Win Firewall

Moin moin,

nachdem ich mich der Sufu bediente und feststellen musste, dass es dieses Thema noch nicht gibt, was mich etwas verwunderte, oder ich einfach nur zu blöd zum suchen war, eröffne ich nun ein neues Thema. Bitte um öffentliche Auspeitschung, wenn dies schon diskutiert wurde. :)

Es geht um Firewalls für Windoof; speziell Win10, wenn das einen Unterschied machen sollte.

Ich war jahrelang der Meinung, dass die in Windows integrierte Firewall völlig ausreichend sei, da sie im Prinzip auch nur das macht, was alle anderen Firewalls auch machen. Was mir schon immer etwas undangenehm dabei war, wie bei jeder closed source Software, ist, dass ich nicht genau weiß, was das Ding eigentlich macht. Wer weiß, ob MS nicht einfach eine Huntertür eingebaut hat und mit port knocking über irgendwelche Windowsdienste kommunizieren kann... Klar hat man das Risiko fast bei jeder kommerziellen bzw. closed source Software aber keine ist bei Win als standard aktiv.

Für mich ist jetzt mal spannend wie ihr das auf euren Windows Systemen (spätestens wenn man zockt, hat man doch eins :D) handhabt. Was für eine Firewall benutzt ihr und wie stellt ihr diese ein oder verlasst ihr euch auf die in euren "Router"?
 
Port-Knocking wird auch bei einem Windows-System nicht funktionieren, wenn der Router es nicht durchlässt. Daher ist ein guter Paketfilter im Router sicherlich immer vorzuziehen, wenn man seinem System nicht vertraut.
 
Hallo,
Ich persönlich verlasse mich weder auf die Win Firewall, noch auf die eines Consumer Routers.
Seit längerem verwende ich MikroTik Geräte bei mir zu Hause und bin sehr zufrieden (nicht nur als FW). Allerdings kann ich diese Lösung nur bedingt weiterempfehlen, da die Dinger ohne Wissen im Netzwerkbereich schwer einzurichten sind.
 
Seit längerem verwende ich MikroTik Geräte bei mir zu Hause und bin sehr zufrieden (nicht nur als FW). Allerdings kann ich diese Lösung nur bedingt weiterempfehlen, da die Dinger ohne Wissen im Netzwerkbereich schwer einzurichten sind.

Das würde ich so nicht unbedingt unterschreiben. Bin ja auch ein großer Fan der Mikrotik Routerboards mit RouterOS. Da kommt es halt darauf an, welche Ansprüche man an einen Router hat. Wenn es nur darum geht den üblichen 0815-WLAN-Router zu ersetzen, reicht die Konfiguration über das "Quick Set" völlig aus. Und die ist nicht wirklich komplizierter als bei anderen Routern auch, vor allem weil im Normalfall schon brauchbare Standard-Werte vorgegeben sind. Gewünschte WLAN-Daten eintragen und schon sind die Ansprüche der meisten User bereits erfüllt.

800px-Quickset-upgrade.jpg


Netzwerk-Kenntnisse sollte man vor allem dann mitbringen, wenn man individuelle Ansprüche hat. Da hilft aber das Mikrotik-Wiki auch oft gut weiter um Setups für bestimmte Anforderungen durchzuführen. Und zur Not kann man sich bei der Ersteinrichtung auch einfach mal einen Fachmann in's Haus holen, der alles soweit fertig macht, dass es genutzt werden kann. Erfahrungsgemäß ändern die wenigstens Normaluser jemals ihre Router-Konfiguration so lange die Kiste läuft.
 
Was mir schon immer etwas undangenehm dabei war, wie bei jeder closed source Software, ist, dass ich nicht genau weiß, was das Ding eigentlich macht.

Zwei Dinge:
1. Die Windows Firewall ist nicht besonders komplex. Es handelt sich im Grunde nur um einen aufgebohrten Paketfilter mit Desktop-Firewall-Funktionen wie Benachrichtigungen und dynamischen Regeln sowie inzwischen auch NextGen-Firewall-Technologien wie Identitäts- und Verschlüsselungserkennung.
2. Würde eine bewusst eingebaute Sicherheitslücke das Licht der Öffentlichkeit erblicken, dann wäre dies der Todesstoß für Windows im Enterprise-Umfeld. MS macht rund 80% seines Lizenzumsatzes im Unternehmenskontext - das Risiko hierfür wäre für Microsoft daher unverhältnismäßig groß. Man kann daher davon ausgehen, dass zumindest die Paketfilterkomponente frei von künstlichen Bugs sein sollte.
 
Ein gutes Beispiel für Software, die trotz Backdoor noch betrieben wird ist Lotus Notes. Staatliche Hintertüren handhabt man da wohl etwas unproblematischer.

Davon abgesehen... wenn ich meinem OS nicht vertraue sollte die Kiste offline bleiben. Spätestens bei der Updatefunktion wird der verschlüsselte Datenverkehr nicht mehr transparent. Da waren dann alle Maßnahmen für die Katz.
 
Zuletzt bearbeitet:
wenn ich meinem OS nicht vertraue sollte die Kiste offline bleiben

Ich glaube da machst du es dir ein wenig einfach.
Spätestens, wenn du einen Kunden hast, der Windows benutzen will, welches du einrichten sollst, zieht dieses Argument nicht mehr. Entweder du bleibst dir dann treu und lehnst den Kunden ab (das machst du nicht oft) oder du versuchst es halt so gut wie möglich umzusetzen bzw. abzusichern. Und genau darum geht es ja hier.
Oder wenn du gerne Spiele online spielen möchtest, musst du dich auf ein online Windowssystem einlassen
Und mal ganz ehrlich, welchem OS kannst du denn vertrauen? Oder kennst du den Quellcode von jedem, von dir genutztem OS auswendig sowie von jeder installierten Software bzw. hast du deren Verhalten studiert? Also mit Vertrauen, grade bei US-amerikanischen Unternehmen wie Microsoft oder Apple ist da von meiner Seite nicht viel zu erwarten. Solange der Kunde mehr zahlt als der örtliche Geheimdienst, kann man noch einigermaßen beruhigt sein, aber "Vertrauen" geht da etwas zu weit, wenn man von einem profitorientierten Unternehmen spricht.
 
Ich stimm dir voll und ganz zu. Aber ganz ehrlich, wenn ich Microsoft misstraue nehme ich kein Windows, wenn ich dem Kunden Absicherung vorlüge und dann doch eine Tür für z. B. Updates offen lasse ist das ja dann schon ein Vertragsbruch?
Grundsätzlich musd ich der Software, die ich oder der Kunde einsetzt, in gewisser Weise vertrauen. Eine Absicherung des Betriebsystems ohne Sourcecode ist nur möglich, wenn man das System best möglich isoliert. Sobald Netzwerkdienste geöffnet werden weiß man schon nicht mehr genau was das OS als Herrscher über die Kiste da kommuniziert und wenns auch noch verschlüsselt stattfindet kann das keiner mehr richtig nachvollziehen. Würdest du bei nem Kunden z. B. Windows updates sperren?
 
Als ich noch Windows verwendet habe, habe ich glasswire benutzt.
Firewall Software by GlassWire

Damit kann man sehr einfach einzelnen Programmen Internet wegnehmen.
Dagegen ist die Konfiguration der Windows Firewall eine Katastrophe (auch wenn nicht wirklich schwierig und eventuell anderes Einsatzgebiet).

Man müsste sich halt anschauen, was auf einem Windows so alles horcht, was man von außen nicht unbedingt sehen muss und diese Dienste/Ports könnte man dann extra in der Windows Firewall deaktivieren. Auf einem 0815 PC vermutlich Port 80, 443, 21 etc. (wobei Skype z.B. 80 aufmacht und ich weiß nicht, ob das dann damit wechselwirkt).

Aber grundsätzlich vertraue ich meinem Router ja auch. Der macht schon die Hauptarbeit und lässt z.B. meinen Drucker nicht nach draußen kommunizieren, macht etwas port forwarding und den Rest, der nicht rein soll, sollte er wegschmeißen.
 
Ist das nicht auch die Strategie bei Open Source Systemen?
Ich kann dir grad nicht folgen.
Ich war eher auf die physikalische Isolierung aus, da er ja dem Betriebssystem nicht mal vertraut und wenn Microsoft ein Hintertürchen eingebaut hat wird wohl keine Software dran rütteln dürfen und der Traffic wird in unauffälligen Anfragen versteckt sein z. B. Updates, Fehlerberichterstattung usw.

Sprich ab einem gewissen Punkt bleibt mir nur Vertrauen oder Isolation.
 
Warum sollte man sicherheitstechnisch ein properitäres System anders behandeln, als ein Open Source System?
Garnicht, behaupte ich auch nicht ;)
Wenn ich RedHat nicht vertraue, dann bleibt mir realistisch betrachtet auch nichts anderes übrig. D. h. ein gewisses Grundvertrauen muss ich mit bringen, oder ich nutze die Software nicht. Wenn der Kunde die Software wünscht klär ich ihn auf, dass nichts 100%ig ist und dann kann er sein Risiko abwägen. Hier ging es aber nicht um einen Kunden sondern um einen Zocker PC und die Frage wie man ne Firewall konfiguriert so dass Windows nicht nach Hause telefonieren kann. Das ist mit ner Desktop Firewall garnicht möglich, weil das OS die Implementierung der Firewall einfach umgehen kann. Isolier ich die Maschine im LAN, dann darf ich nur die ein zwei Ports am Router freigeben. D. h. keine windows updates, kein http(s) sondern nur den "zocker" port. Und wer weiß ob die Backdoor in der Portwahl nicht flexibel ist oder MS mit dem Spielehersteller kooperiert. Dann kauf ich mir gleich ne Konsole auf der ich nicht arbeite und nur zocke.
 
Zurück
Oben