Weil Kerio die Weiterentwicklung seiner Personal Firewall zum Jahresende einstellt (was ich sehr schade finde), ich diese FW aber selbst einsetze und auch in meinem Artikel empfohlen habe, suche ich zur Zeit nach einer Alternative. Deshalb an Euch hier (und insbesondere koppi und Manni) die Frage, welche Alternative ihr empfehlen würdet. Die Firewall soll frei oder zumindest billig sein, aber hinreichend sicher und flexibel. Für mich kommt insbesondere der Wunsch hinzu, die Regeln für verschiedene Netzwerkadapter und darauf verschiedene (Sub-)Netze individuell konfigurieren zu können. Wenn's geht mit Oberfläche!

Hintergrund: Ich betreibe inzwischen neben Kabel auch FunkLAN, habe also am Laptop beide Netze eingerichtet (Kabel=schnell, WLAN=flexibel). Nun möchte ich aber auf dem WLAN eine grössere Sicherheitsstufe fahren, also insbesondere kein NetBIOS, wenn ich in einem anderen als meinem sicheren Netz bin. Dort wäre es dann aber doch ganz nett, auch auf einen Share des PCs zugreifen zu können. Zur Zeit habe ich das dadurch (nicht) gelöst, dass ich an das Funknetz nur TCPIP gebunden habe, aber nicht die Daten- und Druckerfreigabe. Damit ist ein Zugriff von NetBIOS über den WLAN-Adapter nicht möglich, wohl aber per Kabel.

Also, wer kann mir hier einen guten Tip geben? :gruebel:

Ach so, aktuell teste ich die aktuelle Version von ZoneAlarm aus, und zwar ZA Pro für 40$ (15 Tage Testversion). Die freie Version ist neben Kerio die einzige, die eine vernünftige Unterscheidung zwischen LAN und Internet macht, und zwar über ein Zonenmodell. Weder Outpost noch Sygate können das, und die Konfiguration finde ich auch ausgesprochen umständlich (fast so schlimm wie die eingebaute Windows FW). Auch ausprobiert habe ich F-Secure Internet Security, hat mir aber nicht zugesagt, und kann auch nicht Zonen unterscheiden. McAffe und Norton kommen mir nicht ins Haus: Beide kenne ich zur Genüge aus der Firma :kotz:.

Meine Empfehlungen bei privat Kunden lauten wie folgt:

Zum Internet einen Router mit Hardwarefirewall z.B: Netgear oder D-Link

auf dem Rechner XP mit Servicepack2 und aktivierter Firewall (manchmal mit Ausnahmeregel um mit Zusatzrechner Daten auszutauschen).

XP Autoupdate aktiviert.

Als Virenschutz Trendmicro Internetsecurity 12 mit ständigen Updates.

Wenn möglich arbeiten die Benutzer auch privat nicht im Adminmodus !

Der Admin wird nur für Installationen verwendet.

KEINER meiner Kunden hatte in den letzten Jahren ein Virenproblem !

Bei Firmenkunden setzte ich immer den ISA Server 2004 mit Windows Server 2003 ein. Damit sind die verrücktesten Sachen möglich.
Der Verkehr zwischen den Netzen wird hier sogar mit Applikationsfiltern auf dieser Ebene kontrolliert.

Das nützt jetzt zwar dem Tobing nicht viel aber so sehen meine Konfigurationen aus.

Hallo Tobing,

die detaillierten technischen Anforderungen die Du da stellst, kann ich Dir, für meine in Benutzung stehende Wall, nicht bestätigen.

Ich kann nur dies sagen:
Ich verwende die Mozilla Firefox-Wall 1.0.7
Bekwehm, einfach, deutsch, kostnich

Mir ist aber bekannt, dass die üppige Firefoxausgabe, die mit allen Schikanen und kompliziert ausgestattet ist, angeblich nach gewisser Zeit auch weiterhin kostenlos bleibt.
Mal testen.............s`il vous plait! :hehe:

Meine Meinung zu McAffee und Norton ist ebenfalls :kotz:

Schließe mich an. (habe den Kotzer nicht parat) :crying:

Jeder, der Norton und seine Tumore loswerden will, sollte das dazu verfügbare Löschtool verwenden, sowas gibt`s nämlich. :hehe:

So, endlich wieder zuhause.

Danke für die Antworten! Stimmt, koppi, es beantwortet nicht meine Fragen, hilft mir aber trotzdem weiter.

Der Punkt ist der: Mein Heimnetz hängt an einem D-Link WLAN-Router, der seinerseits an meinem 'alten' SMC-Router hängt, der den DSL-Zugang verwaltet. Beide Router haben eine Firewall, der D-Link mit allem Komfort. Mein WLAN habe ich mit WEP 128bit verschlüsselt. ALles kein Problem, und dafür werde ich wohl auch bei der Windows-Firewall bleiben, oder mal die Firefox-FW ausprobieren.

Aber.

Wenn ich mit meinem Laptop mit dem WLAN-Adapter an einen ANDERES Funknetz :o gehe, das eben nicht meines ist (irgendwo in der Nachbarschaft betreibt einer ein ungesichertes, komplett offenes WLAN :hehe: :D :D), dann möchte ich meinen Läppi so dicht wie möglich absichern, und das geht dann nur und ausschliesslich über Software. Deshalb meine Fragen...

Aber.

Wenn ich mit meinem Laptop mit dem WLAN-Adapter an einen ANDERES Funknetz :o gehe, das eben nicht meines ist (irgendwo in der Nachbarschaft betreibt einer ein ungesichertes, komplett offenes WLAN :hehe: :D :D), dann möchte ich meinen Läppi so dicht wie möglich absichern, und das geht dann nur und ausschliesslich über Software. Deshalb meine Fragen...

Nun in diesem Fall würde ich die XP Firewall ohne Ausnahmeregel einsetzen, dann kommt nichts rein da kein Port offen ist.

Das erfordert natürlich, dass ich diese Einstellung von Hand vornehme, wenn ich ein entsprechendes Funknetz benutzen will. Ich dachte halt, es geht auch irgendwie automatisch...

ZoneAlarm zum Beispiel sagt mir Bescheid, wenn ein neues Netz aktiviert werden soll und fragt nach, welche Zone das ist, also Internet oder sicher. Vorher geht eh kein Verkehr über das neue Netz. Die Windows-FW ist immer so ein bisschen versteckt, und automatisch nach neuen Netzen fragt sie schon gar nicht. Schlamperei das. :hehe:

Nun auf Anhieb würde ich sagen das kannst du mit unterschiedlichen Hardwareprofilen erreichen die du dann beim Start aussuchen kannst.

Es gibt aber vielleicht noch ne elegantere Methode

Oops. Starten? :gruebel: Ich lege meinen Läppi immer schlafen, weil er dann schneller aufwacht als wenn er bootet, und neustarten mache ich spätestens beim nächsten Update. Nee, ich glaube nicht, dass ich das mit Hardwareprofilen machen will. Vermutlich lege ich mir ein Windows-FW-Icon griffbereit irgendwohin, und schalte die FW ggfs per Hand um. Kommt ja nicht soo oft vor :D.

Hallo Tobing,

Du kannst doch im Router die IP`s der PC`s eingeben und alle weiteren sperren, dann kommt da auch der Nachbar nicht rein........falls der es versuchen "sollte".

Auch bei mir hier wurden 3 weitere Funknetze gemeldet. Gemeldet ja, aber die waren gesichert, so wie meines auch.

Zig Berichte klagen über den mäßigen Schutz der XP SP2-Firewall, da stimme ich zu. Sie wird ja deshalb auch beim Installen von Mozilla von dem gnadenlos ausgeknippst. :hehe:

Einen Port-Check kann man auch mal zwischendurch bequem online durchführen.

http://www.securitymetrics.com/portscan.adp

Zig Berichte klagen über den mäßigen Schutz der XP SP2-Firewall, da stimme ich zu. Sie wird ja deshalb auch beim Installen von Mozilla von dem gnadenlos ausgeknippst. :hehe:


So schlecht ist die XP Firewall nicht und da Teil des Betriebssystems oft sogar wirksamer als andere.
Da aber viele Leute als Admin auf ihren Rechnern aktiv sind kann auch JEDE Softwarefirewall durch ein Stück anderer Software schnell deaktiviert werden.
Genau aus diesem Grund empfehle ich IMMER einen zweistufigen Schutz , eine Hardware und eine Softwarefirewall.

