Hallo, ich verwende dieses Windows 10 Firewall Control Tool (das nur so heißt, aber mit z.B. Win7 auch funktioniert). Matlab macht einen lokalen (127.0.0.1) Webserver auf den man braucht um Simulink komplett bedienen zu können. Leider gibt es in Windows 10 Firewall Control keine Möglichkeit einstellen zu können, dass mit 127.0.0.1 verbunden werden darf aber mit dem Inet nicht -zumindest nicht in der Gratisversion. Entweder wird komplett geblockt oder garnicht. Ich bin mir nicht sicher, aber ich glaube so eine Einstellung würde man im Firewall-Fachjargon eine "Zone" nennen. Kann mir jemand eine gute Alternative zu W10FC empfehlen? -Also ein Tool, mit dem die Windows-Firewall verwaltet und eingestellt werden kann? Von der Funktion er soll die Windows FW ja ziemlich gut sein, nur ohne Tool haperts halt an der Bedienung. Danke!
:
Bearbeitet durch User
Zufall, hatte mir just für eine ähnliche Anforderung dieses Tool angeschaut - scheint mir brauchbar zu sein: https://www.heise.de/download/product/windows-firewall-control-93925 Bzw. https://www.binisoft.org/wfc.php
Die Windows Firewall gehört deaktiviert. Entsprechende Regeln werden am Router gesetzt.
Eric schrieb: > Die Windows Firewall gehört deaktiviert. Entsprechende Regeln werden am > Router gesetzt. Vorausgesetzt man kann das interne Netz wirklich als sicher betrachten, oder entkoppelt interne Netzsegmente über eine innere Firewall.
Emil G. schrieb: > Also ein > Tool, mit dem die Windows-Firewall verwaltet und eingestellt werden > kann? Hm. Ich bin mir eigentlich ziemlich sicher, daß Microsoft in irgend einer Art dafür gesorgt hat, daß man die Windows-Firewall auch mit Windows-Bordmitteln verwalten und einstellen kann. Oliver
Jan L. schrieb: > Zufall, hatte mir just für eine ähnliche Anforderung dieses Tool > angeschaut - scheint mir brauchbar zu sein: > https://www.heise.de/download/product/windows-firewall-control-93925 > > Bzw. > > https://www.binisoft.org/wfc.php Danke. Hab ich getestet. Leider fehlt es bei diesem Tool an vielem, u.a. auch an den Funktionen, die ich bei Windows 10 Firewall Control vermisse. Wenn du die WFC brauchbar findest wirst du von der W10FWC begeistert sein (wie gesagt für alle Win). Eric schrieb: > Die Windows Firewall gehört deaktiviert. Entsprechende Regeln werden am > Router gesetzt. Ich lasse mich gerne eines Besseren belehren, aber mit einer Router-Firewall kannst du nicht individuell entscheiden, welches Programm rausverbinden darf und welches nicht, oder? Man kann nur Ports sperren, aber bösartige Software kann sich ja die offenen Ports aussuchen. Haltet ihr eine Firewall am Router echt für ausreichend? Oliver S. schrieb: > Hm. Ich bin mir eigentlich ziemlich sicher, daß Microsoft in irgend > einer Art dafür gesorgt hat, daß man die Windows-Firewall auch mit > Windows-Bordmitteln verwalten und einstellen kann. Es gibt da schon ein paar Einstellungsmöglichkeiten, von denen ich nichts verstehe und vielleicht genau die sein könnten, die ich vermisse. Um die Windows Firewall von Hand im Detail korrekt einstellen zu können, muss man sich mit Netzwerken und deren Protokollen schon ziemlich gut auskennen. Falls Microsoft also dafür gesorgt hat, dann in einer ziemlich benutzerunfreundlichen Art und Weise. (oder vielleicht erst in Win10? Von welchem Win oder von wann redest du?)
