Zu Personal-Firewalls sag' ich jetzt nix mehr.
Darüber wurde schon mehr als genug geschrieben.

http://www.google.de/search?q=%22Baron+M…=cr%3DcountryDE

mfg, Thomas

Nachtrag: Konkret meine ich dieses: http://literaturatlas.de/~ld1/abenteue/zopf.htm

Meine absolute Lieblingsfirewall: Adaptive Packet Destructive Filter

ich nutze schon lange keine "desktop-firewall" mehr (weil linux). ganz zufrieden war ich mit kerio ( http://www.kerio.com/kpf_download.html die alte version mit weniger schnick schnack gibt's unter http://www.321download.com/LastFreeware/page7.html#Kerio%20Personal%20Firewall ). witzig finde ich, dass es eine firewall von SKODA (dem autohersteller!) gibt: http://www.skoda.de/index.php?e=348-4 kA wie die ist, vielleicht mal draco fragen ... ;D

mfg.
render


äddit:

Zitat von ».dap«

Meine absolute Lieblingsfirewall: Adaptive Packet Destructive Filter

cool! die ist ja mal wirklich sicher ...

Zitat von ».dap«

Meine absolute Lieblingsfirewall: Adaptive Packet Destructive Filter

Funktioniert direkt an meinem PC leider nicht, könnte aber vielleicht die Antenne abschrauben :.

wenn ich das richtig gelesen habe, setzt man aber zwischen PC und steckdose an...

ich kann die zone alarm firewall empfehlen. die lite version die is benutze (auch schon ziemlich alt) hällt alles böse vom pc fern und lässt sich auch für games super konfigurieren.

http://download.zonelabs.com/bin/free/49…_737_000_de.exe

Zitat von »oTT«

ich kann die zone alarm firewall empfehlen.

... irgendwie hab' ich schon darauf gewartet :
Außer ein paar lustig aufklappender Fenster konnte ich bei dem Ding noch keine (sinnvolle) Funktion feststellen.

Bei Netzwerkdiensten gilt die Regel: Weniger ist Mehr.
Eine PF ist generell auch nur ein weiteres Programm (mit Bugs, diversen Diensten und dazugehörigen offenen Ports) das die Sicherheit eher verringert als diese zu verbessern.

Nochmal ...

• Externe SPI-Firewall mit einstellbaren TimeOuts, und Protokollen. Hilfreich ist, wenn man Chaining und Multi-Host erlauben/verbieten kann.
  
• Detektor für die aktuellen (regelmäßige Updates) Angriffs-Formen - das ist nur nötig, wenn Inbound-Verkehr zugelassen werden muß (z.B. Game-Server). Im Normalfall wird hier einfach komplett dichtgemacht (incl. ICMP) ¹).
  
• Für Online-Gamer sollten fragmentierte UDP-Packete (für einzelne Hosts) durchgelassen werden.
  
• UPnP = OFF
  
• SMTP (Auth) auf den Provider "festnageln" - dann gucken alle Mass-Mail-Würmer in die Röhre.

Obiges gibt's in jedem einigermaßen brauchbaren Router - soviel sollte dem User die Sicherheit wert sein.

Wenn man jetzt noch dafür sorgt, daß keine Malware die man über http/ftp/pop bekommt, ihr Unwesen treibt (Benutzer-Rechte, OnAcess-Scanner) kann man einigermaßen beruhigt internetten.

mfg, Thomas

P.S.: zu ¹) Das ist nicht RFC-konform - negative Effekte sind jedoch nicht bekannt.

Es ist überall zu beobachten das wenn es um Virenscanner bzw PFWs geht in der Regel Produkte empfohlen werden weil Sie bisher keine Probleme gemacht haben bzw in diesem Zeitraum keine Infektion stattgefunden hat (oder besser: bemerkt wurde).

Das dies nicht wirklich sinnig ist sollte eigentlich nicht zur Diskussion stehen. Angenommen ein Juwelier lässt seine Ladentüre über nacht offen und hängt eine Kuhglocke an den Türgriff und es wird monatelang nichts gestohlen - kann man davon nun ableiten das dies eine sinnvolle Lösung ist sich gegen Diebstahl abzusichern?

