29.08.2019

9075

Sinnhaftigkeit von Desktopfirewalls im LAN hinter zentraler firewall

Moin at all,

bin z.Z. dabei, einige Geschichten in meinem LAN erneuern zu müssen, z.Z. die Serverumgebung. Mit den neuen Server-OS peitscht MS den Defender im default auf die Büchsen, die Desktopfirewalls sind im default ebenso aktiv.

Da Morgen ja eh Freitag ist, stelle ich als Laie mal die vorgezogene Freitagsfrage ... sind in einem LAN, welches hinter einer zentralen firewall steht, Desktop-firewall tatsächlich notwendig?

In meinem (sehr überschaubaren) setup von aktuell 4 Windows 2008R2, einem Exchange sponsored by MS SBS 2011 und 8 Windows 7 - Büchsen läuft auf keiner Büchse die Windows-firewall. Dies traditionell und seit etwa 12 Jahren ohne Schaden. Die IT-Affinität meiner Mitarbeiterinnen sind eher überschaubar ... USB-Ports, flashcard-reader und optische Laufwerke sind im LAN ausser white-List-Geräten gesperrt, Trendmicro worryfree bietet einen ransomware-Schutz, der aktiv ist und ausser jpeg, tiff, png und pdf fliegen sämtliche email-Anhänge in den Datenmüll.

Vor dem LAN ist die "firewall" meines LANCOM konfiguriert und aktiv.

Mein Vorteil dabei ist der Verzicht auf das Setzen von firewall-Ausnahmeregeln für eine (relativ) hohe Zahl von server-client-Anwendungen ... für meine Bequemlichkeit ist mir nix zu anstrengend.

Bin auf Eure Meinungen und Erfahrungen gespannt ...

LG, Thomas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 489750

Url: https://administrator.de/contentid/489750

Ausgedruckt am: 17.11.2024 um 18:11 Uhr

65 Kommentare

Neuester Kommentar

Hi

grundsätzlich ist eine Desktop-Firewall natürlich nicht falsch. Allerdings nur die Systemeigene Firewall, also die Windows-Firewall.
Jegliche lokale Softwarefirewall von irgendwelchen Drittanbietern ist natürlich grundsätzlich abzulehnen. Diese bietet bestenfalls mehr Angriffsfläche ... Da gibt es keine, die nicht völliger Schrott ist.

Wenn z.B ein Gerät wie ein Notebook ausserhalb infiziert wird, kann dieser Schädling, sobald das Gerät wieder im Netz ist, kurzerhand das Netzwerk scannen und entsprechend infizieren. Eine Firewall, sofern ordentlich eingestellt, kann hier natürlich helfen. Die Geräte im Netz blockieren ggf einen Scan/Angriff, und ein eingeschlepptes Gerät erlaubt evtl. nicht den ausgehenden Traffic auf einem unbekannten Port bzw unbekanntem Prozess. Das die Viren in aller Regel eh lokale System\Adminberechtigung erlangen und somit die Firewall aushebeln können, ist da allerdings auch ein Thema.

Aber um Ehrlich zu sein: Auf Domänenebene ist die Firewall bei mir sehr lax eingestellt. Ein paar Dinge sind blockiert,der Rest ist erlaubt. Hier setze ich lieber darauf die entsprechenden VLANs mit Firewalls zu reglementieren. Da sind zwischen Client und Servernetzen noch eigene Firewalls, teilweise mit IPS und damit ist dann auch mal gut.
Public ist eingehend zugenagelt und Private auf den Default Einstellungen.

Hi.

In gesicherten Umgebungen gehört die Windowsfirewall eingeschaltet und konfiguriert.

Clientseitig wird in der Regel kein offener Port benötigt, denn die Clients müssen nichts anbieten. Wenn Du per RDP auf die Clients willst oder meinst, administrative Freigaben nutzen zu müssen, dann setzt man Regeln, so dass dies von bestimmtemn administrativen Workstations aus möglich ist (z.B. Port 3389 und 445 (RDP und SMB)).

Auf Servern kannst Du deren offene Ports beschränken, wenn Du möchtest. Du könntest einstellen, dass nur bestimmte Gruppen von Clients (die diesen Port eben berechtigterweise brauchen) auf einen Port zugreifen können. Absolut sinnvoll.

Wenn man in den Regeln mit IP-Adressen arbeitet, muss man sich im Klaren sein, dass diese Regeln umgangen werden können: sobald jemand weiß "Adminworkstation hat IP xxx", kann er warten, bis diese aus ist und einem (privaten) Gerät, auf dem er die Adminrechte hat, diese IP geben - zack kommt er an all diesen IP-basierten Regeln vorbei. Somit sollte man, wenn man es genau nimmt, auf jeden Fall mit Kerberos-Authentifizierung arbeiten. Auch das bietet die Windowsfirewall an, siehe https://community.spiceworks.com/how_to/127688-connection-authentication ...

Generell sollte man gewichten, welchen Stellenwert die FW im eigenen Netzwerk hat. Hat man eh keine Ahnung, benutzt keine Verschlüsselung, sperrt keine Bildschirme automatisch usw., dann braucht man auch keine Firewalls.

Du hast Dich mit Deinen Methoden gegen alle Dir und Deinen Programmen bekannte Gefahren geschützt. Das klingt schon mal nach einem Plan, der kalkulierbar ist. Aaaaaaber: Sollte irgendwo eine unbekannte (unkalkulierbare) Gefahr eindringen, fällt Dein Sicherheitskonzept zusammen wie ein Kartenhaus. Ist erstmal jemand drinnen, hat er ohne Firewall freie Laufbahn. Je mehr Hürden Du ihm einbaust, desto weniger kann er ausrichten.

Um nicht alles doppelt und dreifach auf allen Clients pflegen zu müssen, rollst Du die Firewall Regeln einfach per GPO an alle aus. Das macht im Endeffekt weniger Arbeit.

Hi retour,

Wenn z.B ein Gerät wie ein Notebook ausserhalb infiziert wird, kann dieser Schädling, sobald das Gerät wieder im Netz ist, kurzerhand das Netzwerk scannen und entsprechend infizieren.

Ist ein Argument. Aber bei mir kein Thema - ich bin der Einzige, der überhaupt von extern arbeitet und auch das nur via RDS. Insofern haben externe Geräte nie physischen Kontakt zum LAN der Domäne ... mit Ausnahme von neuen Büchsen natürlich. Mein extern genutztes Notebook, der Desktop-PC und Schiebeteile jedweder Art sind da also aussen vor ...

Aber meine Praxisverwaltung, mein DMS, CTI, Medizintechnikanbindungen etc.pp. benötigen alle firewall-Ausnahmeregeln.

LG, Thomas

Hello,

wir setzen hierfür auf zentral managebare AV/Firewalllösungen.
Hierbei hat man den Vorteil, dass das Regelwerk recht dynamisch je nach User und Fachabteilung konfiguriert werden kann.
Auch Reaktionen auf Ereignisse sind konfiguriert, was so mit der Builtin Variante nicht möglich ist.

Bspw. bei ESET ist es das Gesamtpaket aus AV, Management und FW, was für unsere Anwendungszwecke Sinn macht.

VG
T

Moin...

... sind in einem LAN, welches hinter einer zentralen firewall steht, Desktop-firewall tatsächlich notwendig?
nö.... auf Domänenebene, in deiner überschaubaren umgebung, wwürde ich es auch abschalten!
der Lancom & eine AV Lösung reicht da dicke aus....
so... jetzt kommt zu 100% der Aufschrei des AV Appliance Verkaufsteam, da muss eine Sophos hin....

Frank

Hi DWW,

In gesicherten Umgebungen gehört die Windowsfirewall eingeschaltet und konfiguriert.

Warum? Hat der Pastor in der Sonntagspredigt so gefordert?

Hat man eh keine Ahnung ... dann braucht man auch keine Firewalls.

Sach' ich doch

LG, Thomas

Ein Sophos ist schon mal nicht schlecht. Der Windows Defender mit der Firewall ist aber auch schon ausreichend. Ich erinnere mich an den Bericht eines Sicherheitsprofis: Einen MAC zu knacken ist kein Problem, aber Windows 10 ist eine harte Nuss.

In gesicherten Umgebungen gehört die Windowsfirewall eingeschaltet und konfiguriert.

Warum? Hat der Pastor in der Sonntagspredigt so gefordert?

Die Firewall gibt dir die Möglichkeit, festzulegen, wer an die ggf. offenen Ports rankommt. Sind keine Ports offen, dann brauchst Du sie nicht. In der Regel werden jedoch schon alleine durch externe Software etliche Ports geöffnet. Mach doch bitte zu deinen Clients einen Portscan und dann hinterfrage mal, welche Anwendungen diese Ports geöffnet haben, und ob diese Anwendungen wohl verwundbar sind und in welcher Weise.