:
Bearbeitet durch User
Emil G. schrieb: > Man kann nur Ports sperren, aber bösartige Software kann sich ja die > offenen Ports aussuchen. Haltet ihr eine Firewall am Router echt für > ausreichend? Für die Freunde der Router-Firewall ist das Konzept nicht vertrauenswürdiger Software, der selektiv ausgehender Netzwerkverkehr verboten werden muss, unbekannt.
Emil G. schrieb: > Man kann nur Ports > sperren, aber bösartige Software kann sich ja die offenen Ports > aussuchen. Das Argument gegen die PersonalFirewalls unter den älteren Windows-Versionen war, dass richtig bösartige Software ihren eigenen TCP/IP-Stack an Bord hat und damit einfach an der Software-Firewall vorbei nach Hause telefoniert. Ob das noch aktuell ist, weiß ich allerdings nicht...
Matthias L. schrieb: > Ob das noch aktuell ist, weiß ich allerdings nicht... Es gibt mittlerweile erhebliche Einschränkungen beim Zugriff auf Raw Sockets.
Rufus Τ. F. schrieb: > Für die Freunde der Router-Firewall ist das Konzept nicht > vertrauenswürdiger Software, der selektiv ausgehender Netzwerkverkehr > verboten werden muss, unbekannt. sehr schön gesagt Matthias L. schrieb: > Das Argument gegen die PersonalFirewalls unter den älteren > Windows-Versionen war, dass richtig bösartige Software ihren eigenen > TCP/IP-Stack an Bord hat und damit einfach an der Software-Firewall > vorbei nach Hause telefoniert. Ob das noch aktuell ist, weiß ich > allerdings nicht... A. K. schrieb: > Matthias L. schrieb: >> Ob das noch aktuell ist, weiß ich allerdings nicht... > > Es gibt mittlerweile erhebliche Einschränkungen beim Zugriff auf Raw > Sockets. Na ihr beiden wärd doch die richtigen mich FW-technisch kurz zu beraten. Welche würdet ihr empfehlen? Was verwendet ihr? Ich muss nicht unbedingt die WinFW haben... Danke!
:
Bearbeitet durch User
Da ich gerade ziemliche Lücken bei der Aktualität meines diesbezüglichen Wissens offenbart habe, verkneife ich mir es besser, Ratschläge zu erteilen. Ich selbst nutze die eingebaute Windows-Firewall ohne groß daran herumkonfiguriert zu haben.
Matthias L. schrieb: > Da ich gerade ziemliche Lücken bei der Aktualität meines > diesbezüglichen > Wissens offenbart habe, verkneife ich mir es besser, Ratschläge zu > erteilen. Ich selbst nutze die eingebaute Windows-Firewall ohne groß > daran herumkonfiguriert zu haben. Dann installier dir mal die Windows 10 Firewall Control, wohlgemerkt nicht die Windows Firewall Control. (Der Name ist irreführend. Ist nicht nur für Win10) https://www.chip.de/downloads/Windows-10-Firewall-Control_37971976.html Ist ein sehr einfach zu bedienendes kleines Tool. Für jede Software die ins Netz will wirst du dann erst gefragt werden ob du es erlaubst. In einer Liste kannst du die Programme, für die du bishher eine Entscheidung getroffen hast einsehen und ggf. ändern. Du wirst dich wundern, was da alles so los ist auf deiner Leitung... schrecklich! svchost.exe darfst du nicht blocken. Windows braucht sie für Internetfunktionen. Ich glaube es würde reichen, svchost ausschließlich auf DHCP zu beschränken aber mit W10FWC geht das nicht. Aber Hauptsache es darf nicht jede dahergelaufene .exe z.B. deine Webcam ins Internet streamen, Tastatureingabe-Logs rausschicken usw. Ist ansonsten alles möglich. Hat denn niemand den (evtl. Windows-) Firewall-Masterplan?
