Re: Firewall für Netbook?

Thomas Leube wrote:
Am 01.12.2008 19:11 schrieb Rainer Ullrich:
argl, eigentlich sollte es klar sein, daß die Windows-eigene Firewall als
"Windows Firewall" bezeichnet wird und nicht in einen Topf mit PFWs
geworfen
wird.

In deiner Fußzeile ist ein Link zu Wikipedia. Da gibt es auch einen
Artikel über Personal Firewall. Es scheint, als woll der dir nicht
gefallen, aber es gibt ihn dennoch.

Hä, was hat mein Link zu ToFu in Wikipedia mit einem "woll der dir nicht
gefallenen Artikel" zu PFW zu tun? Ich hab ihn gerade trotzdem mal über-
flogen, ich lese nirgends den Satz, daß die Windows Firewall eine Personal
Firewall ist! Die haben lediglich bei der Aufzählung ein Kapitel 4.1.1
"Alternative Personal Firewalls für Windows" im Kapitel 4.1 "Windows"
aufgelistet und nen Absatz spendiert, was die Windows Firewall macht.


Es gibt auch offensichtlich
Menschen, die das anders einteilen, als du es gerne als alleinige
Weltanschuung ansiehst.

Für den von dir selbst in Spiel gebrachten ONU ist das übrigens
Wort-Glauberei: Er darf genau eine (ob XP oder Dritt-Anbieter)
aktivieren, mit Ausnahme der XP-FW auch nur eine installieren.

Nein ist es nicht. Ich kenne in meinem Umfeld hier niemanden, der die
Windows-Firewall als PFW bezeichnet. PFW ist immer etwas, was *zusätzlich*
installiert werden muß. Ist eigentlich eine ganz einfache Unterscheidung
und so sieht es vermutlich die ganze IT-Welt, nur Du nicht.


Ist ONU mit der XP-FW nicht überfordert? Dann muß mir jemand erklären,
wie man mit 3 Optionen (im Standard-Dialog) vier mögliche
Aktionsmöglichkeiten abdecken will und das ONU auch noch klarmachen
soll, was was ist.
ploppt höchstens mal ein Abfrage-Fenster hoch, wenn Du ne Software instal-
lierst, die nen Dienst *nach außen* anbietet. That's it. Das ist aber nicht

Ich nehme mal an, daß du mich hier falsch verstanden hast. Ich sprach
von dem von dir genannten Abfrage-Fenster. Also noch einmal, in diesem:

Ich räume frank und frei ein, daß ich bis heute nicht
begriffen habe, ob mit der letzten Möglichkeit der Verkehr einmalig
durchgelassen oder einmalig geblockt wird. Der Text "erneut nachfragen"
gibt es für mich beim besten Willen nicht her. Für ONU ist ein Ratespiel
völlig ungeeignet.
Jetzt sollte klar sein, welches Ratespiel ich meine. Und damit auch:
Insofern ist die XP-FW ein Paradebeispiel, wie man
ONU verunsichert und zu falschen (weil geratenen) Einstellungen
verleidet. Killer-Kriterium Nr.1
Im übrigen gibt es unter den zahlreichen FWs ein ebenso großes Spektrum
von einfach und übersichtlich bis zu apokalyptisch.
Das macht es nicht besser?

Das macht klar, daß mit der Aussage, daß einige FWs kompliziert
einzustellen sind etwa so viel wert ist wie die Aussage, einige deutsche
Autos fahren mit Heckmotor. Was sagt es über all die anderen aus?

Bei der Firewall in XP kommt genau einmal eine Abfrage, wenn Du einen Dienst
*für andere* zur Verfügung stellst! Sonst nicht! Das ist eine einfache
Warnung/Abfrage, that's it. In der Regel sieht die ein ONU garnicht, da
er *keine Dienste* zur Verfügung stellt! Im Gegensatz zu der Gammelware
PFW ploppt alle Nase lang ein Fenster hoch. Ist das so schwer zu verstehen?


Es ist auch nicht der leiseste Versuch des Beleges erkennbar.

Was soll ich denn beweisen. Das ist selbsterklärend! Außerdem habe ich es jetzt
für Dich oben nochmal geschrieben.


