mmm, laut Deiner Aussage ist also sowohl die Firewall des Routers notwendig (die ja, weil sie keine brauchbaren Packet-Filter unterstützt eigentlich garkeine richtige Firewall ist), also auch die Windows 7 Firewall das die ja dann im Gegensatz zum Router brauchbare Packet-Filter besitzt.

Wie schon erwähnt: die meisten Router haben keine Firewall, das ist ein (un)erwünschter Nebeneffekt der NAT und des Port-Forwardings.

"Tata" behauptet aber genau das Gegenteil. Er schreibt:

"Für ankommende Verbindungen hat eine Firewall, die auf einem Rechner hinter einem NAT-Router installiert ist, in der Regel wenig bis gar nichts zu tun..."

Ich denke, dass sich hier unsere Ansichten, was eine Firewall ist und was nicht unterschieden :)

Es gibt verschiedene Arten von "Firewalls" (oder Technologien):

• Die gängisten sind Packet Filter. Die lassen einfach Pakete mit bestimmten Eigenschaften (nicht) durch - z.B. wenn sie über einen bestimmten Port laufen. Im Grunde recht dumm aber recht wirkungsvoll gegen das gefährliche "Hintergrundrauschen" des Netz.
• Firewalls die Traffic von und zu bestimmten Ports oder IP-Adressen Blockieren - im Grunde das, was ein Packet Filter macht nur "dümmer und meistens unabsichtich" - also etwa das, was gewöhnliche Router tun.
• SPI funktioniert im Grunde wie wie ein Packet-Filter, nur wird protokolliert wann wo welcher Dienst, Recht oder wasauchimmer an wen ein Paket schickt und wann die antwort zu erfolgen hat und wie diese aussehen sollte.

Deneben gibts noch z.B. Content-Filter die wirklich jeden Inhalt zerlegen und schaun, ob da was gefährliches drin ist - das machen z.B. Proxy-Server die die HTML-Dokumente analysieren und auf geblacklistete URLs (z.B. Phishing-Seiten) durchsuchen oder gefährliches JavaScript entfernen usw. und natürlich noch viele weitere Technologien.

Firewall ist also nicht gleich Firewall - sie ist nur eine Sammlung ausverschiedenen Technologien. Während eine Firewall auch z.B. einen Paketfilter und einen Virenscanner besitzt, kann eine andere ggf. nur bestimmte IP-Adressen aufgrund einer Blacklist blockieren und sonst nichts.

Ist sie nun notwendig oder nicht?

Das kommt darauf an, warum du glaubst eine Firewall zu brauchen. Im Grunde ist aber die Windows Firewall in ihrer Grundkonfiguration vollig ausreichend für einen normalen Menschen. Der Router tut sein Ding dazu und es sollte passen dass du vor den meisten gewöhnlichen Attacken sicher bist. Gegen einen DoS-Angriff wirst du dich aber als normaler mensch nicht wehren könne - aber zumindest ist sichergestellt, dass Scriptkiddie X nicht mit Script Y ungefragt deinen Windows abschießt.

Solch einfache Firewalls können aber eben ummöglich den erwünschten Traffic in Echtzeit kontrollieren - dafür fehlt einfach die Rechneleistung.

Angenommen ich nutze irgendein Fernzugriffstool mit dessen Hilfe ein Bekannter auf meinen Rechner zugreifen möchte. Damit dies geht muss ich doch zunächst mal den Port in der Windows Firewall freigeben der von diesem Programm verwendet wird, sonst kann ja keine Verbindung zu meinem Rechne aufgabaut werden.

Ja - aber prinzipiell müsstest du hier nur den RDP-Port (im Falle der Microsoft-Lösung) und ggf. die IP des Bekannten freigeben, ob darüber dann aber wirklich nur dein Bekannter Zugriff oder auf seinem Traffic huckepack etwas anderes mitkommt (z.B. ein Trojaner der seine RDP-Verbindung highjackt) kannst du nicht kontrollieren.

Damit ich diesen Port freigeben kann muss ich mich ja mit der Firewall auskennen, demnach brauch ich auch eine Anleitung. In diesem Zusammenhang verstehe ich die Aussage "Lass sie einfach machen" nicht.

Jetzt hab' ich dich verstanden, dafür brauchst du eine Anleitung :) Die Suchmaschine deiner Wahl ist dir da sicher gerne behilflich, je nachdem was du tun kannst.

Außerdem habe ich bei "Lass sie einfach machen" keine gutes Gefühl, möchte ja verstehen was sie macht.

Das wirst du ohnehin nicht ohne einen Doktor in Rocket Science verstehen ;) darum hab' ich dir auch den Vortrag verlinkt, da wird zumindest ein bisschen Klarheit gebracht, was eine Firewall überhaupt tut.

Sich auf irgendwas zu verlassen, was man nicht versteht finde ich nicht so gut.

Du Verwendest sicher auch einen Virenscanner oder - den wirst du vermutlich auch nicht verstehen. Das ist für "unsereins" ein böhmisches Dorf.

Hi!

"Lass sie einfach machen"?, da steh ich jetzt wieder auf dem Schlauch. Angenommen ich nutze irgendein Fernzugriffstool mit dessen Hilfe ein Bekannter auf meinen Rechner zugreifen möchte. Damit dies geht muss ich doch zunächst mal den Port in der Windows Firewall freigeben der von diesem Programm verwendet wird, sonst kann ja keine Verbindung zu meinem Rechne aufgabaut werden. Damit ich diesen Port freigeben kann muss ich mich ja mit der Firewall auskennen, demnach brauch ich auch eine Anleitung. In diesem Zusammenhang verstehe ich die Aussage "Lass sie einfach machen" nicht.

