xDSL.at

[danny]

Hallo Leute,
ich wollte mal fragen was haltet ihr vom Microsoft Internet Security & Acceleration Server? Taugt der was oder sollte man sich doch eher auf eine HW-Firewall verlassen?

[jutta]

ich wuerde das "oder" weglassen. "eine Firewall ist ein Konzept und kein Programm" quelle: http://kassel.ccc.de/paper/univortrag/i ... erheit.pdf uvm.

[samusaran]

ich kenn mich auf dem gebiet nicht sonderlich gut aus, aber kann genug erfahrungsberichte liefern.
für home user gelten diese "sicherheitsprobleme" wie es "firmen" haben , defenetiv nicht.
und angriffsziel wird ein home user eh nie im leben, bis auf diese "automatisierten" "wurmverseuchten" windows rechner, und die eleminiert selbst schon SP2 auch ohne router oder konfigurierter firewall.
noch paar konfigurationen in outlook und dem ie , irgendeinen free av virenscanner im hintergrund laufen lassen, dann passt das schon.
einmal im monat g-data drüberlaufen lassen, aber der hat bei mir noch nie was gefunden (obwohl er 8 stunden oder so intensiv scannt und 500 mb ram beansprucht).
outlook nur text empfangen / nur text senden; anlagenöffnung auf jpg. gif. pdf etc. beschränken.
internet explorer , sämtliche aktiven elemente deaktivieren.
paar NT dienste abschalten.
für flash seiten oder sonstige seiten die mit dem ie dann nicht mehr funktionieren halt firefox verwenden, aber der ist auch nicht gerade "secure" laut den letzten meldungen.
versteckte zugriffe mit einer "guten" softwarefirewall kontrollieren und gegebenfalls sperren. sowie richtlinien für programme erstellen sprich: alle ünnötigen programme die was senden wollen wie maustreiber , grafikkartentreiber, druckertreiber, excel, adobe etc. werden geblockt und erhalten auch keinen zugriff auf andere komponenten (sonnst könnten sie ja über den IE senden )

auf sp3 warten

aber besser als das alles ist ein sauberes image von der platte (acronis true image).
sollte irgendwann mal doch irgendwie irgendwo was verdächtiges erscheinen..
image zurück spielen in 5 minuten und den "fehler" bzw. die sicherheitslücke eleminieren.
wichtige daten auf externen festplatten speichern. wenn möglich sogar auf 2 da die festplattentechnik auch hin und wieder versagt.


lg anna

[dfx]

ich muß samusaran zustimmen, NAT ist kein sicherheitsmechanismus. es ist zwar ein nebeneffekt von NAT, daß keine eingehenden connections möglich sind und somit der pc vom internet nicht erreichbar ist, das ist aber 1) nicht die eigentliche aufgabe von NAT (zudem gibt's noch andere NAT-variationen, zb ein 1:1 address mapping), und 2) kann der selbe effekt auch durch eine firewall (egal ob externe oder interne) erreicht werden.

[Dark SoLdIeR]

es stand auch nicht zur debatte, ob nat als sicherheitsmechanismus eingestuft wird oder nicht, aber fakt ist, dass NAT in den verwendeten soho routern eine stufe sicherheit bietet.

[pc_net]

ich setze auf folgende kombination:

router: um den internetzugang allen geräten zur verfügung zu stellen ...

software-firewall auf den pc's: um outgoing-traffic zu kontrollieren ...

angenehmer nebeneffet: hinter einem nat-router braucht die software-firewall kaum noch incoming-traffic filtern ...

@samusaran
eine software-firewall ist nur so gut, wie der user, der die regeln erstellt - und zeig mir einen otto-normal-home-user, der sich mit netzwerken gut genug auskennt, um eine software-firewall richtig und sorgfältig zu konfigurieren ...
selbst SP2 läßt ja JEDES programm hinaus, das eine verbindung will ...

[hardliner]

Bei der Installation eines Servers, war ich nur etwa 5min ohne NAT-Firewall im Netz.
Resultat: Irgendsoein Wurm (Trojaner) hat sich über Port135 (obwohl alles Microsft-Glumperts wie Windows-Freigabe usw. für diese NIC deaktiviert war) eingenistet. Fragt mich lieber nicht wie lange die Entfernung über die Wiederherstellungskonsole gedauert hat.