Moin,

Das ist im Prinzip so, als ob Du fragst, warum Du in Deiner Praxis auch an den Zimmertüren Schlösser brauchst oder gar Türen. Du hast doch eine gute stabile Tür am Praxiseingang und ~~einen Zerberus~~ eine Sprechstundenhilfe, die nur "erlaubtes rein- oder rausläßt".

Solange Du Dich darauf verlassen kannst, daß da sich jeder an die Regeln hält, nur in die Zimmer zu gehen, die "erlaubt" sind, brauchst Du ~~keine Desktop-Firewall~~ kein Schloss an den Zimmertüren. Ansonsten solltest Du zumindest in den kritischen Räumen, z.B. da wo die bunten Pillen und die Single-Malts sind, Schlösser anbringen.

lks

Moin,

Zitat von @keine-ahnung:

Hi retour,

Wenn z.B ein Gerät wie ein Notebook ausserhalb infiziert wird, kann dieser Schädling, sobald das Gerät wieder im Netz ist, kurzerhand das Netzwerk scannen und entsprechend infizieren.

Ist ein Argument.

Nicht wirklich. Ich würde eher sagen, das ist das entscheidende Gegenargument. Wenn es einem Schädling gelingt, sich zu installieren, dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen, mit denen er dann wieder die Firewall ausschalten bzw. eine entsprechende Regel eintragen kann. M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

my 2 cents

Erik

Zitat von @erikro:

Nicht wirklich. Ich würde eher sagen, das ist das entscheidende Gegenargument.

Wut? Ein GEGENArgument?

Wenn es einem Schädling gelingt, sich zu installieren, dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen,

Zugegeben ist das wohl meistens der Fall, aber noch lange nicht immer.

M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

Wenn der Client erst mal infiziert ist, kann man wohl davon ausgehen dass das System keinen Schutz mehr benötigt, sondern eine Neuinstallation. Aber eine Firewall schützt ja vornehmlich mal vor Eingehenden Bedrohungen. Und da ist eine FW die einfach alles dicht macht sicherlich sinnvoller als einfach alles offen zu haben.
Man verzichtet ja auch nicht auf Gurt und Airbag, nur weil die Eventualität besteht, das mir einer seitlich reinfährt...

Und Ausgehend ... ja da ist der Schutz eher gering. Da hilft die Firewall nur was, wenn der Client selbst gepatched ist und die Privilege Escalation nicht mehr funktioniert hat. Dann kann der Schädling die Firewall nicht abschalten und unbemerkt sein Ding machen. Dann wird entweder der ausgehende Traffic blockiert oder der User bekommt ein Popup, was er denn gedenkt mit dem Prozess anzustellen.
Ist besser als nichts.

Ein GEGENArgument kann ich also beim schlechtesten Willen nicht sehen. (Ausser man nimmt irgend eine Gammelfirewall von einem der vielen Snakeoil-Anbieter...)

dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen, mit denen er dann wieder die Firewall ausschalten

Er kann aber nur die Firewall des eigenen infizierten Computers kaputt machen, aber nicht durch die Firewalls des benachbarten Computers durchbrechen. Seine lokalen erhöhten Rechte erlauben ihn nicht beim benachbarten Computer Rechte zu erhalten oder auf den Servern. Er kann also nur eine Zelle zerstören, aber nicht das ganze Netzwerk.

Moin,

Zitat von @SeaStorm:

Zitat von @erikro:

Nicht wirklich. Ich würde eher sagen, das ist das entscheidende Gegenargument.

Wut? Ein GEGENArgument?

Ja, dabei bleibe ich. Dieses Argument, dass eine Firewall gegen Schadsoftware wirkt, ist imho einfach falsch. Das kann ja noch nicht einmal eine richtige Firewall, wenn der Programmierer der Schadsoftware ein wenig schlau ist.

Wenn es einem Schädling gelingt, sich zu installieren, dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen,

Zugegeben ist das wohl meistens der Fall, aber noch lange nicht immer.

Und in welchen Fällen installiert sich der Schädling ohne diese Rechte?

M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

Und wie soll das gehen? Nehmen wir mal einen Verschlüsselungstrojaner, den ein User mit seinem Notebook einschleppt. Wie soll da die Windows-Firewall den Server schützen? Der User meldet sich an, bekommt so Schreibrechte auf einige Freigaben und los geht's. Der Verschlüsselungstrojaner grast jetzt die Ordner ab, auf die der User Zugriff hat und fängt an die Dateien zu verschlüsseln. Wie sieht das für die Windows-Firewall aus? Wie ein Schreibzugriff eines berechtigten Users. Was macht sie also? Nichts. Sie lässt es zu.

Anderes Beispiel: Der Kollege hat eine Spyware eingeschleppt. Er meldet sich an. Wieder bekommt er die Rechte auf die Ressourcen, die er so braucht. Also hat die die Spyware auch. Sie kann also fleißig lesen. Nun soll ja die Windows-Firewall verhindern, dass die Daten auch nach draußen gehen. Der Programmierer war aber schlau genug, seinen Trojaner so zu programmieren, dass er via https nach Hause telefoniert. Was macht die Firewall (und zwar auch die zwischen lokalem Netz und Internet)? Nichts. Es sei denn, der User darf nicht surfen.

Wo ist das mehr an Sicherheit? Nenne doch mal ein konkretes Szenario, in dem eine Desktop-Firewall wirklichen Schutz bietet.

Liebe Grüße

Erik

Man verzichtet ja auch nicht auf Gurt und Airbag, nur weil die Eventualität besteht, das mir einer seitlich reinfährt...

Und Ausgehend ... ja da ist der Schutz eher gering. Da hilft die Firewall nur was, wenn der Client selbst gepatched ist und die Privilege Escalation nicht mehr funktioniert hat. Dann kann der Schädling die Firewall nicht abschalten und unbemerkt sein Ding machen. Dann wird entweder der ausgehende Traffic blockiert oder der User bekommt ein Popup, was er denn gedenkt mit dem Prozess anzustellen.
Ist besser als nichts.

Ein GEGENArgument kann ich also beim schlechtesten Willen nicht sehen. (Ausser man nimmt irgend eine Gammelfirewall von einem der vielen Snakeoil-Anbieter...)

Zitat von @NordicMike:

dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen, mit denen er dann wieder die Firewall ausschalten

Der Desktop des Kollegen nebenan ist doch sowas von egal. Interessant sind allein die Serverzugriffe und die davon betroffenen Daten. Und da hilft keine Firewall. Entweder hat der User Zugriff. Dann hat auch die Schadsoftware den Zugriff und die Firewall ist machtlos. Oder er hat keinen Zugriff. Dann hat auch die Schadsoftware verloren.

Liebe Grüße

Erik

Mahlzeit Thomas,

ich sehe es ähnlich wie @Vision2015

Bei dir scheint es so zu sein, dass eine eingeschaltete Desktop-Firewall sehr viel (Konfigurations) Stress in deinem kleinen Netz verursacht.
Schalte sie doch aus, wenn du bisher damit gut gefahren bist.

Der Desktop des Kollegen nebenan ist doch sowas von egal

Die Firewall mag unwirksam sein die Daten zu schützen, auf denen der infizierte User zugriff hat. Aber die Firewall des Nachbarn schützt den PC des Nachbarn, dass die Viren des infizierten PCs automatisch rüber springen. Wenn der infizierte PC Zugriff auf den c$ Share des Nachbarn ohne Firewall hätte, das wäre mir überhaupt nicht egal.

Moin,

Zitat von @NordicMike:

Der Desktop des Kollegen nebenan ist doch sowas von egal

Und wie genau tut sie das? Auch da wieder: Entweder hat der angemeldete User die Zugriffsrechte oder er hat sie nicht. Hat er sie, ist die FW machtlos. Hat er sie nicht, dann hat sie nicht.

Wenn der infizierte PC Zugriff auf den c$ Share des Nachbarn ohne Firewall hätte, das wäre mir überhaupt nicht egal.

Also wenn ein normaler User Schreibzugriff auf C$ hat, dann läuft was grundsätzlich verkehrt. Da nützt dann auch eine FW nichts mehr.

Liebe Grüße

Erik

Zitat von @erikro:

Ja, dabei bleibe ich. Dieses Argument, dass eine Firewall gegen Schadsoftware wirkt, ist imho einfach falsch. Das kann ja noch nicht einmal eine richtige Firewall, wenn der Programmierer der Schadsoftware ein wenig schlau ist.

Wie gesagt... besser etwas als gar nichts.

Und in welchen Fällen installiert sich der Schädling ohne diese Rechte?

In Vielen. Vor allem in denen, in der eine Privilege Escalation nicht funktioniert.