Windows 7 sollte so freundlich sein, die Firewall entsprechend zu konfigurieren, wenn du die Fernwartung freigibst. Wenn du ein Tool eines anderen Herstellers verwendest, schau in dessen Bedienungsanleitung, was da auf einem Windows 7 konkret zu tun ist. Außerdem musst du deinen Router konfigurieren, dass der die Fernwartungszugriffe an deinen Rechner forwardet. _Was_ da konkret freizugeben ist, verrät ganz sicher das Internet, wenn nicht sogar schon die Windows-Hilfe. _Wie_ das auf deinem Router zu tun ist, wird dessen Bedienungsanleitung zumindest exemplarisch erläutern.

Lo!

Die Firewalls die ein Router bietet sind meistens ein nebeneffekt der NAT und des Port-Forwardings - nur halt schön verpackt.

Die wenigsten Router bieten einen halbwegs brauchbaren Packet-Filter.

mmm, laut Deiner Aussage ist also sowohl die Firewall des Routers notwendig (die ja, weil sie keine brauchbaren Packet-Filter unterstützt eigentlich garkeine richtige Firewall ist), also auch die Windows 7 Firewall das die ja dann im Gegensatz zum Router brauchbare Packet-Filter besitzt.

"Tata" behauptet aber genau das Gegenteil. Er schreibt:

"Für ankommende Verbindungen hat eine Firewall, die auf einem Rechner hinter einem NAT-Router installiert ist, in der Regel wenig bis gar nichts zu tun..."

Das ist nicht das Gegenteil. Wenn der Gorilla draußen vor der Tür einer Disco pickeliges Landvolk abweist, dann hat der Barkeeper in der Disco weniger mit der Ausweiskontrolle zu tun. Blockiert der Router am Internetzugang unbekannte Verbindungen, braucht eine Firewall auf dahinter angeschlossenen Rechnern sich nicht damit rumplagen.

Das bedeutet aber nicht, dass der Barkeeper jedem Deppen das Glas füllen kann.

Ist sie nun notwendig oder nicht?

Du solltest nicht so in absoluten Grenzen denken. Deine Unterhosen lässt du ja vermutlich auch nicht weg, obwohl vollkommen sicher ist, dass deine Jeans in der Öffentlichkeit nicht runterrutschen.

Die Windows-Firewall hat vielleicht nichts zu tun, aber sie kann auch nicht schaden. Du hast keinen Vorteil davon, sie (gänzlich) abzuschalten, das wäre nur grob fahrlässig.

Angenommen ich nutze irgendein Fernzugriffstool mit dessen Hilfe ein Bekannter auf meinen Rechner zugreifen möchte. Damit dies geht muss ich doch zunächst mal den Port in der Windows Firewall freigeben der von diesem Programm verwendet wird,

Wie ich bereits schrieb: Windows meldet sich bei dir, sobald ein Programm einen Port zum Empfang aufmachen möchte.

Allerdings muss auch dein Router Bescheid wissen, an welchen Rechner er eine Verbindung, die an Port X ankommt, weiterleiten soll. Es besteht die Möglichkeit, dass dein Router von Windows über UPnP automatisch gesteuert wird (sobald du besagte Windows-Nachfrage bestätigst), dazu muss diese Funktion aber am Router eingeschaltet sein. Befrage dazu die Anleitung deines Routers.
Meine Fritzbox 5050 hat beispielsweise unter Einstellungen -> System -> Netzwerkeinstellungen folgenden Punkt

[ ] Änderungen der Sicherheitseinstellungen über UPnP gestatten

Programme mit UPnP-Unterstützung können Sicherheitseinstellungen wie die Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten möchten.

Außerdem habe ich bei "Lass sie einfach machen" keine gutes Gefühl, möchte ja verstehen was sie macht. Sich auf irgendwas zu verlassen, was man nicht versteht finde ich nicht so gut.

Hast du mal in die Windows-Hilfe geguckt? Auf dem Arbeitsplatz F1 drücken. Die Firewall sollte sich in der Systemsteuerung befinden (zumindest tut sie das bei XP), auch dort kannst du die Hilfe aufrufen.

Unter XP kannst du in der Windows-Firewall nur einstellen, welches Programm Verbindungen von welchen IP-Adressen annehmen darf. Das reicht vollkommen aus.

Das heißt also wenn ich Rechner A von außen Angreife muss ich ja erstmal am Router vorbei. Um Rechner A von außen angreifen zu können müßte ich also irgendwie Einblick in diese Tabelle haben können, in der steht welchem Rechner welche Ports zugeordnet sind.

Prinzipiell ja - darum ist es auch einfacher "Huckepack" anzugreifen, da der Router Traffic von außen ohnehin nur durchlässt, wenn er auch angefordert wurde.

Bezeichnet man diese Funktionalität als "Firewall", weil ja kein direkter Zugriff auf den Rechner, sondern nur über die NAT Funktion des Routers, möglich ist.

Die Routerhersteller schon ;) im Grunde genommen hat es aber mit einer Firewall nichts zu tun, da diese Logik zwangsläufig durch die limitierten Kapazitäten des Routers entsteht und nicht bewusst.