Sinn zu kommen scheint: Datenschutz. Da fällt mir gleich dazu ein: wer weiss wie TCP/IP funktioniert und wirklich etwas über Netzwerke erfahren möchte, dem kommt es sehr wohl auf einen weiteren HOP an.

Also wenn es eine vertrauenswürdige Alternative mit Windowsbordmitteln gibt, wie ich den Datenverkehr den meine Anwendungen verursachen kontrollieren kann, dann freue ich mich über den Tipp wie ich das machen kann. Deinstallieren ist sicher keine brauchbare Lösung.


----------



## AndreG (24. August 2007)

Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen 
und da ist er.

Jedoch (meiner Meinung nach) unbrauchbar da:

1. Schwer zu erreichen
2. Jeden sch**** Port muß ich per Hand freigeben.
3. Es ist genau so "unsicher" wie ne PFW 

Wenn man Sicherheit haben will, muss der Rechner vom Netz und zu DOS zurück gekehrt werden.

@Navy ich hoffe du hast keine Programme, BS oder sonst fast installiert weil es da x mal mehr leaks gibt als in den vorhandenen PFW  nur mal so am Rande.

Mfg Andre


----------



## fluessig (24. August 2007)

AndreG hat gesagt.:


> Eigenschaften Lanverbindung --> Eigenschaften TCP/IP --> Erweitert --> Optionen
> und da ist er.
> 
> Jedoch (meiner Meinung nach) unbrauchbar da:
> ...



Das ist nicht dasselbe. Ich kann nicht Programme definieren, denn es kann sehr wohl vorkommen, dass ich einem Programm einen Port erlauben möchte und einem anderen nicht. Von daher ist es doch keine Alternative.

Zum Thema: ich bin mit der Ashampoo Personal Firewall zufrieden. Die gibt es auch kostenlos und sie hat einige gute Features, die andere Firewalls erst in der Kaufversion haben. Mehr kann man auf tecchannel.de lesen.

Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.


----------



## AndreG (24. August 2007)

Das unter anderem auch, von daher kommt sie nicht in Frage.


----------



## Navy (25. August 2007)

ojamaney schrieb:
> Eine Firewall "arbeitet" also nicht sondern setzt um? 

Nein. Sie *wird* umgesetzt. Eine Firewall ist ein Konzept und kein Server, Programm oder ähnliches.

> User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite 
> immer als Admin^^.

Wenn *Du* meinst, daß dieses Vorgehen clever ist, dann mach es -- empfehle das aber bitte nicht weiter. Ohne Dir zu Nahe treten zu wollen, jedoch empfehle ich Dir, Dich mit den Grundlagen der IT-Sicherheit vertraut zu machen. 
Unter http://www.linkblock.de findest Du eine Menge Links zum Tehma.

> Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus. 
> Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur 
> Unkenntlichkeit zerpflücken kannst. 

Du nimmst sachliche Argumente persönlich und reagierst nicht professionell.
Welche meiner Aussagen im vorherigen Post sind falsch? Wir können auf einer sachlichen Ebene problemlos drüber diskutieren.

fluessig schrieb:
> Hmm, wo finde ich diesen? 

Unter Systemsteuerung -> Firewall. Diese lernt ausgehenden Verkehr so zu blocken, wie Du es für richtig hälst.

> Bisher hab ich meine PFW aus einem ganz anderen Grund benutzt, der den Altklugen
> PFW-Gegnern nicht in den Sinn zu kommen scheint: Datenschutz. 

Du verwendest also Programme, denen Du nicht vertraust. Warum? Bei den guten Programmen ist es möglich, deren Verbindung zum Internet zu unterbieten. Letztendlich prüfen die /meisten/ Programme aber nur nach neuen Versionen ihrer selbst und verschicken keine persönliche Daten. Diese Märchen von Informationssammelnder Software wurde vor Jahren mal bei der Einführung von XP geschürt und auf alle anderen übertragen.

> Da fällt mir gleich dazu ein: wer weiss wie TCP/IP funktioniert und wirklich etwas 
> über Netzwerke erfahren möchte, dem kommt es sehr wohl auf einen weiteren HOP an.

Ja. Gut möglich. Und? Worauf beziehst Du Dich? Auf die Aussage, daß einem TCP-Paket ein weiterer Hop von Router zum Userrechner egal ist, weil es da ankommt, wo es hin soll?

