Hifi-Portal

@ Oliver

Eine VPN-Line sichert doch nicht nur Wlan Netzwerke, sondern auch Lan-Netzwerke?

Tunneling ist prinzipiell unabhängig von drahtgebunden oder drahtlos.

Machst du dir Gedanken über die Sicherheit deiner LAN-Verbindung ?

Vermeintliche Sicherheit kann man ja aus gegebenen Anlass nie genug haben.

Aber um konkret zuwerden, ich habe ein Upgrade bei Avast geordert welches ein VPN-Line mit beinhaltet. Soweit ich es beurteilen kann, auch eine "vernünftige" Firewall............... etc. ..................

Der kostenlose rudimetär Schutz reicht mir nicht mehr................
Zwar habe ich schon vorab Avast Pro genutzt, und war auch zufrieden, soweit ich das beurteilen kann, dachte mir aber auch das einwenig mehr nicht schaden kann.

Wichtig ist hier die korrekte Konfiguration der Firewall.

Da hab' ich auch schon Stunden mit verbracht.

Sieh dir genau die Voreinstellungen an, selbige sind meist für den "Normaluser" gemacht und lassen das System oftmals noch geöffnet.

Erst ein mal danke ich dir für deine Beiträge und denke, dass man das Thema in einem eigenen Thread näher erörtern sollte, weil die Thematik auch für andere interessant sein kann.

Ich werde meine Anfrage morgen "splitten", damit wir darauf im Detail eingehen können.

Was gibt es grundsätzlich zur Konfigration einer Firewall zu sagen, und was sollte man beim "Einwählen" einer VPN-Line beachten?

Zur VPN-Line kann ich nicht viel sagen.

Zur FW aber umso mehr.


Erst mal sollte man folgende Überlegungen anstellen :

- Wer muß, soll und darf online gehen
- Was will ich von meinem System und meinen Daten möglicherweise preisgeben
- Darf Windows selbst über diverse Komponenten nach Hause telefonieren
- In wie weit bin ich bereit, komplexere Konfigurationen vorzunehmen die über 08/15 - Sicherheit hinausgehen und Warnmeldungen entgegenzunehmen

Gerade Letzteres nevt die meisten Leute sehr und wird daher oftmals deaktiviert.

Grundsätzlich muß man sich bewußt sein, daß inzwischen fast Alles "nach Hause telefoniert" und, daß dies nicht immer zum Nutzen des Users ist !
... auch wenn das angeblich natürlich ganz anders ist und nur der Optimierung im Dienste des Users dient.

Da ich bekannter Maßen kein IT-Experte bin, fällt es mir schwer die "richtige" Konfiguration zu finden.
Einfach ausgedrückt, es sollen so wenige Daten wie nur möglich an Dritte weitergegeben werden.
Und auch den Hackern soll es so schwer wie möglich gemacht werden, mein System anzugreifen und abzufischen.

Für dich wohl eher einfach, für mich eine Herausforderung. Aber nichts zu machen ist auch der falsche Weg.


Und vielleicht hilft das was hier in diesem Thread angesprochen wird auch anderen bei ihren Entscheidungen sich um Sicherheit zu kümmern, ohne das dies "Auswüchse" annimmt.

Apropos Sicherheit ...

Interessant, was die diversen Apps im Mobilbereich sich alles für Zugriffsrechte einräumen (wollen).

Die größten Spionagetools überhaupt sind Smartphones !

Noch ein mal zurück zur Konfiguration einer FW. Gibt es dazu etwas allgemeingültiges zu sagen?

Allgemeingültig ist hier letztendlich nur, daß man ...

a.) nur den Programmen und Komponenten Zugriff auf's INet erlauben sollte, die diesen auch wirklich benötigen.
b.) man die FW so einstellen sollte, daß erst mal JEDER Zugriffsversuch auch angezeigt wird - auch dann, wenn es sich um einen "vertrauenswürdigen" Prozess handelt.

Das wird leider meist nicht gemacht. Nur so aber lernt man, welche Prozesse und Dienste - viele davon im Hintergrund - überhaupt online gehen wollen !

Die exakten Einstellungen, von der Prozesszugriffsregelung bis zur Portfreigabe oder -sperrung, aber sind produktspezifisch.

