Kostenlose Firewall für Windows: Online-Armor 4.0
von caschy | 33 Kommentare
Online-Armor ist eine Software-Firewall die auch unter Windows 7 läuft. Es gibt sie in einer kostenlosen (heißt dann Online Armor 4.0 Free) und in einer Bezahlversion. Die Software stammt aus der australischen Softwareschmiede Tall Emu und wurde meines Wissens nach zusammen mit den Jungs & Mädels von Emsi (a-squared) in die deutsche Sprache übersetzt.
Die Software läuft bisher nur auf Betriebssystemen mit 32Bit, Anfang 2010 soll aber eine Beta für 64Bit erscheinen.
Auf meinem Testsystem verbraucht die Software gerade einmal fünf Megabyte Arbeitsspeicher. Wer sich mit Benutzern austauschen will, der findet übrigens hier ein Forum. Eine Downloadmöglichkeit sowie die Unterschiede zur Bezahl-Variante findet ihr hier.
Alternativ gibt es für Leute die zwingend eine Software-Firewall einsetzen wollen ja immer noch Agnitum Outpost Firewall 2009 oder Comodo Firewall Professional Free.
Wird geladen ...
Dirk Paehl es geht sehr wohl darum ob ich dem Betriebssystem also die Schnittstelle zwischen dem User und der Hardware vertraue oder nicht. Ich würde kein System nutzen wollen, dem ich keinen deut vertraue. Oder holst du dir Haushaltsgeräte denen du nicht vertraust um dann mit einem Isoband diese besser abzusichern? Ein Betriebssystem kann mehr als ein Rootkit und allein dieser Umstand sollte einem zumindest bewusst sein.
Der Router ist nicht das Allheilmittel. Keine Ahnung wieso der wieder in die Diskussion gebracht wird. Ich weiß bspw. das die Siemensrouter die u.a. von Alice/Hansenet verteilt werden man selber im LAN(!) via Telnet kompromittieren kann. Dieser Zugang ist anscheint für den Support gedacht aber wen interessiert das? Der Dienst läuft ständig und Portknocking kennt das Teil auch nicht.
Ob ich mich irre wegen meiner Behauptung man kann über den IE nach draußen mit einem Drittprogramm oder nicht, überlasse ich dem geneigten Leser. Und Comodo, Sygate oder wie sie alle heißen unterliegen alle dem gleichen Problem. Sie sind alle keine eigenständige Einheit sondern unterliegen dem OS!
Die Firewall ist auch nur ein Teil oder ein Modul von einem Gesamtkonzept welches viel mehr beinhaltet als eine nette GUI die man mit der Maus anschubsen kann. Sowas wie Backup, eingeschränkte (User)Rechte, regelmäßige Updates usw.
„Daher ist es meiner Meinung nach rausgeschmissenes Geld für eine Firewall auch noch Geld auszugeben.“
Muss ich klar verneinen. Eine schicke Hardwarefirewall für ist alles andere als verkehrt. Die kann auch mehr als jeder Router und Desptopfirewall zusammen.
Ein Rechner allein stellt kein Risiko dar. Das Gefahrenpotenzial definiert sich durch das alter des OS, des Dienstes auf Port xy und dem allgemeinen Patchstand. Regelmäßige Pflege der Software sollte das Risiko bis auf ein Minimum reduzieren.
Und „gesunder Menschenverstand“ hin oder her. Der hilft dir auch nichts, wenn du über die Gefahren nicht bescheid weißt. Und nein, du kennst nicht jede Gefahr. Allein die zukünftigen körperlosen Malware-Schadprogramme stellen auch für dich mit einem „gesunden Menschenverstand“ ein immenses Risiko dar. Zu dem kommen durch neue Angriffsmethoden und steigender All-in-One-Lösungen neue Angriffsziele zu Tage. All dem kannst du nicht Gegensteuern oder es überhaupt zur Kenntnis nehmen.
„Wireshark und Konsorten nützen nicht viel wenn über HTTPS gegangen wird.“
Dank der neuen Schwachstelle im SSL-Protokoll aktuell wohl eher doch. Und nein, der angebliche Fix ist keine Lösung.
@Dirk Paehl
Also, ich würde die Lizenz nehmen, wenn Du sie noch loswerden willst.
Habe bis jetzt Outpost(mit lifetime license) benutzt, möchte
aber mal was anderes testen.
Über Online Armor habe ich bis jetzt schon viel positives gelesen. Mich würde interessieren, wie sie (bei mir) im direkten
Vergleich zu Outpost abschneidet.
mailto:onlinearmor_pyo@rcpt.at
Meine uneingeschränkte Empfehlung: Sygate Personal Firewall. Längst discontinued aber immer noch super.