> Also wenn es eine vertrauenswürdige Alternative mit Windowsbordmitteln gibt, wie ich 
> den Datenverkehr den meine Anwendungen verursachen kontrollieren kann, dann freue 
> ich mich über den Tipp wie ich das machen kann. Deinstallieren ist sicher keine 
> brauchbare Lösung

Die "Firewall" von XP ist vertrauenswürdiger als jede Software von 3.Anbietern -- und dabei bin ich wahrlich kein Freund von Windows.

[...]

> Das ist nicht dasselbe. Ich kann nicht Programme definieren, denn es kann sehr wohl 
> vorkommen, dass ich einem Programm einen Port erlauben möchte und einem anderen 
> nicht. Von daher ist es doch keine Alternative.

Doch, es ist möglich. Ohne Probleme. In der Konfiguration der FW unter "Ausnahmen" kann man Programme wie auch Ports eintragen.

> Zum Thema: ich bin mit der Ashampoo Personal Firewall zufrieden. Die gibt es auch 
> kostenlos und sie hat einige gute Features, die andere Firewalls erst in der Kaufversion
> haben. Mehr kann man auf tecchannel.de lesen.

You get what you pay for.

> Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht 
> in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen
> dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.

Doch, sie gehört genau hier hin, da der OP nach einer Alternative zu ZA gefragt hat und aus sicherheitstechnischer Sicht die Verwendung dieser Art von Software in vielen Fällen sehr gefährlich sein kann.


----------



## ojamaney (25. August 2007)

Navy hat gesagt.:


> ojamaney schrieb:
> > Eine Firewall "arbeitet" also nicht sondern setzt um?
> 
> Nein. Sie *wird* umgesetzt. Eine Firewall ist ein Konzept und kein Server, Programm oder ähnliches.



Das ist doch wirklich kleinkariert! Selbst wenn Du recht hättest, so hätte der allgemeine Sprachgebrauch immer noch Gültigkeit, auch wenn es Dir nicht gefällt!
Wenn ich mir ZoneAlarm kaufe, habe ich mir eine Software, Programm gekauft und nicht ein Konzept! Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja ausführbar. Ganz sicher aber nicht als Konzept.



> > User arbeiten nicht mit admin/root-Rechten? Na komisch, ich bin User und arbeite
> > immer als Admin^^.
> 
> Wenn *Du* meinst, daß dieses Vorgehen clever ist, dann mach es -- empfehle das aber bitte nicht weiter. Ohne Dir zu Nahe treten zu wollen, jedoch empfehle ich Dir, Dich mit den Grundlagen der IT-Sicherheit vertraut zu machen.
> Unter http://www.linkblock.de findest Du eine Menge Links zum Tehma.



Ich kenne die Grundlagen der IT-Sicherheit. Und wenn Du niemanden zu nahe treten willst, was soll dann dieser Post? Gefällt Dir mein Name nicht? Stört Dich mein Bild? Oder was passt Dir an meinen Post nicht, dass Du nichts besseres zu tun hast als alles was ich schreibe als geistigen Dünnpfiff hinzustellen?



> > Zu dem Rest Deines pompösen Geschwafels lass ich mich jetzt mal nicht weiter aus.
> > Aber Danke, dass Du uns allen gezeigt hast wie wortgewaltig Du Kommentare bis zur
> > Unkenntlichkeit zerpflücken kannst.
> 
> ...



Aber selbstverständlich nehme ich das persönlich wenn jemand daher kommt und meine Aussage als "technischen Blödsinn" bezeichnet (siehe Dein Post). Das trifft einen IT'ler hart ^^. (Und ich mache meinen Job nicht erst seit gestern!)
Und wie reagiert man Deiner Meinung nach denn professionell? Indem man anderen sagt, sie seien zu blöd dafür? Die sachliche Ebene hast Du mit Deinem ersten Post bereits verlassen, indem Du alle Deine Aussagen als allgemein gültig dahinstellst und alles andere zum ausgemachten Schmarrn erklärst. So fängt man sicher keine sachliche Diskussion an. (Die beginnt eher mit: "Ich bin der Meinung..." oder "Nach meiner Erfahrung verhält es sich so und so...")



