Frage zu Firewall

[Joerg]

Hallo Leute,

ich habe mal den Sicherheitscheck bei Symantec gemacht (www.symantec.de).

Dabei kam raus das mein Port 80 (http-Server-Port) offen ist und das mein PC gepingt werden kann.

Ich nutzte einen WAN-Router von CompuShack und der hat leider keine integrierte Firewall.

Mein Betriebssystem ist Windows XP Home SP2 (alle Update gemacht).
Meine Windows-Firewall ist aktiviert.

Wie kann ich jetzt diese beiden "Sicherheitslöcher" schließen?
Muss ich wirklich so eine Personal-Firewall installieren?
Wenn ja, welche ist zu empfehlen?

Danke für Hilfe!
Joerg

[Aries]

Arg !
Port 80 kannst du nicht schliessen da du sonst keine seiten mehr aufrufen kannst, der Post muss offen sein und du kannst nur durch eben diesen angegriffen werden wenn du einen Browser benutzt wie den Internet Explorer welcher föllig zerlöchert ist.

mach dir keine sogern darum das der PORT offen ist, das muss so sein, da durh kann dir auch niemand wirklich schaden zu fügen. Das einzige was du da machen kannst um auch das abzudichten is wie gesagt ein anderer Browser.

Ich benutzde den MOZILLA FIREFOX.

HTH

[Massada]

Port 443 kannst du dann auch gleich mal aufmachen, den brauchst du für HTTPS :D

[Aries]

Ich würde Ports immer nach dem folgenden System aufmachen :

Du startest eine Aplikation, welche sich mit dem Internet verbinden möchte, dann sollte sofort die nachricht deiner FW hinvorschnellen und fragen ob es erlaubt wird über diesen PORT zu kommunizieren, so hasst du keine Überflüssig offnen Ports.

[Irkentin]

Der Tip, noch weitere Ports zu öffnen, ist kontraproduktiv.
Aries redet von einer PFW, nicht vom Router. Die PFW fragt aber nun gerade, ob der Zugriff auf ein
entferntes System (80/tcp) erlaubt sein soll, für eine bestimmte Anwendung. Das ist Surfen,
aber nicht das, was Symantec anmeckert (die finden nämlich lokal, also bei Dir daheim, den Server-Port offen).

Mal unabhängig davon, was man von all den Tests auf verschiedenen Herstellerseiten halten soll ...

Wie schon richtig geschrieben, 80/tcp ist der Standardport für Web-Server.
Der sollte natürlich aus dem Internet nur dann offen sein, wenn lokal auch ein Webserver läuft.
Ob man nun surfen kann, hat damit leider überhaupt nichts zu tun, denn der 80/tcp-Port liegt dann nicht lokal,
sondern irgendwo im Internet.

Der Router, von dem die Rede ist, hat angeblich keine FW-Features, möglicherweise aber "port forwarding",
oft anders benannt, z. B. "local server". "Local server" ist recht eingängig, denn dafür (und nur dafür) wird es be-
nötigt. Und ist wohl fälschlich aktiviert.

Die Möglichkeit eines "ping" wird von SOE auf deren Website ausdrücklich empfohlen. Pings auf den Router sind
auch erstmal nicht gefährlich, man wird nur um Mitteilung gebeten, ob man denn "zu Hause" ist.
(In einer echten FW würde ich aber erstmal testen, ob Sonys Statement so richtig ist ("... should be
permitted be-directional ...") Warum soll der Server den Client anpingen können?)

Die "EQ II firewall information" von Sony läßt schließen, daß ein einfacher NAT-Router (alle billigen Teile, die der
Händler um die Ecke verkauft) ohne zusätzliche FW-Regeln keiner zusätzlichen Konfiguration bedarf:
Alle benötigten Verbindungen werden vom Client zur den Servern aufgebaut und solche Verbindungen
sind a) in Default-Konfigurationen erlaubt und b) für NAT-Router unproblematisch.
Diese Default-Konfiguration ist für Otto Normal in Ordnung und braucht (im Hinblick auf Sicherheits-
aspekte) auch nicht geändert zu werden.

Personal Firewalls sind diskussionswürdig, aber bitte nicht hier im Forum.
Oft schaden sie mehr als sie nutzen, denn sie werden gern falsch konfiguriert und wiegen dann in
falscher Sicherheit. Insbesondere bieten sie /keine/ Kontrolle über lokale Software, denn diese kann PFWs
umgehen, indem z. B. ein freigeschalteter Browser mißbraucht wird, oder die PFW abschalten.

Anti-Viren-Software kann auch in falscher Sicherheit wiegen, ist aber viel sinnvoller als eine PFW.