Sorry aber das ist doch ein bescheuertes Bsp. Klar bringt eine Firewall da nichts. Eine Ibu hilft dir ja auch nicht gegen Gelbfieber, so wie eine Beinamputation nichts gegen Schuppen auf dem Kopf bringt o_0. Nicht alles was hinkt ist ein Vergleich!

Anderes Beispiel: Der Kollege hat eine Spyware eingeschleppt. Er meldet sich an. Wieder bekommt er die Rechte auf die Ressourcen, die er so braucht. Also hat die die Spyware auch. Sie kann also fleißig lesen. Nun soll ja die Windows-Firewall verhindern, dass die Daten auch nach draußen gehen. Der Programmierer war aber schlau genug, seinen Trojaner so zu programmieren, dass er via https nach Hause telefoniert. Was macht die Firewall (und zwar auch die zwischen lokalem Netz und Internet)? Nichts. Es sei denn, der User darf nicht surfen.

Die Firewall könnte hier jetzt sagen, das ein ihr unbekannter Prozess ins Internet will. Eine Hardware Firewall kann hier nur den Port protokollieren. Eine Desktopfirewall kann nachsehen welcher Prozess da was macht.

Wo ist das mehr an Sicherheit? Nenne doch mal ein konkretes Szenario, in dem eine Desktop-Firewall wirklichen Schutz bietet.

Ein Schädling auf einem eingeschleppten Notebook hat Exploitcode für das beliebte DELL\HP\LENOVO Treiberverwaltung-Center an bord. Dieses Center erstellt dazu einen lokalen webserver der auf Port 0815 lauscht um eine stylische WebUI bereitzustellen. Und genau dieser WebUI-### ist anfällig. Also scannt der Schädling nach Port 0815 und versucht im Falle des Erfolgs seinen Exploit einzusetzen. Die Firewall am potentiellen Opfer sagt aber: Nö. Dieser Port ist von aussen nicht erlaubt. kommst du nicht rein!
Scan schlägt fehl. Exploit wird auch nicht angewendet.

Und wie genau tut sie das?

Der infizierte PC bekommt 1000 verschiedene Trojaner und Viren installiert und einer wird schon was finden. Bei einer Firewall hat er deutlich weniger Chancen als ohne.

Also wenn ein normaler User Schreibzugriff auf C$ hat, dann läuft was grundsätzlich verkehrt.

Schon, aber sich darauf zu verlassen wäre auch schlecht. Dann wären wir wieder , wie oben, bei der Situation, dass nur die Eingangtüre abgesperrt wird und die Bürotüre offen gelassen wird, weil man sich auf die Empfangsdame verlässt.

Zitat von @SeaStorm:

Wie gesagt... besser etwas als gar nichts.

Da sage ich eher: Schlechter als nichts. Falsches Gefühl von Sicherheit mit Erhöhung des Risikos durch unnötige Software.

Und in welchen Fällen installiert sich der Schädling ohne diese Rechte?

In Vielen. Vor allem in denen, in der eine Privilege Escalation nicht funktioniert.

Wenn die nicht funktioniert, dann läuft wieder was grundsätzlich falsch, was mit Firewalls im engeren Sinne nichts zu tun hat.

Sorry aber das ist doch ein bescheuertes Bsp.

Das ist aber das, was in der Praxis die aktuelle Bedrohung darstellt.

Die Firewall könnte hier jetzt sagen, das ein ihr unbekannter Prozess ins Internet will.

Könnte sie, tut sie aber nicht. Oder konfigurierst Du die Windows-Firewall so? Im Standard ist 443 nach außen offen für alle. Jedenfalls konnte ich keine anderslautende Regel in der FW finden. Außerdem wird eine anständig programmierte Spyware sich in der FW freischalten.

Wo ist das mehr an Sicherheit? Nenne doch mal ein konkretes Szenario, in dem eine Desktop-Firewall wirklichen Schutz bietet.

Ein Schädling auf einem eingeschleppten Notebook hat Exploitcode für das beliebte DELL\HP\LENOVO Treiberverwaltung-Center an bord.

So'n Zeug lässt Du auf Deine Rechner?

Dieses Center erstellt dazu einen lokalen webserver der auf Port 0815 lauscht um eine stylische WebUI bereitzustellen. Und genau dieser WebUI-### ist anfällig. Also scannt der Schädling nach Port 0815 und versucht im Falle des Erfolgs seinen Exploit einzusetzen. Die Firewall am potentiellen Opfer sagt aber: Nö. Dieser Port ist von aussen nicht erlaubt. kommst du nicht rein!
Scan schlägt fehl. Exploit wird auch nicht angewendet.

Falsche Strategie. Sowas gehört nicht auf einen Firmenrechner. Schon allein deshalb nicht, weil ich die Ressourcen für die Arbeit brauche und nicht dafür verschwende, dass irgend ein stylisches Trebiercenter darauf wartet, dass vielleicht mal jemand einen Treiber aktualisieren will. Sowas verhindert man mit einem netstat und der anschließenden Deinstallation dieses Troja... ähm "nützlichen" Tools.

Oder mal anders ausgedrückt: Für den ahnungslosen Verbraucher, der sich seine Kiste bei Saturn oder MediaMarkt kauft, anmacht und lossurft, mag die Desktop-Firewall, wenn auch einen geringen, Sinn machen. Auf Firmenrechnern ist sie imho überflüssig wie ein Kropf, wenn man denn seine Systeme anständig konfiguriert und im Griff hat.

Zitat von @erikro:

Falsche Strategie. Sowas gehört nicht auf einen Firmenrechner. Schon allein deshalb nicht, weil ich die Ressourcen für die Arbeit brauche und nicht dafür verschwende, dass irgend ein stylisches Trebiercenter darauf wartet, dass vielleicht mal jemand einen Treiber aktualisieren will. Sowas verhindert man mit einem netstat und der anschließenden Deinstallation dieses Troja... ähm "nützlichen" Tools.

Genau deswegen putzt man bei neuen Geräten die Platte und macht ein "reines" System drauf ohne den Herstellermurks.

lks

Zitat von @NordicMike:

Und wie genau tut sie das?

Der infizierte PC bekommt 1000 verschiedene Trojaner und Viren installiert und einer wird schon was finden. Bei einer Firewall hat er deutlich weniger Chancen als ohne.

Nochmal die Frage: Wie genau funktioniert das? Konkrete Beispiele.

Also wenn ein normaler User Schreibzugriff auf C$ hat, dann läuft was grundsätzlich verkehrt.

Der Vergleich hinkt so stark, dass er auf die Nase fällt.

Die Tür ist ja nicht offen, sondern durch die korrekte Vergabe von Rechten auf die Freigabe geschützt. Das Schloss sind die ACLs und der Schlüssel ist der Username mit dem korrekten Passwort. Und wenn man noch mehr Schutz braucht für bestimmte Rechner, dann spannt man VLANs auf und packt da eine richtige FW dazwischen. Dann gibt es noch watchdogs, die man installieren kann, die bei verdächtigen Aktivitäten die NIC einfach mal runterfahren und so alle schützen usw. usf. Mit der Windows-Firewall erreicht man imho nur das hier:

Ihr argumentiert über Gefahren, die bekannt und kalkulierbar sind und schützt Euch mit Abwehrmechanismen gegen diese eben bekannten Gefahren und fühlt Euch sicher.

1) Kein Admin und keine Endpoint Protection Hersteller kennt "alle" Gefahren.
2) Es gibt auch neue, mutierte, unbekannte und unkalkulierbare Gefahren, selbst, wenn man die beste Sicherheitsfirma im Nacken hat. Manche entwickeln Sandkästen und intelligente Überwachungstools, die bei unkategorisierten Viren Virustypische Indizien überwachen, diese erkennen aber auch nicht jede Gefahr.

Der Schaden ist nun mal geringer, wenn Zimmertüren und die Praxistüre zugesperrt sind, anstatt nur die Praxistüre zu zu sprerren.

Zitat von @NordicMike:

Ihr argumentiert über Gefahren, die bekannt und kalkulierbar sind und schützt Euch mit Abwehrmechanismen gegen diese eben bekannten Gefahren und fühlt Euch sicher.

Sicher ist in diesem Leben nur eines: der Tod.

1) Kein Admin und keine Endpoint Protection Hersteller kennt "alle" Gefahren.

Richtig.

2) Es gibt auch neue, mutierte, unbekannte und unkalkulierbare Gefahren, selbst, wenn man die beste Sicherheitsfirma im Nacken hat. Manche entwickeln Sandkästen und intelligente Überwachungstools, die bei unkategorisierten Viren Virustypische Indizien überwachen, diese erkennen aber auch nicht jede Gefahr.

Auch richtig.

Der Schaden ist nun mal geringer, wenn Zimmertüren und die Praxistüre zugesperrt sind, anstatt nur die Praxistüre zu zu sprerren.