> > Die Diskussion, ob eine PFW überhaupt Sinn macht gehört meiner Meinung nach nicht
> > in den Thread. Dafür gibt es andere Foren und Seiten die wesentlich mehr Informationen
> > dazu aufbereitet haben als es hier mit einfachen Posts möglich wäre.
> 
> Doch, sie gehört genau hier hin, da der OP nach einer Alternative zu ZA gefragt hat und aus sicherheitstechnischer Sicht die Verwendung dieser Art von Software in vielen Fällen sehr gefährlich sein kann.



Nanu? Ist ZoneAlarm nicht eine Firewall? Und hast Du hier gerade selber diese Firewall als Software bezeichnet? Tztztz.....
Und komm jetzt bitte nicht damit, dass diese Software das Konzept "Firewall" umsetzt. Solche pedantische Zerpflückung von Begrifflichkeiten braucht nun wirklich keiner. Denn wenn es danach geht, setzt jedes Programm ein Konzept um.

Und hier noch was zum Thema: http://www.stiftung-warentest.de/online/computer_telefon/test/1494233/1494233/1495154.html

Ps: navi, wenn es noch etwas zu diskutieren gibt, dann bitte per pn. Für längere sachliche Diskussionen steh ich Dir auch per eMail zu Verfügung. In diesem Sinne: peace und prost kaff'


----------



## Dennis Wronka (25. August 2007)

ojamaney hat gesagt.:


> Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja ausführbar. Ganz sicher aber nicht als Konzept.


Dieses Script setzt aber, durch den Aufruf bestimmter Befehle ein Sicherheitskonzept um. 
Ich persoenlich sehe es auch noch so eng. Man kann durchaus einen Rechner oder ein anderes Device, oder meinetwegen gern als Firewall bezeichnen. Immerhin hat es sich so eingebuergert. Im Grunde waere es wesentlich richtiger von einem Paketfilter zu sprechen, denn das ist was die meisten "Firewalls" schlichtweg sind.



ojamaney hat gesagt.:


> Denn wenn es danach geht, setzt jedes Programm ein Konzept um.


Richtig, und genau dies ist ja die Problematik und Gefahr der Softwarepatente. Das aber nur mal so am Rande.

@Navi: Ich verstehe Deine Einwaende, aber Du solltest akzeptieren, dass sich der Begriff Firewall im allgemeinen Sprachgebrauch eine andere Bedeutung angeeignet hat als es urspruenglich gedacht war. Nicht jeder hier beschaeftigt sich seit Jahren mit Netzwerk-Security, Marketing-Kampagnen steuern den Rest dazu bei.
Es ist richtig, und wichtig, dass Du darauf ansprichst dass eine zusaetzliche Software zusaetzliche Luecken mit sich bringen kann, aber es ist nicht notwendig gleich einen Kurs ueber Security zu halten und gross und breit zu erklaeren warum eine PFW eigentlich garkeine Firewall ist sondern lediglich ein Paketfilter.
Ich moechte Dich aber dazu ermuten Dein Wissen ueber diesen Bereich mal in ein Tutorial zu packen, welches sicher dazu beitragen kann Usern die in diesem Feld eben nicht zu Hause sind ein paar Begrifflichkeiten ordentlich zu erklaeren.


----------



## Navy (25. August 2007)

> Das ist doch wirklich kleinkariert! Selbst wenn Du recht hättest, so hätte der allgemeine
> Sprachgebrauch immer noch Gültigkeit, auch wenn es Dir nicht gefällt!

Im Rahmen meines beruflichen Aufgabenbereichs habe ich nur mit Menschen zu tun die Deiner Auffassung wiedersprechen, lediglich im privaten, abseits des Hobbys und hier sehe ich den Begriff Firewall in diesem (nicht ganz korrektem) Zusammenhang. Die Bezeichnung Personal-Firewall ist jedoch ein gewachsener Begriff der wohl überall so verwendet wird und gegen den ich nichts habe. Technisch gesehen sind das dennoch Paketfilter.

> Wenn ich mir ZoneAlarm kaufe, habe ich mir eine Software, Programm gekauft und nicht
> ein Konzept!

Du hast Dir dann einen Paketfilter gekauft der als Personal-Firewall bezeichnet wird.

> Selbst unter Linux besteht die Firewall aus Scripten in denen die Regeln definiert werden 
> und ein Script kann man ja wohl weitläufig auch als "Programm" bezeichnen kann, da ja 
> ausführbar. Ganz sicher aber nicht als Konzept.

Was auch immer *Du* unter Linux als Firewall bezeichnest, ich habe bisher nur Routingkonfigurationen mit Paketfiltern gesehen.