Ob man nun der MS eigenen Firewall traut bleibt jedem selbst überlassen. Nur kann ich nich nachvollziehen wieso sich manche auf die Seite von Softwarefirewalls schlagen und behaupten, dass sie 1000x besser seien als die MS Firewall. Wenn eine Software / ein Schädling nach hause telefonieren möchte, kann sie / er das auch tun ohne dass die Firewall das merkt. Dann tun sie es eben über den Browser oder den E-Mailclient. Sobald die passenden Ausnahmeregeln eingetragen sind steht Tür und Tor offen. Zugriffe von außen zu verhindern kann jede Firewall und dafür reicht die MS Firewall.
Und was bringen kryptische Warnmeldungen wenn man selbst als Profi oft nachlesen muss welche Komponente gerade Online möchte. Ist doch Schwachsinn wenn der Benutzer die Verbindungsversuche legitimieren muss die er zum Teil nicht einmal ansatzweise versteht.
Ein ordentlicher Virenscanner und ein richig konfigurierter Router mit Firewall (oder eben die MS Firewall) dazu eine ordentliche Portion Verstand und Vorsicht seitens des Benutzers reichen.
PS: Da fällt mir gerade der ZoneAlarm „Skandal“ ein. Damals kam raus, dass ZoneAlarm in regelmäßigen Abständen verschlüsselt Daten an die ZoneAlarm eigenen Server geschickt hat. Auf Anfrage hin haben sie den Versand mit der nachfolgenden Version kommentarlos eingestellt. Und auf die Frage hin welche Daten genau übermittelt wurden kamen nur Standardaussagen wie „nichts wichtiges“. Daher traue ich meiner berufl. Erfahrung und meinem (gesunden) Menschenverstand doch mehr als möchtegern Security Software ^^
@cro
ich glaube kaum das einer meint ein Router sei ein Allheilmittel. Es ist nur sicherer als nichts, bzw sicherer als ein einfaches Modem.
Ein echte Hardware FW die auch korrekt eingerichet ist, ist ihr Geld wert. Das sollte eigentlich jedem klar sein. Aber nicht jeder kann sich eine Hardware FW leisten. Auch möchte ich bezweifeln das die meisten User überhaupt soetwas benötigen.
Zu Wireshark und konsorten ist das ein ganz anderes Thema.
Warum es nicht möglich ist mit Comodo/PCTools und anderen über andere Programme den IE zu nutzen liegt daran das die eine sogenannte HIPS Funktion haben.
Daher meine ich immer noch eine Desktop FW und Brain reichen für die meisten User.
Und glaube mir selbst ein sehr gut eingerichtete Hardware FW kann man umgehen. Es ist nur eine Frage des Aufwandes. Aber das ist ein altes Streithema.
Daher werde ich auch in Zukunft der Meinung sein eine kostenlose Desktop FW und Brain sollte man schon nutzen. Nicht jeder kann sich Echelon leisten, bzw solch wichtige Sachen haben die meisten eh nicht
ääähhh, bin ich blöööd? oder wurde ein Artikel gelöscht???
oder hab ich das wo anders gelesen ????
ach so, es ging um den XP Modus….
@ABDUL
Ja, der ist wohl „verschwunden“ 😉
War ja wohl eher Grauzone.
@ABDUL
Ach, jetzt ist er wieder da!
@Dirk Paehl
In vielen Foren, Weblogs oder Artikeln wird eindeutig gesagt das ein Router mit seinem NAT der bessere Schutz gegenüber eine PFW darstellt. Zu dem ist der Router viel zu beschränkt in seinen Funktionen um das zuschützende System absichern zu können. Und wie zu vor angemerkt gibt es Router die von Haus aus Schwachstellen aufweisen. Bei solchen fahrlässigen Geräten ist keinerlei Schutz möglich.
„Aber nicht jeder kann sich eine Hardware FW leisten. Auch möchte ich bezweifeln das die meisten User überhaupt soetwas benötigen.“
Man muss im Grunde nichts für eine Firewall extra bezahlen. Ein altes System von Ende der 90er mit m0n0wall, IPCop oder einer anderen speziellen Linuxdistribution tut es auch. Die Dokumentationen sind vorhanden, Supportforum gibt es auch und der Aufwand bleibt gering.
Und ob man das als User benötigt liegt im Auge des Betrachters. Wenn mir meine Daten, welche das auch immer sein mögen wichtig sind, stellt sich mir die Frage erst gar nicht. Es gibt viele denen das völlig egal ist, mir kann es egal sein solang deren kompromittierte Rechner nicht am Netzwerk teilnehmen.
