# Firewall - Ja oder Nein?



## Devilfrank (9 Januar 2003)

Immer wieder gibt es hier auch Anfragen nach Firewalls.
Wozu braucht man sie?
Wie funktioniert sie?
Wie sicher ist sie? 
usw. usf.

Grundsätzlich ist immer die Frage zu stellen, wovor soll denn die Firewall schützen. Ist der Einsatz einer solchen sinnvoll. Das ist nicht immer der Fall oder notwendig. Die Entscheidung muss jedoch jeder User für sich selbst treffen. Und dabei kommt er nicht drumherum, sich mit der Thematik als solche genauer zu beschäftigen.
Einen guten Artikel zu diesem Thema kann jeder hier finden:
https://www.bsi.bund.de/cae/servlet/contentblob/475788/publicationFile/30707/fwstud_pdf.pdf
Diese Studie von Siemens aus dem Jahr 1997 liefert einen guten Überblick über die Grundlagen und Notwendigkeiten.
Im Jahr 2001 hat das BSI diese Studie erweitert und untersuchen lassen, wie sicher Firewallkonzepte sind.
https://www.bsi.bund.de/cln_183/ContentBSI/Publikationen/Studien/firewall/firewall.html

Wer diese Lektüre geschafft hat, kann in den meisten Fällen für sich die Entscheidung fällen, ob denn eine Firewall notwendig ist.
Natürlich werden wir auch hier versuchen weitere Fragen zu beantworten.

Also dann viel Spass beim Lesen.


Gruss Frank


----------



## Nicki (16 November 2005)

Was für ne Frage!!!! Ja!!!!


Ich war lange auch skeptisch, aber als ich sie dann hatte, war ich erstaunt, wer so alles an meinen unschuldigen Compi will...
Habe Kerio (weil ich diverse andere echt nervig finde). Das ist etwas komplizierter in der Installation und in den ersten Tagen, dafür meldet sie sich dann nur noch, wenn wirklich was ist!!! (Erste Tage anstrengend, weil man ihr erst alle beibringen muß...)

Echt top!!! Hab noch nie mit was Probleme gehabt - außer einmal... aber daran war ich selbst Schuld..


----------



## Gluko (16 November 2005)

Nicki schrieb:
			
		

> ..., war ich erstaunt, wer so alles an meinen unschuldigen Compi will...


Sind bestimmt die unzähligen, ach so bösen Pings auf Deine IP die da gemeldet werden, oder?

Dies ist der Grund, warum oftmals von einer "trügerischen Sicherheit" geredet wird. Eine Vielzahl an Meldungen bedeutet nicht zwangsläufig, dass das System wirklich gefährdet war.

Gruß
Gluko


----------



## IT-Schrauber (16 November 2005)

Desktop-Firewalls sind konstruktionsbedingt schon weniger sinnvoll als dedizierte Firewallsysteme, denn sie laufen ja auf gerade der zu schuetzenden Maschine - eine Fehlfunktion in der Firewall kompromittiert dann auch gleich den Rechner auf dem sie laeuft.

Dazu kommt noch, dass die immer weiter verbreiteten DSL-Router mit NAT eh schon den größten Teil der Verbindungsversuche abblocken - NAT funktioniert so, dass erst eine Verbindung von innen (lokales Netz) nach aussen (Internet) aufgebaut werden muss, der Router leitet dann die zugehoerigen Antwortpakete an den jeweiligen Rechner weiter.

Viel wichtiger ist heutzutage wohl IDS-Funktionalität, d.h. es wird Alarm geschlagen wenn unbekannte Verbindungen nach aussen aufgebaut werden. So entdeckt man nämlich auch Eindringlinge die der User sich unbemerkt auf den Rechner geholt hat, Spyware, Spamschleudern, usw.


----------



## Heiko (16 November 2005)

IT-Schrauber schrieb:
			
		

> Desktop-Firewalls sind konstruktionsbedingt schon weniger sinnvoll als dedizierte Firewallsysteme (...)
> Viel wichtiger ist heutzutage wohl IDS-Funktionalität, d.h. es wird Alarm geschlagen wenn unbekannte Verbindungen nach aussen aufgebaut werden.


