Qualität der Windows Firewall
Moin zusammen,
ich hatte gestern abend eine kleine Diskussion mit zwei Bekannten über Firewalls und ihre Qualität.
Einig waren wir uns, dass eine ordentliche Firewall so früh wie möglich in den Weg zwischen Internet und Server gehört.
Was aber, wenn so eine typische kleine "Bude" (ein Computer hängt an einem was-auch-immer-Router) kein Geld für eine professionelle Lösung hat?
Reicht in dem Fall die Windows Firewall aus, mit dem Argument "Besser das als nichts"?
Wie sicher ist die Firewall überhaupt, wenn sie "richtig" betrieben wird?
Und der davor Sitzende nicht als Admin angemeldet ist?
Was denkt ihr?
ich hatte gestern abend eine kleine Diskussion mit zwei Bekannten über Firewalls und ihre Qualität.
Einig waren wir uns, dass eine ordentliche Firewall so früh wie möglich in den Weg zwischen Internet und Server gehört.
Was aber, wenn so eine typische kleine "Bude" (ein Computer hängt an einem was-auch-immer-Router) kein Geld für eine professionelle Lösung hat?
Reicht in dem Fall die Windows Firewall aus, mit dem Argument "Besser das als nichts"?
Wie sicher ist die Firewall überhaupt, wenn sie "richtig" betrieben wird?
Und der davor Sitzende nicht als Admin angemeldet ist?
Was denkt ihr?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666455
Url: https://administrator.de/contentid/666455
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Hi.
"So eine typische kleine "Bude"" braucht keine offenen Ports. Der Router hat immer eine Firewall, nie ist auch nur ein Port erreichbar. Die Windows-Firewall lässt in Defaults ebenso nichts durch. Also: es lauscht nichts und es wird doppelt verhindert, dass aus dem Internet auf Lauschendes zugegriffen werden kann.
Was will man da dann über Qualität debattieren?
Wenn dein Anwendungsfall jetzt irgendwie mit offenen Ports überhaupt zu tun hätte, wäre es möglich, was dazu zu sagen, wenn denn auch noch Anforderungen genannt werden - diese fehlen aber auch gänzlich.
"So eine typische kleine "Bude"" braucht keine offenen Ports. Der Router hat immer eine Firewall, nie ist auch nur ein Port erreichbar. Die Windows-Firewall lässt in Defaults ebenso nichts durch. Also: es lauscht nichts und es wird doppelt verhindert, dass aus dem Internet auf Lauschendes zugegriffen werden kann.
Was will man da dann über Qualität debattieren?
Wenn dein Anwendungsfall jetzt irgendwie mit offenen Ports überhaupt zu tun hätte, wäre es möglich, was dazu zu sagen, wenn denn auch noch Anforderungen genannt werden - diese fehlen aber auch gänzlich.
Hallo,
Kleiner Denkanstoß: Die Windows Firewall kann so eingestellt werden, dass nur bestimmten Programmen die Nutzung des Netzwerks erlaubt wird. Schau Dir mal die in Windows integrierten Firewallregeln an. Das ist nicht nur einfach: Port XX freigeben. Das ist zum Beispiel ein Feature, dass eine Fritzbox nicht hat (haben kann). Dem gegenüber kann eine "richtige" Firewall zum Beispiel Blacklisten verwenden (z.B. https://www.spamhaus.org/drop/). Das geht mit der Windows Firewall so nicht.
Daher - das ist eigentlich keine Enweder/Oder-Frage. In bestimmten (extrem gut kontrollierten) Umgebungen wird man schon sagen können:
Meist ist eine Kombination nicht schlecht.
Grüße
lcer
Zitat von @Vancouverona:
Moin zusammen,
ich hatte gestern abend eine kleine Diskussion mit zwei Bekannten über Firewalls und ihre Qualität.
Einig waren wir uns, dass eine ordentliche Firewall so früh wie möglich in den Weg zwischen Internet und Server gehört.
Was aber, wenn so eine typische kleine "Bude" (ein Computer hängt an einem was-auch-immer-Router) kein Geld für eine professionelle Lösung hat?
Reicht in dem Fall die Windows Firewall aus, mit dem Argument "Besser das als nichts"?
Wie sicher ist die Firewall überhaupt, wenn sie "richtig" betrieben wird?
zu dem Thema gibt es unzählige Diskussionen, auch hier im Forum. Die Antwort lautet zum Schluss meist: das hängt davon ab ....Moin zusammen,
ich hatte gestern abend eine kleine Diskussion mit zwei Bekannten über Firewalls und ihre Qualität.