Also ist die Desktop-Firewall sowas wie der Altar im römischen Tempel, der den unbekannten Göttern geweiht war? Nützt zwar nichts, beruhigt aber ungemein.

Um mal bei Deinem Beispiel zu bleiben: Was nützt es mir, die Türen abzuschließen, weil ich weiß, dass man da durchkommen kann, während ich die Fenster, die mir unbekannt sind, offen lasse?

Du drückst Dich um die konkrete Antwort. Wie schützt eine Desktop-Firewall ein System vor Gefahren, die ich nicht anders (und so besser) abwenden kann?

Lasst mich das mal zusammenfassen:

- Desktopfirewall ist ein must have!!!
- Desktopfirewall braucht kein Mensch!!!
- Nachts ist es kälter als Draussen!!!

Zwei Ärzte haben wenigstens nur drei unterschiedliche Meinungen zu einem Problem - Ihr seid ja noch viel verrücktere Hühner

.

Ich werde mal - wie von @DerWoWusste empfohlen, nach Abschluss des Umzuges einen Portscan machen und mich dann endgültig entscheiden. Bis dahin gehen die Teile via GPO ausser Funktion. Viel Arbeit für nüschd ...

Trotzdem Danke an alle und LG, Thomas

Zitat von @erikro:
Du drückst Dich um die konkrete Antwort. Wie schützt eine Desktop-Firewall ein System vor Gefahren, die ich nicht anders (und so besser) abwenden kann?

Du kannst diese Gefahr nicht besser oder anders abwehren, weil Du nicht weisst welche Gefahr es ist und welchen Abwehr Mechanismus Du dafür benötigst. Deswegen benötigst Du möglichst "alle" Abwehrmechanismen, inkl der Firewall.

Zitat von @keine-ahnung:

Lasst mich das mal zusammenfassen:

- Desktopfirewall ist ein must have!!!
- Desktopfirewall braucht kein Mensch!!!
- Nachts ist es kälter als Draussen!!!

Zwei Ärzte haben wenigstens nur drei unterschiedliche Meinungen zu einem Problem - Ihr seid ja noch viel verrücktere Hühner

Wenn schon dann ein Gockel und kein Huhn!

lks

Hallo ,

also, das folgende bitte nur als Gleichnis, nicht als politisches Statement auffassen:

Wenn man sich auf die Sicherung der EU Aussengrenzen beschränkt und im Schengenraum keine Binnenkontrollen durchführt, dann ...

Grüße

lcer

moin...

Zitat von @NordicMike:

Zitat von @erikro:
Du drückst Dich um die konkrete Antwort. Wie schützt eine Desktop-Firewall ein System vor Gefahren, die ich nicht anders (und so besser) abwenden kann?

mit der Windows Firewall hast du keine Abwehrmechanismen! nix, so garnix... also nix!
sicher, du kannst alle ports blocken... das war es auch schon..... machst du alles dicht, brauchst du kein Netzwerk mehr...
deine Windows Firewall hat keine Abwehrmechanismen....
Frank

Nee, die Windows Firewall kann nicht nur Ports Blocken. Da gab es ein Updates seit XP. Die kann auch den Zugriff auf bestimmte Programme oder Dienste steuern. Und man kann sie zentral administrieren. Das kann auch die Sicherheitslage verbessern und ist besser als nix.

Was sie nicht kann ist, komplex Bedrohungen zu analysieren und darauf reagieren.

Grüße

lcer

Hallo,

hast Du irgend eine Versicherung, die u.U. auch die IT mit einschließt und sei es nur z.B. die Rechtsschutzversicherung, die Dich vertritt bei Urheberrechtsangelegenheiten (ausgelöst durch ein Schadprogramm) oder Computersabotage (ausgelöst durch Schadsoftware), DSGVO-Vorfällen, Störerfällen...
Im worst Case must Du nachweisen, dass Du die "zumutbaren Schutzvorkehrungen" getroffen hast.

Und Juristen ticken oft ganz anders als IT-Sachverständige.

Das nur als Randbemerkung.

Gruß

Moin,

Zitat von @Vision2015:

moin...

Zitat von @NordicMike:

Zitat von @erikro:
Du drückst Dich um die konkrete Antwort. Wie schützt eine Desktop-Firewall ein System vor Gefahren, die ich nicht anders (und so besser) abwenden kann?

So ist es. Und gegen unbekannte Gefahren hilft sie gleich gar nicht. Wie sollte sie auch. Die Gefahr ist ja unbekannt. Gegen unbekannte Angriffsvektoren hilft nur Heuristik. Und das macht keine Firewall. Software, die das macht heißt Virenscanner oder Watchdog.

Erschwerend kommt hinzu, dass jede dieser Firewalls eine Schnittstelle anbietet, über die sich eine Installationsroutine (entsprechende Rechte vorausgesetzt) in die FW eintragen kann. Klar, das kann ich via GPO verhindern, darf dann aber bei jeder Änderung auch die an und für sich nutzlose Firewall umkonfigurieren. Die Zeit, die ich dafür bräuchte, verwende ich lieber auf sinnvollere Tätigkeiten, die wirklich die Sicherheit erhöhen, wie z. B. das korrekte Konfigurieren der Office-Software, der Installation und Pflege der PKI, der Rechtestruktur usw. usf.

BTW: Ich warte immer noch auf ein konkretes Beispiel, wann eine Desktop-FW eine erhöhte Sicherheit bietet, die ich anders nicht (besser) erreichen kann.

Liebe Grüße

Erik

Moin,

Die Windowsfirewall hilft gegen stümperhafte Programmierer, die meinen Ports für die ganze Welt zu öffnen zu müssen oder nach Hause telefonieren zu müssen ohne sich die Erlaubnis einzuholen.

lks

Sorry, das ist doch keine alles-oder nichts-Frage.

Beispiel:
Eine Schadsoftware nutzt Fehler im NTP-Protokoll

Die Windowsfirewall block den Zugriff auf NTP-ports. Dann kann die Schadsoftware nicht über dieses Protokoll fremde Rechner angreifen.

Grüße

lcer

@erik

Aaaah, jetzt weiss ich was Du damit meinst, dass Dir die benachbarten Rechner egal sind. Du sprichst vom PC zu Hause und nicht von einem Firmennetzwerk.

Klar, wenn nur ein PC hinterm Router ist, macht die Firewall im Router schon alles und die Firewall am PC bringt dann nichts mehr.

Aber selbst da gäbe es noch kleinste Gefahren, z.B. wenn sich jemand ins WLAN einhackt, oder wenn Du einen Besucher ins Netz lässt.

Moin,

Zitat von @lcer00:
Beispiel:
Eine Schadsoftware nutzt Fehler im NTP-Protokoll

Die Windowsfirewall block den Zugriff auf NTP-ports. Dann kann die Schadsoftware nicht über dieses Protokoll fremde Rechner angreifen.

Wieder so ein Beispiel, das einfach nicht stimmt. Drei Möglichkeiten:

1. Auf normalen Clients ist kein NTP-Server installiert. Ergo ist Port 123 nicht offen. Ergo ist die FW überflüssig.
2. Auf dem Rechner ist ein NTP-Server installiert. Ergo Port 123 ist offen. Ergo kann ich ihn in der FW nicht blockieren, weil sonst der NTP-Server nicht erreichbar ist. Ergo die FW ist überflüssig.
3. Auf dem Rechner läuft ein Trojaner, der den Port öffnet. Hier könnte die FW blockieren, aber der Trojaner hat sich freigeschaltet. Ergo FW ist machtlos.

Das ist ja der Blödsinn der ganzen Geschichte. Es wird immer darauf abgehoben, dass die FW Ports blockiert, die evtl. offen sind. Der viel einfachere und sicherere Weg ist aber, die Software, die die Ports öffnet, zu entfernen, wenn sie denn nicht benötigt wird. Dann ist der Port auch nicht offen und nichts passiert.

Liebe Grüße

Erik

Zitat von @erikro:

Wieder so ein Beispiel, das einfach nicht stimmt. Drei Möglichkeiten:

Es sind vier:

1. Auf normalen Clients ist kein NTP-Server installiert. Ergo ist Port 123 nicht offen. Ergo ist die FW überflüssig.
2. Auf dem Rechner ist ein NTP-Server installiert. Ergo Port 123 ist offen. Ergo kann ich ihn in der FW nicht blockieren, weil sonst der NTP-Server nicht erreichbar ist. Ergo die FW ist überflüssig.
3. Auf dem Rechner läuft ein Trojaner, der den Port öffnet. Hier könnte die FW blockieren, aber der Trojaner hat sich freigeschaltet. Ergo FW ist machtlos.

4. Dummer Programmierer meint auf Port 123 einen Dienst legen zu müssen. Firewall meckert und User wirft die Software raus.

