Super Firewall??

IPCops ist generell zwar kein schlechtes Tool nur reduziert es die Funktionsvielfalt eines PCs eben lediglich aufs Paketfiltering.

Selbst wenn die Konstitution eines PCs sagen wir mal relativ betagt ist so denke muss bei ein dediziertes System zu mehr in der Lage sein als sich nur mit dem Filtern von Pakteten zu beschäftigen. In solchen Situationen würde ich persönlich einen H-Router bevorzugen.

Mit einer vollwertigen Linux-Distribution es muss nun wirklich nicht gleich Linux-from-scratch sein kann man all diese schönen Dinge machen die IPCops bewältigt und noch einiges darüberhinaus
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
D€NNIS schrieb:
IPCops ist generell zwar kein schlechtes Tool nur reduziert es die Funktionsvielfalt eines PCs eben lediglich aufs Paketfiltering.

(...)
Zum Vergrößern anklicken....

@D€NNIS

Ja, genau das ist ja die Idee: Die FireWall ist NICHT auf dem zu schützenden System.

cu
loores
 
Madnex schrieb:
Hi Highwind,

zu zu 1) Sicher, die sich "einigermaßen" auskennen, wissen das. Aber wie viele noobs gibt es, die eine Desktop Firewall installieren und denken nun absolut geschützt zu sein? Was auch das mit den Viren und Trojanern miteinschließt ;). Du willst also, dass die Firewall die offenen Ports dicht macht. Warum schließt du sie denn nicht einfach selbst? Du brauchst einfach nur nicht benötigte Dienste von Windows zu deaktiveren und schon ist der Port dicht. Denn, ein Port ist immer nur offen, wenn dahinter ein Dienst lauscht und wartet, dass jemand Kontakt aufnimmt. Kein lauschender Dienst = Port closed.

zu zu 2.) Und was passiert, wenn sich ein böses Programm als iexplorer.exe ausgibt und du es ins I-Net lässt?

Zitat: "Namen sind Schall und Rauch
... und dann fragte die Firewall:
Do you want Microsoft Internet Explorer to access the internet?
Do you want Netscape Navigator to access the internet?
Do you want Microsoft Windows 95 to access the internet?
Do you want DFÜ-Netzwerk to access the internet?
Do you want Zone Alarm to access the internet?
Vernünftig programmierte Spyware wird sich selbst ja kaum als "The ultimative hacking tool" in Windows anmelden.

Wenn man bei der Erzeugung einer .exe-Datei in die Versions-Informationen als Company "Microsoft Corporation" schreibt, stuft die Norton Personal Firewall alle Verbindungsversuche dieses Programms als "Low Risk" ein ("Trusted Company")."

zu zu 3.) Schau dir bitte mal folgenden Link an:

Wie Personal Firewalls ausgetrickst werden können

Oh ja, die bösen Portscans :d. Anscheinend bist du dir nicht bewusst, was ein Portscan ist und dass so ein Scan absolut harmlos ist. Jeder Rechner im Internet wird ständig gescant und das nicht nur von "Hackern" oder Skript Kiddis, die dich angreifen wollen! Ein Portscan ist ein normaler Vorgang im Internet und hat nichts, aber auch rein gar nichts mit einem Angriff zu tun! Ok, ein Portscan "kann" auch eine Vorbereitung für einen Angriff sein. Das ist durchaus richtig, aber, wenn keine Ports offen sind (und um die zu schließen braucht man keine PF) kann der mutmaßliche Angreifer nichts machen.

Und was diese 3 dir unbekannten Anwendungen betrifft, die zu deinem Rechner Kontakt aufnehmen wollten, warum schließt du nicht einfach die jeweiligen Ports (durch die Konfiguration der Dienste!)?Zitat: "Zukünftige "Malware" wird die Existenz von PFWs berücksichtigen, der Nutzen ist damit von kurzer Dauer. Es wird dann ein ähnliches Dauer-Update-Verhalten wie bei Antivirus-Programmen nötig sein."

Wenn du dich mit diesem Thema tatsächlich näher beschäftigen willst, dann schau dir bitte folgende Links an:

http://www.ntsvcfg.de/linkblock.html
http://www.urz.uni-heidelberg.de/Netzdienste/firewall/pers-firewall.shtml

Übrigens, da du anscheindend den IE zum surfen nutzt, ich hab da auch gewisse Informationen für dich:

http://www.heise.de/ct/02/25/100/
http://www.zotteljedi.de/misc/ielinks.html

Gut, PFs können ggf. bei Usern, die sich mit ihrer Internetsicherheit aktive beschäftigen, und wissen was sie tun, einen "kleinen" Nutzen haben (wobei man sich darauf nicht allzu sehr verlassen sollte). Aber wer sich wirklich damit auskennt und für sich ein Konzept mit Richtlinien erarbeitet hat und diese strikt einhält, der braucht keine PF, um sicher im I-Net zu surfen! Und für Otto-Normal-User die sich darüber nicht weiter informieren und denken, dass sie mit der Installation einer Software "absolut" sicher seien, da ist eine PF eher kontraproduktiv und bewirkt genau das Gegenteil!