Darin enthalten ist aber auch folgendes:

Doch ist es. Mach einfach mal ne Abfrage bei Heise nach Fehler oder Lücken
oder Ausgehebelt bei den PFWs. Ansonsten ist das Thema unzählige Male

Da wird Heise ins Spiel gebracht wegen FW-Lücken, der von mir
an anderer Stelle bereits genannte Heise-Artikel (da braucht
es nicht einmal die Mühe der Suche) mit dem Startsatz "Unter bestimmten
Umständen
reißt die mit XP Service Pack 2 installierte Firewall größere Löcher
auf, als sie schließt." (Originalton heise) einfach ignoriert,
als ob es ihn nicht gäbe und er hier im Thread nicht gerade erst
genannt worden wäre. Soviel zum Thema umfassender Argumentation.

Also, mal eines vorneweg Heise, c't, BSI und wer auch immer, schreiben
auch viel Unfug. In deinem benannten Artikel übertreiben sie wie immer
absolut maßlos. Ich hatte Dir eigentlich mehr Know-how zugetraut, aber
da hab ich mich wohl gewaltig getäuscht. Welche Lücke wird denn aufgerissen?
Garkeine! In einem normalen PC ist ein Interface und dort wird der Port
für "Datei- und Druckerfreigabe" geöffnet. Tolle Sicherheitlücke! Das
mußte mir jetzt mal erklären, wo die sein soll? Weil der Port auf ist?


immer wieder Sicherheitslücken darin gefunden.
Wenn man alles pauschal ablehnt, wo Sicherheitsexperten etwas gefunden
haben, warum setzen du und ich und andere überhaupt Computer ein?
Jetzt wirste kindisch? Haste kein Argument mehr? Und was hat das eine
mit dem anderen zu tun?
Kindisch ist folgendes: Man reist wie du das hier vorgemacht hast einen
Absatz willkürlich in zwei Teile, um zu dem ersten Teil eine flapsige
Bemerkung machen zu können. Obiger Teil und folgender Teil von mir sind
unmittelbar folgend der Inhalt eines kurzen, keine 4 Zeilen langen
Absatzes. Den auseinander zu reisen zeigt auf, daß man auch bösartige
Zitierweisen benutzt, wenn es anders nicht reicht. Inhaltlich werde ich
auf diesen Auswurf nicht eingehen.

Quatsch. Schau Dir mal genau dein Geschreibsel mal nochmal an. Alleine
Dein Satz alleine, oder mit deinem Satz davor, ist kindisch.


Ich
kenne kein Betriebssystem, in dem Sicherheitsexperten noch nichts
gefunden hätten.
Genau, sehr gutes Stichwort, deshalb packe ich nicht noch ein Stück
Software drauf, was Sicherheit verspricht, und es nicht halten kann
und obendrein wieder Angriffsfläche für Fehler und Lücken bietet.

Aber die XP-FW läßt du, die bei Heise mit "reißt größere Löcher, als sie
schließt" umschrieben wurde? Sagte ich schon, daß du selbst mir oben
Heise als kompetente Quelle nahe gelegt hast?

Ist das deine ganze Antwort auf mein Statement? Na dann. Also, deinen
tollen Artikel habe ich bereits oben beantwortet. Ich hab nur mal schnell
2 Stichworte eingegeben und daraus hab ich Dir mal ein paar Artikel auf-
gelistet:
http://www.heise.de/newsticker/meldung/90689
http://www.heise.de/newsticker/meldung/91275
http://www.heise.de/newsticker/meldung/108997
http://www.heise.de/newsticker/meldung/92599
http://www.heise.de/newsticker/meldung/75596
http://www.heise.de/newsticker/meldung/89853
http://www.heise.de/security/news/meldung/54232
http://www.heise.de/security/news/meldung/64471

Welche Lücke ist jetzt wohl gefährlicher? Ein offener Port, wo dahinter
ein Programm nicht mißbraucht werden kann, oder eine Sicherheitlücker
der tollen Gammelware, wo man das ganze System übernehmen kann?


Die Logik selbst [bla bla blub]

Deine Logik ist grausam und dringend überholungsbedürftig.


Ne wenn man Kompetenz von Fachleuten anzweifelt, dann nicht.

Du redest von dir?

Nein, ich bin kein Security-Experte. Dazu habe ich kompetente Kollegen
die den ganzen Tag nichts anderes machen.