Solche Fälle erlebe ich oft genug bei "professionellen" Programmierern.

lks

Moin,

Zitat von @NordicMike:
Aaaah, jetzt weiss ich was Du damit meinst, dass Dir die benachbarten Rechner egal sind. Du sprichst vom PC zu Hause und nicht von einem Firmennetzwerk.

Nein, ich meine den in meinem Netz. Der Client ist mir bei dem hier diskutierten Thema deshalb egal, weil hier keinerlei wichtigen Daten gespeichert sind und er im Fall eines Befalls innerhalb weniger Minuten wiederhergestellt ist. Außerdem weil der Client so konfiguriert ist, dass keinerlei Server laufen (außer die, die wir für das Netz brauchen). Also sind auch keine Ports geöffnet, die nicht benötigt werden. Also brauche ich auch keine Firewall, weil ja nichts offen ist, was nicht offen sein soll, und das, was offen ist, auch offen bleiben muss, damit es funktioniert. Deshalb liegt mein Augenmerk auf der Absicherung der Server, auf denen die sensiblen Daten liegen.

Wenn Du jetzt sagst, dass man den Client auch absichern muss, da ja schließlich über ihn auf die Daten zugegriffen wird, gebe ich Dir sofort recht. Nur nützt mir eine Desktop-Firewall da überhaupt nichts.

Liebe Grüße

Erik

Zitat von @Lochkartenstanzer:

Zitat von @erikro:

Wieder so ein Beispiel, das einfach nicht stimmt. Drei Möglichkeiten:

Es sind vier:
[...]
4. Dummer Programmierer meint auf Port 123 einen Dienst legen zu müssen. Firewall meckert und User wirft die Software raus.

Das ist 3a.

Solche Software gehört halt einfach nicht auf einen Firmenrechner (und auf einen privaten auch nicht).

Hallo,

Zitat von @erikro:

Außerdem weil der Client so konfiguriert ist, dass keinerlei Server laufen (außer die, die wir für das Netz brauchen). Also sind auch keine Ports geöffnet, die nicht benötigt werden.

Du setzt dabei voraus, dass Du jeden Zustand, jede Änderung am Client voraussehen kannst. Wenn Du Dich da aber täuchst (niemand ist allwissend und kann alles vorhersehen) ist die gesamte Clientlandschaft offen. Die Firewall ist hier als Teil des Sicherheitskonzeptes zu betrachten - vor allem auch gegen menschliches Versagen (der Admins und der User).

Grüße

lcer

Moin,

Zitat von @lcer00:

Hallo,

Du setzt dabei voraus, dass Du jeden Zustand, jede Änderung am Client voraussehen kannst.

Nein, das steht da nicht. Punkt 3 z. B. kann ich nicht vorhersehen. Aber da nützt mir die FW nichts. Das ist der Punkt. Es ist einfach ein ungeeignetes Mittel beim Kampf gegen die unbekannten Gefahren, da hier heuristische Verfahren notwendig sind, die nun einmal in keiner Firewall implementiert sind.

Wenn Du Dich da aber täuchst (niemand ist allwissend und kann alles vorhersehen) ist die gesamte Clientlandschaft offen. Die Firewall ist hier als Teil des Sicherheitskonzeptes zu betrachten - vor allem auch gegen menschliches Versagen (der Admins und der User).

Nochmal die Frage: Wie soll sie das machen? Welche Mechnismen der FW sind es denn, die gegen die Gefahren angeblich schützen? Welches Bedrohungsszenarion ist hier relevant?

Liebe Grüße

Erik

Zitat von @erikro:
Nochmal die Frage: Wie soll sie das machen?

Firewall einschalten, nur die Ports offen lassen, die für die Dienste benötigt werden"

Welche Mechnismen der FW sind es denn, die gegen die Gefahren angeblich schützen?

Einfacher Port Block

Welches Bedrohungsszenarion ist hier relevant?

wenn Die User etwas starten/installieren, was sie nicht sollten
oder die eine oder andere unbekannte Gefahr, an die wir hier alle nicht gedacht haben,
wenn ein Dienst läuft, der nicht benötigt wird,
die eine oder andere unbekannte Gefahr, an die wir hier alle nicht gedacht haben,
nicht erwünschten Portscans im Netz keine Angriffsfläche geben,
Protokollierung,
und vielleicht die eine oder andere unbekannte Gefahr, an die wir hier alle nicht gedacht haben.
Um den Chef zu beruhigen, dass wir mehr als nötig getan haben,
um keine Diskussionsgrundlage zu geben, dass die Firewall keinen Sinn macht.

Ach bin heute wieder witzig, es ist ja Freitag

Du konstruierst dir hier leider etwas zu viel die Welt zurecht. Ein kleines bisschen Pipi Langstrumpf ...

Du forderst reale Szenarien in denen eine Firewall sinn macht und konstruierst dir das dann aber weg.

Dieses Center erstellt dazu einen lokalen webserver der auf Port 0815 lauscht um eine stylische WebUI bereitzustellen. Und genau dieser WebUI ### ist anfällig. Also scannt der Schädling nach Port 0815 und versucht im Falle des Erfolgs seinen Exploit einzusetzen. Die Firewall am potentiellen Opfer sagt aber: Nö. Dieser Port ist von aussen nicht erlaubt. kommst du nicht rein!
Scan schlägt fehl. Exploit wird auch nicht angewendet.

Ja, in einer perfekten Welt existiert keine Software auf einem Rechner, die da nicht ganz unbedingt sein muss. Die Realität sieht aber völlig anders aus. Da wird die IT regelmäßig gezwungen irgendeinen Rotz zu installieren, weil die Abteilung XY das halt unbedingt braucht. Sei es ein Treiberupdater, MegaMarketingBullshit 2.0, Access2003, oder die Anlagensteuerung die schon unter Windows2000 veraltet war.
Und genau da hilft eine solche Firewall. Da sage ich der Firewall dann halt "Der Server mit der IP xxx darf auf den Port 0815 zugreifen, der Rest nicht", weil die Anlage das halt braucht. Oder aus welchen Umständen heraus auch immer. Es gibt VIELE Gründe warum eine Firewall Sinn machen kann.
Nicht immer, ganz klar. Und in einer perfekt konstruierten Welt eh nicht, aber das gibt's halt nicht.

Sie aber gänzlich zu deaktivieren ist keinesfalls die bessere Lösung. Lieber öffne ich dann ein paar Ports zu viel, weil ich zu faul bin mir da alles im Detail anzusehen, als das ich ALLES offen lasse. So handhabe ich es bei mir, wie oben schon geschrieben. Ich habe zB ein paar Kandidaten die ich geschlossen haben will, weil die da halt sind, ich sie da nicht wegbekomme, sie aber da nicht haben will ( Software die einen Port öffnet und jeder kann sich da verbinden, obwohl sie ausschliesslich per localhost angesprochen werden müsste ... ### Software halt). Und per Windows Firewall mache ich das zu. Ansonsten ist im Domänennetz auch keine Beschränkung.

Es ist in der IT immer so ... man kann sich entweder auf einen Standpunkt stellen und stur darauf beharren das dieser Wahr ist, während man alle Argumente an sich abprallen lässt, notfalls mit fragwürdigen Mitteln.
Oder man betrachtet sowas ganz neutral - ohne den ganzen "Böses MS\Apple\Linux\etc !!!!" Ideologie-### - und nimmt alle Vorteile mit, die man aus den einzelnen Technologien ziehen kann.

Ist mir ein bisschen unverständlich, wie man sich so völlig Steif hinstellen kann und sagen "Windows Firewall ist !KONTRA!Produktiv und bewirkt rein GARNICHTS", wo es doch so offensichtlich Situationen gibt, in denen sie was bewirken kann. Nur weil es in meinem eigenen Netz und Situation grad keinen nennenswerten Vorteil gibt, bedeutet das doch noch lange nicht, das es dann auch bei allen anderen so sein muss.

Und ja ... man kann im Netz durchaus in einer Diskussion anderer Meinung sein, ohne das man sich gleich anfeinden muss (auf niemanden hier bezogen! Ganz generell, weil das Internet da immer feindseliger wird)

Moin,

für mich macht eine interne Desktop FW auch keinen Sinn.
Wenn der Clients offene Ports hat dann wahrscheinlich deswegen weil Software XY das so braucht oder weils Ports sind die für die Administration benötigt werden.

Der Schutz bei Trojanern und ähnlichem ist minimal, das Ding schickt sich im Zweifelsfall einfach selbst per Mail weiter und brauch dazu nichtmal erhöhte Rechte.
Demgegenüber steht ein enorm hoher Aufwand erstmal rauszufinden welche Ports und Verbindungen wirklich zum Betrieb benötigt werden inklusive teilausfällen weil man dann hat doch mal das falsche sperrt oder zuwenig durchgelassen hat.

