Warum man keine Software Firewall braucht

[schrauber]

Bin der Meinung man sollte seinen PC immer mit einer Firewall entweder Hardware oder Software und einen Antivieren Programm absichern und zusätzlich immer die aktuellen Sicherheitspatch für Windows installieren.
Man sollte bedenken das viele Leute Online Banking und z.B. eBay über Ihren Pc betreiben und in der Vergangenheit doch viel Schaden angerichtet wurde.
Sicher gibts es keinen 100% Schutz aber man sollte das Risiko doch so klein wie möglich halten, eben halt doch die oben angeführten Schutzmaßnahmen und im Umgang mit dem Internet etwas Vorsicht walten lassen.

MfG schrauber

 

[nenrik]

@Sublogics

Keylogger und Trojaner "telefonieren selbstverständlich nicht nach hause"


Jeder ist doch schon mal auf eine Spammail reingefallen und viele User haben ihren eMail Client falsch eingestellt. HTML und sonstige Anhänge werden so gleich geöffnet bzw. installiert. Je ungeübter und unerfahrener der User, desto öfter passiert das. Da ist schneller was installiert, als man gucken kann. Ich erinnere nur mal an Sasser, als der Rechner sich von alleine das Teil runtergeladen hat, ohne dass man auch nur eine Internetseite aufruft.

Sicher schützt ne Software Firewall + Antivirensoftware niemals zu 100%, aber jedes Prozent mehr an Sicherheit, ist ein Schritt in die richtige Richtung . Ein Script das ein paar ausgewählte Ports sperrt ist kein Ersatz


greetz nenrik

 

[Damocles' Sword]

hmm, bis jetzt haben die Pros der Befürworter das "Nach Hause telefonieren" als einzigen Grund angebracht. Was haben diese Leute eigentlich zu verbergen? Etwa ungültige Seriennummern?
Wenns um Datenschutz geht, was angesichts der Massen aber eh kein Thema ist, dann hat ne Firewall damit auch nichts zu tun (Port 80).
Ist aber auch witzig, wieviele betroffene Hunde hier auf einmal anfangen zu bellen...

Wenn es dir egal ist das schon der Windows Installer nach Hause telefoniert - warum beteiligst du dich dann an einem Thread über Online-Sicherheit ?

 

[192.168.1.1]

Oh jaaa, wie ich diese weisen Aussagen von Newbies liebe... "Ich hab keine Firewall und mein Rechner läuft noch. Also braucht man auch keine! Und Virenscanner finde ich auch doof."

Ein Glück das das mal endlich jemand gesagt hat...

Ich schick mal kurz ne E-Mail an McAfee und Symantec, die sollen sich gefälligst alle neue Jobs suchen und nicht mehr ihre sinnlosen Produkte verscherbeln... Die sollten was wichtigeres machen, zum Beispiel... CS spielen?!


Sorry LeEndersBay, aber du siehst das irgendwie in zu kleinem Maßstab... Also da wo ich herkomme, aus der Bundesrepublik Deutschland, soll es sogar Unternehmen geben die Computer benutzen

Und dann noch das Argument "Ressourcen"... was glaubt ihr wie viele Ressourcen euch ein fieser Virus rauben kann? Es soll ja Leute geben, die rüsten ihre Hardware auf, weil sie nichts von den 27.000 Würmern auf ihrer Festplatte wussten.

 

[Spielkind]

>...Ein Script das ein paar ausgewählte Ports sperrt ist kein Ersatz

Dann sollte man, nach der >Dienstekonfiguration nach Frank Kaune<, ohne Software- Firewall und deaktivierter Routerfirewall einen ausführlichen >Portscan< machen. Manch einer wäre überrascht. Während meiner ISDN- Zeit war die Dienstekonfiguration ein Teil meines Sicherungskonzepts.