Emil G. schrieb: > Ich lasse mich gerne eines Besseren belehren, aber mit einer > Router-Firewall kannst du nicht individuell entscheiden, welches > Programm rausverbinden darf und welches nicht, oder? Man kann nur Ports > sperren, aber bösartige Software kann sich ja die offenen Ports > aussuchen. Haltet ihr eine Firewall am Router echt für ausreichend? Sog. "Personal Firewalls" werden regelmäßig ausgehebelt. Ist ja auch etwas lächerlich zu versuchen die Tür zuzumachen, wenn der Angreifer schon drinnen ist... Rufus Τ. F. schrieb: > Für die Freunde der Router-Firewall ist das Konzept nicht > vertrauenswürdiger Software, der selektiv ausgehender Netzwerkverkehr > verboten werden muss, unbekannt. Im Gegenteil, nur lässt man Software, der man nicht vertraut, nicht auf seinen Rechner. Solche "Firewalls" werden regelmäßig umgangen. Noch schlimmer ist es, wenn Virenscanner oder Firewalls, die ja mit Systemrechten laufen, gleich selbst als Einfallstor genutzt werden... Money quote: "You can't improve security of an untrusted system by installing another untrustworthy piece of software. [...] In the contrary, adding software increases the system's complexity, increasing the probabilty for undetected bugs and possible new security problems. " A. K. schrieb: > Matthias L. schrieb: >> Ob das noch aktuell ist, weiß ich allerdings nicht... > > Es gibt mittlerweile erhebliche Einschränkungen beim Zugriff auf Raw > Sockets. Tja, dafür gibt es halt immer wieder neue Tricks... ein ganz alter war z.B. auch, den Browser (der ja üblicherweise frei ist) als Tunnel zu nutzen. Lücken in solchen "Firewalls" finden sich ständig, weil sie konzeptionell einfach schwach sind. Im schlimmsten Fall reißen sie gleich neue Lücken auf. Emil G. schrieb: > Na ihr beiden wärd doch die richtigen mich FW-technisch kurz zu beraten. > Welche würdet ihr empfehlen? Was verwendet ihr? Ich muss nicht unbedingt > die WinFW haben... Windows-FW reicht vollkommen aus. Matthias L. schrieb: > Da ich gerade ziemliche Lücken bei der Aktualität meines diesbezüglichen > Wissens offenbart habe, verkneife ich mir es besser, Ratschläge zu > erteilen. Im Großen und Ganzen bist du nicht so weit daneben gelegen. Emil G. schrieb: > Für jede Software die > ins Netz will wirst du dann erst gefragt werden ob du es erlaubst. Natürlich, zumindest wenn die Software keine Ambitionen hat, die Firewall zu umgehen.
vn nn schrieb: > Im Gegenteil, nur lässt man Software, der man nicht vertraut, nicht auf > seinen Rechner. Dann kann man nicht mit Betriebssystemen wie Windows arbeiten.
Hör auf mit deiner Windows-Hetze! Android ist viel schlimmer. Was gibt es sonst noch?
michael_ schrieb: > Hör auf mit deiner Windows-Hetze! Ich hetze nicht gegen Windows, ich argumentiere gegen die oft aus dem *nix-Lager zu hörende Argumentation gegen "personal firewalls". D.h. Du hast mich sehr gründlich missverstanden.
Rufus Τ. F. schrieb: > Dann kann man nicht mit Betriebssystemen wie Windows arbeiten. Leider bleibt einem das oft nicht erspart, aber dann sollte man zumindest nicht noch mit Systemrechten laufende "Sicherheits"software dazuholen, die noch mehr Sicherheitslücken aufreißt. Rufus Τ. F. schrieb: > Ich hetze nicht gegen Windows, ich argumentiere gegen die oft aus dem > *nix-Lager zu hörende Argumentation gegen "personal firewalls". Ich sehe leider weder deine Argumente für Personal Firewalls, noch, was die Unsinnigkeit von Personal Firewalls mit *nix zu tun hat.
