Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ist eigentlich eine Software-Firewall für interne Clients nötig?

Mitglied: 57439

57439 (Level 1)

22.11.2007, aktualisiert 14:36 Uhr, 3701 Aufrufe, 8 Kommentare

Hi all,

ich weiß, dass klingt ein bisschen "blöd", aber in unserer Firma haben die Clients entweder die XP-Firewall an, oder eben eine Softwarefirewall von Norton. Und ich habe bisher noch wie was davon gelesen, dass Clients innerhalb eines Netzwerkes eine Firewall benötigen.

Ist das eigetnlich notwendig, wenn man einen guten Router + ISA-Server besitzt?

Achja.. es handelt sich um ein relativ kleines Small Business Server- Netzwerk von 38 Personen.

Würd gern mal euere Meinung hören!

Achja, noch am Rande. Welchen Antivirenkiller (netzübergreifend) würdet ihr bevorzugen?

vielen Dank im voraus!
Mitglied: GumJack85
22.11.2007 um 12:14 Uhr
bezüglich der AV Lösung.

wir haben hier Sophos AV im Einsatz! Da müsste es auchw as für Small Business geben.
Bitte warten ..
Mitglied: Gagarin
22.11.2007 um 12:21 Uhr
Eines der wichtigsten Konzepte in der IT-Sicherheit wird als Defense-in-Depth bezeichnet. Man geht davon aus das jede Verteidigungslinie ueberwunden werden kann (Fehlkonfiguration, 0-Day Exploit, etc...). Um es dem Angreifer so schwer wie moeglich zu machen baut man mehrer Linien auf in der Hoffnung das er an einer scheitert. Ich sehe die Softwarefirewall am Client als letzte Linie. Sie bringt aber auch nur etwas wenn sie, wie die AV-Software, zentral verwaltet wird.

Zu deiner Frage: Meiner Meinung nach kannst du die Frage nur nach deiner Risikoanlyse/Bewertung beantworten. Es ist sicherlich nuetzlich eine schon integrierte Firewall einzuschalten.
Bitte warten ..
Mitglied: manuel-r
22.11.2007 um 12:21 Uhr
Ich bin der Meinung, dass es zumindest nicht schadet die (XP-) Firewall zu aktivieren. Das beugt zumindest dem Risiko vor, dass ein - warum auch immer - verseuchter Rechner alle anderen gleich mit infiziert. Außerdem kann eine Firewall auch recht wirkungsvoll die Kommunikation unerwünschter aber nicht schädlicher Software unterbinden.

Manuel
Bitte warten ..
Mitglied: Darkraver
22.11.2007 um 12:39 Uhr
Sicherlich sinnergebene Konfiguration.
Ich weiss ja nicht ob eure Clients verschlossen sind ansonsten könnte auch ungewollter Code per Datenträger eingeschleust werden(da hilft dann die externe Firewall relative wenig).
Bitte warten ..
Mitglied: spacyfreak
22.11.2007 um 12:44 Uhr
Tja, wenn man 10 Admins frägt, kriegt man 23 Antworten!

WENN im internen Firmen-Netz eine strenge Policy besteht, und diese auch ERZWUNGEN wird mit technischen Mitteln, kann es mehr Vorteile bringen, die Client FW abzuschalten, als sie anzulassen. Ansonsten könnte nämlich auch SMS oder Domänen-Admin Zugriff auf die Clients "erschwert" oder verhindert werden mit der client firewall, was nicht immer erwünscht ist. Ferner blockt der User gerne erwünschte und notwendige Verbindungen mit seiner Firewall, und wundert sich warum er auf XY nicht zugreifen kann (das ist wohl das Hauptproblem, WENN was nicht geht, dass eine Firewall den Zugang blockt).

Ansonsten sprechen für mich mehr Gründe FÜR eine lokale Client Firewall, da beim Eintreffen "neuer Schädlinge" wie Würmer oft genug über das Netzwerk automatisch nach neuen potentiellen Opfern gesucht wird, und diese dann auch gleich infiziert werden können, nur weil ihnen ein bestimmter Patch fehlt. Ein infizierter Client PC, der ohne es zu merken zu einem Bot-Netz gehört, und tausende von SPAM-Mails oder sonstigen Müll verbreitet ist nicht gerade etwas erfreuliches - doch etwas alltägliches, wenn die User lokale adm. Rechte haben und gerne wild im Internet herumsurfen. Das geht mittlerweile schneller, als man schauen kann.