Highwind, sei mir jetzt bitte nicht böse, aber ich zähle Dich nicht zu den Leuten, die sich Sicherheitstechnisch wirklich gut auskennen (ich zähle mich selbst ja nicht mal dazu :d), da du z.B. angenommen hast, dass ein Portscan einem Angriff gleichkommt. Und das ist nun absoluter Unsinn ;).

CU
Zum Vergrößern anklicken....


zu 1)

Na, weil ich vielleicht die Dienste teilweise nutze ?
Und jedesmal in die Systemsteuerung zu gehen und einen Dienst zu aktivieren und danach wieder zu deaktiveiren, wenn ich ihn mal brauche finde ich wesentlich umständlicher als einfach, die entsprechende Anwendung auszuführen, dann kurz auf "Ja" bei der Frage, ob der Dienst zugreifen darf, zu klicken und danach wieder unten auf "Block all" klicken

zu 2)

Mhhh, verstehe die Frage nicht ganz.
Meine Firewall unterscheidet, ob ein lokales Programm aufs Internet zugreifen will oder ein nicht lokales auf meinen Rechner zugreifen will, also sehe ich ob eine iexplore.exe von aussen "angreift" oder ob es meine eigene, lokale, iexplore.exe ist, die Kontakt nach außen will...

Oder meinst du, dass ich ein böses Programm namens iexplore.exe auf dem Rechner haben könnte ?
Wie gesagt, das liegt im Verantwortungsbereich des Anwenders, aufzupassen, dass soetwas nicht passiert... außerdem wird bei Sygate nicht nur "iexplore.exe" angegeben sondern der komplette Pfad mit dazu... und im Verzeichniss C:\Programme\Internet-Explorer kann nunmal nur eine iexplore.exe sein,


zu 3)

Den Link guck ich mir nachher an, muss eben essen machen weil ich gleich Championsleage gucken will ;)
Danke schonmal.

Und zu den "bösen Port Scans"... mir ist durchaus bewußt, dass die meisten davon keine böse Intention haben (hab ich doch auch nicht geschrieben, dass es sich dabei automatisch um Angriffe handeln muss, oder ?)... nur "die meisten" sind nunmal nicht "alle" und selbst wenn ich pro Tag 17 stück habe, was im Jahr 6205 wären und davon nur EINE EINZIGE eine geblockte bösartige ist, hat sich die Firewall gelohnt... denn was ist denn der Nachteil einer Firewall ?
Jetzt sag nicht, es werden Systemrecourcen verbraucht... wahrscheinlich verbraucht jedes Desktop-Wallpaper mehr davon.
Sie ist kostenlos, erlaubt die bequeme Überwachung, Aktivierung und Deaktivierung der einzelnen Ports (ohne dass man jedesmal in der Systemsteuerung oder dem entsprechendem Programm rumwühlen muss).

Ach und apropos Port Scan... ich hab mal einen beliebigen rausgesucht, durch back tracing bin ich an folgende Adresse gekommen:
http://www.ripe.net/ripencc/pub-services/db/copyright.html
Gut, das sieht nicht schlimm aus, andererseits frage ich mich, warum diese Firma das gemacht hat, ganz bestimmt nicht, weil sie langeweile hat, sondern weil sie sich dadurch irgendeinen Vorteil verspricht... und Vorteile für einen haben leider in 99% aller Fälle zu Folge, dass sich daraus Nachteile für einen anderen ergeben, welcher in diesem Fall ich sein dürfte ;)

Aber mit der Sache, dass sich PFs für den uninformierten Anwender eher kontraproduktiv auswirken können gebe ich dir vollkommen recht.
 
Also die beiden Seiten zum I-Explorer hab ich mir mal fix angetan... ;)

leider muss ich dich enttäuschen, bei mir wird weder die DOS-Box geöffnet, mit der man theoretisch auch formatieren könnte, noch höre ich weiterhin den Amplify DMG Sound (der mir bei ersten mal erschreckend bekannt vorkam ;) ), wenn ich jetzt nicht gerade D2 starte und mit meinem Necro Spiele ;)


Ich denke übrigens nicht, dass der Internet Explorer bei vernüftiger Einstellung wesentlich unsicherer ist als andere Browser, genausowenig wie Windows-Systeme unsicherer sind als andere...
es liegt einfach daran, dass Internetexplorer und Windows sehr weit verbreitet sind.
Wenn nun jmd versucht einem anderen zu Schaden zuzufügen wird er das natürlich auf einer Platform machen, die am meisten Leute erreicht, da er so den größten Schaden anrichten kann... wenn nun so gut wie alle Rechner auf der Welt z.B. Opera nutzen würden, glaube mir, dann würde in diesem Jahr nichtmal mehr eine Sicherheitslücke im Iexplorer gefunden werden (weil einfach keine danach sucht), in Opera würden dagegen wahrscheinlich ähnlich viele Lücken und Löcher gefunden werden wie derzeit im Iexplorer.