Schon aus diesem Grund würde ich nie ohne NAT ins Internetz gehen.
Eine FW finde ich IMHO für unnötig, wenn NAT installiert ist.
Ausgehender Traffic ist mir wurscht, da ich weiß was ich installiert habe. Wenn man dann noch einen gscheiten Virenscanner wie z.B. Antivir installiert hat kann eigentlich nix passieren. Die meisten SW-Firewalls beinträchtigen übrigens die Performance gewaltig.
Im Moment habe ich leider noch eine SW-Firewall laufen, da ich neben NAT noch weitere IP-Adressen überwachen muss.
Aber die Tage diese FW sind gezählt und sie wird demnächst durch einen "Business-Router" ersetzt. Von den SOHO-Billigsdorfer-Routern halte ich nichts, da einerseits die NAT-Table (für P2P und htpp-Serverbetrieb) zu klein ist und andererseits die CPU-Leistung gerade mal für max 2Mbs reicht.
H.

[danny]

ich wuerde das "oder" weglassen. "eine Firewall ist ein Konzept und kein Programm" quelle: http://kassel.ccc.de/paper/univortrag/i ... erheit.pdf uvm.

Ja aber, soll ich mir also nur so eine teure HW-firewall zulegen und das reicht als Schutz auch für wichtige Daten oder sollte ich z.B. auch noch einen zusätzlichen Router und eine SW-Firewall miteinbauen?

[jutta]

was fuer dich konkret passt, haengt davon ab, wie wichtig/vertraulich deine daten sind, wie gross du welche gefahren einschaetzt und welche vorkenntnisse und welches budget du hast.

komplette firewall-loesungen kosten schnell einige 1000 euro. dazu kommen dann noch die ausgaben fuer die wartung und das gehalt fuer die person, die die logfiles liest und versteht.

billiger geht es mit einem linux- oder freebsd-rechner, aber auch dafuer brauchst du das know-how, das du zahlen musst, wenn du es nicht selbst hast.

private anschluesse sind nicht durch haecker gefaehrdet, sondern durch doofe wuermer, bots etc, gegen die an sich *jeder* schutz ausreicht, sogar die windows-eigene firewall.

software-firewalls haben einen entscheidenden nachteil: es gibt viren, die als erste aktion die firewall und den virenscanner ausschalten (selbst schon erlebt ). wenn du dir einen solchen virus mit einem programm runterladest oder per e-mail oder wie auch immer, ist deine sw-firewall hin und du musst sie nach beseitigung des virus neu installieren. eine hw-firewall ist vom pc raeumlich getrennt und daher nicht so leicht zu beschaedigen.

in den einschlaegigen publikationen wird als weiterer nachteil von sw-firewalls angefuehrt, dass sie ein zusaetzliches unnoetiges programm sind und daher das gesamtsystem destablilisieren koennen. stimmt natuerlich. in einen groesseren firmennetz, wo der admin streng darueber wacht, was wo wie installiert wird, zieht das argument. bei einem heim-pc, auf dem alle paar wochen irgendein neues programm ausprobiert wird, kommts auf die "systemdestabilisierung" durch die firewall imo sicher nicht an.

auch hw-firewalls sind nur so gut wie die firmware / das os / das programm mit dem sie laufen und ihre einstellungen sind. daher kann ich den glaubenskrieg um hw- und sw-firewalls nicht ganz nachvollziehen.

bei einem einzelplatz-pc sollte es an sich auch ausreichen, alle nicht benoetigten (netzwerk-)dienste zu deaktivieren und regelmaessig die sicherheitspatches zu installieren. (das ist geschmacksache: vertraust du eher microsoft oder eher den herstellern der diversen firewalls und virenscanner ...)

fuer einen privat-anschluss oder ein kleines buero ist ein router mit nat eine recht praktische und einfache loesung. der verhindert zugriffe von aussen, solang man die portforwarding-einstellungen nicht leichtsinnig aendert (und den remote-zugang deaktiviert oder mit einem sicheren/immer wieder geaenderten passwort versieht!) ob man zusaetzlich auf jedem rechner eine sw-firewall installiert, ist wieder geschmackssache.

wenn man fuer filesharing, spiele oder andere anwendungen viele ports freigeben oder den rechner in die "dmz" stellen muss, wird der schutz durch den nat-router eingeschraenkt bzw faellt ganz weg. ausserdem vertragen die meisten billigeren router filesharing schlecht. da waere mein vorschlag, alle "gefaehrlichen" anwendungen auf einen rechner zu tun, diesen direkt ans modem anzuhaengen (hat dann die oeffentliche ip) und den uebrigen pcs den internetzugang per ICS oder proxy-server zu ermoeglichen. auf dem saug+game-pc wuerde ich dann keine heiklen oder wichtigen daten speichern und in relativ kurzen abstaenden einen virenscanner drueber laufen lassen.

wenn kein portforwarding noetig ist (also keine spiele, kein filesharing ...), waers auch noch eine loesung, einen alten windows-pc (98 ) als gateway einzusetzen. der ist gegen blaster, sasser & co immun und kann fuers lan ICS-server spielen.

fuer den datenschutz *reicht* keine der angefuehrten loesungen, egal wie teuer sie ist. dafuer brauchst du jedenfalls regelmaessige backups (und images von der system-partition) und je nach den surf-gewohnheiten und kenntnissen der pc-benuetzer/innen zuverlaessige virenscanner, trojaner-scanner usw.