vn n. schrieb: > Ich sehe leider weder deine Argumente für Personal Firewalls, Sofern man nicht im Elfenbeinturm des "ich nutze nur Software, die ich selbst durch den Compiler gejagt habe (oder kann)" lebt, muss man von anderen Leuten erzeugter Software trauen. Die meisten von uns tun das. Manchmal hat man aber mit Software zu tun, bei der man nicht möchte, daß sie "nach Hause telephoniert". Dagegen hilft eine Firewall, die in der Lage ist, Netzwerktraffic einzelnen Prozessen zuzuordnen. Eine Firewall, die das nicht kann, kann logischerweise das Problem nicht lösen. Natürlich, ernsthaft böse Software kann an so einer Firewall vorbeikommen. Aber die meisten Programme, denen man das "nach-Hause-Telephonieren" verbieten will, sind keine ernsthaft böse Software. Es geht nicht darum, mit so einer Firewall ernsthafte Schadsoftware (Trojaner etc.) zu blockieren, es geht auch nicht darum, den Rechner in irgendeiner Weise vor von außen kommenden Angriffen abzusichern. Dafür benutzt man selbstverständlich eine Firewall, die irgendwo anders außerhalb des Rechners ist -- für die meisten Fälle genügt hier der übliche NAT-Router, den eh' praktisch jeder nutzt. Wenn dieses Szenario Dich verständnistechnisch überfordert, kann ich Dir nicht weiterhelfen. Tut mir leid.
Emil G. schrieb: > Ich lasse mich gerne eines Besseren belehren, aber mit einer > Router-Firewall kannst du nicht individuell entscheiden, welches > Programm rausverbinden darf und welches nicht, oder? Man kann nur Ports > sperren, aber bösartige Software kann sich ja die offenen Ports > aussuchen. Haltet ihr eine Firewall am Router echt für ausreichend? Der Vorschlag von Eric ist natürlich Unsinn. Lass die Windows FW an. Allerdings gibt es zustandorientierte bzw. stateful Firewalls, die sich die Verbindungen merken. Damit sind FW Regeln möglich wie bspw. einer von außen kann sich nicht einfach verbinden, es sei denn, dein Rechner hat mit ihm unter dem genannten Port zuerst eine Verbindung geöffnet. Wenn sich bösartige Software bei so einer FW Regel den Port aussuchen kann, dann ist das Kind eh schon in den Brunnen gefallen, denn in dem Fall müsste die bösartige Software schon auf dem Rechner sein. Und wem das gelingt, dem wird es auch gelingen sich als harmlose Software auszugeben, die nur eine Verbindung nach außen haben will. Mit anderen Worten, der Nutzer wird die Windows FW für ihn öffnen, immerhin war er auch schon naiv oder dumm genug, das bösartige Programm überhaupt erst auszuführen.
Rufus Τ. F. schrieb: > Manchmal hat man aber mit Software zu tun, bei der man nicht möchte, daß > sie "nach Hause telephoniert". Dagegen hilft eine Firewall, die in der > Lage ist, Netzwerktraffic einzelnen Prozessen zuzuordnen. Eine Firewall, > die das nicht kann, kann logischerweise das Problem nicht lösen. Das kommt drauf an. Es gibt die Möglichkeit die Zieladresse mit einer Firewall eines Routers zu sperren. Dann kann so eine Software auch nicht nach Hause "telefonieren". DNS Sperren sind da durchaus eine gängige Methode, wenn der Prozess nur zu eine bestimmte URL telefonieren möchte. Wenn der Prozess einfache Rechte hat, dann kann man auch lokal die hosts Datei entsprechend anpassen.