Also was tun?

- Port 80/tcp schließen (auf dem Router)
- Ping erlaubt lassen (auf dem Router)
- keine weiteren Ports öffnen
- Virenscanner installieren und auch aktualisieren.
- fröhlich EQ2 spielen, sobald Du's hast.

[Aries]

Port 80 bei einer Hardware firewall zu schließen ist möglich wenn man noch HTTP will ? Ich meine der Hardware Router sperrt doch in beide richtungen oder ?

Naja hatte nie einen, will auch keinen scheiss erzählen, sage also einfach mal recht so was du da sagst...

Das mit den PFW is son ding, wenn du nur einen Hobby Hacker hast wird er wohl nicht weit kommen bei PFWs aber richtige Profis kommen da ohne zu zucken durch... Was solls ich mag meine AVK Firewall, da diese mich gelegentlich vor recht wissensbedürftigen Menschen shützen kann. (nicht immer)

Antiviren Scanner finde ich sind allerdings in heutigen zeiten relativ gut. Man sollte nun nicht auf Norton usw. vertrauen. Gute Scanner sind zum Beispiel der AVK und ich glaube es war der Steganos.

Und ja mit der meldung die ich meinte habe ich mich verfrabzt ich habe an meine kleine PFW gedacht :D

Ich würde da gerne auch noch was zu sagen, aber der luxus einer Externen Firewall im Router blieb mir bis jetzt verspärt wordurch ich auf diesem gebiet keine weitere erfahrung machen konnte.

[Rozzor]

Personal Firewalls sind diskussionswürdig, aber bitte nicht hier im Forum.
Oft schaden sie mehr als sie nutzen, denn sie werden gern falsch konfiguriert und wiegen dann in
falscher Sicherheit. Insbesondere bieten sie /keine/ Kontrolle über lokale Software, denn diese kann PFWs
umgehen, indem z. B. ein freigeschalteter Browser mißbraucht wird, oder die PFW abschalten.

Ok, dann ohne Diskussion. Ist die Bitdefender FW ausreichend? hrhrhr ;)
Ich habe den Eindruck, daß die ordentlich arbeitet und mich über jeden Pups, der auf meinem Rechner abgeht, informiert.

[Aries]

Hehe wie schon gesagt, PFWs sind leicht umgänglich für die die es wirklich ernst meinen. Aber ich glaube in einem test gelesen zu haben das die garnet so schlecht war (für ne PFW)

[Irkentin]

Port 80 bei einer Hardware firewall zu schließen ist möglich wenn man noch HTTP will ? Ich meine der Hardware Router sperrt doch in beide richtungen oder ?

Nein, FWs unterscheiden immer zwischen 'inbound' und 'outbound'.

Auch deine PFW tut das, schau' mal was passiert, wenn du z. B. bittorrent benutzen möchtest. Dann wird sie nämlich
(hoffentlich) fragen, ob Du einen Server-Dienst anbieten willst ('inbound').

NAT-Router haben überhaupt kein Problem, herausgehende Verbindungen herzustellen ('outbound'), und verbieten
diese auch normalerweise nicht, selbst wenn eine Mini-FW eingebaut ist.

Etwas ganz anderes sind jedoch Verbindungen, die von außen in Richtung des Routers aufgebaut werden. Mit denen
kann er erstmal nichts anfangen. Soll dann ein Dienst angeboten werden, muß man das explizit konfigurieren.
Das hat wohl jemand fälschlicherweise für Jörg getan.

[Irkentin]

Insbesondere bieten sie [PFWs] /keine/ Kontrolle über lokale Software, denn diese kann PFWs
umgehen, indem z. B. ein freigeschalteter Browser mißbraucht wird, oder die PFW abschalten.

Ich habe den Eindruck, daß die ordentlich arbeitet und mich über jeden Pups, der auf meinem Rechner abgeht, informiert.

Tut sie auch, sie informiert Dich über jede legitime Sw, die telefonieren möchte oder Dienste anbietet (hoffentlich).
Sie informiert (hoffentlich) auch, wenn jemand von draußen auf Deinen Rechner zugreifen möchte.

Jede lokale Software, die sich Deiner Kontrolle entziehen möchte, kann das nach wie vor.

Die PFW ist sinnvoll, wenn Dein Rechner direkt am ISP hängt, um Zugriffe von außen abzuwehren.

Sie rettet Dich aber nicht, wenn Dein Rechner durch Trojaner o. ä. verseucht wurde.

PFWs hinter NAT-Routern helfen nur in dem Fall, daß der Router bereits kompromittiert wurde (was durchaus möglich ist).

Nu iss aber gut, einschlägige Newsgroups helfen weiter.