Daher wäre meine Empfehlung - Client-Firewall JA, aber Zugang auf den ClientPC zu administrativen Zwecken freischalten, durch Freischaltung des IP-Bereichs aus dem der Administrator zuzugreifen pflegt.

Eine Firewall, die auch ausgehenden Traffic filtert ist sinnvoll um einen Wurmbefallenen Client dran zu hindern, schädlichen Code über das Netzwerk zu verbreiten. Dabei ist nicht nur das Problem dass andere PCs infiziert werden können, sondern auch der erhebliche Netzwerktraffic, den ein einzelner infizierter Client verursachen kann und u. U. gar das Netzwerk funktionsuntüchtig wird, wenn die Bandbreite allein von den herumirrenden Würmern weggefressen wird.
Die Firewall sollte jedoch so konfiguriert sein, dass der User nicht jeden Pups bestätigen muss, sonst stumpft er schon nach zwei Tagen ab, und erlaubt jeglichen Traffic, und die Sache hat ihren Zweck verfehlt.
Bitte warten ..
Mitglied: manuel-r
22.11.2007 um 13:08 Uhr
Die Firewall von XP kann ja eigentlich ganz gut über GPO konfiguriert werden. Somit können für einzelne OUs Regeln definiert und ausgerollt werden. Je nach Voreinstellung darf/muss der einzelne User nicht mehr selbst einstellen.

Manuel
Bitte warten ..
Mitglied: Gagarin
22.11.2007 um 13:34 Uhr
@von einfach-mal-die-klappe-halten

Ich muss dir in vielen Punkten rechtgeben.

Wichtig fuer mich ist noch einmal herauszustellen das die Firewall, wenn sie denn aktiv auf dem Client ist, nicht vom Nutzer verwaltet werden darf sondern definitiv nur zentral administriert wird. Zuviele wuerden aus unwissen Verbindungen blockieren die vital sind, (Traffic zum DC und aehnliches) oder aber auch einfach alle Verbindungen erlauben weil das ja viel einfacher ist.

Der Aufwand ist natuerlich relativ hoch, allerdings lohnt es sich. Wichtig ist auch das nach der implementierung nicht bei jeder Kleinigkeit ein Loch in die Firewall gerissen wird.

Das Argument das auch der Traffic nach Aussen geflitert werden sollte unterstreiche ich noch mal ganz fett. Wenn ich als Angreifer weiss das eine Firewall im Einsatz ist wird mein erster Ansatz sein vom Zielclient selber eine Verbindung nach draussen herzustellen (am besten noch getunnelt ueber Port 80 und kryptiert). Wichtig ist natuerlich auch die rechtliche Frage wie ich eventuell Haftbar gemacht werden kann wenn meine Clients als Bots fungieren.
Bitte warten ..
Mitglied: 57439
22.11.2007 um 14:36 Uhr
Danke für die vielen Antworten!

Die haben mir sehr geholfen!
Bitte warten ..
Ähnliche Inhalte
Microsoft

Wozu braucht man eigentlich eine Hardware Firewall?

Frage von thomasreischerMicrosoft34 Kommentare

Hallo, habe mich schon immer gefragt warum man eigentlich eine dedizierte Hardware Firewall braucht Es ist doch schon eine ...

Firewall

Checkpoint Firewall - VPN CLient

gelöst Frage von Leo-leFirewall5 Kommentare

Guten Tag, gibt es hier zufällig jemanden, der eine Checkpoint R76 im Einsatz hat und den VPN Dienst nutzt? ...

Off Topic

Wo isser eigentlich abgeblieben?

Frage von rubbermanOff Topic16 Kommentare

Es ist mir ja schon eine Weile aufgefallen, und auch immer mal wieder bewusst geworden. Nun lese ich aber ...

Netzwerkmanagement

Fernwartungssoftware intern

Frage von inno-itNetzwerkmanagement11 Kommentare

Hallo Zusammen, wir nutzen im Unternehmen aktuell zur Fernwartung der internen Rechner Lansweeper. Die Software kopiert bei Verbindungsaufbau UVNC ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 2 TageniOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 2 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 4 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 4 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk33 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
gelöst Frage von Leo-leHosting & Housing24 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless23 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung19 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...