Firewall-Kurzguide
Zuerst: Lesen bildet bekanntlich, also Zuendelesen. Lernresistenz ist eine heilbare Krankheit, allerdings muss der Patient den Willen zur Gesundung mitbringen und fleissig Reha betreiben -> also viel lesen und vor allem versuchen zu verstehen.
Was ist ein(e) Firewall?
Stark vereinfacht, sie schuetzt vor Angriffen bestimmter Art (und dass sind auch nicht viele) von draussen aus dem Internet. Gegen Angriffe von drinnen, also dem eigenen Netz, kann eine Firewall so gut wie keinen Schutz bieten. Das ist prinzipbedingt und beruht auf dem grundsaetztlichen Aufbau heutiger Netzwerke. Auch wenn es im Gegensatz zu so mancher Werbung von "Personal Firewall"-Herstellern steht, es ist so.
Ausserdem wird das Wort Firewall meist verkehrt uebersetzt. Die meisten verstehen DIE Firewall und uebersetzen es bildlich mit Brandmauer (das ist die fensterlose Wand bei Altbauten). Korrekter waere DER Firewall und eine bildliche Uebersetzung waere Feuerschutzwall (um das Haus herum).
Es gibt heutzutage zwei Arten von Firewalls, die eine schimpft sich Softwarefirewall oder auch "Personal Firewall", der andere ist eine mehr oder weniger grosse Hardwarekiste, die zwischem Deinem Rechner/Deinem Netzwerk und dem Internet steht (im Heimgebrauch in der Regel Bestandteil eines Hardwarerouters).
Erkennst Du schon den Unterschied? Ein Feuerschutzwall, der das Feuer auf Abstand zum Haus haelt, schuetzt natuerlich wesentlich besser als eine Brandmauer, die Bestandteil des Hauses ist und fleissig durch das Feuer erhitzt wird.
Dasselbe gilt fuer die "Personal Firewalls", sie sind Bestandteil des Systems, das sie schuetzen sollen. Klingelt es jetzt?
Das war bisher nur ein bildlicher Vergleich, die Realitaet ist noch viel schlimmer. "Personal Firewalls" schuetzen im Prinzip nicht mal erwaehnenswert. Sie wiegen den Benutzer nur in truegerischer Sicherheit und fressen nebenbei meist eine Menge Ressourcen und hindern Dich am Zocken. Wer es genauer wissen will, der kann es hier nachlesen
"Personal Firewalls" - Versagen auf ganzer Linie (Thanks to KingNarg fuer den Link).
Nun werden viele (scheinbar zu Recht sagen) was schuetzt mich denn dann?
Dazu muss man verstehen, wie das Internet arbeitet. Was jetzt kommt ist eine starke Vereinfachung, sie reicht aber, um die Problemstellung zu erlaeutern.
Im Internet gibt es verschiedene Dienste, z.B. das normale Web, erkennbar bei den Links am http vornedran. Diese Dienste werden auf sogenannten Ports zur Verfuegung gestellt, damit sie voneinander unterschieden werden koennen. Das Web arbeitet standardmaessig auf Port 80. Dieser Port ist nichts weiter als eine Kennung, die eben sagt, das ist Web und nicht IRC oder Emule oder D2.
Damit so ein Dienst funktioniert gibt es zwei Methoden (eigentlich drei, die dritte ist hier aber irrelevant).
Bei der ersten sendet der Client (Euer Computer) eine Anfrage an den Host (beim Web ist das der Server im Internet) auf Port 80: "Hast Du was fuer mich?" Und der Host antwortet entweder mit "Noe hab nix", dann bekommst Du die beruehmte Fehlermeldung 404 (Seite nicht vorhanden) bzw er antwortet "Klar, hier nimm!" und du bekommst die schoenen bunten Bilderchen aus dem Netz oder er antwortet "will nicht" (Verbindung abgelehnt/Connection rejected) und zuguterletzt kann es auch passieren, das er gar nicht antwortet (Das sind die Timeout-Fehler beim Surfen).