Einig waren wir uns, dass eine ordentliche Firewall so früh wie möglich in den Weg zwischen Internet und Server gehört.
Was aber, wenn so eine typische kleine "Bude" (ein Computer hängt an einem was-auch-immer-Router) kein Geld für eine professionelle Lösung hat?
Reicht in dem Fall die Windows Firewall aus, mit dem Argument "Besser das als nichts"?
Wie sicher ist die Firewall überhaupt, wenn sie "richtig" betrieben wird?
Kleiner Denkanstoß: Die Windows Firewall kann so eingestellt werden, dass nur bestimmten Programmen die Nutzung des Netzwerks erlaubt wird. Schau Dir mal die in Windows integrierten Firewallregeln an. Das ist nicht nur einfach: Port XX freigeben. Das ist zum Beispiel ein Feature, dass eine Fritzbox nicht hat (haben kann). Dem gegenüber kann eine "richtige" Firewall zum Beispiel Blacklisten verwenden (z.B. https://www.spamhaus.org/drop/). Das geht mit der Windows Firewall so nicht.
Daher - das ist eigentlich keine Enweder/Oder-Frage. In bestimmten (extrem gut kontrollierten) Umgebungen wird man schon sagen können:
- bei uns reicht die Perimeter-Firewall
- bei uns reicht die Endpoint-Firewall
Meist ist eine Kombination nicht schlecht.
Und der davor Sitzende nicht als Admin angemeldet ist?
Das ist ein ganz wichtigerer Punkt. Der beste Angriffsvektor ist der User. Daher - das Zauberwort heißt Sicherheitskonzept.Grüße
lcer
Diese "Firewall" ist ja nur eine Black-/Whitelist von Ports oder Diensten die von Außen angesprochen werden dürfen oder von sich aus in das Netzwerk senden dürfen. Ausgehender Traffic wird i.d.R. gar nicht blockiert, eingehender vollständig (solange es halt keine Antwort auf eine ausgehende Verbindung ist).
Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Hallo,
Grüße
lcer
Zitat von @ukulele-7:
Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Email-Anhänge, Javascript im Browser etc, Downloads? Läuft alles über zugelassene Ports und ist für die Firewall OK, wenn nicht alles dicht gemacht wird aber dann keiner am PC kommunizieren.Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Grüße
lcer
Zitat von @lcer00:
Hallo,
Grüße
lcer
Der Anhang der E-Mail, das Javascript im Browser, der ausgeführte Download sind alles Dinge die auf dem PC statt finden und nicht von Außen über die Netzwerkschnittstelle eindringen ohne jegliches Zutun eines Prozesses auf dem System selbst.Hallo,
Zitat von @ukulele-7:
Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Email-Anhänge, Javascript im Browser etc, Downloads? Läuft alles über zugelassene Ports und ist für die Firewall OK, wenn nicht alles dicht gemacht wird aber dann keiner am PC kommunizieren.Wenn jetzt die Schadsoftware schon auf dem System ist kann sie natürlich raus kommunizieren, aber andersrum wenn du keine Dienste nach Außen hin zugänglich machst kann keiner eindringen.
Grüße
lcer
kein Geld für eine professionelle Lösung hat?
Das ist die falsche Herangehensweise. Was da zählt ist die Frage was ihnen die Sicherheit denn wert ist ???Und mal im Ernst.... Eine kleine 250 Euro Firewall wie eine pfSense/OPNsense auf einem APU Board kann sich auch die kleinste Würstchenbude leisten und sollte ihnen die Sicherheit allemal wert sein !! Genau so kritiklos geben sie ja Unsummen für MS Lizenzen aus und fragen da mit keinem Wort nach dem Sinn. Wie passt sowas zusammen ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @ukulele-7:
Der Anhang der E-Mail, das Javascript im Browser, der ausgeführte Download sind alles Dinge die auf dem PC statt finden und nicht von Außen über die Netzwerkschnittstelle eindringen ohne jegliches Zutun eines Prozesses auf dem System selbst.
deshalb:Der Anhang der E-Mail, das Javascript im Browser, der ausgeführte Download sind alles Dinge die auf dem PC statt finden und nicht von Außen über die Netzwerkschnittstelle eindringen ohne jegliches Zutun eines Prozesses auf dem System selbst.
Der beste Angriffsvektor ist der User. Daher - das Zauberwort heißt Sicherheitskonzept.
Grüßelcer