Nano schrieb: > Das kommt drauf an. Es gibt die Möglichkeit die Zieladresse mit einer > Firewall eines Routers zu sperren. Yep. Das ist aber der einfache Fall. Interessanter ist es bei sowas wie automatischen Updates und Installationen, die nicht an einer einfach identifizierbaren Stelle des Herstellers landen, sondern bei einem CDN wie Akamai. Die Perimeter-Firewall sieht davon eine immer wieder wechselnde IP aus den unzähligen Ranges von Akamai - keine Chance, ausser wenn der Hersteller der Firewall sowas aktiv pflegt. > DNS Sperren sind da durchaus eine gängige Methode, wenn der Prozess nur > zu eine bestimmte URL telefonieren möchte. Eine allgemeine Blockade auswärtiger HTTP/S Verbindungen in der Perimeter-Firewall, mit Zwischenschaltung eines expliziten Proxies, kann auch nützlich sein.
:
Bearbeitet durch User
Emil G. schrieb: > Na ihr beiden wärd doch die richtigen mich FW-technisch kurz zu beraten. > Welche würdet ihr empfehlen? Was verwendet ihr? Ich muss nicht unbedingt > die WinFW haben... ... aber wahrscheinlich auch keine von Palo Alto oder Fortinet. ;-)
:
Bearbeitet durch User
A. K. schrieb: > Nano schrieb: >> Das kommt drauf an. Es gibt die Möglichkeit die Zieladresse mit einer >> Firewall eines Routers zu sperren. > > Yep. Das ist aber der einfache Fall. Interessanter ist es bei sowas wie > automatischen Updates und Installationen, die nicht an einer einfach > identifizierbaren Stelle des Herstellers landen, sondern bei einem CDN > wie Akamai. Die Perimeter-Firewall sieht davon eine immer wieder > wechselnde IP aus den unzähligen Ranges von Akamai - keine Chance, > ausser wenn der Hersteller der Firewall sowas aktiv pflegt. Ja, ich stimme dir zu. In solchen Fällen geht es mit solchen Lösungen dann eher nicht mehr. > Eine allgemeine Blockade auswärtiger HTTP/S Verbindungen in der > Perimeter-Firewall, mit Zwischenschaltung eines expliziten Proxies, kann > auch nützlich sein. Meinst du in der Form einer Whitelist mittels eines Proxies? D.h. man sperrt erstmal alles und lässt den Proxy die Webseiten laden, die man kennt?
Nano schrieb: > Meinst du in der Form einer Whitelist mittels eines Proxies? > D.h. man sperrt erstmal alles und lässt den Proxy die Webseiten laden, > die man kennt? Yep. Geht nicht überall, weil sich immer irgendwelche Esel einfinden, die eine Proxy-Konfig ignorieren, aber damit lässt sich für Server tatsächlich ziemlich viel abdecken. Eine harte Nuss ist allerdings Microsoft. Versuch mal, Updates von Win10 und Installationen aus dem App-Shop auseinander zu halten. Bisherige Erkenntnis: unmöglich - aber die Hoffnung stirbt zuletzt.
:
Bearbeitet durch User
Nano schrieb: > Das kommt drauf an. Es gibt die Möglichkeit die Zieladresse mit einer > Firewall eines Routers zu sperren. Dazu muss man die aber überhaupt erst mal kennen. Eine "personal firewall", die bei jedem Verbindungsversuch eines Programmes nachfragt, ist hier praktisch, weil man da 'rausfinden kann, wohin sich das Programm denn gerne verbinden möchte.