Man nennt dieses Verfahren auch TCP (irgendwoher kennt man das Wort, nicht wahr?)
Bei der zweiten Methode sendet der Host einfach was an den Client, in der Hoffnung, dass er antwortet. Da gibt es drei Varianten "Jupp, immer her damit", "Noe, will nicht" oder gar keine Antwort. Wird auch UDP genannt.
Wozu die ganze Erlaeuterung? Jetzt muss man wissen, das jeder Computer sowohl Host als auch Client sein kann und das es 65535 Ports gibt. Und nicht nur theoretisch kann ein Computer sowohl Client als auch Server gleichzeitig sein und das auf demselben Port. Und wenn Du Pech hast sowohl auf TCP als auch auf UDP.
Und jetzt zurueck zum Anfang: eine Firewall definiert, wer wann in welche Richtung ueber welchen Port senden und/oder empfangen kann. Wozu das ganze jetzt ?
Ganz einfach, dein Windows kann z.B. auf etlichen Ports eine Verbindung annehmen, z.B. damit irgendjemand im Internet auf Deine Laufwerke zugreifen kann. Du willst das nicht? Dann hast Du drei Moeglichkeiten:
- Du benutzt eine "Personal Firewall", ganz schlechte Idee, siehe obigen Link.
- Du benutzt eine Hardwarefirewall, schon viel besser, kann aber fuer ISDN/Modem-Benutzer ein teuerer Spass werden.
- Du schaltest den Dienst einfach ab. Wo kein Dienst da ist, da kann auch nichts antworten, egal ob TCP oder UDP. Und damit kann auch nichts in Dein System eindringen.
Das Hauptproblem bei Windows sind naemlich unendlich viele laufende Dienste, die kein Mensch braucht und die teilweise so schlecht programmiert sind, das man sie im laufenden Zustand mit einem
Abakus knacken kann. Aber auch hier naht Hilfe. In den Tiefen des Internets findet sich folgende
Webseite, die sich genau mit diesem Problem beschaeftigt. Nochmals, Ein Dienst der nicht laeuft kann nicht antworten und somit auch nicht geknackt werden.
Uns damit haben wir auch gleich nebenbei den eigentlichen Schwachpunkt von Computern geklaert, ueber den es zu Hacks von aussen kommen kann: Fehler in der Programmierung. Und da ist bisher Windows Spitzenreiter.
Glueht der Kopf schon? Es kommt naemlich noch schlimmer.
Jetzt interessiert die meisten hier, was das mit D2 zu tun hat. D2 sendet und empfaengt staendig Daten zu/von den B.Net-Servern z.B. um Deinem Rechner mitzuteilen, er soll jetzt die Animation abspielen, in der Dein toller Character toedlich getroffen zu Boden sinkt. Wichtig hierbei ist, dass die kleinen Datenpakete, in denen das alles drin steht, so schnell wie moeglich zum B.Net-Server kommen bzw. zurueck. Verzoegerungen dabei aeussern sich als Lag, der in Hell eben oft zum Ableben fuehrt.
Was hat das mit der Personal Firewall zu tun? Ganz einfach, die PF schaut sich das Datenpaket an und muss entscheiden, reiche ich es nun weiter oder nicht. Und dabei laesst sie sich halt oft viel zu viel Zeit. Ausserdem spielen bei der Entscheidung noch eine Handvoll mehr Faktoren eine Rolle, so dass sich durchaus grosse Zeitdifferenzen bilden koennen; absolut toedlich im Thronsaal.
Hinzu kommt, dass die PF und speziell Norton dabei auch noch eine Menge CPU-Zeit verbraten, und das mit einer hoeheren Priroritaet als D2 ergo, D2 lahmt auch noch an einem anderen Ende.
Also einfach weg mit dem Muell. PF sind eine tolle Marketingerfindung, zu mehr sind sie nichts nutze.
Und schon hat man das Problem der Portfreigabe bei der PF geloest, man benoetigt keine Freigabe mehr.