[samusaran]

ich hab glaube ich schon 4 mal geschrieben das bei einer "guten" softwarefirewall ein virus der softwarefirewall nix anhanben kann aus dem grund das

1.) die firewall passwortgeschützt ist
2.) die firewall eine echtzeitdatenaktualisierung hat
3.) man keine einzige datei der firewall verschieben , unbenennen oder verändern kann (auch nicht mit einem hex editor)
4.) sollte sowas dennoch passieren, ist deine netzwerkkarte nicht mehr vorhanden und du hast keinerlei verbindungen zur aussenwelt auch nicht im internen netzwerk.
5.) die physikalischen adressen im ram werden auch echtzeitaktualisiert
6.) mir war es nicht möglich meine eigene firewall zu deaktivieren , weder durch löschen von dateien , durch verändern von dateien oder durch abschalten von diensten -> selbst ein virenverseuchter rechner konnte dies nicht.

es gibt bis dato keine möglichkeit sonnst hätte es schon längst ein update gegeben.

es gibt 2 möglichkeiten
entweder die firewall funktioniert und somit funktionieren auch deine verbindungen nach "irgendwo" oder die firewall funktioniert nicht so wie sie soll dann gibts auch schon beim kleinsten verdacht "keine verbindung mehr nach irgendwo".
ich kann nichtmal die log.csv umbenennen ohne das meine netzterkkarte sofort weg ist vom fenster...
das sieht dann so aus
__________________________________________________________
Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VIA PCI 10/100Mb Fast Ethernetadapter
'################'invalid########'
__________________________________________________________

also wenn ichs nichtmal selber schaffe... wie soll es dann ein virus können?
ich kann die firewall-module nichtmal im reservierten speicherbereich löschen oder verändern da sonnst... siehe oben.
keine netzwerkkarte vorhanden ist und dies nichtmal für windows, keine ip , kein garnix.

[Diokhan]

hi nun werde ich auch mal meinen senf dazugeben ...
ich habe seit kurzem nen router und dahinter nen laptop und nen standpc ... auf beiden ist ne software firewall installiert ... ich habe dann anschließend bei sygate meinen pc getestet und alles war geblockt ... dann habe ich die software firewall ausgeschalten und nochmal getestet und es war ebenfalls alles geblockt ... bis auf einen port der war auf closed.

Mein Schluss daraus:
Router ist gut, SW Firwall ist gut, beides ist besser.

[kirschi]

Das seh ich auch genau so!
Was ich noch wichtig finde: eine Software-Firewall kann abstürzen, kann sein dass dann der Schutz weg ist, wenn ein Router abstürzt ist IMHO auch fast immer die conn. weg, die Sicherheit bleibt aber somit erhalten

[lordpeng]

>eine Software-Firewall kann abstürzen, kann sein dass dann der Schutz weg ist

hmmm, dann verwendest du wohl die falsche softwarefirewall, weil die was samusaran verwendet schiesst alles ab, wenns sich mal aufhängen sollte ... weist eh, zweng's der kernel-panic *stichl*

[Dark SoLdIeR]

>6.) mir war es nicht möglich meine eigene firewall zu deaktivieren .... -> selbst ein virenverseuchter rechner konnte dies nicht.

tja, dass wirst du dann schon merken, wie einfach es sein kann, ne personal firewall abzuwürgen

jo und won der kernel in panic versetzt is, don is sowieso ois zu spät

[samusaran]

why?
dann ist es zu spät, für was?

gibt keine netzwerkverbindung mehr wenn sowas passieren sollte...

aber he vielleicht gibts schon trojaner oder viren die per telepathie trotzdem connecten können.
eine personal firewall abzuwürgen führt zu nichts, ausser das das "ziel" garnicht mehr erreichbar ist

aber so ein media markt router um 60€ mit 30mhz und 8mb ram muss schon enorme resourcen haben der bekommt ja schon kernel panic wenn er sich über PPTP einwählt