Ist doch bei Computerspielen ähnlich... Half-Life ist ein Spiel, was (bedingt durch die teilweise sehr guten Mods) schon ewig lange gespielt wird.
Guck dir mal an, wieviel Patches/Bugfixes es für das Spiel gab.
 
Zuletzt bearbeitet:
@loores
wenigstens einer hats verstanden.

in dem moment wo auf dem rechner der direkt mit dem internet verbunden ist mehrere dienste laufen, ist jeder dienst ein anlauf punkt für einen hacker. sei es ein web server wie der apache oder der iss, eine mysql datenbank, ein ftp server oder sogar emule wo jetzt letztens erst eine sicherheitslücke gefunden wurde.
für jeden dienst hat man dann die wahl versuche ich mir zugriff aufs system zu schaffen und irgendwelchen code auszuführen oder mach eine dos attacke oder mach ... die ganzen möglichkeiten ich muss jetzt nicht aufzählen.

in einem heimnetz isses im prinzip zwar nicht so wichtig wenn der rechner mit firewall oder routing funktionalität mal abkackt, aber in einer firma sollte sowas nicht passieren. wozu gibts es sonst begriffe wie dmz proxy und nat?

bei mir wird port 80 an einen anderen rechner wetergeleitet und noch zwei andere ports für ein paar andere sachen. theoretisch könnte jemand meinen apache unterwandern sich zugriff auf das system hinter der firewall verschaffen unddann von intern meine firewall ausschalten. theoretisch.

zurueck zum thema pf.
die diskussion wofür eine pf da ist gab es schon oft genug. von wegen ob die nur da ist um sich zu schützen vor programmen die von innen nach aussen wollen oder ander herum oder beides. meine meinung ist wohl eher der erste ansatz allerdings kann man nicht verlangen das jeder nen router benutzt oder einen rechner als firewall abstellt, oder dirket ne hwfirewall benutzt. für den privat bereich mark eine pf ausreichend sein, wenn man sich ein wenig mit der materie beschäfftigt. und sie einigermassen konfiguriert.
@highwind bei dem microsoft syndrom geb ich dir ganz klar recht. aus dem grund rate ich freunden immer auf opera oder mozilla umzusteigen. gerade wenn das so leute sind die nicht soviel ahnung haben und ihr system nicht ständig mit den neuesten patchen aktualisieren, bzw die konfig anpassen. (bei einem hab ich letztens 740 sachen mit adaware gefunden und die kommen bestimmt nicht alle von irgendwelchen programmen, jetzt muss er mit opera surfen ahb ihm den ie verboten).
wenn ich dann immer sehe was so empfohlen wird von wegen einstellungen im ie. also es tut mir leid aber wen ich alles ausschalte kannich auch nen textbasiertenbrowser nehmen.

edit bzw neuerdings ändern:
das hier triffts genau http://www.fefe.de/pffaq/
 
Zuletzt bearbeitet:
eMule gibt es nicht für Linux und die Linux-Derivate werden dieser Buffer-Overflow Problematik nicht unterliegen.

Darüberhinaus kann sich eine Firewall auf einem deizierten System durchaus auch mit anderen Aufgaben befassen. Es geht also nicht darum ob die Firewall nicht auf dem zu schützenden System ist sondern ob nicht eben dieses auch andere Tätigkeitsfelder ausführen kann und hier plädiere ich für ja es dürfte im privaten Bereich wohl keine gravierende Sicherheitsproblematik darstellen auf einem dedizierten System ein paar Ports für den ein oder anderen Dienst zu öffnen abgesehen von Menschen mit einer angeborenen Paranoia.
Die zu schützenden Systeme befinden sich ja im Regelfall hinter dem dedizierten System und eben hier ist das Sicherheitslevel kritisch Darüberhinaus stellt nicht jeder offene Port eine unmittelbare Bedrohung dar denn erstmal gilt es die Software auszutricksen und übliche DoS Attacken wie sie häufiger vorkommen bedinen sich anderer Methoden.

Zu PF hab ich schon 1000mal mein Statement abgegeben und ich wiederhole mich nur ungern:

Zu pauschlisieren und zu behaupten es wäre grundsätzlich alle PFs nicht tauglich entspricht einfach nicht den Tatsachen es gibt durchaus auch Firewalls die zwar eher das verseirte Klientel ansprechen aber für den Privatgebrauch quasi nichts kosten und ein vernünftiges Sicherheitsniveau ermöglichen CHX-I sei an dieser Stelle nach wie vor genannt.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

M
Firewall zwischen Fritzbox und FTTH Modem
Antworten
10
Aufrufe
858
mephisto1111
M
O
Internet am TV - öffentliches Netzwerk
Antworten
8
Aufrufe
137
Oweh
O
M
pfsense, Logserver und kde auf thinclient
Antworten
2
Aufrufe
260
Mater1984
M
G
failed config: OPNsense nicht erreichbar
Antworten
3
Aufrufe
382
google98
G
L
systemwechsel weg vom HP ProLiant DL380p Gen8
Antworten
4
Aufrufe
489
Haldi
Haldi
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh