Firewall heute noch nötig?

Eine kurze allgemeine Frage. Benötigt man heutzutage noch eine Firewall – egal ob Windows oder Linux?

Es hat doch früher (zu XP-Zeiten) immer gehießen, dass man unbedingt eine installieren muss, da man ansonsten „Offen wie eine Scheune“ ist.

Ist das heute immer noch so? Und was hat(te) es damals auf sich, dass man „offen wie eine Scheune“ war (ich stelle mir das so vor, dass jeder quasi auf den Rechner übers Internet zugreifen konnte)?

1 „Gefällt mir“

Kurz gesagt: Ja!

Ohne Firewall hätten es Angreifer viel zu einfach. Und eine solche hat im Grunde jeder Mensch zu Hause, der Intenet hat. Denn in den Routern ist eine Firewall integriert, die grundsätzlich alle Verbindungen von außen blockiert. Es sei denn man bohrt Löscher in diese hinein, in dem man auf gewissen Ports den Zugriff von außen erlaubt. Ohne Firewall wären grundsätzlich alle Ports offen und der Zugriff von außen möglich.

Mike schreibt dazu bezugnehmend auf Linux:

In einem anderen Beitrag:

Vielen Dank für die verständliche Antwort, o0ps :grinning:

Verstehe ich das richtig, dass die Firewall dann „nur“ von außen schützt, also wenn ich jetzt eine Malware von meinem Rechner aus starten würde, dann würde die nicht schützen, richtig?

Kann eine Firewall dann bösartige Links bzw. Webseiten blocken oder ist hier die Grenze erreicht?

Hast du für Windows eine Firewall-Empfehlung?

Eine Firewall kontrolliert den Netzwerkverkehr. Betrachte sie wie einen Pförtner. Dieser entscheidet, je nach Anweisung, was hinein oder hinaus darf und was nicht. Gibt es keinen, kann alles ungehindert vorbei. Wenn du eine Malware installierst, schützt eine Firewall nur bedingt. Sie kann höchstens die Verbindung zu IP-Adressen/Ports blockieren, sodass die Schadsoftware keine Verbindung zu anderen Servern aufbauen kann. Was je nach dem nicht immer so einfach ist. Aber die Firewall an sich schützt dich nicht vor einer Installation/Infektion.

Es gibt in manchen Firewalls/Routern die Möglichkeit, mittels eines Proxy den eingehenden Verkehr nach Viren zu scannen und zu blockieren. Standard-Router können dies eher nicht.

Wenn sie diese Funktion hat bzw. durch Plugin erhält. OpenWRT ist eine freie Router-Firmware, welche dies kann. OPNSense kamn dies bspw. auch.

Vielleicht ist https://safing.io/ .

2 „Gefällt mir“

Ja, sofern Du ein jüngeres System als Win XP verwendest, die Windows Firewall.
Seit SP2 ist sie „sogar“ out of the box active!

Aber sie ist wirklich sehr gut und sehr fein-granular in beide Richtungen konfigurierbar.
Allerdings ist das selbst für Administratoren recht anstrengend.

Daher gibt es ein externes Front-end: Windows Firewall Control bzw. seit Win 10 rauskam, Windows 10 Firewall Control.
Damit ähnelt die Bedienbarkeit der historischen Zone Alarm Firewall, jedoch in der Qualität der herstellereigenen Windows Firewall, die auch weiterhin originär konfigurierbar bleibt, wenn das Front-end installiert ist.

Das sind allerdings Firewalls, die auf dem System laufen, das sie beschützen sollen. Es wäre also Malware denkbar, die gerade die Firewall-Konfiguration so manipuliert, daß ihr alle „Scheunen“-Tore offenstehen.

Windows Firewall ersetzt die „Hardware-Firewall“ einer NAT nicht, sondern ergänzt sie vor allem um die feine Steuerung, welche Software von drinnen nach draußen kommunizieren darf und wohin, aber auch zusätzlich um eine Blockierung bestimmter eingehender Absende-Adressen.

Die Standard-„Router“ haben nur diese NAT, teils ergänzt um DNS-Filter, die auch nur eingehend filtern.

Eine logisch optimalere Lösung ist natürlich ein separater, externer Firewall-Server, der darauf spezialisiert ist, im Netzwerk vor dem zu schützenden Bereich sitzt und selbst nicht angegriffen wird, wie sie o0ps schon beschrieben hat.

All diese Systeme schließen sich nicht gegenseitig aus, erhöhen aber in der Parallelverwendung den Konfigurationsaufwand: man muss gut dokumentieren, damit man später noch weiß, was man wo eingestellt hat, wenn etwas nicht wunschgemäß funktioniert.

1 „Gefällt mir“

Diese Frage alleine… ich hab ne Ipfire auf nem kleinen Server laufen, die zwischen dem Modem und meinem Netzwerk sitzt… jeden Tag durchschnittlich 10.000 Drops von sogenannten Internet Rauschen, worunter auch alle Möglichen Angriffe auf ssh 22/23 dabei sind. Würde das alles auf einen Windows PC eindonnern, wäre der nicht mehr zu gebrauchen…also ja, unbedingt braucht man eine…

Ich möchte in dem Zusammenhang eine Frage stellen, wenn ich eine Firewall nur für ipv4 verwende und ipv6 einfach nur deaktiviere, ist es dann trotzdem Möglich aus meinem Netzwerk herraus durch die Firewall durch ipv6 zu routen?
Ist es richtig das ipv6 statt einfach deaktiviert geblockt werden muss, ansosnten routet der einfach durch?

Vielen lieben Dank an euch allen, das hat mir sehr geholfen :grinning:

Jap, bin auf Windows 10. Bin froh, dass die XP-Zeiten rum sind :joy:
Aber super, dann belasse ich die Windows Firewall so wie sie ist :+1:

Bzgl. Router routet IPv6?

Besitzt ein System IPv6 Interfaces und routet dessen Inhalt, ist eine Firewall sinnvoll.
Ist kein IPv6 Interfaces vorhanden, ist theoretisch keine Firewall notwendig. Nachfolgend dennoch die Empfehlung, Drop All zu verwenden.

Bzgl. kein IPv6= keine IPv6 Firewall? → Besser: Drop all

Deaktivieren von IPv6 sollte generell eine Firewall unnötig machen. Vor allem, wenn der Router zum Internet kein entsprechendes Interface besitzt und keinen Dienst IPv6 over IPv4 anbietet.

Grundsätzlich ist es aber vermutlich sicherer, die IPv6 Firewall auf Drop all zu setzen.

Beispielsweise kann IPv6 via Grub2 deaktiviert werden, dann sollte man sicher sein.

Anderenfalls kann beispielsweise eine Änderung an den Interfaces entsprechende Risiken erzeugen: Neues Netzwerk-Interface erscheint, aufgrund Hardware oder Software-Änderung (VPN Client, Firmware Update, Konfigurations-Änderung).

Fazit: IPv6 ggf. komplett deaktivieren und wenn möglich mit Drop All (In, Out, Routing) sichern.

Ich muss mal in Erfahrung bringen wie ipfire das eingestellt hat als standard, weil ich genau wie Du sagtest ein VPN client habe, der mit Tab device als IPv6 konfiguriert ist und somit ja einfach durch die Firewall durchgeht. Ich habe je nachdem welchen Server ich nutze auch nur eine IPv6 Adresse vom VPN Provider, somit routet er auf jeden Fall raus.
Ein Zugrff in die andere Richtung also zu mir, könnte dann doch ohne weiteres auch stattfinden, oder nicht?
Soweit ich das verstanden habe kann man IPv6 Adressen immer direkt ansprechen.