Leider wird nur zu oft von den "Fachmedien" suggeriert das eine PFW unabdinglich sei. Dies hat zur Folge das sich User xy eine PFW installiert und sich in der Regel sicher fühlt. Hinzu kommt das der unbedarfte sich damit Probleme schafft weil plötzlich irgendwelche Programme nicht mehr wie gewollt funktionieren und der Zusammenhang erst garnicht begriffen wird. Zudem wird in der Regel, sollte das Produkt zu aufdringlich sein, eh schnell auf erlauben geklickt.
Mit persönlich fällt ua ein Gespräch mit einem AUßendienstmitarbeiter ein dessen Updateprogramm nicht funkionierte. Die Frage ob eine FW installiert sei wurde verneint. Nach einiger Zeit wurde festgestellt das der Gilb installiert war. Das "Teil" testweise ausschalten wollte er nicht da es Ihn "permanent vor Hacker Angriffen aus dem Internet schützt" (O-Ton). Es dauerte 15 Minuten bis er es geschafft hatte das betreffende Programm wieder freizugeben.

OK, dieses Szenario (->Scheinsicherheit) trifft in den meisten Fällen natürlich nur auf den "normalen" Anwender zu...
Auch wenn man in der Lage ist derartige Produkte zu bedienen und sich dennoch nicht fälschlicherweise in Sicherheit wiegt gibt es noch etliche Dinge die gegen einen Einsatz sprechen.

Dies wurde aber schon dermaßen oft durchgekaut das ich wenig Lust habe noch mehr zu schreiben.

Als Phone Home Kontrolle kann eine PFW ja noch halbwegs brauchbar sein...sofern man sich bewusst ist das es kein Problem darstellt diese zu umgehen.

Das Problem sind ja teilweise schon die Produkte selbst. Ich weiss nicht in wie weit sich das bei ZA im Laufe der Zeit verändert hat aber früher (und vielleicht auch heute noch?) hat das Teil jeden harmlosen Ping als den Angriff schlechthin dargestellt. Da kamen unter Umständen in einer Stunde locker 100+ "Angriffe" zusammen und da der weniger informierte User nicht weiss, was es damit auf sich hat glaubt er dem ganzen und denkt wirklich, dass da jemand in sein System eindringen will.

Im Endeffekt mangelt es dem User an ein paar grundlegenden Kentnissen rund um die Funktionsweise des Internet bzw. TCP/IP und zum anderen bereitet eine Firewall oftmals diese Infos nicht sinnvoll auf wovon sie ja aber durchaus auch lebt wenn ein User so fanatisch ist und ernsthaft glaubt, dass dieses ständigen Zugriffe von aussen ernsthafte Attacken wären.

Zitat von »oTT«

ich kann die zone alarm firewall empfehlen. [...] hällt alles böse vom pc fern

ja, das glauben alle, die es nicht besser wissen. ironischerweise bietet ZA selbst noch zusätzliche angriffsfläche und damit trifft die aussage "hält alles böse vom pc fern" erst recht nicht mehr zu.

Zitat von »Weihnachts-Shoggy«

... wenn ein User so fanatisch ist und ernsthaft glaubt, dass dieses ständigen Zugriffe von aussen ernsthafte Attacken wären.

Die "ernsthaften" Attacken merkt das Spielzeug ja garnicht.
Da hier imho erst auf dem Protokoll-Stack aufgesetzt wird, sind alle Varianten, die mit unvollständigen Packeten arbeiten (insbesondere alle ....-Floods) unsichtbar.

Auf der anderen Seite gibt's bereits einen einfachen DoS-Angriff mit ICMP-8 (das schriebst Du bereits). Der Benutzer ist nur noch mit dem Wegklicken von Dialogs beschäftigt, und kommt nicht mehr zum Arbeiten - vielleicht sollte man das KtUB-Attack (keep the user busy) nennen.
IIRC gibt's tatsächlich ein paar Programme (senseless but nasty), die dieses Verhalten von PFs ausnutzen.

mfg, Thomas

P.S.: Wieso kribbelt's mich bloß gerade in den Fingern, mal eben ein Script für Random-Pings zu stricken ;D

oh mann, und was mach ich ( internet-user, ahnungsloser ZA-user ) jetzt? ???

ich betreibe ja einen router (siemens gigaset SE 515 DSL ). aber die protokolle da drin, sind für mich genauso "bohmte" dörfer, wie wohl für 80 mill. andere bundesbürger.

soll ich die ZA jetzt deinstallieren? was anderes draufpacken, oder ganz ohne? ???

