Ich habe mir jetzt mindestens 5 verschiedene PersonalFirewalls angesehen. Von Unbedienbarkeit, grundlos geblocktem Traffic ... ... bis zu totalem Blödsinn hab ich alles gesehen.
Was will ich: Eine einzige Liste mit Regeln, die von oben nach unten durchlaufen wird. Was in dieser Liste nicht erlaubt ist, wird im letzten Punkt beblockt und geloggt. Keine Extralisten mit Sonderregeln für Programme, Subnetze, Ranges ... usw. ...
Was ich nicht will: Ein total aufgemotztes Programm für Leute, die von IP-Networking keine Ahnung haben, sich ihre angebliche Sicherzeit zusammenklicken und es für jeden Ausnahmefall ein extra Register mit 5 Wizzards gibt, welche man ausfüllen muß, wie die Formulare vom Amt.
Soll jetzt nicht heißen, daß die o.g. Software schlecht ist, aber wo mehr als nur FireWalling dabei ist entfällt. Schon mal weil ich es für meine Zwecke für überflüssig halte und es das System nur unnötig belastet. Die Firewall soll wirklich nur den Traffic, auch für einzelne Prozesse, überwachen und sich sonst nirgendwo einmischen.
Die Firewall soll wirklich nur den Traffic, auch für einzelne Prozesse, überwachen und sich sonst nirgendwo einmischen.
Das halte ich aber für ganz schön gefährlich. Wenn die Firewall nicht auch die Checksummen der Programme überwacht für die Regeln existieren, kann es dir leicht passieren, dass sich unbemerkt ein Trojaner bei dir einnistet.
Mit CRC Prüfung hätt ich dir jetzt Kerio empfohlen.
Ohne kannst du mal die Outpost Firewall ausprobieren. War glaub ich bei der vorletzten c't dabei.
entnehme ich Deinem Statement, dass die Kerio nur "rausgeflogen" ist, weil sich auch eine abschaltbare Application-Launch-Control und ein deaktivierbares "IDS" hat?
Dann solltest Du das Häkchen evtl mal nur bei der Netzwerksicherheit setzen und die anderen Module deaktivieren.
Kerio kann nerven, ist dann aber auch ziemlich sicher, wenn Du ein sicheres Sys haben willst, musst Du bestimmte Einschränkungen in Kauf nehmen, eine Firewall, die ohne Konfiguration einfach so vor sich hin werkelt und dabei noch möglichst überhaupt net in Erscheinung tritt kann auch net wirklich hohe Sicherheit bringen, wenn Dir das alles zuviel Aufwand ist, dann ist die Windows-FW vermutl tatsächlich die richtige FW für Dich (aber dann heul net rum, wenn was passiert ist).
für windows klingt mir persönlich deine Beschreibung eher nach der BlackICE Firewall.
Aber wenn du so standard-regelgeil bist, stell dir doch einfach ne deidizierte linux/OpenBSD Box mit iptables hin - da kannste dann nerd-regeln bis zum umfallen
... entnehme ich Deinem Statement, dass die Kerio nur "rausgeflogen" ist, weil sich auch eine abschaltbare Application-Launch-Control und ein deaktivierbares "IDS" hat?...
Ganz konkret: Kerio ist nach wenigen Minuten geflogen, weil es den MSDE-Service nicht starten lassen hat. Grund unbekannt.
Aus neugier hab ich mir Kerio gerade noch einmal angetan und es wurde folgende Sicherheitsrisiko angezeigt:
Code:
Richtung: abgehend
Lokaler Punkt: 0.0.0.0, port 3006
Adapter: N/V
Remotepunkt: 127.0.0.1, port 3005
Protokoll: TCP
[19.12.2005 10:05:31]
Richtung: abgehend
Lokaler Punkt: 0.0.0.0, port 3029
Adapter: N/V
Remotepunkt: Localhost [127.0.0.1], port 3028
Protokoll: TCP
Ich hab meine Augen dabei so verdreht, daß sie mir immer noch weh tun.
Zitat:
Zitat von Catweazle
... überhaupt net in Erscheinung tritt kann auch net wirklich hohe Sicherheit bringen ...
Meine Regeln sind knallhart und es sind genau 16 Stück. Ein abschließendes "deny any any" regelt den rest
Nach vielem Herumprobieren habe ich wieder die steinalte TinyPF2 draufgemacht. Wenn jemand schwerwiegende Sicherheitsmängel daran kennt, dann her damit.
@atim:
Dein Screenshot hat mir schon ein bissl belustigt. Zulassen ... Zulassen ... Verweigern ... Zulassen ... Verweigern ... Das sind alles Sachen, die unnötig Leistung ******n. Jede Regel wird einzeln geprüft. Wenn ich in der Console "format c:" eingebe, dann frägt mich BitDefender, ob ich das Programm wirklich ausführen will und trägt es ebenfalls bei den Regeln ein ... usw ...
So sieht es bei mir aus: Was nicht ausdrücklich erlaubt ist, ist verboten.
Nach vielem Herumprobieren habe ich wieder die steinalte TinyPF2 draufgemacht. Wenn jemand schwerwiegende Sicherheitsmängel daran kennt, dann her damit.
Einfach mal bei Secunia vorbeischaun. Da stehen eigentlich immer so gut wie alle Sicherheitsinformationen zu den Programmen bereit.
@ bronks:
ist das bei dir nicht dasselbe ? du hast doch vor jedem eintrag auch ne checkbox
Die aktivierte CheckBox bedeutet nur, daß die Regel aktiv ist.
Schau Dir mal meinen Screenshot an. Eine Firewall durchläuft die Regeln von oben nacht unten. Sobald für einen Netzwerkzugriff von einer Regel ein Permit gegeben wird, dann wird der Traffic durchgelassen und alle folgenden Regeln nicht mehr geprüft. Deshalb steht ganz oben Loopback, DNS und Lan, weil diese für meinen Fall am häufigsten auftreten und auch am schnellsten abgearbeitet werden sollen.
Jedes Programm, welches auf Loopback, DNS und LAN Zugreifen möchte hat grünes Licht. Die dritte Regel ist ein Permit auf 3 Subnetze auf 3 Interfaces. Auf den meisten PersonalFirewalls läßt sich soetwas nicht sinnvoll einstellen.
Wenn jetzt der RealPlayer oder der Adobe nach Hause funken wollen, dann landen diese zwangsweise bei der Endstation hinter der ein "deny any any" steht, welches geloggt wird. Die Loggdateien sehen einfach nur pervers aus, wenn man sich ansieht welche Programme immer über den Gateway wollen.