Gerade das ist für die externe Maschine faktisch nicht erkennbar. Woher soll die dedizierte FW erkennen, welche Clientverbindung gewollt ist und welche nicht?


----------



## Anonymous (17 November 2005)

Ich würde eher sagen, die Kombination macht's.

Nach außen hin halte ich einen DSL-Router mit Firewallfunktion für sinnvoll.
Die einzelnen Netzwerk-PCs wiederum können dann  mit individuellen Personal-Firewalls und Antiviren-Software "voreinander" geschützt werden.

Dies ist zum einen sinnvoll, da Hardware-Firewalls ja bekanntlich keine Anwendungssteuerung anbieten können und dies deshalb von einer Personal-Firewall auf den Rechnern selbst kontrolliert werden muss.

Zum anderen kann, sofern sich doch einmal ein Netzwerkrechner mit einem Schädling infiziert, eine Ausbreitung über das Netzwerk mit Hilfe der PFs und Antiviren-Programme verhindert werden. Sofern die PFs Logdateien über abgeblockte Zugriffe anlegen, kann so auch herausgefunden werden, welcher Rechner möglicherweise infiziert ist.

Eine Firewall ist schließlich keine Hardware oder Software alleine, sondern ein Konzept.


----------



## Anonymous (27 November 2005)

Aha, und jeder Anwender hat ein Konzept... manchmal muss man sich echt wundern... wenn jeder IT-Fachmann wäre hätte man sicher auch keine Probleme mehr...

Eine PF alleine verhindert halt mal einige "Angriffe" auf Sicherheitslücken des BS, vielleicht weil ein Patch noch nicht eingespielt wurde oder weil ein Patch noch aussteht. Eine PF bietet etwas mehr Grundsicherheit, welche sich durch individuelles Wissen über die Gefahrenpotentiale steigern lässt. 

Ach ja, das Konzept vieler Millionen Anwender sollte man natürlich nicht ausser acht lassen...


----------



## Devilfrank (27 November 2005)

Anonymous schrieb:
			
		

> Aha, und jeder Anwender hat ein Konzept... manchmal muss man sich echt wundern... wenn jeder IT-Fachmann wäre hätte man sicher auch keine Probleme mehr...
> 
> Eine PF alleine verhindert halt mal einige "Angriffe" auf Sicherheitslücken des BS, vielleicht weil ein Patch noch nicht eingespielt wurde oder weil ein Patch noch aussteht. Eine PF bietet etwas mehr Grundsicherheit, welche sich durch individuelles Wissen über die Gefahrenpotentiale steigern lässt.
> 
> Ach ja, das Konzept vieler Millionen Anwender sollte man natürlich nicht ausser acht lassen...



Nun mal ganz langsam!
Die Korrektur der BS-Lücken ist *nicht* der originäre Job einer Firewall. Bitte hierzu die oben verlinkte Studie lesen!

Derartige Schutzkonzepte von Softwaresuiten aka "Internetsuite xyz" sind komplexe Applikationen, die auf dem zu schützenden Betriebssystem aufsetzen und in der Regel aus einem Filtersystem (Firewall), einem Virenscanner und diversen anderen Teilsystemen (Spyware z.B.)  bestehen, die verhindern sollen, dass das Betriebssystem beschädigt werden kann.

Der unreflektierte Einsatz derartiger Sicherheitssoftware bringt nur bedingt einen erhöhten Schutz, wenn sich der User nicht mit den korrekten Einstellungen beschäftigt und Verbindungen zulässt, die der eben auf hackerz.to runtergeladene Screensaver haben will. 

Aber das ist eine ganz andere Diskussion, die an sich mit dem Thema Firewall nichts zu tun hat.


----------



## webwatcher (22 Februar 2007)

*AW: Firewall - Ja oder Nein?*

http://www.pcwelt.de/know-how/sicherheit/72642/


> Tipps und Tricks zu Firewalls


als Hinweis, ohne  Garantie


----------