> Ich kenne die Grundlagen der IT-Sicherheit. Und wenn Du niemanden zu nahe treten
> willst, was soll dann dieser Post? Gefällt Dir mein Name nicht? Stört Dich mein Bild? 
> Oder was passt Dir an meinen Post nicht, dass Du nichts besseres zu tun hast als 
> alles was ich schreibe als geistigen Dünnpfiff hinzustellen?

Du hast behauptet, daß ein Router zwischen LAN und WAN einen Schutz bietet, das ist falsch. NAT bietet keinen zusätzlichen Schutz, denn die Pakete werden dorthin durchgereicht,wo sie hinsollen.

> Aber selbstverständlich nehme ich das persönlich wenn jemand daher kommt und meine
> Aussage als "technischen Blödsinn" bezeichnet (siehe Dein Post). Das trifft einen IT'ler
> hart ^^. (Und ich mache meinen Job nicht erst seit gestern!)

Wenn Du mit Kritik nicht umgehen kannst, ist das Dein Problem. Ich habe Deine Aussage als Blödsinn bezeichnet, weil sie in keiner Sichtweise richtig ist.

> Und wie reagiert man Deiner Meinung nach denn professionell? Indem man anderen 
> sagt, sie seien zu blöd dafür? Die sachliche Ebene hast Du mit Deinem ersten Post 
> bereits verlassen, indem Du alle Deine Aussagen als allgemein gültig dahinstellst und 
> alles andere zum ausgemachten Schmarrn erklärst. So fängt man sicher keine 
> sachliche Diskussion an. (Die beginnt eher mit: "Ich bin der Meinung..." oder "Nach
> meiner Erfahrung verhält es sich so und so...")

Man reagiert professionell, indem man sich (nochmals) beliest und überprüft, ob man nicht vielleicht doch Blödsinn geschrieben hat. Ich für meinen Teil bin immer bereit dazuzulernen und akzeptiere andere *Meinunge*, bei *Wissen* jedoch muß ich vorher nicht relativieren.

> Nanu? Ist ZoneAlarm nicht eine Firewall? Und hast Du hier gerade selber diese Firewall 
> als Software bezeichnet? Tztztz.....

ZoneAlarm ist Software und wird als Personal-Firewall klassifiziert. Qualitativ bringt sie keinen Sicherheitsvorteil für den User und ist im Gegenteil eigentlich gefährlich. Die Gründe dafür kannst Du jederzeit in dem von mir geposteten Link (http://www.linkblock.de) nachlesen.

> Und komm jetzt bitte nicht damit, dass diese Software das Konzept "Firewall" umsetzt.

Macht sie nicht. Sie erhöht die Angriffsbasis auf das System druch die Vergrößerung der Codebasis, veschaft dem User ein gutes Gewissen ohne leisten zu können was sie verspricht und verbraucht nur Systemressourcen.

> http://www.stiftung-warentest.de/online/computer_telefon/test/1494233/1494233/1495154.html

Und was soll das beweisen? 
http://groups.google.de/group/de.co...6?q=Stiftung+Warentest+Firewall&lnk=ol&hl=de&

> Ps: navi, wenn es noch etwas zu diskutieren gibt, dann bitte per pn. Für längere 
> sachliche Diskussionen steh ich Dir auch per eMail zu Verfügung. In diesem Sinne: 
> peace und prost kaff' 

Ich bleibe lieber hier. Sollte ich etwas falsches äußern, kann man mich gleich hier berichtigen.

Dennis Wronka schrieb:

> Ich verstehe Deine Einwaende, aber Du solltest akzeptieren, dass sich der Begriff 
> Firewall im allgemeinen Sprachgebrauch eine andere Bedeutung angeeignet hat als es 
> urspruenglich gedacht war. 

Ehrlich gesagt ist er mir aber sehr viel weniger in diesem Zusammenhang begegnet als in der eigentlichen Bedeutung. Entweder hänge ich mit zu vielen "Fachidioten" rum oder aber   es gibt regionale Unterschiede.

> Ich moechte Dich aber dazu ermuten Dein Wissen ueber diesen Bereich mal in ein 
> Tutorial zu packen, welches sicher dazu beitragen kann Usern die in diesem Feld eben 
> nicht zu Hause sind ein paar Begrifflichkeiten ordentlich zu erklaeren.