Natuerlich stellt sich jetzt fuer viele die Frage, bremst eine Hardwarefirewall nicht auch? Die Antwort ist ziemlich eindeutig: Nein. Eine Hardwarefirewall benoetigt keine Systemressourcen (Sie hat Ihre eigenen) und sie filtert nach viel einfacheren und strikten Regeln. Es gibt einen gewissen Delay, der liegt aber in der Dimension < 1 ms. Und D2 ist im Regelfall einfach erlaubt. Punktum.
WindowsXP interne Firewall
Wer Modem oder ISDN benutzt, sollte sie nutzen, sie arbeitet ein bischen anders als die anderen PF. Ist als Notnagel die einzige Loesung die mir einfaellt. Ein Hardwarerouter waere deutlich besser, waehlt aber staendig ein (Jede Anfrage ins Internet loest eine Einwahl und damit Kosten aus) und kostet nebenbei auch deutlich mehr als fuer DSL.
Wer DSL hat, soll sich einen Hardwarerouter zulegen und die Windows-FW abschalten.
Portfreigaben
Ueberall steht, ich soll diese und jene Ports fuer D2 freigaben. Ist das denn alles Bloedsinn?
JAIN. Zuerst mal gilt diese Anforderung vor allem fuer die schrottigen PF. Da wir diese ja deinstallieren, brauchen wir uns mit der Frage nicht mehr beschaeftigen. Die meisten Hardwarefirewalls lassen das Spielen in der Grundeinstellung zu.
AUSNAHME: man will selbst Spiele hosten (als Server fungieren). Dann UND NUR DANN muessen in einer Hardwarefirewall die entsprechenden Ports fuer ANKOMMENDEN Datenverkehr freigeschaltet werden. Naemlich in diesem Fall fragen anderen Computer bei Deinem Computer an, ob sie eine Verbindung aufbauen duerfen, was genau in diesem Fall ja gewuenscht ist.
Woran erkenne ich, dass ich eine dieser Ausnahmefirewalls habe?
Einerseits am Preis, die die cih kenne sind deutlich ueber der 100 EUR-Grenze. Oder an dem Typen, der sie Dir empfiehlt (Sein Lieblingswort ist LINUX bzw BSD, er ist Administrator in einem Netzwerk und will von Dir den Personalausweis sehen, wenn Du ihn nach der Uhrzeit fragst)
Wie konfiguriere ich meinen Hardware-Router
Das steht in dem Handbuch drin bzw. auf der Webseite des Herstellers. Ein bischen Googlen hilft meist weiter.
Fuer all die Begriffe gibt es leider keine einheitliche Sprachregelung. Z.B. gibts einen Telekom-Router, da werden die Firewall-Regeln unter Parental-Controls definiert, sinnig und absolut einleutend
. Da sollte man lieber mal vorher jemanden fragen, was man sich zulegen soll und wenn man unerfahren ist, sollte dieser jemand in Sichtweite sein, hier im Forum helfen zwar viele gerne, aber wir sehen weder deine Technik noch all die vielen Sachen, auf die Du (noch) nicht achtest, die aber wichtige Hinweise geben. Eine Richtlinie gilt aber ueberall, wenn der Service fuer den Router eine 0900er Nummer hat, dann Finger weg.
Hardwarerouter kosten Geld bzw. sind zu teuer
Zu teuer lasse ich nicht gelten. Neue, brauchbare Router gibts ab 35,-- EUR, gebraucht schon ab nen 10er. Das sollte einem die Sicherheit schon wert sein.
Ich habe Windows 98/ME ...
Diese beiden System sind hoffnungslos veraltet und beim besten Willen nicht mehr auch nur andeutungsweise sicher zu bekommen. Microsoft hat den Service, und damit auch die Fehlerbeseitigung, schon lange eingestellt. Da hilft nichtmal eine Hardwarefirewall viel weiter. Einzige Alternative ein neues Betriebssystem. Immerhin steht Weihnachten vor der Tuer.