Es würde insbesondere auch nicht die
Tatsache ignorieren, daß die XP-FW die von mir bereits skizzierten
"Designmängel" aufweist.
Das ist kein "Designmangel". Nur die Leute wollen von einer Firewall
Dinge, für die sie nicht konzipiert ist.
Bitte, welchen Designmangel meinst du hier?

Den, daß (siehe oben) eine Optionsmöglichkeit fehlt?
Genau das ist dein Denkfehler. Es fehlt nichts.

Entweder gab es daß oben von mir angesprochen Mißverständnis, oder der
Mangel existiert ohne dich.

ROTFL


Ich habe ihn detailliert beschrieben, nur
dort, wo du mal konkret zur Sache und über die FW deines Vertrauens, die
du ja so gut kennst argumentieren könntest, kam keine Antwort.

Ich lese immer nur elendlange BlaBla-Absätze von Dir mit sehr wenig Inhalt.


Oder den, daß die XP-FW sich im Benutzerkonto nicht (auch nicht durch
Legitimation per Kennwort) konfigurieren läßt und der Benutzer nur eine
Art "Ätsch, ich laß dich nicht" erhält (oder gar nichts)? Oder sich das
Feature auf Seite 1 der FW im Benutzerkonto gar nicht verwenden läßt,
also de facto nicht existiert? Der Benutzer soll also erst einmal an
*besonders unsicheren Orten* (für die ist das Feature expressis verbis
gemacht) die *Hose runterlassen* (= sich als Admin anmelden), wenn er
denn überhaupt kann, denn bei Firmenrechner wird er mangels
Admin-Kennwort nicht einmal können. Feature ist für ihn nicht da, die
eingebaute Sicherheitsoption so weit weg wie ein Glas Wasser für den
Durstenden in der Wüste. Killer-Eigenschaft Nr.2.
Voll daneben. Dafür ist ein Admin ein Admin. Nur er hat was zu adminis-
trieren und sonst niemand. Für was sollte es denn sonst das Konto geben
und die klare Trennung von Benutzer und Administrator? Genau das ist ja

Ein Admin ist auch dann ein Admin, wenn er sich ein eingeschränktes
Konto zugelegt hat;

Ne, dann ist er ein User wie jeder andere User auch! Punkt!


er ist in solch einem Fall sogar ein besonders
cleverer Admin.

ROTFL. Du hast schon komische Sichtweisen. Ein LWK-Fahrer wenn in ein
Auto einsteigt fährt dann trotzdem keinen LKW, sondern ein Auto. Merkst
Du was?


einer der Schwachpunkt an den PFWs, da sie mit Rechten laufen und im Aus-
hebelungsfall diese Adminrechte übernommen werden können.

Hast du Lust, nur für dieses Jahr die Zahl der Sicherheitsmängel in
Windows und MS Office zu zählen, wo auf Grund von Fehlern (bis zum
Erscheinen des Patches) Rechte ausgeweitet werden konnten? Der Splitter
und der Balken, die uralte Geschichte.

Was hab ich damit zu tun? Darum sag ich ja. Keine unnötige Software installieren,
und schon gleich keine, die eh überflüssig ist. Z.B. PFW. Es gibt leider schon
genügend Lücken, da muß ich nicht noch extra welche aufreißen. Ist das so
schwer zu verstehen? Und daß Software Lücken haben kann, liegt in der Natur
der Dinge.


Kennst Du nicht die einschlägige Literatur?

Wo du das ansprichst: Da gibt es zum Beispiel den Artikel von Aaron
Margosis mit dem Titel (von mir hier frei ins deutsche übersetzt):
"Besser ein Non-Admin ohne AntiVirus als ein Admin mit AntiVirus":
(http://blogs.msdn.com/aaron_margosis/archive/2006/06/02/614226.aspx)
Ersetzt man jetzt - der Intention von Margosis folgend - AV mit FW,

Und schon stimmt der ganze Zusammenhang nicht mehr. Außerdem sind Virenscanner,
oder ich verallgemeinere es sogar, Anti-Seuchentools, mehr als gefährlich,
da die den ONU auch eine Sicherheit vorgaukeln, die nicht gegeben ist. Oder
bestreiteste das etwa auch?