Dazu kommt das eine Softwarefirewall oft den Anwender befragt ob dies oder das zugelassen werden soll. Da die meisten gar nicht wissen wie diese Fragen beantwortet werden sollen werden die Fragen oft falsch beantwortet.

JEDES Heimfunknetzwerk ist von Profis mehr oder weniger schnell zu knacken auch wenn diese auf MAC Adressen fixiert sind. Die Wahrscheinlichkeit das sich ein Profi interessiert ist aber eher gering.

Eine sicherere Methode wie 802.1X mit Zertifikatstruktur und hoher Verschlüsselung sowie Verschlüsselungsprotokollen ist aber für Heimanwender zu teuer.

JEDES Heimfunknetzwerk ist von Profis mehr oder weniger schnell zu knacken auch wenn diese auf MAC Adressen fixiert sind. Die Wahrscheinlichkeit das sich ein Profi interessiert ist aber eher gering.

Trotz MAC Filter und 128bit WEP Schlüssel???
Das würde mich genauer interessieren...

Trotz MAC Filter und 128bit WEP Schlüssel???
Das würde mich genauer interessieren...

Klar doch, ich lasse mir immer die Security Newsletter unter anderem von
http://www.windowsitpro.com zusenden, da gab es schon öfter einschlägige Berichte.

Noch schneller fündig wenn man sich in der Hackerscene umsieht aber vorsicht dabei kann man sich leicht was einfangen.

***IMMER einen zweistufigen Schutz , eine Hardware und eine Softwarefirewall*** habbich :hehe:

Und der Onlein-Portskänna hat mal wieder alles STEALTH gemeldet. :D

So macht rechnern Spasss

Hab ich jetzt den ZoneAlarm wieder deinstalliert. Also HW-Firewall, die nur http, http2, pop3 und ftp durchlässt, und ansonsten die Windows-Firewall, mit Shortcut aufm Desktop, um sie schnell zu erreichen und die Ausnahmen zu deaktivieren. So geht das gut, denke ich mal.

Jetzt versuche ich, demäss den Tipps von der Seite, die :koppi: netterweise hier verlinkt hatte, die Übertragung der SSID auszuschalten. Scheint aber leider so, als ob die Verbindung dann nicht mehr zuverlässig zustande kommt... vielleicht liegt es aber auch an etwas anderem, ich werde es bestimmt noch 1-3 mal probieren.

Einen Port-Check kann man auch mal zwischendurch bequem online durchführen.

http://www.securitymetrics.com/portscan.adp

supa. der link kommt sofort zu meinen favoriten.
schön, wenn alles grün ist. :)

So, aufm Läptop hat der Scan nichts gefunden. Obwohl ich im Moment über den freundlicherweise aktiven ungesicherten Accesspoint surfe, den irgendwer in der Nachbarschaft betreibt. :applaus:

Also, ich find das gut. :hehe: Der wahrscheinlich nicht. :crying: Nur weiss ich nicht, wer das Ding betreibt, sonst würd ich's ihm ja sagen... :D

Muss mal noch den PC checken...

... auch dicht. Gut so. Weitermachen.

Die Personal Firewall von Sygate wird ebenfalls nicht weitergeführt, nachdem Sygate von Symantec übernommen wurde.

Auf http://www.ntsvcfg.de findet sich ohnehin ein sehr interessanter Artikel über den (Un-)Sinn von Personal Firewalls, was ich zum Anlass nehme, definitiv nur noch auf eine Hardwarelösung zu setzen und ansonsten allenfalls die eingebaute WindowsFW zu nutzen.