Eine Firewall, wie sie Rufus beschreibt, kann Informationen nutzen, die nur auf den betreffenden Rechner vorliegen. Etwa den beteiligten Prozess. Schon das kann sie nützlich machen. Zu den Kehrseiten gehört die gleiche wie bei Virenscannern: Handelt es sich um 3rd party Software, dann fügt man dem System an hoch sicherheitskritischen Stellen Software hinzu, deren Qualitätsstandard nicht unbedingt dem entsprechen muss, was man dort gerne sähe. Das spricht m.E. für Microsofts eingebaute Firewall (und ebenso für deren Virenscanner statt 3rd party). Ein weiteres wesentliches Problem ist, dass man solche Firewalls mit an Phishing erinnernden Methoden zu Leibe rücken kann. Indem man den Anwender dazu bringt, sie abzuschalten, oder das System wesentlich zu schwächen. Das ist bei einer vom PC/Server getrennten Firewall deutlich schwieriger, die zudem besser protokolliert und eine Analyse a posteriori wesentlich erleichtert. Früher definierte man das interne Netz gerne als sicher, und schützte sich ausschliesslich mit einer Perimeter-Firewall, also jener zwischen eigenem Netz und dem Rest der Welt. Das war im Grunde in Unternehmen mit vielen PCs, Servern, Drucker drinnen und z.B. einer Checkpoint-Firewall nach draussen nicht viel anders als beim Familiennetz mit der Fritzbox als Perimeter-Firewall. Kann man heute knicken. In Unternehmen sowieso, aber auch komplexere private Hausnetze mit extern ansprechbarem NAS/Server und viel Automation besitzen Risiken innerhalb des Hausnetzes. Vielleicht hat man ein WLAN, dessen Passwort sich über die Jahre ziemlich weit rumgesprochen hat. Vielleicht sitzt auf einem fast vergessenen PC in der Ecke ein Tunnel, durch den das ganze Hausnetz geöffnet wird. Firewalls auf jedem einzelnen System sind deshalb zusätzlich zur Perimeter-Firewall durchaus nützlich (1). Aus dem gleichen Grund sollte man auch auf seiner NAS nicht jeden der 50 vorinstallierten Dienste aktiviert lassen, sondern wirklich nur genau das, was man braucht. Nebenbei: Ein prachtvolles Sicherheitsrisiko innerhalb von Hausnetzen von Unternehmen sind Drucker. Während PCs und Server monatlich aktualisiert werden und heute auch der ganze Kleinscheiss von Hausautomation und Webcams etc berechtigterweise in den Fokus rückt, denkt kein Schwein an Drucker. Die sitzen als eierlegende Wollmilchsau im Netz, haben mitunter eine recht hohe Lebensdauer, aber Software drauf, deren Sicherheitsniveau schon vor 10 Jahren nicht mehr frisch war. Bieten aber Zugänge über ein Dutzend Protokolle, natürlich alle eingeschaltet, und eignen sich prima als Zwischenstation für Schmutzfinken innerhalb des Netzes. (1) In Unternehmen finden sich deshalb immer öfter Firewalls innerhalb des Hausnetzes, die nach Funktionen und Sicherheitsniveau auftrennen und damit beispielsweise die genannten Drucker abkoppeln.
:
Bearbeitet durch User
Hallo allerseits moechte bei der Diskussion nur an die DNSAPI.dll erinnern. Diese wurde von M$ extra gebaut um die Firewall zu umgehen.
Wer schlau ist, benutzt einen Proxy und konfiguriert den im
Browser manuell. Das Default Gateway erreicht nur lokale Netze.
Damit ist relativ effektiv jedes "Nachhausetelefonieren"
unterbunden.
In der
> DNSAPI.dll
waren doch "nur" einige MS-Adressen hart einkompiliert die
die lokale hosts ignorieren? Oder tut das noch mehr phoeses?
Ich finde es ja abwechselnd witzig und dann wieder zum weinen wie die Experten hier über Programme labbern, wo sie sich nicht mal die Website angeschaut haben. Sonst würden zumindest 3 von 10 checken, das diese Tools nix anderes als Konfigurationstools für die Windows eigene Firewall sind! Der TE könnte also eine händische Regel in die Windows Firewall Regeln einfügen, das sein Matlab auf 127.0.0.1 lauschen darf. Und nein, er muss diese "händische Regel" unter Windows nicht in ein kryptisches Config File eintragen, dafür gibt es unter Windows 10 ein Tool mit einer GUI.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.