Oder den, daß beim Setzen einer Regel, mit der du Traffic in einem LAN
zulassen willst, die XP-FW ungefragt und für jeden (ON)U überraschend
auch gleich den Internet-Traffic (und hier reden wir ja von dem "bösen"
eintreffenden) gleich mit zuläßt? (Den Beleg dafür kann sich jeder mit
dem Assistenten zum Übertragen von Dateien und Einstellungen selber
beschaffen, ist aber nicht darauf beschränkt). Völlig inakzeptable
Killer-Eigenschaft Nr.3.
Wenn Du Deinen Rechner öffnest, dann ist es egal, ob der Angriff von einem
anderen Rechner im LAN oder vom WAN kommt.

Wenn man jeden Verkehr als Angriff (ruft da jemand: "Paranoia"?) werdet,
dann hätte MS eine FW anbieten können, bei der es Regeln überhaupt nicht
gibt. (Oder die Mainboard-Anbieter könnten so eine FW
nicht-konfigurierbar einbauen; aber bitte mit Hinweisschild: "Auf diesem
Rechner wird jeder Zugriff von außen bedingungslos blockiert; wegen
dieses besonderen Features ist das Board auch ein paar Euro teurer".)

ROTFL, das ist nur noch kindisch.


Die Windows-Firewall soll nur den PC von Angriffen von außen schützen,
nicht aber den ausgehenden Verkehr behindern.

Unterschiedliche Auffassungen in diesem Aspekt akzeptiere ich. Nicht
mehr akzeptabel ist es dagegen, wenn anschließend im Rundumschlag alle
FWs außer der in XP eingebauten pauschal verdonnert werden und alle, die
anderer Auffassung sind, gleich mit;

Dein Problem. So sehe ich es aber. PFWs haben auf einem PC nichts zu suchen,
ob Du es akzeptierst oder nicht. Das ist meine Meinung (und nicht nur meine).
Ich hab sie auch begründet.

Leider leider ist das die x-te Wiederholung der unendlichen Geschichte der
PFWs. Und ehrlich gesagt, habe ich auf deine Romane mit wenig Inhalt nicht
viel Bock. Ich wollte mit meinem ersten Posting nur zum Ausdruck bringen,
im Gegensatz zu Dir, daß PFW völlig überflüssig und sogar schädlich sein
können. Die Windows Firewall tut was sie soll und kann nicht so einfach
geknackt werden. Daher wenn schon eine "Firewall am PC", dann die. Und
dabei bleibe ich.

Ansonsten wenn Du das Thema PFW diskutieren willst, gibt es die Experten
in de.comp.security.firewall. Die diskutieren das Thema gerne.

Happy computing!
R@iner

--
Was ist ToFu .......................... http://de.wikipedia.org/wiki/TOFU
SP3 mit wenigen Klicks integrieren .... http://www.rainerullrich.de/sp3
Habe ich das richtige SP3? ............ http://www.rainerullrich.de/xp
Unnötige Files vom PC löschen ......... http://www.rainerullrich.de/cp

.

Relevant Pages

  • RE: Internet Explorer cannot display the web page
    ... "daviedoug" wrote: ... My wife's is connected via the Network. ... Firewall off and done the installation?. ... I don't know what you mean with windows Firewall, ...
    (microsoft.public.windowsxp.help_and_support)
  • Re: Setup Error when connecting Xbox 360 to MCE2005 PC
    ... Attempt to add your Xbox 360 again via the Media Center Extender Manager ... but receive the Setup Error (stating problems with the firewall ... Microsoft KB911728 for opening ports and allowing traffic to/from XBox ... Unable to open ports in the Windows firewall. ...
    (microsoft.public.windows.mediacenter)
  • Re: Outpost firewall wont run
    ... the Windows Firewall in XP does a fantastic job ... Deconstructing Common Security Myths. ... Don't fall for software applications touted in publications relying on ...
    (microsoft.public.windowsxp.help_and_support)
  • Re: XP Firewall Disabled - Help!
    ... Whern I install the SP1 tonight it ... Possibly some process is still doing changes to the registry. ... It says firewall is turned off. ... Find the Windows Firewall Service and make sure that the startup ...
    (microsoft.public.windowsxp.security_admin)
  • Re: windows-pach.info/
    ... Der ONU weiß das garnicht welche er tatsächlich benötigt. ... welche Dienste ich abschalte. ... Blocken eingehender Verbindungen mit der Firewall, ... daß die Dienstekonfig sicherer ist als ...
    (microsoft.public.de.german.windowsxp.networking)