Selbst heute arbeite ich nach einer Neuinstallation mit >ntsvcfg.de< bzw. >dingens.org<. Und sei es nur dazu, so lästige Dinge wie den Nachrichtendienst abzuschalten. Bemerkenswert imo der Rat die Windows Firewall trotz der Dienstekonfiguration zu >aktivieren<. Dank DSL sitz ich zwischenzeitlich eh' hinter einem Router...

Die Dienstekonfiguration sollte, wie eine Firewall, ein Bestandteil eines Sicherheitskonzepts sein, so gehören imo noch ein tagesaktueller (Kaspersky-) Virenscanner, Windowsupdate, alternativen oder reglementierten Browser und Email Client verwenden, sowie Backups dazu.

Manche surfen noch mit Benutzer- statt mit Adminrechten.

 

[Sublogics]

hach jaaa.... Na, LeEnderBay, was hab ich dir gesagt?
Aufgrund von Sinnlosigkeit und nie endender Disskussion läßt man es besser einfach bleiben.
Jeder so wie er will - jedem seine eigene Entscheidung - jeder ist auf seine eigene Art und Weise sicher... usw.

 

[LeEndersBay]

OK ihr könnt mich steinigen. Werde mich korrigieren man ist vor den meisten Angriffen sicher aber das Programme eventuell nach Hause Telefonieren dafür braucht man doch ne SFW.Diese bereits erwähnten Ports werden am häufigsten benutzt um Unfug an jedermanns PC zu machen.

Hier stand ein überflüssiges Zitat.​

Hast Recht jedem das seine sollen die anderen machen was sie wollen

Full Scan von der Seite http://webscan.security-check.ch durchgeführt worden

Schritt 5 von 5: Auswertung

Beim Full Scan wurden 0 offene Dienste gefunden.
Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem
Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.

Es wurde keine Firewall entdeckt.

Weitere durchgeführte Tests:

Ping Ihr System antwortet auf Ping Requests.

Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%

70%: Microsoft Windows 2003 Server Standard Edition
70%: Microsoft Windows 2003 Server Enterprise Edition
67%: Microsoft Windows XP SP1a
67%: Microsoft Windows 2000 Workstation
67%: Microsoft Windows 2000 Workstation SP1

NetBIOS
(Windows Netzwerk) Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

SNMP Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check Es ist nicht möglich via Telnet oder HTTP auf Ihren Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist.

Es sei denn jemand versucht wie oben beschrieben über Ping Requests mein Rechner aufzuhängen, brauch ich eine Firewall nur um Ping Requests aus dem Weg zu gehen NEIN!!!!

 

[Gelbsucht]

ein jeder soho-router verhindert durch seine NAT umsetzung + firewall angriffe von aussen!

ROFL, auch ich habe bei meinem Router alle Ports zu und schalte mich per Dynamic NAPT auf, wenn ich mal spielen etc.

Dennoch gibts immernoch Webseiten, bei deren Aufruf böser Code reinkommt, sei es als JAVA oder anderweitig.

Daher und nicht zuletzt auch, um ungewollten Verkehr nach außen zu unterbinden kann ich jedem nur wärmstens einen gescheiten Virenscanner (nutze Bitdefender und bin zufrieden) und zweitwärmstens eine brauchbare Firewall ans Herz legen. Damit ist man nicht gegen wirklich alles immun, denn sollte man sich beispielsweise eine der berühmten Sony-Music CDs einlegen, kommt der Rootkit halt vom Laufwerk aus und nicht vom Netz...

Ich empfehle immer diese gute Adresse= www.port-scan.de von der Seite ntsvcfg halte ich nix, für erfahrene User bietet sie kaum neues.

 

[Balu909]

was is denn mit Port 2869 bei diesem tollen skript?? über diesen port kommuniziert doch die msoobe.exe mit ms! Also berauschend is die sache mit dem skript nu wirklich nicht -.-

 

[Smash]

Also, jetzt melde ich mich mal zu Wort.

Eigentlich hat LeEndersBay schon ein bisschen Recht.
Eine Softwarefirewall bringt keinen Schutz, aber Kontrolle.

Alles was deine Scripts erledigen macht ein Router auch, sogar besser, da er sie wieder zumacht wenn sie mal geoeffnet sind.