Das wäre eine gute Idee. Mal sehen ob ich in den nächsten Wochen ein wenig Zeit hab mal einen Crashkurs dazu zu schreiben. Das bedeutet aber auch, daß Grundlagen von Netzwerken erklärt werden müssen und das kann laaaaang werden.

Um aber mal wieder zum Thema zu kommen:
Die Windowsfirewall ist in der Lage ausgehenden Verkehr zu filtern, für eingehenden reicht es entsprechende Dienste nicht oder nur User/Adress-beschränkt zur Verfügung zu stellen. Andere PFW machen das recht umständlich indem sie einkommende Pakete verwerfen (droppen) oder zurückweisen (reject) und zumindest der erste Fall -- also der des drop -- wird sehr gerne als "stealth"-Variante verkauft was es jedoch überhaupt nicht ist, denn ein potentieller Hacker bekommt ja keine Antwort (also auch keine Fehlermeldung des Netzes) und weiß demnach, daß dort jemand ist, der versucht sein Netz zu schützen.

Ich sehe es auch als beunruhigend an, daß die meisten PFW bei ICMPs wild mit Alarmmeldungen um sich schlagen und diese droppen und zerstören damit die eigentliche Verwaltungsfunktion solcher Pakete. Diese Warnmeldungen sollen dem User ein Gefühl der Sicherheit geben, denn die Software verhindert ja "böse" Angriffe wie Portscans oder Pings, der Wert dieser Meldungen geht aber gegen 0.


----------



## IQ100 (3. August 2008)

@ojamaney:

Ich glaube nur weil du nicht die technischen Details wie auch die Softwarefunktionen verstehst versuchst du hier Navy platt zu machen. Dabei denk ich, das Navy hier das gescheiteste von sich gegeben hat! Der versteht nämlich was von diesem Bereich der Computermaterie ^^

=> Nebenbei: Ich selbst durchforste seit ein paar wochen Thread für Thread in Forum zu Forum  bzgl. Sicherer PC! Und ich habe schon vieles gelesen und das kommt den Wissen von Navy sehr nah ...

@Navy:

Aber bitte jetzt nicht übermütig werden *LOOOL*

=> Sicher ist ein Netz-PC erst dann wenn der User versteht und entsprechend den PC Konfiguriert (Nicht genutzte Protokolle entfernen, sinnlose Dienste Deaktivieren etc.)

Viel Spass euch beiden und allen anderen die diesen Beitrag besuchen *g*


----------



## IQ100 (3. August 2008)

Nochmal ich *LOOL* ...


... fänd ich auch toll wenn man bzgl. Sicherheit sich mal in einen Chat (MSN, Yahoo o.ä.) unterhalten könnte und ein Handbuch zum Thema, gemeinsam erstellen könnte ... Hat jemand lust auf Projektwochen (nach dem motto: Schule ist doof aber macht schlau) ... meine E-Mail: beruflich@gmx.de ... könnt euch ja gerne melden ...

Tschau!


----------



## ojamaney (4. August 2008)

@IQ100
Na da haben sich ja zwei Klugeschei*** gefunden. Gratuliere zu Eurer Freundschaft. Dein Beitrag passt zu Deinem Namen. 
Das findest Du beleidigend? Ja ist es und so war es auch gemeint! Dieses Forum mit seinen viel zu vielen Klug- und Besserwissern geht mir schon lange auf den Keks! Anstatt hier Fragen zu beantworten, werden Antworten auseinanderanalysiert und nach Haken durchpopelt an denen man den Ersteller aufhängen kann. Vielleicht habt Ihr noch nicht bemerkt, daß es hier nicht um korrekte Fachsprache sondern um verständlich dargebrachte Hilfe geht.


----------



## IQ100 (4. August 2008)

@ojamaney: falls du's nicht bemerkt hast 1. niemand hat sich beschwert das dass hier zu komplex währe und 2. sollte das keine verschwörung gegen dich sein ;-]

naja wenn du dich auslassen willst kannste ja mein E-Mail Postfach vollspammen ... ansonsten bin ich der meinung man sollte wissen worüber man redet ^^ 

Also wünsch ich dir noch nen schönen abend ...


----------



## Dalli77 (8. August 2008)

Hallo,

habe mir die laufenden Postings jetzt nicht durchgelesen.

Seit nunmehr 2 Jahren störungsfrei arbeitet bei mir die normale XP-Firewall in Kombination mit dem kostenlosen Virenscanner Avira AntiVir.

Gruß
D


----------