HIPS ist ja schön und gut aber schützen die einen auch davor zusätzliche Daten in laufende Verbindungen ein zu schleusen (auch „covert channel“ genannt)? Mir ist klar das dieses Beispiel überzogen ist aber es zeigt hoffentlich das auch dieses Denken: „Ich will wissen wer oder was nach Hause telefoniert“ teilweise völlig borniert ist.
Und das „Brainmodul“ ist und kann nur so gut sein, wie das Wissen über vorhandene Schwachstellen ausgeprägt ist. Wer sich nicht regelmäßig über Schwachstellen und neuen Angriffszielen informiert, kann damit rechnen das er „Besuch“ in digitaler Form bekommt.
Auch wenn man die Hardwarefirewall umgeht, sollte der Angriff im Sande verlaufen. Denn eine Firewall ist nur ein Teil von einem Gesamtkonzept. Deswegen sollte ein Durchbruch bei einer Firewall nicht das worst case Szenario auslösen.
Meinetwegen empfehle die PFW mit Brain weiterhin, ich werde dafür weiterhin versuchen auf die Schwächen aufmerksam zu machen.
In diesem Sinne wünsche ich dir gutes Gelingen.
Die Frage an sich ist doch:
Nutzt jedes Programm die Möglichkeiten, die zweifellos existieren, um eine Software-Firewall zu umgehen?
Ich bin der Meinung, dass der Aufwand in 99% der Fälle für das obligatorische Homephoning zu groß ist.
Außerdem reicht das einfache rauswählen meistens aus, da der User:
a) keine Firewall besitzt und alle ausgehenden Verbindungen erlaubt werden
b) jede Anfrage seiner PFW mit „ja“ beantwortet
Angesicht dieser Punkte macht es für mich Sinn eine Software-Firewall zu verwenden, um das Nach-Hause-Telefonieren von Programmen zu unterbinden.
@cro
1.) gibt es meinstens eh nur Router die ein Modem integriert haben.
Soll man nun alle Router weggschmeißen und gegen ein einfaches Modem austauschen nur weil „einige“ meinen sowas sei überflüssig.
2.) einen alten PC zu nehmen und dort Linux installieren das kann ja eben nicht jeder.
3.) Und es gibt auch Router wo man direkten Zugriff drauf hat und das System direkt anpassen kann bzw sind viele Firmware als Quellcode verfügbar so das jeder sich das anpassen kann.
4.) Es gibt mehr als genug Alternative Firmware für einige Router, für user die keine Linux Erfahrung haben.
5.) Klar das viele nur Fritz und Speedport kennen.
6.) Wenn ich mir einen alten PC mit einer Linux Version und einer guten Firewall installieren und konfigurieren kann, dann kann ich das auch mit einem guten Router machen. Der hat viele Vorteile der Router.
7.) Aber das Problem ist das mit einer Hardware egal ob alter PC oder nicht keine Desktop Firewall ersetzen kann. Auch ist klar das es einige User gibt die meinen sowas ist überflüssig weil man sowas umgehen kann.
Das hatte ich schon geschrieben, dann kannste Dir auch die Hardware FW schenken, denn auch die kann man leicht umgehen. Frag mal die Profis die werden dir das bestätigen.
Wenn es danach gehen würde, dann hilft nur kein Internet mehr.
Auch muss es jedem selbst überlassen werden ob er sich einen alten PC mit einer Linux Version installiert oder einen guten Router mit einer entsprechenden Firmware und zusätzlich eine Desktop Firewall nutzt. Oder der Meinung ist das seine Hardware FW reicht. Das muss jeder selbst wissen.
Ich glaube kaum das Du Dein System mit einer Hardware FW so abgesichert hat das dort keiner mehr Unfug machen kann. eventuell merkst Du es ja gar nicht 🙂
Es hat alles Schwächen und eine Hardware und eine Desktop FW sind für mich etwas sicherer als nur eine Hardware FW.
@daMax
Leider funktioniert die Sygate Personal Firewall nicht unter Win7. Ich selbst habe sie seit Win2k in Nutzung und bin bisher sehr zufrieden damit.
@Dirk Paehl
zu 1.) Es gibt Router mit einer obligatorischen Firewallfunktion. Zumindest kann bei solchen Routern die Ports sperren und einzeln freigeben. Was aber immer noch weit hinter den Möglichkeiten einer reinen Hardwarefirewall ist. Und wenn der Router sowieso nur im „Bridgemodus“ läuft ist der angebliche Router ohne jeglichen nutzen.