Grüße

Moin,

Zitat von @SeaStorm:

Du konstruierst dir hier leider etwas zu viel die Welt zurecht. Ein kleines bisschen Pipi Langstrumpf ...

Kannst Du bitte sachlich bleiben?

Du forderst reale Szenarien in denen eine Firewall sinn macht und konstruierst dir das dann aber weg.

Falsch. Ich liefere andere und bessere Lösungen für die Probleme.

Ja, in einer perfekten Welt existiert keine Software auf einem Rechner, die da nicht ganz unbedingt sein muss. Die Realität sieht aber völlig anders aus.

So? Auf unseren Rechner ist nur Software, die da unbedingt sein muss. Sonst kommt das nichts drauf. Das ist meine Realität und sollte auch die eines jeden anderen Admins im Firmenumfeld sein.

Da wird die IT regelmäßig gezwungen irgendeinen Rotz zu installieren, weil die Abteilung XY das halt unbedingt braucht. Sei es ein Treiberupdater,

Braucht kein Mensch.

MegaMarketingBullshit 2.0,

Kenne ich nicht die Software.

Access2003, oder die Anlagensteuerung die schon unter Windows2000 veraltet war.

Sowas in der Art haben wir auch. Also eigenes VLAN bzw. für die vollkommen veraltete DB, die unbedingt Access 2007 braucht, eine Insellösung ohne Zugang zum Rest des Netzes. Unbequem, sicherlich. Aber es geht.

Und genau da hilft eine solche Firewall. Da sage ich der Firewall dann halt "Der Server mit der IP xxx darf auf den Port 0815 zugreifen, der Rest nicht", weil die Anlage das halt braucht. Oder aus welchen Umständen heraus auch immer. Es gibt VIELE Gründe warum eine Firewall Sinn machen kann.

Richtig. Da hilft eine Firewall zwischen den VLANs der Server und den einzelnen Clients. Aber die Desktop-Firewall hilft da eben gerade nicht bzw. kaum.

Nicht immer, ganz klar. Und in einer perfekt konstruierten Welt eh nicht, aber das gibt's halt nicht.

In einer perfekten Welt bräuchten wir keine Sicherheitseinrichtungen.

Sie aber gänzlich zu deaktivieren ist keinesfalls die bessere Lösung. Lieber öffne ich dann ein paar Ports zu viel, weil ich zu faul bin mir da alles im Detail anzusehen, als das ich ALLES offen lasse.

Aha.

Es ist in der IT immer so ... man kann sich entweder auf einen Standpunkt stellen und stur darauf beharren das dieser Wahr ist, während man alle Argumente an sich abprallen lässt, notfalls mit fragwürdigen Mitteln.
Oder man betrachtet sowas ganz neutral - ohne den ganzen "Böses MS\Apple\Linux\etc !!!!" Ideologie-### - und nimmt alle Vorteile mit, die man aus den einzelnen Technologien ziehen kann.

Hättest Du meine Beiträge aufmerksam gelesen, dann hättest Du vielleicht bemerkt, dass ich (bis auf einmal bei dem Bild) nicht von Windows-Firewall, sondern grundsätzlich von Desktop-Firewall spreche. Meine Aussage, dass ich diese für sinnlos halte, gilt für alle Firewalls dieser Art auf allen Betriebssystemen. Das hat nichts mit Windows vs. Linux vs. AppleOS zu tun, sondern ist eine grundsätzliche Frage der Architektur eines Desktopsystems.

Ist mir ein bisschen unverständlich, wie man sich so völlig Steif hinstellen kann und sagen "Windows Firewall ist !KONTRA!Produktiv und bewirkt rein GARNICHTS", wo es doch so offensichtlich Situationen gibt, in denen sie was bewirken kann. Nur weil es in meinem eigenen Netz und Situation grad keinen nennenswerten Vorteil gibt, bedeutet das doch noch lange nicht, das es dann auch bei allen anderen so sein muss.

Und mir ist es unverständlich, dass man sich steif hinstellen kann und sagt: "Die Desktop-Firewall ist was ganz tolles und wichtiges!!!" wenn es doch offensichtlich ist, dass das ein Trugschluss ist.

Liebe Grüße

Erik

Die Desktop Firewall ist nicht toll und loben tut sie bestimmt auch keiner, aber meines Erachtens nach ist sie notwendig, weil man nicht alle Eventualitäten geplant absichern kann. Es geht immer noch um die unbekannten Gefahren, gegen die nicht abgesichert werden kann. Ich wünsche Dir auf keinen Fall, dass in Deine Festung irgendwann mal unerklärlich doch mal was rein kommt und ungeschützt im Netzwerk herum wütet. Und dann musst Du noch der Versicherung erklären, warum alle Firewalls aus sind.

Moin,

Zitat von @NordicMike:

Zitat von @erikro:
Nochmal die Frage: Wie soll sie das machen?

Firewall einschalten, nur die Ports offen lassen, die für die Dienste benötigt werden"

Aha. Das schützt also gegen unbekannte Angriffe? Wird ein Angreifer nicht als erstes nach genau diesen offenen Ports suchen? Wird ein Angreifer seine Software nicht so programmieren, dass sie die üblicherweise offenen Ports ausnutzt?

Welche Mechnismen der FW sind es denn, die gegen die Gefahren angeblich schützen?

Einfacher Port Block

Aha. Also entweder schließe ich alle Ports, um auf unbekannte Gefahren vorbereitet zu sein. Dann wäre es aber einfacher, das Netzwerkkabel zu ziehen. Oder ich öffne Ports und setze mich der Gefahr aus, dass dies von unbekannter Software ausgenutzt wird.

Welches Bedrohungsszenarion ist hier relevant?

wenn Die User etwas starten/installieren, was sie nicht sollten

Dann hat der Admin was grundsätzlich falsch gemacht.

oder die eine oder andere unbekannte Gefahr, an die wir hier alle nicht gedacht haben,

siehe oben.

wenn ein Dienst läuft, der nicht benötigt wird,

Dann hat der Admin was grundsätzlich falsch gemacht.

nicht erwünschten Portscans im Netz keine Angriffsfläche geben,

Bitte? Das mache mir mal vor, wie Du mit einer Desktop-Firewall Portscans verhinderst bzw. verhinderst, dass so offene Ports gefunden werden.

Protokollierung,

Dafür brauche ich keine Firewall.

Um den Chef zu beruhigen, dass wir mehr als nötig getan haben,

Das ist ein Argument.

Liebe Grüße

Erik

Zitat von @NordicMike:

Die Desktop Firewall ist nicht toll und loben tut sie bestimmt auch keiner, aber meines Erachtens nach ist sie notwendig, weil man nicht alle Eventualitäten geplant absichern kann. Es geht immer noch um die unbekannten Gefahren, gegen die nicht abgesichert werden kann. Ich wünsche Dir auf keinen Fall, dass in Deine Festung irgendwann mal unerklärlich doch mal was rein kommt und ungeschützt im Netzwerk herum wütet. Und dann musst Du noch der Versicherung erklären, warum alle Firewalls aus sind.

Das ist der Grund, warum sie dann doch an ist.

Ich würde mal behaupten jede Firma sollte alle 2-3 Jahr oder spätestens nach größeren Änderungen im Netzwerk ein externes Pentest Audit machen lassen. Bei kleineren Praxen sollte das auch nicht exorbitant teuer sein. Und gerade bei IT Security ist eine zweite Meinung wichtig, denn auf irgendeinem Auge ist jeder blind

Zitat von @erikro:
Nicht wirklich. Ich würde eher sagen, das ist das entscheidende Gegenargument. Wenn es einem Schädling gelingt, sich zu installieren, dann ist es ihm auch gelungen, sich erhöhte Rechte zu verschaffen, mit denen er dann wieder die Firewall ausschalten bzw. eine entsprechende Regel eintragen kann. M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

Falsch. Eine anständige Firewallsoftware lässt sich nur über ein Administratorpasswort oder vom Verwaltungsserver aus umkonfigurieren.
Zudem installieren sich die meisten Schädlinge gar nicht sondern laufen im RAM und im Temporären Ordner des Users. Das ist aber auch egal denn im Normalfall lässt die Firewall Zugriffe die der User initiiert hat ja ohnehin durch. Darum gehts aber auch gar nicht.

Zum eigentlichen Thema:
Das die Windows Firewall NIE ausgeschaltet werden sollte, wenn man keine andere Software dergleichen nutzt, ausser vielleicht zu Testzwecken, sagt einem schon der gesunde Menschenverstand. Das jemand hier im Forum überhaupt die Frage stellt wundert mich schon sehr.

Der Sinn einer Desktop Firewall Software, die nicht verwaltet und kontrolliert wird ist nicht höher als bei der Windows Firewall.