Zitat von »Jim@Snow«

oh mann, und was mach ich ( internet-user, ahnungsloser ZA-user ) jetzt?   ???

Sooooooo schrecklich kompliziert ist eine (einfache) Firewall-Konfiguration garnicht.

Für den Hausgebrauch reichen eine handvoll Protokolle:



Jeder Dienst bekommt eine Regel, wo drinnen steht wer was wohin schicken darf (allow).
Alles was in keine Regel passt, wird verworfen (deny).
Für -lan- setzt Du die Adresse Deines Netzwerkes ein - also z.B. 192.168.1.*
Bei -provider- kommen die Server-Adressen des Providers hinein - das kann man mit (Kommandozeile) "nslookup name_des_servers" nachsehen.

Je nach Router/Firewall ist das Erstellen der Regeln mehr oder weniger komfortabel - bei vielen muß man nur noch ein Häkchen neben das gewünschte Protokoll setzen.

mfg, Thomas

na dann mach ich mich morgen frisch ans werk. danke

Zitat von »Tom«

Zu Personal-Firewalls sag' ich jetzt nix mehr.

tom, du bist ein eiskalter lügner ;D

mfg.
render

So, wenn hier schon gerade alle Profis versammelt sind, hätte ich dann auch noch gerne einen Tipp:

Wie erhöhe ich die Sicherheit von Rechnern, die mit 100 MBit am Hochschulnetz hängen?
Sophos Anti-Virus wird gegen Viren eingesetzt (Campus-Lizenz), aber was mache ich mit dem Rest der ungebetenen Besucher?
In den letzten Jahren sind mindestens 2 Rechner im Institut (beide ohne PFW) soweit gehackt worden, dass der eine mehr für ein Tauschnetzwerk arbeitete denn als Meßrechner, der andere wurde offensichtlich aus einem der Wohnheime ferngesteuert.

Auf die zentrale Hardware habe ich keinen Zugriff, einen Router in jedes Büro stellen :o ist vielleicht doch etwas überreizt, was bleibt ausser den MS-Securityupdates und einer hoffentlich sinnvollen Deaktivierung von allen Scheunentoren wie Remote Desktop?
Bisher ZA, in der Hoffnung dass die zentrale Hardware die meisten bösen Jungs/Mädels schon vorher abfängt.

Nun bin ich gespannt ;D

Zitat von »Metallurge«

Nun bin ich gespannt  ;D

Ein (nicht segmentiertes) LAN mit aktivem NTDS bekommst Du garnicht dicht - ganz egal was Du anstellst.
PFs (auch die Windows-eigene) bringen hier häufig mehr Schaden als Nutzen ¹).

Groben Unfug kann man mit L3-Switchen unterbinden - aber das ist auch nur ein Teil der Lösung.
Hier ist eine fachkundige Planung dringend notwendig.
Das Netz muß in (trusted) Teilbereiche getrennt werden und der zulässige Verkehr zwischen den Segmenten muß genauestens spezifiziert (und kontrolliert) werden.

Ich weiß nicht wie groß/komplex Euer Netz ist, aber ein ausreichend dimensionierter ISA mit einer Handvoll Netzwerkkarten könnte schonmal einiges verbessern.

mfg, Thomas

¹) Alle NetBios-Ports stehen sperrangelweit offen (das müssen sie auch), aber alle zentralen Updates (RIS, VirenScanner, WSUS, usw.) werden zuverlässig verhindert.
Dieses Szenario wird immer wieder gerne installiert  

Edit: Wenn man vom Wohnheim bis ins Institut mit RDP zugreifen kann, sollte der Admin mal seine Berufswahl überdenken.
BTW: Viele Windows-Unarten sind bereits per GPO abstellbar. Hint: Deny-Regeln (NTFS) haben Vorrang vor Allow-Regeln - das gilt auch für lokale Admins.