EVIL 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Hier mal ein Tipp für alle, die sich Admin schimpfen, oder die, die sich mit dem Thema Internet-Security/Firewall stark beschäftigen. CHX-I ist ein Packetfilter (jedes Linux hat soetwas - sehr sinnig ) und somit der beste schutz, gegenüber zugriffen von aussesn auf das LAN oder den eigenen PC... Ein Packetfilter macht nichts anderes als den Packetheader auszulesen, und die darin enthalteten Daten auszuwerten (IP-Quelle, IP-Ziel etc..) und anhand von den definierten Regeln entsprechend zu agieren..... Frei nach dem Linux motto, zuerst darf man nichts, und dann wird stück für stück freigeschaltet, ist es ein extrem sicheres system). Hier mal eine kurze Beschreibung von CHX-I: CHX-I ist ein Paketfilter und damit ein "Hardcore" Firewallsystem für Minimalisten, dass Puristen begeistern wird, sich aber erheblich von den Firewallsystemen unterscheidet, wie sie die Mehrheit der Normalanwender kennen. Grundlage fast jeden Firewallsystems ist so ein Paketfilter, der nach mehr oder minder komplexen aber feststehenden Regeln den Netzverkehr zwischen zwei Rechnern überwacht. Hierzu werden die Paketheader ausgelesen, in denen Informationen über die Quelle und das Ziel zu lesen sind. Anhand dieser Informationen entscheidet ein Paketfilter, ob z.B. eine IP-Adresse als freundlich erkannt wird oder nicht. Wer sich mit CHX ernsthaft beschäftigen möchte, benötigt zwingend notwendig intime Kenntnisse über Netz-Protokolle und Ports sowie mindestens die Grundlagen normaler Netz-Kommunikation. Wer diese besitzt oder bereits ist, sie zu erlernen, dem bietet CHX nahezu unbegrenzte Möglichkeiten der individuellen Konfiguration von Rechner und/oder Netzwerken. CHI-X bietet hierbei folgende Funktionen an: - Zentraler Firewallservice - Konfiguration über die Microsoft Management Console - Definition von IP- und Port-Listen - Anzeige aktiver Netzwerk-Prozesse - Anzeige des Service Status - Übersichtliche Trennung zwischen aktiven und inaktiven Filtern - Zentrales Log-System mit detailreichen Informationen Globale Paketfilter - Individuelle Erstellung von IP-Listen und Port-Listen - Stateful Inspection für TCP und UDP - Verwaltung beliebig vieler Netz-Interfaces - Individuelle Konfiguration der Netzwerk-Karten - Umfangreicher Konfigurationsdialog zur Feineinstellung jedes beliebigen Filters, der bis hin zur Einzelauswahl zu berücksichtigender FLAGs geht Den gesamten Text könnt ihr in dem unten angegeben 1. Link durchlesen....Der 2. Link beinhaltet den Download.... CHX ist für Privatanwender kostenlos und steht für die Betriebssysteme Windows 2000, XP und 2003 zur Verfügung. CHX-Artikel: http://www.firewallinfo.de/index.php?option=news&task=viewarticle&sid=422 CHX-Download: http://www.idrci.net/idrci_tryit.htm (registrierung notwendig) Greetz, Evil P.S.: Gruß und Thnx an Lian ;) Zitieren Link zu diesem Kommentar
ThaWild 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 na das hört sich ja recht lecker an ;) Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Hallo, Wenn man schon Purist ist, dann setzt man doch die Firewall nicht unter WIN*** auf? :p Gute Erfahrungen habe ich mit IPCOP von http://www.ipcop.org ;) sammeln können, zumindest was die Anbindung nach außen angeht. Zu welchem Zweck soll man das denn einsetzen? Gruß Ralf Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 27. November 2003 Autor Melden Teilen Geschrieben 27. November 2003 Original geschrieben von mailfriend67 Wenn man schon Purist ist, dann setzt man doch die Firewall nicht unter WIN*** auf? :p [Doofefrage] Ähm wieso nicht ? :suspect: [/Doofefrage] Sorry, aber das zielt mir schon wieder ein bisschen zu sehr in die "Microsoft-Produkte sind Schrott" Richtung. Da bin ich ein bisschen allergisch gegen :suspect: Greetz, Evil Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 @Evil: Mußt nicht allergisch sein, ich arbeite mit beiden und jedes hat wohl seine Berechtigung. [DoofeAntwort] Aus meiner Sicht ist Win*** für eine FW zu offen und man geht den Weg, alles Schließen zu müssen, statt nur das zu öffnen, was man braucht. [/DoofeAntwort] Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 27. November 2003 Autor Melden Teilen Geschrieben 27. November 2003 Nichts für ungut ;) war nicht so bös gemeint, wie es da stand ;) In der Standard-Konfiguration sind Windows Systeme sehr grosszügig eingestellt, da gebe ich dir Recht. Und genau dort setzt ja dieser Packetfilter an. Da es für viele Firmen fast schier unmöglich ist, mal eben schnell die Infrastruktur auf Linux/Unix umzustellen, denke ich, ist dieser Packetfilter (o.