(18.12.2013, 21:02)Accu_Lover schrieb: [ -> ][...]
b.) man die FW so einstellen sollte, daß erst mal JEDER Zugriffsversuch auch angezeigt wird - auch dann, wenn es sich um einen "vertrauenswürdigen" Prozess handelt.

Das wird leider meist nicht gemacht. Nur so aber lernt man, welche Prozesse und Dienste - viele davon im Hintergrund - überhaupt online gehen wollen !

Yep,
viele würden sich wundern...
aber es geht ja noch immer sehr oft die Einstellung herum:
"Ich habe eh nix zu verbergen..."

Zitat:Die exakten Einstellungen, von der Prozesszugriffsregelung bis zur Portfreigabe oder -sperrung, aber sind produktspezifisch.

(16.12.2013, 23:28)Accu_Lover schrieb: [ -> ]Sieh dir genau die Voreinstellungen an, selbige sind meist für den "Normaluser" gemacht und lassen das System oftmals noch geöffnet.

Ich habe bis dato die Voreinstellungen IMMER komplett gelöscht.
Aber um ein Einlesen in das Thema kommt man eh nicht herum.
Im UseNet gibt es viele, gute Infos, und auch wirkliche Profis, die aber leider auch, sehr oft, SEHR überheblich sind. d.h. es herrscht ein rauher Ton

Ich muß mir glatt wieder einmal ZoneAlarm anschaun...

stony schrieb:"Ich habe eh nix zu verbergen..."

Diese Haltung habe ich nie vertreten, stelle aber auch gerade fest, dass man mit meinen wenigen IT-Kenntnisse schnell an Grenzen stoßen kann wenn man seine FW konfigurieren will.
Jetzt rächt sich wohl meine bisherige Verweigerung mich mit der Materie genauer zu beschäftigen. Aber wie so oft im Leben ist es nie zu spät...............

(19.12.2013, 12:43)stony schrieb: [ -> ]...Ich muß mir glatt wieder einmal ZoneAlarm anschaun...

...aber auch nicht mehr!

Wenn letztere richtig konfiguriert ist, ist sie immer noch eine der besten Firewalls.

Ich habe 10 Jahre Erfahrung damit !

Leider nehmen die ZA-Produkte auf manchen Systemen Eingriffe vor, die zu argen Problemen führen können und von Normalusern kaum zu bewältigen sind.


Die Ablehnung von Personal-FWs durch viele Experten hat den Hintergrund, daß der vorausgesetzte DAU, welcher 99% aller User ausmacht, mit den Einstellungen, Zusammenhängen und der Reaktion auf viele Warnmeldungen schlicht überfordert ist.
Die oftmals vorgebrachte Behauptung aber, die Router-FW und die von Windows seien absolut ausreichend, ist leider gänzlich falsch !

Ich habe vorhin mal in meinem Kaspersky Pur 3.0 nach der Konfiguration der Firewall geguckt...


Da ist ja so viel zum Einstellen

Oliver,
du schreibst es doch selber...wenn... und wenn nicht, macht ZA den größten Ärger.
Den Router - aber einen vernünftigen - richtig konfiguriert und eine FW ist doch o.k.

Aber wer sich mit dem aktuellen ZA nicht richtig auskennt, holt sich mehr Ärger ins Haus als im lieb ist, das weiß du genau so wie ich...

Anm.: ausführlicher später

Kannste mir das evtl. erklären?



Ich könnte noch mehr mir unbekanntes posten...

(19.12.2013, 20:47)Lucki49 schrieb: [ -> ]Da ist ja so viel zum Einstellen

Das ist der relevante Punkt.

Also sagen viele User, lassen wir's gleich bleiben.

Zumal eine einzige Einstellung bereits das ganze System offline schalten kann.

Damit hast du Axels Frage aber nun wirklich nicht beantwortet Oliver.

Dann müßte man jeden einzelnen Punkt, von hunderten erklären, was ich weder kann, noch was zeitlich möglich ist.

Zumal bei einem Programm, das ich nicht kenne.

OK...ich lasse es so wie es ist und vertraue auf die Russen...

Solange es funktioniert, erst mal als Ausgangsbasis lassen.