Schuetzt mich die Firewall vor Viren, Wuermern, Trojanern..
Schlicht und ergreifend: NEIN
Ich muss in der Hardwarefirewall die Ports fuer Emule usw. freigeben, hat das Einfluss auf D2?
Die Portfreigabe an sich nicht, die Benutzung von Emule und Konsorten schon. Allerdings wenn man Ports fuer bestimmte Anwendungen freigibt bzw. sie triggert, dann muessen noch mehr EInstellungen geaendert werden, die wiederum Einfluss auf alle Anwendungen haben. Fehler dabei koennen natuerlich auch Einfluss auf D2 haben. Da hilft nur eins, genau wissen was man will und vor allem wissen was man nicht will.
Ausserdem muss man gar nichts. Man will es, und man sollte sich ueber seine Wuensche und vor allem deren Folgen vorher informieren.
Welche Internetdienste, -programme vertragen sich mit D2
Genaugenommen gar keiner. Alle koennen unter Umstaenden mehr oder weniger haeufig zu Lags fuehren. Gegebenfalls muss man es einzeln ausprobieren. Und wenn man auf Fehlersuche ist, sollte man erstmal alle anderen Programme wie ICQ, EMULE, Kazaa usw, die auf das Internet zugreifen, abschalten. Schon alleine eine Webseite kann deinen Rechner Lags bescheren, wenn z.B. die Java-Engine startet um ein Applet auszufuehren. Und dieses Applet wiederum kann selbst soviele Ressourcen verschlingen, dass man nur noch 3 Frames/sekunde hat.
Wie gesagt kann, muss nicht. Die Moeglichkeit besteht aber immer.
Welche Programme koennen D2 noch laggen lassen?
Etliche, ich gehe immer von der Philosophie aus, Schnaps ist Schnaps und Bier ist Bier. Entweder zocke ich oder ich mache was anderes. Und damit umgehe ich von vorneherein jedem Konflikt.
Ein paar Kandidaten:
- alle P2P-Programme
- alle Programme die viel Rechenleistung fressen, kann man im Taskmanager unter Prozesse feststellen
- einige Virenscanner, vor allem wenn sie auf den Extremeinstellungen (paranoid) betrieben werden, trauriger Spitzenreiter ist wieder Norton.
Mir hat das alles nicht viel geholfen
Dann stelle Deine Frage im Hilfe-Forum, lies dir vorher den Wegweiser genau durch und halte Dich dran.
EDIT vom 03.10.
Erweiterte Erlaeuterung und NAT
Eine Firewall soll gegen Angriffe von aussen schuetzen. Also wenn jemand von aussen Aufforderungen an einen Port schickt und versucht dort einen Dienst zu nutzen bzw Fehler bei diesem Dienst auszunutzen.
Wenn an dem Port kein Dienst lauscht, weil das System sauber konfiguriert wurde, dann gibt es auch keinen Angriffspunkt. Wenn der Port freigegeben ist, dann meldet die Firewall auch keinen Angriff egal ob der Zugriff gewollt oder ungewollt ist.
Das zweite, was gerne mit einer Firewall verwechselt wird, ist die sogenannte Application-Firewall. Die regelt Zugriffe von Software auf Netzwerkressourcen.
Eigentlich eine Sache fuer sich, jedoch vereinen heutzutage PFs wie Zonealarm, Sygate usw. beide Funktionen in einem, also Firewall und Application-Firewall.
Wenn jetzt die PF den Zugriff einer schaedlichen Software (z.B. die svchosts.exe) auf das Netz meldet, dann ist diese Schadsoftware ohnehin schon auf Eurem Rechner drauf und will "bloss" noch raustelefonieren. Also Euer System ist in diesem Fall dann schon kompromittiert.
