In unseren MCP-Kursen "Windows-2000-Server / Netzwerke" haben wir auch mal darüber geredet, was Firewalls eigentlich machen. Fakt ist: Sie entscheiden, ob ankommende Pakete erwünscht sind und ob sie an empfangende Programme weitergeleitet oder ignoriert und fallen gelassen werden. Sinnvoll konfiguriert, ist also eigentlich jede Firewall so gut oder schlecht wie die andere. Wenn da nicht die Schwächen einzelner Produkte wären, auf bestimmte ankommende Pakete entweder unvorhergesehen zu reagieren oder schlecht voreingestellt zu sein.
Zu den sichersten Verfahren gehören Proxys: Wer da spionieren will, erwischt höchstens den Inhalt des Proxy-Rechners. Auch ziemlich sicher für den hinteren Rechner ist eine NAT-Weiterleitung. Aber beide haben Nachteile, wenn mal wirklich eine 1:1-Verbindung zwischen dem eigenen und dem anderen Rechner nötig ist.
Alle anderen Firewalls, die sich auf dem selben Rechner befinden, von dem auch gesurft wird, sind potenziell nur bedingt sicher. Security-Scanner (von Freunden aus auf den eigenen Server angewendet) können das schnell zeigen.
Zu "Stealth-IP": So was klappt eigentlich nur mit zusätzlichen, weiterleitenden Proxys irgendwo im Internet. Irgendwann aber wird jedes Paket mal deinen Rechner finden müssen. Und das geht nicht ohne die IP-Nummer, die du gerade von deinem Provider erhalten hast.
Wegen der "Stealth IP" habe ich mich wohl schlecht ausgedrückt: Ich meinte damit, daß der Rechner auf Pings und Ähnliches keine Antwort zeigt, also für den potentiellen Angreifer "unsichtbar" ist.
Mir ist weiters schon klar, daß ein vorgeschalteter Rechner als Proxy viel sicherer ist als eine Software-Firewall, allerdings mag ich auch nicht soviel Geräte auf meinem Schreibtisch herumliegen haben 
Vielleicht kaufe ich mir aber doch mal einen dsl-Router mit integrierter Firewall - soll ja angeblich auch sowas geben.
Originally posted by Gorbag
dsl-Router mit integrierter Firewall
So derart "Firewall" ist das zwar nicht gerade - aber seinen Zweck erfüllt der auch. Im Grunde macht er auch nichts anderes, als eine Art "Mikro-NAT-Router" zu spielen. Angriffe von aussen landen im dsl-Router.
Aber darüber hinaus würde ich dann wirklich lieber auf Antworten von Leuten warten, die auch Praxis-Erfahrung haben; ich kenne nur etwas die Theorie dahinter. Vielleicht schaust du inzwischen mal im Heise-Register, wann die c't mal welche getestet haben könnte (Firewalls meine ich v.a.)...
Originally posted by Gorbag
Vielleicht kaufe ich mir aber doch mal einen dsl-Router mit integrierter Firewall - soll ja angeblich auch sowas geben.
Hallo Gorbag,
Ich arbeite seit einiger Zeit mit einem Router von D-Link und bin recht zufrieden.
• Internet-Gateway für den Heimanwender sowie kleine Büros
• Gemeinsame, gleichzeitige und kostengünstige Internetnutzung
• Breitband-WAN-Verbindung über ADSL bzw. TV-Kabel
• Internet steht jedem jederzeit ohne Treiberinstallation zur Verfügung
• Integrierter 4-Port Fast Ethernet-Switch – erspart den Kauf eines separaten Switches
• NAT-Firewall schützt vor externen Angreifern
• Zugangskontrolle über MAC- oder IP-Adresse erlaubt die Definition von Stationen ohne Internetberechtigung
• Konfiguration über Web-Browser
• Diagnosetools
Lässt sich gut konfigurieren und mit einem Tool auch extern steuern.
Ich verwende seit einiger Zeit die Kerio Personal Firewall (ehemals Tiny Personal Firewall)... alle Firewalls haben eins gemeinsam: wenn man sie wirklich sicher einstellen will, hat man jede Menge Arbeit. Man muss dann wirklich alle Ports zumachen, und explizit nur unbedingt benötigte öffnen, etc.
Im Prinzip hat meine Firewall noch nie viel tun müssen... vielleicht ein paar mal hatte ich Portscans oder ähnliches, die geblockt wurden... vor allem wenn man sich im IRC aufhält, kriegt man viele Alarme - allerdings war mein Rechner auch nur kurz (ca. drei Monate) "ungeschützt im freien Internet" - seit knapp einem Jahr ist nun ein FLI4L-Router vorgeschaltet - dadurch könnte ich mir die Firewall eigentlich ganz sparen (ok, falls ich mir einen Trojaner einfange merke ich wann er was senden will, deshalb lass' ich sie drauf).
Wie LigH schon angesprochen hat, bringt aber ein Router auch nicht nur Vorteile: wenn man wirklich mal auf einem bestimmten Port erreichbar sein will (für einige Anwendungsgebiete ist das einfach unabdingbar, z.B. Internet-Telefonie, FTP-Server, beim Zocken, ...) muss man den entsprechenden Port explizit auf eine bestimmte interne IP mappen. Das ist natürlich auch mit Aufwand verbunden.
--> Komfort und Sicherheit lassen sich, wie so oft, nicht ohne weiteres vereinen.
na ja... Qualität zählt, nicht Quantität 
Ich kann mich der Meinung von fileman nur anschliessen. Die Kerio Firewall ist einfach klasse. Das Programm lässt sich einfach bedienen und es erfüllt voll und ganz seinen Zweck. Als besondere Eigenschaft bei Kerio kann man noch erwähnen das daß Programm sich so konfigurieren lässt das die Internet Verbindung gekappt wird falls ein Virus oder Trojaner Kerio abschiesst. Ausserdem legt es von allen Programmen denen du den Zugrif aufs Netz gestattet oder gesperrt hast Hash Werte an, um Viren und Trojaner daran zu hindern sich in vorhandene Programmnamen umzubenennen um so nach draussen zu gelangen.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