Mir ist mit Kaspersky noch nie etwas Negatives passiert....ich bleib dabei. Die 60 € für 3 PC gönne ich mir weiter.

(19.12.2013, 20:43)Accu_Lover schrieb: [ -> ]Die oftmals vorgebrachte Behauptung aber, die Router-FW und die von Windows seien absolut ausreichend, ist leider gänzlich falsch !

Tagchen. Ich bin Peters Sohn und schreibe hier, weil er mich darum bat, mich der Sache mal in aller Ausführlichkeit anzunehmen. Ich habe im Laufe meines Lebens schon einige Firmennetzwerke mit dedizierten Firewalls (z.B. pfSense, Smoothwall, Untangle und andere) installiert und gewartet.

Bei allem Respekt: deine Aussage ist schlicht und ergreifend falsch. Router-FW und die in Windows eingebaute Firewall sind völlig ausreichend.

Personal Firewalls sind ein Relikt aus der Zeit, als noch Windows 95, bestenfalls Windows 98 mit Modems benutzt wurde, um sich ins Internet einzuwählen. Windows hatte damals absolut keinen Schutz gegen böswillige Angriffe gehabt, es besaß keine Firewall und es kamen die ersten DDOS-Angriffe auf, wie z.B. Smurf.

Sie rüsteten damit also eine Komponente nach, die Windows nicht hatte. Sie schützten so den Rechner vor diesen Angriffen, das machte Sinn und war in Ordnung so.

Nun hat Windows schon seit langem standardmäßig eine Firewall eingebaut und aktiv. Diese Firewall reicht für den Hausgebrauch und darüber hinaus völlig aus, mehr braucht kein Mensch.

Man muss sich zunächst einmal die zwei normalen Möglichkeiten genauer anschauen, wie heutzutage ein Computer mit dem Internet verbunden ist.

Nummer 1 ist dabei die direkte Verbindung mittels DSL-Modem.

Nummer 2 ist dabei die Verbindung über einen Router, wie z.B. den Speedport von der Telekom oder eine Fritz Box.

Zu 1: hier ist der Rechner direkt mit dem Internet verbunden und allen möglichen Attacken aus dem Internet direkt ausgesetzt. Hier macht in der Tat eine Firewall Sinn, die alle Anfragen von außerhalb verwirft (sofern diese nicht mit einer vorher ausgehenden Anfrage vom Computer korrespondiert).

Die Standardregel aller Firewalls ist dabei aus gutem Grund, dass sie zuerst einmal grundsätzlich alle ausgehenden Anfragen erlauben und alle eingehenden Anfragen verwerfen.

Die Firewall von Windows arbeitet genau nach diesem Verfahren und schirmt so den Rechner vor den meisten Gefahren aus dem Internet zuverlässig ab.

Im Fall 2 wird es noch ein wenig einfacher: der Rechner hat keine direkte Verbindung zum Internet und er bekommt eine sog. private IP-Adresse zugewiesen, die aus dem Internet nicht direkt erreichbar ist. Er kommuniziert mit dem Router, und dieser macht nach außen hin Network Adress Translation (NAT).

NAT bedeutet dabei, dass der Router nach außen hin so tut, als kämen alle Anfragen ins Internet von ihm und er verteilt diese intern auf die betreffenden Rechner. (Wer es technischer erklärt haben will: der Rechner hat meinetwegen die 192.168.1.129, der Router intern die 192.168.1.254. Der Rechner hat den Router als Default Gateway eingetragen. Dieser wandelt es dann in eine Anfrage der wirklichen IP-Adresse um, die vom Internetanbieter bei der Einwahl zugeteilt wurde, meinetwegen die 84.144.212.43).

Auf allen Routern ist auch standardmäßig eine Firewall installiert. Diese Router sind standardmäßig so programmiert, dass sie alle nicht eigens initiierten Netzanfragen aus dem Internet stillschweigend verwerfen. Das bedeutet nichts anderes, als dass diese Angriffe es nicht über den Router hinaus ins hauseigene Netz schaffen.

Nun leistet eine Firewall aber immer zweierlei, man kann damit den eingehenden Traffic regulieren, aber auch den ausgehenden Traffic Das ist nun das, was Axel hier macht und er fühlt sich dabei dann vermeintlich sicherer, weil er vermeintlich recht genau zu wissen meint, was sein Rechner dann mit dem Internet kommuniziert.