zu 2.) Wie schon geschrieben, es existieren beispielsweise bei IPCop ein Howto. Es wird erklärt wie man IPCop installiert, was zu beachten hat, welche Probleme auftreten können und wofür blau, rot, orange, grün stehen. Es kann jeder eine Firewall installieren. Eher will das keiner, weile eine Pflege(!) einer Firewall Arbeit bedeutet. Und nein, bei IPCop hast du ein Webinterface, nichts mit zwingender Konsolennutzung. Aber wer nicht will, der hat schon. 🙂
zu 3.) Man hat bei jedem Router im Netzwerk (LAN) direkten Zugriff darauf, meist via Werbrowser mit der IP: 192.168.1.xxx, wenn man da mal den Adressbereich „durchpingt“ findet man bestimmt den Router. Und wegen der angepassten Firmware, wie viele Geräte sind das auf dem Markt? 5% oder weniger. Wenn du Linksys meinst, das gilt nur für eine Produktreihe, weil sie damals den Quellcode von IPtables genutzt und sich nicht an die Lizenz gehalten haben. Die restlichen Geräte haben so tolle Firmwares mit Brandings und beschränkten Umfang. Wenn man dann selber am Geräte herumwerkelt, erlischt die Gewährleistung.
zu 4.) Wie schon eben erwähnt, der Anteil solcher Geräte dürfte im gesamten Homeusermarkt bei nicht einmal 5% liegen. Ist bei Firmwares von Mobiltelefonen ähnlich.
zu 5.) Viele wissen nicht einmal was für ein Gerät das überhaupt ist. Einschalten und loslegen. Wenn nicht tut wie es soll, werden dann die Experten im Bekanntenkreis und ggf. später die vom Hersteller/ISP angerufen. laub mir, der Mehrheit ist das Gerät völlig egal.
zu 6.) Nein eben nicht. Ein Router ist beschränkt in seinem Funktionsumfang. Wenn du mal Zeit haben solltest, nimm dir mal m0n0wall oder IPCop in einer VM und schau dir bitte mal deren Möglichkeiten an und vergleiche diese mit dem dir bekannten Umfang eines Routers deines Vertrauens. Du solltest so manchen Unterschied feststellen können.
Und das der Router Vorteile hat bestreite ich nicht aber er ist nicht dazu gedacht, ein System abzusichern.
zu 7.) Warum sollte eine Hardwarefirewall keine PFW ersetzen können? Du kannst der Hardwarefirewall sogar noch flexiblere Regeln auferlegen, sodass ein Prozess nur zu bestimmten Zeiten für ein bestimmtes Zeitfenster nach außen zugreifen kann. PFW kennen überwiegend nur „ja und nein“ ohne jegliche Flexibilität.
Und ich erinnere noch einmal, eine Firewall auf dem zuschützendem System ist falsch. Denn die FPW läuft mit Systemrechten auf dem zu schützenden System. Das ist bei aller Liebe blanker Horror.
Die Profis hatte ich schon bei mir, das Ergebnis war laut Gutachten überzeugend gut. Denn ich habe mehr als nur die Firewall, ich habe ein Konzept. Und das würde heißen, selbst wenn es jemand schaffen sollte durch die Firewall durchzubrechen (Exploit, Sicherheitslücke, falsche Regel, …) heißt es nicht das er auf das System mit den zu schützenden Daten zugreifen kann. Da gibt es noch mehr Hürden zu nehmen. Kurz um, ich sage nicht das die Hardwarefirewall die Lösung darstellt, sondern einen besseren Schutz im Gegensatz zur FPW gewähleistet. Und die Firewall ist auch nur ein Teil eines Gesamtkonzeptes und nicht das Konzept an sich.
Ich habe nirgends geschrieben, dass sich irgendwer zwingend eine alte Kiste sich schnappen soll und Linux draufhauen muss. Wenn aber irgend einer sich zumindest sich die Möglichkeit anschaut, habe ich meiner Auffassung schon gewonnen. Denn es geht mir nicht um Missionierung sondern eher darum einen Denkanstoß zu geben. Ob irgendwer die Kiste später einsetzt oder auf das alte vertraute System wechseln liegt nicht in meiner Hand.
Mein System ist nicht undurchdringbar, das geht technisch schon einmal gar nicht und wenn doch, dann hätte ich kein Internet mehr. Sollte es aber Ungereimtheiten in meinem Netzwerk geben, werde ich zumindest benachrichtigt mit relevanten und von mir definierten Informationen.
Wenn jemand Unfug treiben sollte, würde ich ihn sicherlich finden. Da ich meine Firewall pflege. Das heißt ich lese mir dir Logfiles durch und passe ggf. die Regeln an.
„Es hat alles Schwächen und eine Hardware und eine Desktop FW sind für mich etwas sicherer als nur eine Hardware FW.“
Kann ich schwer nachvollziehen. Aber solang du damit klar kommst und dich meine Argumente und Einwände nicht umstimmen, kann ich nur hoffen das es gut geht.