ä. Produkte) eine gute möglichkeit dem System in Punkto Sicherheit einen kleinen Tux davorzusetzten. Zusätzlich hat Windows ja noch (ab 2000 glaub ich) die möglichkeit, mit der TCP/IP Filterung nur bestimmte TCP/UDP Ports oder nur bestimmte Protokolle zuzulasssen. ;) Greetz, Evil Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Hi Evil, mit der von dir abgebildeten Maske habe ich mal 4 Stunden verbracht. Ergebnis: nix ging, egal was ich auch tat :( Da habe ich es dann aufgegeben und hab in 3 Stunden eine Linux-FW aufgesetzt. *Vielleicht bin ich ja für MS zu dusselig* Grüße Olaf Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 27. November 2003 Autor Melden Teilen Geschrieben 27. November 2003 Hi Olaf, hmmm sollte eigentlich klappen...viel verkehrt machen kann man da ja eigentlich nicht.....vielleicht hiflt das hier weiter,: http://www.id.unibe.ch/~asiegen/ena/Skripte/ena-secnet/Netzwerk-Hardening%20von%20Windows.pdf und zur erklärung hier von MS direkt: http://www.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_TCPIP_ovr_secfeatures.htm Greetz, Evil ;) Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 Danke, Evil, werde ich mal in einer ruhigen Stunde durchlesen. ;) Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 27. November 2003 Autor Melden Teilen Geschrieben 27. November 2003 Gerne doch Olaf ;) Mir gehts manchmal so bei Windows, das ich einfach echt zu kompliziert denke..... Vielleicht hast du da ja auch irgendwo dasselbe gehabt - kennst ja den berühmten spruch mit dem wald und bäumen. Ich bin irgendwie immer von bäumen umzingelt :D Greetz, Evil Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 27. November 2003 Melden Teilen Geschrieben 27. November 2003 @Evil: Hab es auch nicht böswillig angenommen, sonst würde ich wohl im Heise-Forum posten! ;) Trotz allem bleibt für mich bei dieser FW-Lösung die Frage, wer eigentlich was macht, denn zahlreiche TCP/IP-Einstellung wie auch zum Connectivität kann man neben der MS-eigenen FW auch noch per Registry patchen. Ist aus meiner Sicht irgendwo ein bißchen zuviel des Guten. :shock: Hinzu kommt die Vielzahl an Diensten, die teilweise nur spartanisch dokumentiert sind (und von denen man wiederum nur eine kleine Auswahl braucht). Nicht zuletzt die fast täglichen neuen Exploit zu Sicherheitslücken, die immer wieder nur leienhaft gepatched werden, trüben da mein Bild einer möglichen FW aus MS-Basis. Ich verstehe die MS Welt als eine gute Basis hinter einer FW. Auch der MS ISA Server oder Deine vorgestellte FW-Lösung kann mich da noch nicht von abbringen. Lasse mich allerdings auch von positiven Ergebnissen beeinflussen. Allerdings machen einem die Patches auch hier mittlerweile hinreichend Arbeit. So denn, schönen Abend in die weite Welt Ralf ;) Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 28. November 2003 Melden Teilen Geschrieben 28. November 2003 Evil: Danke, der Link ist recht nützlich! Zitieren Link zu diesem Kommentar
tribun1971 10 Geschrieben 28. November 2003 Melden Teilen Geschrieben 28. November 2003 hi all, @ evil klar ist der link grundsätzlich nicht schlecht, aber zitat "Da es für viele Firmen fast schier unmöglich ist, mal eben schnell die Infrastruktur auf Linux/Unix umzustellen " ..... naja, man braucht nicht seine komplette struktur umszustellen, um die sicherheit "einigermassen zu erhöhen". nehme man "überschaubar" anspruchsvolle hardware, packe sich eine saubere/harte redhat/debian...wasauchimmer.... distribution drauf. zusätzlich dann eine fw und z.b. "lids" (http://www.lids.org) .... und schon hab ich für wenig geld eine "sicherheitseinrichtung", für die ich zum einen bei m$ viel kohle zahle, zum anderen permanent den ärger habe, dass ich mich nie sicher fühlen kann :-) ... was natürlich keine appliance ersetzen kann, aber dennoch sicherlich ohne "strukturellen umbau" bei wenig investition den schutz enorm erhöht. gruss tri Zitieren Link zu diesem Kommentar
Gast justav Geschrieben 5. Februar 2007 Melden Teilen Geschrieben 5. Februar 2007 hallo zusammen, ich hab letzens mit der firma telefoniert die die chx firewall vertrieben hat. die firma wurde aufgekauft - das produkt eingestampft. gibt es denn eine aehnliche firewall wie chx fuer windows ? ich meine nicht solche - wo alle 2 minuten ein fenster aufgeht und fragt. wollen sie? ja/nein/vielleicht ich moechte z.B. feste regeln in einer datei festlegen ... und dann nicht mehr belaestigt werden. danke. gruss justav Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.