Wird das ganze aber von einem zentralen Server aus gesteuert, der den Admin bei Befall oder bei einem versuchten Angriff mit Emails bombadiert, ist der Sinn schon wieder viel höher.
Ich möchte zum Beispiel wissen, wenn sich ein externer Schädling Zugriff zum Netzwerk verschafft und versucht, Desktop Rechner zu kapern.
Auf einen Desktop Rechner hat keiner von aussen zuzugreifen insofern ist jeder Scan eine Warnung, der ich nachgehen kann.

Moin,

Zitat von @rzlbrnft:

Falsch. Eine anständige Firewallsoftware lässt sich nur über ein Administratorpasswort oder vom Verwaltungsserver aus umkonfigurieren.

Erst richtig lesen, dann sagen, dass etwas falsch ist. Da steht nämlich, dass es Voraussetzung ist, dass der Schädling mit erhöhten Rechten läuft. Wenn ihm das gelungen ist, kann er auch die FW umkonfigurieren, da er ja die Rechte dazu hat. Insofern ist Dein Einwand hinfällig und meine Aussage nicht falsch.

Liebe Grüße

Erik

Zitat von @erikro:
Erst richtig lesen, dann sagen, dass etwas falsch ist. Da steht nämlich, dass es Voraussetzung ist, dass der Schädling mit erhöhten Rechten läuft. Wenn ihm das gelungen ist, kann er auch die FW umkonfigurieren, da er ja die Rechte dazu hat. Insofern ist Dein Einwand hinfällig und meine Aussage nicht falsch.

Richtig lesen solltest du schon selber. Erhöhte Rechte reichen bei einer guten Security Lösung nicht, um an der Konfig was zu ändern, man muss zusätzlich noch mal ein eigenes Passwort angeben, um überhaupt die Oberfläche aufrufen zu können, das wird in der Serververwaltungssoftware generiert wird und der User hat das auch nicht wenn er auf der Kiste Admin ist. Die Software greift schon vor den Admin Rechten des Users ins System ein.
Ohne das Passwort kannst du das nur noch per Neuinstallation oder im abgesichertem Modus entfernen.

Moin,

Zitat von @rzlbrnft:

Richtig lesen solltest du schon selber. Erhöhte Rechte reichen bei einer guten Firewall nicht, um an der Konfig was zu ändern,

Wir sprechen weiterhin von der Windows-Firewall? Denn um die geht es hier.

man muss zusätzlich noch mal ein eigenes Passwort angeben, um überhaupt die Oberfläche aufrufen zu können, das wird in der Serververwaltungssoftware generiert wird und der User hat das auch nicht wenn er auf der Kiste Admin ist. Die Software greift schon vor den Admin Rechten des Users ins System ein.

Offensichtlich nicht.

Liebe Grüße

Erik

Zitat von @rzlbrnft:

Richtig lesen solltest du schon selber. Erhöhte Rechte reichen bei einer guten Security Lösung nicht, um an der Konfig was zu ändern, man muss zusätzlich noch mal ein eigenes Passwort angeben, um überhaupt die Oberfläche aufrufen zu können, das wird in der Serververwaltungssoftware generiert wird und der User hat das auch nicht wenn er auf der Kiste Admin ist. Die Software greift schon vor den Admin Rechten des Users ins System ein.
Ohne das Passwort kannst du das nur noch per Neuinstallation oder im abgesichertem Modus entfernen.

Gute Malware schert sich aber nicht drum.

lks

Zitat von @erikro:
Wir sprechen weiterhin von der Windows-Firewall? Denn um die geht es hier.

Der Threadersteller spricht von Desktopfirewalls an sich, und in dem Thread auf den du geantwortet hast, wird von EINER Firewall gesprochen, nicht von der Windows Firewall.
Und du schreibst sogar selber in deiner Antwort,

M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

Und das ist totaler Unsinn. Warum hab ich erklärt.
Der infizierte Rechner ist nicht der zu schützende, sondern alle anderen im Netzwerk, die noch infiziert werden sollen.
Stichwort Botnet. Immer noch gern genommen.

Zitat von @Lochkartenstanzer:
Gute Malware schert sich aber nicht drum.

Manchmal denk ich ich bin im Computerbild Forum.
Es ist überhaupt nicht relevant ob sich die Malware um die Firewall was schert auf dem Rechner wo sie eh schon ausgeführt wird
Wichtig ist, das auf dem nächsten Ziel das infiziert werden soll die Firewall Alarm schlägt, den Admin informiert und der reagieren kann, bevor das ganze Netzwerk im Arm ist. 60 Rechner neu installieren kostet mehr als einen Rechner neu installieren.

Moin,

Zitat von @rzlbrnft:

Zitat von @erikro:
Wir sprechen weiterhin von der Windows-Firewall? Denn um die geht es hier.

Das ist richtig. Entschuldigung. Dann nenne mir mal eine Desktop-Firewall, die das, was Du geschrieben hast, leistet.

M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

Und das ist totaler Unsinn. Warum hab ich erklärt.

Nein, hast Du nicht und auch kein anderer. Du hast nur den Trugschluss wiederholt.

Der infizierte Rechner ist nicht der zu schützende, sondern alle anderen im Netzwerk, die noch infiziert werden sollen.
Stichwort Botnet. Immer noch gern genommen.

Nochmal die Frage: Wie schützt eine Firewall im Firmennetz gegen einen Schädling, der sich z. B. mittels eines Exploits des SMB-Protokolls verbreitet? Das könnte sie nur, wenn sie die entsprechenden Ports blockiert. Nur funktioniert dann auch das Windows-Netz nicht mehr. Nennt doch mal bitte ein konkretes Beispiel aus der jüngeren Vergangenheit, bei dem die Desktop-Firewall gegen einen Schädling etwas ausgerichtet hätte. Was von den Vertretern dieser Software bisher gekommen ist, sind allgemeine Behauptungen, die durch nichts untermauert wurden. Warum untermauert Ihr Eure Aussagen nicht mal mit einem, nur einem Beispiel?

Zitat von @Lochkartenstanzer:
Gute Malware schert sich aber nicht drum.

Und wieder nur allgemeine Behauptungen und keine konkrete Aussage darüber, wie das denn funktionieren soll.

Liebe Grüße

Erik

moin...

Zitat von @erikro:

Moin,

Zitat von @rzlbrnft:

Zitat von @erikro:
Wir sprechen weiterhin von der Windows-Firewall? Denn um die geht es hier.

richtig...

Das ist richtig. Entschuldigung. Dann nenne mir mal eine Desktop-Firewall, die das, was Du geschrieben hast, leistet.

M. E. ist es ein Trugschluss, dass die Windows- oder auch jede andere Desktop-Firewall einen Schutz gegen Viren und Trojaner bietet.

das sehe ich genauso!

Und das ist totaler Unsinn. Warum hab ich erklärt.

Nein, hast Du nicht und auch kein anderer. Du hast nur den Trugschluss wiederholt.

Der infizierte Rechner ist nicht der zu schützende, sondern alle anderen im Netzwerk, die noch infiziert werden sollen.
Stichwort Botnet. Immer noch gern genommen.

richtig... nur schützt die Desktop Firewall dagegen nicht!

richtig!
und wenn du keine Freigaben brauchst, und zu 100 % alles dicht machst, kannst du besser gleich den Netzwerk stecker ziehen, oder das WLAN abschalten.... selbst dann brauchst du keine Desktop Firewall mehr!

Nur funktioniert dann auch das Windows-Netz nicht mehr. Nennt doch mal bitte ein konkretes Beispiel aus der jüngeren Vergangenheit, bei dem die Desktop-Firewall gegen einen Schädling etwas ausgerichtet hätte.

Richtig! und da gibbet kein beispiel zu....

Was von den Vertretern dieser Software bisher gekommen ist, sind allgemeine Behauptungen, die durch nichts untermauert wurden. Warum untermauert Ihr Eure Aussagen nicht mal mit einem, nur einem Beispiel?

das sehe ich auch so...

Zitat von @Lochkartenstanzer:
Gute Malware schert sich aber nicht drum.

ebend...

Manchmal denk ich ich bin im Computerbild Forum.

das sehe ich auch so!

Es ist überhaupt nicht relevant ob sich die Malware um die Firewall was schert auf dem Rechner wo sie eh schon ausgeführt wird
Wichtig ist, das auf dem nächsten Ziel das infiziert werden soll die Firewall Alarm schlägt, den Admin informiert und der reagieren kann, bevor das ganze Netzwerk im Arm ist. 60 Rechner neu installieren kostet mehr als einen Rechner neu installieren.

richtig... die Desktop Firewall von deinen 60 PC´s merkt nicht mal, wenn sich eine Wurm über SMB verbreitet!
...aber was soll´s, mit Globuli und Aluhut und der Desktop Firewall ist jeder sicher!

