VS & FW in Konkurrenz -am Beisp. avast und Comodo- ??

[sipoplue]

Hallo,
folgende Story/Frage möchte ich mal in den Raum stellen (sollte sie schon irgendwo in den Tiefen beantwortet sein, dann sorry):

Bisher liefen unsere PC's unter dem Schutz der Internet Security v. F-Secure. Bis auf die eklatanten Systemauslastungen beim Echtzeitscan, vor allen Dingen beim Systemstart, gab es nie Probleme.

Nun unter dem WHS, habe ich wütend die F-Secures 2008 rausgeschmissen, ein vernünftiges Arbeiten war nicht mehr möglich.
Auch der dt Tel.Supp. konnte nicht weiterhelfen. Die kannten noch nicht mal den WHS.
Auf meiner Suche nach einen WHS-tauglichen VS blieb ich schließlich bei avast hängen. Nun fehlte mir ein Firewall. avast versprach erst ab Sommer 2008 eine Security mit dem avast5.
Outpost konnte ich vergessen, da blickte niemand durch. Entweder war sie zu offen oder zu zu.
Da ich eine Lösung für den einfachen Privatmann gesucht habe (soll WHS ja angebl. sein) suchte ich weiter. Hier kam mir nun wieder avast zu Hilfe und schlug mir die Comodo FW vor. Mit dieser hätten sie gute Ergebnisse erzielt.

Ich kannte dat Dingens nicht, noch nie gehört, hab sie mir aber versuchsweise mal gezogen. War angenehm überrascht. Sie ist deutschsprachig, relativ pflegeleicht und kostet nix.
Seitdem läuft diese Software problemlos auf den Clients in Harmonie mit avast.

Während meiner Suche nach geeigneter Software, hörte oder las ich immer wieder, dass eine FW auf dem WHS keinen Sinn mache.
Entweder das WHS funktionierte stabil, dann ist die FW offen. Ist die FW relativ scharf eingestellt ist es aus mit dem WHS-System.

Klingt plausibel einerseits.........

Hierzu nun die Fragen:

Wer kennt die Comodo FW, bzw wer hat Erfahrungen mit ihr gemacht?
Was stimmt an der Aussage bzgl. der FW auf dem WHS ??

Denn derzeit werkelt der WHS bei mir hinter dem Router nur mit avast WHS. Ganz wohl fühle ich mich dabei allerdings nicht.

Grüsse, Siggi

[Hornen]

Mit Personal Firewalls ("Software Firewalls") ist das immer so eine Sache. Ich persönlich halte davon absolut garnix, da sie zum eigentlich Konzept einer Firewall, das sichere Trennen von Netzen, nichts beitragen. Eine Firewall soll eine Wand VOR dem zu schützenden Netz sein (für den Normaluser in der Regel: Internet -> Firewall -> LAN) und nicht auf einem Rechner im LAN selber installiert sein. Letzten Endes überwiegen bei den Personal Firewalls die Nachteile erheblich und unter Umständen holt man sich durch deren Installation potentielle neue Sicherheitslöcher auf den Rechner (wobei das für fast alle Software gilt).

Hier noch ein bissel weiterführender Lesestoff zum Thema Personal Firewall:

Der CCC zum Thema Personal Firewalls
Beitrag in der Ubuntu - Wiki (bezieht sich zwar auf Linux, trifft das Thema aber dennoch)
Beitrag zum Thema Personal Firewalls der Uni Muenster
Firewall FAQ der IKS Jena
Diskussion im Winfuture Forum (über 70 Seiten, Teilweise unteres Niveau )
"Ranting" zum Thema Sicherheit auf dem PC eines Bloggers (zielt nicht direkt auf Personal Firewalls ab, ist aber ganz nett zu lesen, engl.)

Letzten Endes musst du verstehen, dass es sich beim Thema Firewall um ein Sicherheitskonzept handelt, dass nur greifen kann, wenn verschiedene Komponenten zusammenarbeiten und richtig geplant wurden. Dies kann ganz sicher nicht von einem einzigen Programm, dass AUF einem zu schützenden Rechner installiert wurde, realisiert werden.

Mein Rat an dich deshalb: Lass die Personal Firewall sein, ein Router mit eingebauter SPI Firewall sorgt da für mehr Sicherheit. Wenn es doch unbedingt eine Personal Firewall sein solll, schalt einfach die Windows Firewall ein.

Edit: Hier gibts auch noch einen aufgezeichneten Vortrag zum Thema!

[Martin]

Ich kann da nur zustimmen. Vor was soll denn eine zusätzliche FW auf dem WHS schützen?

Gruß
Martin

[sipoplue]

Danke für die beiden Beiträge, die eigentlich bereits alles bestätigen, was ich auf seriösen Seiten und von kompetenten Netzwerkbetreuern in Erfahrung bringen konnte.
Klare Aussage: FW ja, wenn vor dem Server, also extra Hardware.
Ansonsten: guter Virenschutz auf Server und Clients plus die FW des Routers.