Mache einfach das und du bist
sicher.

 

[Sublogics]

OT!

>Vom 10.4 bis zum 20.4 in einer Computer freien Zone<

Wie haste das getz gemacht? Hast du irgendwelche übernatürlichen Kräfte?

 

[Smash]

Nein, leider nicht.
Bin am Flughafen in einem weit entfernten Land. Muss hier noch 4 Stunden warten, also habe ich mir gedacht, mal schauen was ich verpasst habe.

 

[Chris6885]

hi,

nu ich ......

hach jaaa.... Na, LeEnderBay, was hab ich dir gesagt?
Aufgrund von Sinnlosigkeit und nie endender Disskussion läßt man es besser einfach bleiben.
Jeder so wie er will - jedem seine eigene Entscheidung - jeder ist auf seine eigene Art und Weise sicher... usw.

hmm das mal ein sehr beschränkter post .......

Also dieses Skript scheint durchaus einen richtigen weg einzuschlagen aber ausreichen um einen pc zu schützen wird es nicht. Ein guter anfang ist damit gemacht weiter gehen sollte es mit patches einem uptodate virenscanner und einer personal firewall. Die wenn, sie richtig eingestellt (was durchaus !jeder! mit diversen zu finden anleitungen im netz machen kann) keine probleme bereitet. Wenn sie jedoch probleme mit programmen bereitet, wäre es sinnvoll zu checken was es für ein programm ist, welches die probleme bereitet . wie schon gesagt ist ein sehr großer punkt in pro pfw das verbinden einzelner programme ins internet = nach hause telefonieren. warum muss sich ein programm verbinden wenn ich nur etwas brennen will? weiterhin wusste ich garnit, dass man unbedingt etwas merken muss, wenn man eine gefahr auf dem rechner hat? Rootkits sind so eingerichtet das man nix merkt.

aber wie schon erwähnt perfekten schutz gibt es nicht...aber kontrolle zu haben darüber was passiert, kommt schon sehr nahe daran.......und performance killer sind antivir und pfw in der heutigen zeit (mit der heutigen gängigen hardware) sicher nicht mehr.

 

[Sublogics]

In den meißten Fällen sind PFWs auch keine Performancekiller.
Aber verwende mal ZoneAlarm zusammen mit einem Filesharer á la eDonkey mit 10, 20 DLs laufen - da kriegt man selbst noch aktuelle Singlecore-Systeme an ihre Grenzen.
Liegt dann einfach daran, daß ZoneAlarm mehrere tausend Verbindungen gleichzeitig bearbeiten muss. Andere PFWs reagieren da wahrscheinlich ähnlich.
Aber btw: beschränkt war nun eher deine Reaktion...

 

[trackersimon]

Das Skript ist sehr sinnvoll und erspart Arbeit.
Danach führe ich noch einige .cmd .bat .reg Dateien aus, die ich selber erstellt und angepasst habe (LMhash, Nullsessions deaktiveren etc.)
Eine SoftwareFirewall hat keine Daseinsberechtigung, wenn kein Port offen und kein DIenst lauscht kann nichts rein.
Wirklich sinnvoll ist eine Firewall (was eigentlich nur ein Sicherheitskonzept ist siehe wikipedia) als Hardware Lösung die vor dem arbeitenden System ist.
Sprich Linux drauf und IPCOP oder IPFW verwenden also vernünftige Paketfilter.
Ein Router (z.b Linksys WRT54GL mit alternativer Firmware) tut das auch sehr gut, dazu sind aller dings Kenntnisse notwenidg im Bereicht TCP/IP und netfilter.

Eine PFW ist schon allein aus diesem Grund keine Firewall, da sie auf dem System selber läuft.
Was habt ihr mit der Kommunikatio nach außen? die lässt sich auch ohne pfw abstellen, microsofts nachhause telefonieren geht mit dem skript und mach einer .reg.
Der rest geht mit den SysinternalProgrammen Filemon und Regmon z.b!
Eine PFW ist nur Scheinsicherheit, sie macht das System eher unsicherer, da mehr Code läuft der Lücken haben kann.