Und wieder nur allgemeine Behauptungen und keine konkrete Aussage darüber, wie das denn funktionieren soll.

sehe ich auch so...

Liebe Grüße

Erik

Frank

Also jetzt bin ich verwirrt.

Muss man jetzt die Desktopfirewall ausschalten UND den Stecker ziehen oder reicht eins von beiden, damit der PC abgesichert ist?

Vorschlag zur Güte: Schließt doch das Thread.

Grüße

lcer

moin...

Zitat von @lcer00:

Also jetzt bin ich verwirrt.

ja nu...

Muss man jetzt die Desktopfirewall ausschalten UND den Stecker ziehen oder reicht eins von beiden, damit der PC abgesichert ist?

na ja , beides... bei regen bitte den PC um 180 grad drehen (nicht bei 180 grad) und wie immer, aluhut nicht vergessen....
hab ich was vergessen?

Vorschlag zur Güte: Schließt doch das Thread.

Grüße

lcer

Frank

Zitat von @erikro:
Nochmal die Frage: Wie schützt eine Firewall im Firmennetz gegen einen Schädling, der sich z. B. mittels eines Exploits des SMB-Protokolls verbreitet? Das könnte sie nur, wenn sie die entsprechenden Ports blockiert. Nur funktioniert dann auch das Windows-Netz nicht mehr. Nennt doch mal bitte ein konkretes Beispiel aus der jüngeren Vergangenheit, bei dem die Desktop-Firewall gegen einen Schädling etwas ausgerichtet hätte. Was von den Vertretern dieser Software bisher gekommen ist, sind allgemeine Behauptungen, die durch nichts untermauert wurden. Warum untermauert Ihr Eure Aussagen nicht mal mit einem, nur einem Beispiel?

Deine Logik kann man in etwa so beschreiben:
Wieso soll ich die Türe zusperren, wenn ich sie mit einem Vorschlaghammer sowieso einschlagen kann?
Das ist eine Möglichkeit von tausenden.

Man kann sehr wohl jeglichen eingehenden Verkehr sperren ohne die Funktion des Windows Netzes zu beeinträchtigen.
Warum sollte ein Desktop Verbindungen von außen akzeptieren? Auf einem Desktop gibt es keine Freigaben die erreicht werden müssen.
Da fehlt scheinbar schon grundlegendes Wissen über Firewalls. Zudem sollten zum Beispiel Portscans und andere Angriffe im Log des Verwaltungsservers auftauchen.

Der Screenshot ist ein Teil vom Log als wir eine Pentesting Firma im Haus hatten. Die fanden das auch gut das es geloggt wird und haben uns geraten, statt nur wie bisher den Antivirus auf jeden Fall die komplette Endpoint Security Lösung bei allen Rechnern zu verwenden. Aber scheinbar sind die wohl nicht so versiert wie die Experten hier im Forum, da haben wir die paar tausend Euro wohl zum Fenster rausgeworfen.

Zitat von @erikro:

Und wieder nur allgemeine Behauptungen und keine konkrete Aussage darüber, wie das denn funktionieren soll.

Es ist nicht meine Aufgabe, dir zu erklären wie eine Firewall funktioniert. Ich hab auch noch was zu arbeiten.
Wenn du solche Aussagen triffst solltest du dich doch bitte selbst vorher informieren, denn das was du schreibst entbehrt jeglicher Grundlage.
Installier dir Kali Linux und eine Windows Kiste, lad dir ein paar Testversionen von integrierten Sicherheitslösungen runter und dann versuch mit den einschlägigen Dokus, die Windows Kiste zu hacken. Jeder Admin sollte sowas schon mal gemacht haben.

Mal so nebenbei bemerkt, eure Forderung nach einem Beweis wann es denn mal größflächig funktioniert hat ist schon ziemlich hirnrissig.
BREAKING NEWS: Virus scheitert an der Infektion von über 10000 Rechnern.
Es funktioniert immer dann wenn es keine News drüber gibt, denn Hacker und Viren arbeiten 24/7.
In meinen 15 Jahren als Admin in meiner Firma ist jede dieser Horrormeldungen erfolgreich an uns vorüber gegangen.

Moin,

Zitat von @rzlbrnft:

Zitat von @erikro:

Deine Logik kann man in etwa so beschreiben:
Wieso soll ich die Türe zusperren, wenn ich sie mit einem Vorschlaghammer sowieso einschlagen kann?

Wieder falsch. Die Logik lässt sich in Deinem vorne und hinten hinkenden Beispiel allenfalls so beschreiben: Die Stahltür nützt mir nichts, wenn der böse Bube schon im Raum ist.

Man kann sehr wohl jeglichen eingehenden Verkehr sperren ohne die Funktion des Windows Netzes zu beeinträchtigen.

Das ist ja ein Ding. Echt jetzt? Ich kann port 0-65535 sperren und das Netz funktioniert trotzdem?

Warum sollte ein Desktop Verbindungen von außen akzeptieren? Auf einem Desktop gibt es keine Freigaben die erreicht werden müssen.
Da fehlt scheinbar schon grundlegendes Wissen über Firewalls.

Wahrscheinlich ist das so. Deshalb habe ich das ja auch nur 25 Jahre lang unterrichtet.

Zudem sollten zum Beispiel Portscans und andere Angriffe im Log des Verwaltungsservers auftauchen.

Ein Portscan ist kein Angriff. Siehe: http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#P ...

Zumindest haben sie sehr viel Geld verdient.

Es ist nicht meine Aufgabe, dir zu erklären wie eine Firewall funktioniert. Ich hab auch noch was zu arbeiten.

Wer Behauptungen aufstellt, sollte sie dann schon auch beweisen können. Die Aussage: Eine Sicherheitsfirma, die viel Geld verdienen wollte, hat das so gesagt, ist kein Beweis.

Wenn du solche Aussagen triffst solltest du dich doch bitte selbst vorher informieren, denn das was du schreibst entbehrt jeglicher Grundlage.

Och, ich befinde mich da in sehr guter Gesellschaft.

Installier dir Kali Linux und eine Windows Kiste, lad dir ein paar Testversionen von integrierten Sicherheitslösungen runter und dann versuch mit den einschlägigen Dokus, die Windows Kiste zu hacken. Jeder Admin sollte sowas schon mal gemacht haben.

Genau. Und wenn man das mal wirklich gemacht hat und nicht nur davon gehört, dann weiß man, wie sinnvoll Desktop Firewalls sind.

Mal so nebenbei bemerkt, eure Forderung nach einem Beweis wann es denn mal größflächig funktioniert hat ist schon ziemlich hirnrissig.
BREAKING NEWS: Virus scheitert an der Infektion von über 10000 Rechnern.
Es funktioniert immer dann wenn es keine News drüber gibt, denn Hacker und Viren arbeiten 24/7.
In meinen 15 Jahren als Admin in meiner Firma ist jede dieser Horrormeldungen erfolgreich an uns vorüber gegangen.

So what? Bei mir sind es 30 Jahre Berufserfahrung unter anderem im Bereich Computerforensik.

Liebe Grüße

Erik

Zitat von @erikro:

Man kann sehr wohl jeglichen eingehenden Verkehr sperren ohne die Funktion des Windows Netzes zu beeinträchtigen.

Das ist ja ein Ding. Echt jetzt? Ich kann port 0-65535 sperren und das Netz funktioniert trotzdem?

Einerseits postest du wie ein Troll, andererseits gibst du dich als Forensiker aus.
Welchen Wert hat so ein Post, ist dir nur langweilig?

Zitat von @erikro:
Moin,

Zitat von @rzlbrnft:

Zitat von @erikro:

Deine Logik kann man in etwa so beschreiben:
Wieso soll ich die Türe zusperren, wenn ich sie mit einem Vorschlaghammer sowieso einschlagen kann?

Wieder falsch. Die Logik lässt sich in Deinem vorne und hinten hinkenden Beispiel allenfalls so beschreiben: Die Stahltür nützt mir nichts, wenn der böse Bube schon im Raum ist.

Und deswegen rätst du jedem, Tür und Tor für jeden offen zu lassen, also auch Script Kiddies und andere Spaßvögel, weil es ja eh egal ist, deine Information kann ja in einem selten auftretenden Fall trotzdem gehackt werden, wenn derjenige nur genug Zeit dazu hat. Quellen gibst du genauso wenig an wie jeder andere hier.

Sorry, aber die Weltuntergangsansicht teile ich nicht. Ein wenig Sicherheit ist besser als gar keine Sicherheit, ich will wenigstens gegen die Kinderkrankheiten geschützt sein und es einem Eindringling zumindest schwerer machen, das komplette Netzwerk zu vernichten.