Gibt es objektbasierte Linux-Firewalls mit gepflegten Diensten, etc.?

[Ranayna]

Ja. Es macht Sachen unkomplizierter und ist halt auch eine Art Default-Security. Sprich selbst wenn ich ein Port aufmache (was ja auch ungewollt passieren kann), führt das nicht gleich dazu das der von außen ansprechbar ist. Ich muss noch einen expliziten Schritt machen, um den quasi freizuschalten. Wenn man so will eine Art "Sind Sie sicher?"-Abfrage. :-)

Da legt Windows aber auch ein inkonsistens Verhalten an den Tag.
Viele Installer erstellen bei der Installation eines Programmes automatisch entsprechende Firewall Regeln. Da kommt dann keine weitere Abfrage, weil die Regel ist ja da.
Bei Programmen die das nicht tun, kommt dann oft, aber nicht immer, beim ersten Start eine Sicherheitsmeldung der Firewall: Moechtest du dieses Programm durch die Firewall lassen?
Und andere Programme tun einfach nicht, bis du selber die Firewall Regel anlegst.

 

[andy_m4]

Da legt Windows aber auch ein inkonsistens Verhalten an den Tag.

Das mag sein. Ich wollte ja auch nur skizzieren, was der Grundgedanke dabei ist.

Viele Installer erstellen bei der Installation eines Programmes automatisch entsprechende Firewall Regeln. Da kommt dann keine weitere Abfrage, weil die Regel ist ja da.

Wobei das strenggenommen ja kein Problem von Windows ist, sondern des jeweiligen Installers.

 

[foofoobar]

Bei Programmen die das nicht tun, kommt dann oft, aber nicht immer, beim ersten Start eine Sicherheitsmeldung der Firewall: Moechtest du dieses Programm durch die Firewall lassen?

Welchen der vielen möglichen auf dem System eingeloggten User will man das fragen?
Und auf welcher Session?
Und hat jeder User einen Mechanismus am laufen wo sowas hochpoppen kann?
Es müssen schon viele Annahmen auch eintreffen damit sowas sauber funktioniert.

Ergänzung (28. Februar 2023)

Da legt Windows aber auch ein inkonsistens Verhalten an den Tag.
Viele Installer erstellen bei der Installation eines Programmes automatisch entsprechende Firewall Regeln. Da kommt dann keine weitere Abfrage, weil die Regel ist ja da.

Welchen Gewinn hat eine Firewall wenn der Zugriff auf einen offenen Port per Installer und per default erlaubt wird?

 

[andy_m4]

Welchen der vielen möglichen auf dem System eingeloggten User will man das fragen?

Na zunächst einmal den, der das Programm ausführt.

Und hat jeder User einen Mechanismus am laufen wo sowas hochpoppen kann?

Na im Falle der Windows-Firewall hat man das schon. Wie es mit alternativen Firewalls aussieht, müsste man im Zweifel gucken.
Aber Du kannst eh nicht alle Fälle abdecken. Spätestens wenns um eine Firewall geht, die gar nicht auf Deinem Rechner läuft wirds schwierig.

Welchen Gewinn hat eine Firewall wenn der Zugriff auf einen offenen Port per Installer und per default erlaubt wird?

Naja. Es gibt ja Programme, deren einziger Zweck ist nach außen hin "offen" zu sein.
Wie sinnvoll oder nicht sinnvoll ist, darüber kann man streiten. Aber so ein Installer nimmt ja viele System-Einstellungen vor, wo man auch drüber streiten kann, ob die im Einzelfall berechtigt sind oder nicht.
Genau genommen hat man ja deshalb einen Installer, damit man bestimmte Einstellungen eben nicht manuell machen muss. Sonst könnte man ja gleich die Programmdateien händisch kopieren.

Wie gesagt. Man kann darüber streiten wie sinnvoll das ist. Aber es ist halt kein Widerspruch in der Logik die dem zugrunde liegt.

 

[Ranayna]

@foofoobar: Ich rede hier jetzt explizit ueber Windows Clientbetriebssysteme. Wobei die auf Servern nicht wesentlich anders funktioniert.
Die Windows Firewall ist nicht Useraware. Die Regeln sind global, und gelten fuer alle eingeloggten User gleich.
Dementsprechend braucht es dann auch Adminrechte, um das erwaehnte Firewallpopup zu bestaetigen.

 

[WhiteHelix]

ob die Listen auch wirklich immer aktuell sind.

Sag das mal Sophos wir wollten TikTok und sonstigen Gedöns im Firmen-Gästenetz deaktivieren, Instagram hat geklappt, TikTok kennt das Ding nicht mal. Nur unter dem alten Namen und das hat quasi nicht funktioniert. Den Kram durfte ich mir dann auch manuell raus suchen. Und das war ne XGS auf damals (ca. 3/4 Jahr her) aktueller Software