Was mein Gedankengang hinter der Sache ist, gegen "Angriffe" ist die Personal Firewall praktisch ueberfluessig, wenn das System gut konfiguriert ist. Und gegen wirkliche und nachhaltige Angriffe mit dem entsprechenden Willen und Durchhaltevermoegen dahinter, schuetzt nicht mal eine gutkonfigurierte ausgewachsene Hardwarefirewall definitiv. Und die Applicationfirewallfunktion in den PFs meldet einen Einbruch ins System, wenn er schon passiert ist.
Mein Resumee ist also, man bekommt einen Schutz auf der einen Seite, den man auch andres bekommen kann und danach noch die Moeglichkeit der "Infektionsbenachrichtigung".
Auf der anderen Seite kosten die PF Ressourcen, im Fall von Norton nicht mal wenige, man bekommt einen Haufen Fehlalarme, die bei den meisten Otto-Normal-Usern schnell zum Gewohnheitsklick werden und die unerfahrenen Benutzer denken, dass sie sicher waeren, wo sie es gar nicht sind. Und Zocken behindern sie auch oft
Deswegen lieber keine PF und eine paranoide Herangehensweise als truegerische Sicherheit, wo es keine wirkliche Sicherheit gibt.
und nochmal zum Thema Hardwarefirewall:
Eine Hardwarefirewall hat als Standard NAT ( Network Adress Translation ).
wer es genauer wissen will
Wenn ihr direkt ins Internet geht (also Euer Rechner haengt z.B. direkt am DSL-Modem), dann bekommt ihr von Eurem Provider eine IP-Adresse zugewiesen. Unter Dieser IP ist Euer Rechner dann auch direkt erreichbar. Wie man so eine IP herausbekommt, ist hier nicht Thema, es ist aber ziemlich einfach. Und damit kann Euer Rechner direkt angegriffen werden.
Wenn ihr ueber einen Router geht, dann bekommt Euer Rechner "nur" eine interne Adresse von Router. Die IP von Provider bekommt der Router, und der uebersetzt alles was von innen kommt auf diese IP und die Antworten daraufhin wieder zurueck. Das kann der Router fuer einen oder auch fuer mehrere Rechner machen. NAT ist auch die einzige Technologie, wenn man nur eine IP-Adresse im Internet hat (der Normalfall fuer alle ISDN, Modem, DSL-Nutzer), aber mit mehreren Rechnern gleichzeitig ins Internet will.
Wenn jetzt aber einer diekt die IP anspricht, ohne das dafuer eine Anfrage von Eurem Rechner vorliegt, dann weiss der Router nicht wohin damit und schickt die Datenpakete ins Nirvana. Einzige Ausnahme sind die Datenpakete, fuer die von Euch spezielle Regeln definiert wurden, damit sie direkt zu Eurem Rechner weitergeleitet werden.
NAT ist somit der beste Schutz, den man bezahlen und "einfach" nutzen kann. Die Firewallregeln beschraenken sich dann in einem Router auf ein simples REJECT, damit der Angreifer schneller aufgibt und Eure Leitung nicht belastet.
Ich hoffe meine Erlauterung von NAT war verstaendlich genug um den Kern und die damit verbundenen Vorteile zu begreifen.
Nur zur Vevollstaendigung, auch NAT ist kein perfekter Schutz, aber irgendwo muss der Angreifer zwischen Nutzen und Aufwand abwaegen, und dazu sind die normalen Dadelrechner@home als Ziel nicht wertvoll genug, um viele Ressourcen zu investieren.
Und nochmals zur Betonung, Angriffe gegen die eine Firewall oder NAT schuetzt, sind nur ein Aspekt der Sicherheit und inzwischen der deutlich kleinere. Viel gefaehrlicher sind die Angriffe, die ueber ohnehin legitime, offene Ports hereinkommen, wo z.B. von einer Webseite aus versucht wird, Fehler in Internetexplorer auszunutzen. Denn gegen die schuetzt Euch keine Firewall. Fuer die Firewall sind solche Angriffe normaler Internetverkehr.
) gemacht/geprüft wurde... DANN können mer immer noch gucken wo es hängt:
) LAN incl. Router andrehen läßt und sich NULL damit beschäftigt.