Nur: das ist ein Trugschluss. Er weiß es eben absolut nicht, was sein Rechner treibt, denn er kann es gar nicht wissen.

Und wieso nicht? Nun, damit das Internet funktioniert, muss eine Firewall gewisse Dienste nach außen hin standardmäßig erlauben, sonst macht es eben einfach keinen Spaß.

Typische Vertreter ist dabei beispielsweise HTTP (TCP Port 80) oder DNS-Anfragen (UDP Port 53). Jede gute Firewall lässt interne Anfragen dieser Art nach außen normalerweise ungehindert durch. Nun kann ich beispielsweise per DNS-Anfrage normale Daten transportieren oder andere Sachen treiben (https://code.google.com/p/udptunnel/).

Nun könnte eine wirklich strikte Firewall hergehen und quasi in den Verkehr direkt schauen, was da läuft, um zu sehen, ob auch all das wirklich legitim ist. Das nennt man dann Deep Packet Inspection, da schaut sich wirklich die Firewall den kompletten Verkehr an und überprüft den. Das ist eine Technik, die nur in den richtig großen Firewallsystemen von Unternehmen eingesetzt wird. Personal Firewall setzen eine abgespeckte Variante namens Stateful Packet Inspection ein, die das nicht leisten kann.

Nur ist es diesen Diensten egal, welche Informationen über sie übertragen werden. Man kann sie also benutzen und das ist standardmäßig oft daher auch der Fall, eine Firewall zu durchtunneln, also komplett auszuhebeln.

Und sobald ein Programm anfängt, seine Informationen zu verschlüsseln, kann man ohnehin nur noch raten, ob diese Informationen legitim sind, die da übertragen werden oder schädlich sind.

Skype beispielsweise ist solch ein bekanntes Programm, das darauf getrimmt wurde, so ziemlich jedwede Firewall zu umgehen. Das setzt dabei teilweise ganz raffinierte Tricks ein, um das zu erreichen.

Wenn man sich nur ein bißchen anstrengt, dann ist jede Personal Firewall in der ausgehenden Filterung löchrig wie ein Schweizer Käse. Sie zu überwinden stellt überhaupt kein Problemdar.

Eine verlässliche Firewall muss immer vor Zugriffen auf das System und von Zugriffen von Anwendungen geschützt werden. Deswegen laufen solche Systeme auch auf eigens dafür bereitgestellten, eigenen Rechnern. Sobald es eine Möglichkeit gibt, dass ein Angreifer darauf Code ausführen kann (weil der Anwender sich verklickt hat oder wo auch immer), dann kann man sich auf ihre Funktion nicht verlassen. Schon alleine daher halten Personal Firewalls nicht das, was sie versprechen.

Es gab auch schon Viren, die diese einfach abschalteten.

Die Kurzfassung lautet: wer einen Windowsrechner betreibt, für den reicht im Hausgebrauch die bordeigene Firewall ewig und drei Tage aus. Mehr braucht kein normaler Mensch, diese filtert schädliche eingehende Angriffe solide raus und nur darauf kommt es an. Nutzt man einen Router wie Fritzbox, ist das gleichwertig und völlig ausreichend.

Entscheiden, ob nun irgendwelcher Traffic normal ist oder Spionagetätigkeiten zugehört, können heutzutage bei all dem Rauschen nicht einmal mehr zuverlässig die Experten. Dies ist ein aussichtsloses Unterfangen.

Und davor, eine Email mit einem Virus im Anhang zu öffnen, schützt sie einen ohnehin nicht (das sollte dann der Virenscanner leisten).

Darum lohnt es sich auch nicht, solche Software zu kaufen oder gar noch stundenlang zu konfigurieren; man gewinnt nämlich dadurch Null an Sicherheit.

Weiterführende Links:

c't zum Thema Personal Firewall: http://www.heise.de/security/artikel/Sin...kelseite=2

PFW Versagen: http://blog.copton.net/articles/pfw-versagen/

http://www.oberthal-online.de/pfw.html

Warum Personal Firewalls immer wieder versagen müssen: http://hechtmediaarts.com/personal-firewalls-versagen/

Nix für ungut,
Gruß Marc