Schaut euch doch mal die Videos vom CCC an 8)

Achja und eingeschränktes Benutzerkonto zum Surfen und soweiter.

http://www.winfuture-forum.de/index.php?showtopic=58506

sehr empfehlenswert als Einstieg.

nmap findet keine Schadsoftware bei mir und Removal TOols sind auch ein Blödsinn...

btw: Brain.exe ist eine der besten Schutzmöglichkeiten

 

[I-E-A-I-A-I-O]

Jo, ich geb Trackesimon da voll und ganz Recht, eine PFW kostet Systemleistung und lässt sich auch durch andere, Ressourcen sparende Maßnahmen ersetzen.
Als sehr sinnvoll erweißt sich der Gang ins Internet mit einem eingeschränkten Benutzerkonto, wobei man den "versteckten" Systemadmin(den standardmäßigen von Windows) noch mit einem PW versehen sollte.
Dann noch nen aktuellen Virenscanner, nen gescheiten Browser und man lebt schon ein gutes Stück sicherer

Noch so im Allgemeinen, die Videos vomm CCC sind doch schon uralt, die sind doch von '04, wenigstens meine ich mich erinnern zu könne die schon vor mind. 1,5 Jahren gesehen zu haben?!!

 

[Chris6885]

Eine SoftwareFirewall hat keine Daseinsberechtigung, wenn kein Port offen und kein DIenst lauscht kann nichts rein.

jop genau ........ aber wann ist das denn der fall? also ich kenne keinen mir bekannten.
ausser natürlich man hat keine internet..dann fällt aber auch alles andere weg


@Sublogics.."Aber btw: beschränkt war nun eher deine Reaktion...".... nö war sie auf deinen wissenden kommentar nit...aber trotzdem danke für den hinweis

 

[Towelie]

Ich glaube das Thema wurde hier schon mehr als genug angesprochen, allerdings eine kleine Info dazu:

Heisst im Endeffekt das was eine Software Firewall macht macht genau dieses Script.Es steht zwar dort man sollte die integrierte WindowsXP SP2 Firewall eingeschaltet lassen, aber ich habe diese per XP-Antispy (http://www.xp-antispy.org/) deaktiviert und habe bis heute (PC läuft 24/7) nichts auffälliges bemerkt, denn wenn etwas passiert wäre hätte sich der PC bemerkbar gemacht .

Warum ich XP-Antispy nicht mag.

 

[Sublogics]

Anfangs hab ich xp-antispy auch immer verwendet. Aber ich hab auch schnell gemerkt, daß es eigentlich völlig unsinnig ist.
Die wenigen wirklich interessanten Optionen wie "Bekannte Dateiendungen ebenfalls anzeigen" lassen sich genauso selber simpel einstellen und man erspart sich weiterhin wieder einige unnötige Einträge in der Registry, die diese vergrößern und damit letztendlich wieder das System ein kleines Stück verlangsamen.
Dies merkt man zwar im Einzelnen nicht, aber wie immer macht es die Masse.

 

[Gobble-G]

...man erspart sich weiterhin wieder einige unnötige Einträge in der Registry, die diese vergrößern und damit letztendlich wieder das System ein kleines Stück verlangsamen.
Dies merkt man zwar im Einzelnen nicht, aber wie immer macht es die Masse.

Ist für XP falsch bzw. nicht messbar. Grund hierfür ist, dass XP nicht mehr wie 2k die gesamte Registry in den Hauptspeicher schiebt, sondern nur kleine 16-KByte-Blöcke, auf die es wirklich zugreift. Ist eine bestimmte Anzahl an Blöcken erreicht, werden die ältesten gelöscht.
Genaueres und Benchmarks siehe c't-Artikel "Mit erhöhter Schlagzahl - Tipps und Tricks für Windows XP auf dem Prüfstand", Ausgabe 17/05, ab S. 102.