Diese überzeugenden Aussagen, werden jedoch stets von vielen anderen "Erfahrenen" massiv angegriffen. Manche haben sich an die Stirn getippt, wenn mal die Aussage kam FW ist im Netz auf jedem Client sinnlos und nur ein potentieller Störfaktor.
Dann kamen Sätze wie. bei deinen Kindern, da weiß man nie, die Ziehen und treiben sich auf allen möglichen Seiten herum.
Da braucht man unbedingt eine gute FW. Und da meine F-Secure Security ja beides hatte lief die ständig.
Ob die FW was gebracht hat, kann ich weniger sagen. Im Log fand ich etliche angebl. Angriffe.
Wenn ich Gegenzug im Router sparsam agiere, schreien meine Youngsters, dann ist mit Spielen aus.
Wenn ich aber wegen des ShowCenters das uPnP aktivieren muss, bringt die FW im Router nicht mehr viel.

Oder liege ich da auch falsch??

lg Siggi

[Hornen]

Sobald ein Dienst angeboten werden muss/man dies will, bringt keine Firewall etwas, da der Dienst ja kommunizeren darf, mit diesem Risiko muss man dann leben.

Und ja, mit UPNP ist das so ne Sache, es sollten natürlich nur die Ports geöffnet werden, die das Showcenter selber braucht, aber es ergibt sich natürlich ein zusätzliches Risiko, dass bei Befall eines Rechners ausgenutzt werden kann, sollte UPNP im Route angeschaltet sein. Aber mich wundert, dass das Showcenter überhaupt ins Internet muss, dass es funktioniert, sollte da nicht UPNP Support im LAN ausreichend sein?

Und wegen der Kinder, da ersetzt keine Software der Welt die Kontrolle vor Ort

Aber wenn du dafür sorgst, dass deren System immer aktuell sind, gescheite Virensoftware läuft, ihnen die Adminrechte nimmst, ... sollte das hinhauen. Eine Personal Firewall ersetzt nicht ein gut gewartetes System, umgekehrt schon. Die Möglichkeit einen globalen Phishingfilter zu etablieren ergibt sich beispielsweise wenn du die DNS Server von http://www.opendns.com verwendest, statt du deines ISPs.

Wie schon vorher gesagt, eine Personal Firewall ist ziemlicher Unfug und ist nicht das, was die Hersteller einen glauben machen wollen. Notfalls halt die Kiddies "zwingen" gewissenhafter im Umgang mit dem PC zu sein, sonst wird Internetzeit gestrichen .

[Martin]

ihnen die Adminrechte nimmst, ...

Ich habe das bei uns daheim so geregelt, dass alle Kinder mit eingeschränkten Rechten arbeiten, surfen usw.
Zum Spielen gibt es einen eigen User Spiele, der admin. Rechte hat (da es leider immer noch viele Hersteller nicht gebacken kriegen). Unter diesem Account wird nicht gesurft und ich hab ein Auge darauf. Die Kinder sind entsprechend geimpft.

Gruß
Martin

[sipoplue]

Hallo,

naja Ihr habt ja recht, das klingt alles so einfach, vor allen Dingen mit den Kiddies.
Die sind nunmal bereits 22,20, und 19. Wollen klüger als ihr Alter sein, fallen laufend auf die Schnauze, aber........
.....kapieren tun die nix.
Solange sie halt bei mir im Netz sind, bin ich verantwortlich für den Scheiß den sie veranstalten.
Hierzu mal ne private Frage. Ist es möglich nachzuvollziehen von welcher LAN-IP aus ein Besuch auf der HP von Fa. XY stattgefunden hat.
Hab da nämlich gerade ein Prob. laufen. Da es definitiv unsere ext. IP war, von der die Anmeldung erfolgte, es aber wie üblich niemand war, wäre für mich diese Frage höchst interessant.

Grüsse
Siggi

[AliG]

Ist es möglich nachzuvollziehen von welcher LAN-IP aus ein Besuch auf der HP von Fa. XY stattgefunden hat.
Hab da nämlich gerade ein Prob. laufen. Da es definitiv unsere ext. IP war, von der die Anmeldung erfolgte, es aber wie üblich niemand war, wäre für mich diese Frage höchst interessant.

Nun, im Nachhinein eher nicht (ausser dein Router hat eine Protokollfunktion). Ansonsten hätt ich es mit einem Netzwerksniffer wie Wireshark oder Ethereal probiert.

lg Alex

[Hornen]

Die sind nunmal bereits 22,20, und 19. Wollen klüger als ihr Alter sein, fallen laufend auf die Schnauze, aber........

Ist ja genau meine Altersgruppe, diese Jugend heut zu Tage

Aber wie AliG schon gesagt hat, ist im Nachhinein nichtmehr möglich, es sei denn man hat Logs von dem Gerät, dass die Anfrage an den DNS Server geschickt hat. Und da ich mal davon ausgehe, dass du im LAN keinen eigenen DNS Server betreibst, wäre da die letzte mögliche Anlaufstelle der Router. Benutzt man die DNS Server von Opendns hat man zwar eine schöne Statistik aller Seitenaufrufe, allerdings sieht man dort, logischerweise, auch nur die externe IP.

[sipoplue]

Danke für die Antwort. Dachte ich mir eigentlich schon. Sch....!
Schlag ich mich halt mit der Anzeige auch noch rum. Man gönnt sich ja sonst nix.

Jaja diese Jugend von heute!! Verdammt noch mal, warum gehör ich nich mehr dazu!
Allerdings kümmerst Du Dich wenigstens um Deine Hardware. Bei uns darf's Papi richten.
Saugen, ziehen, blasen, wenns Ärger gibt schreien se nach dem Papa.
Halt, nee; beim Bl. schrein se nich, das geht ja gar nicht am PC.

Machs gut, man liest sich wieder

Siggi