[Firewall] Kleiner Firewall-Info-Thread

JensusUT

Senior Member
Kleiner Firewall-Info-Thread

Beim Stöbern habe ich ein paar sehr interessante Links gefunden, die ich euch nicht vorenthalten möchte. Mit kurzen Zitaten gespickt, gebe ich folgendes zum Besten:



Vorüberlegung

Auch wenn viele Hersteller und etliche Zeitschriften Personal Firewalls als Rundumschutz gegen Hacker und Trojaner verkaufen, sollten wir uns mal ein paar Aspekte im Detail anschauen.
Am besten fangen wir mit der Frage an, wovor dich eine Personal- Firewall eigentlich genau schützen soll?

Im Wesentlichen werden zwei Ziele angestrebt:
  1. Unerwünschten Datentransfer von innen nach außen unterbinden
  2. Schutz vor unerwünschten Zugriffen von außen
    [/list=1]
    Einige PF enthalten noch einen http-Proxy zur Filterung von Werbebannern oder Cookies.

    1. Datentransfer von innen nach außen

    Einige Beispiele aus dem realen Leben:

    "Gibt es hier irgendwo hohle Pferde?"

    Das Werbebanner-Einblendungsprogramm der Firma Aureate wird vom Setup-Programm der Wirtsanwendung kurzerhand als Netscape Navigator bzw. Internet Explorer Plugin installiert. Als Plugin kommuniziert es nicht direkt mit dem Internet, sondern nutzt die Plugin- Schnittstelle des Browser dafür. Dadurch umgeht es auf einfache Weise die Probleme, die sonst bei einem Internetzugang über ein Netzwerk auftreten würden. Aureate ist nicht nur um einiges älter als ZoneAlarm, sondern wird von sehr vielen Freeware/Shareware-Programmen wie zum Beispiel von GoZilla und WebCopier verwendet.

    Anscheinend greifen neuere Versionen des Werbeflächen-Tools über die Wirtsanwendung auf das Internet zu, sofern es sich bei diesen Programmen um "Internet-Software" handelt. weiter mit dem Original-Link.....


  1. 2. Zugriffsmöglichkeiten von außen

    Von außen gibt es grob gesagt drei Möglichkeiten, Zugriff auf dein System zu erlangen:

    1) Fehlkonfigurationen

    Eine Fehlkonfiguration, bei der zum Beispiel die Datei- und Druckerfreigabe nicht nur an die lokale Netzwerkkarte, sondern auch an das Internet-Interface gebunden ist. (Bei diesem Beispiel sind Personal-Firewalls recht erfolgreich).

    Viele Fehlkonfigurationen spielen sich auch auf Anwendungsebene ab; zum Beispiel im Browser oder Mailprogramm. Leider sind solche Geschichten (z.B. automatisches Starten von Programmen) häufig die Standard-Einstellung, die man erst mehr oder weniger mühsam ändern muss.

    Hier sieht es mit dem Schutz durch PFs sehr schlecht aus, da die PF nicht mitbekommt, wenn ein Programm ungewollt Daten verändert oder löscht. Und wenn das Mailprogramm plötzlich Mails senden will, dann wird die PF es nicht davon abhalten.weiter mit dem Original-Link.....





    Nur die Überschriften, damit ihr seht, worum es in der FAQ geht..... Bitte besucht die Seite, um an die Antworten zu kommen

    Was ist eine Firewall?
    Heißt es der oder die Firewall?
    Wie sieht eine typische technische Umsetzung einer Firewall aus?
    Worin besteht der Unterschied zwischen einer Hardware- und einer Softwarefirewall?
    Was ist ein Portscan?
    Ich will meine Firewall richtig konfigurieren, wie gehe ich vor?
    Wo kann ich etwas über die Protokolle und die Anwendungen lernen?
    Ist REJECT oder DENY sinnvoller?
    Wie kann ich mich unsichtbar machen?
    Wie reagiere ich bei einem Angriff?
    Ich bin Anwender. Unsere Firma hat eine Firewall, aber ich muß mit einem Geschäftspartner Daten austauschen. Wie kann ich die Firewall umgehen?
    Ich bin Firewall-Admin. Mein Chef verlangt, daß eine bestimmte Kommunikation durchgeführt wird, obwohl es gegen das Sicherheitskonzept der Firma verstößt. Was soll ich tun?
    Ich bin Firewall-Admin. Einige Anwender haben Software im Einsatz, die unerlaubte Zugriffe über erlaubte Protokolle tunnelt. Was soll ich tun?
    Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?
    Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls" trotzdem so gelobt?
    Was bedeuten die ganzen Abkürzungen?
    Wie finde ich den richtige ISP heraus?
    Ich habe offene Ports, wofür sind die?
    netstat zeigt offene Ports, aber da läuft garantiert nichts! Was übersehe ich?
    Was ist XYZ für ein Protokoll/Dienst?
    Wie konfiguriere ich mein lokales System richtig?
    Ich bekomme eine Meldung das ein mir unbekanntes Programm eine Verbindung öffnen möchte. Was kann ich tun?
    Wie kann ich sehen was auf meinem Interface/Netzwerk passiert?
    Ich bekomme keinen Tunnel zu anderen Endgeräten auf, wonach muß ich schauen?
    Welche Besonderheiten gibt es bei Netmeeting zu beachten?
    Welche Besonderheiten gibt es bei FTP zu beachten?
    Ich möchte einen weiteren Dienst freischalten, komme aber bei der Konfiguration meines Paketfilters nicht weiter. Wie bekomme ich Hilfe?
    Welche Firewall ist die Beste?
    Wieso kann eine Sicherheitslösung per se gefährlich sein?
    Ich habe zwei Desktop-Firewalls installiert. Bin ich sicherer?
    Aber ich werde ständig gescannt!
    Ich bekomme aber Pakete an Trojanerports!
    Die Firewall schützt mich aber vor Zugriffen auf meine Windowsfreigaben!
    Ich habe gehört, man könne auch ohne die gewollte Freigabe der Festplatte auf meinen Rechner zugreifen. Die Firewall würde mich doch in diesem Fall schützen, oder?
    Der Hersteller meiner Software bietet aber keine Patches zur Fehlerbehebung an. Also brauche ich eine Firewall!
    Kann meine Desktop-Firewall zufällig installierte Trojaner abblocken?
    Ich mußte alles zulassen, sonst geht Napster nicht mehr!



    Hier wird gerne und häufig Personal Firewalls ein Sinn herbei zu argumentieren versucht, daß ein bißchen Schutz ja immerhin besser als gar kein Schutz ist.

    Nun frage ich mich: wo wohnt ihr? Im Erdgeschoß? Habt ihr da Fenster, die man nicht aufmachen darf, weil sie einem sonst auf den Fuß fallen, aber immerhin schützen sie vor Insekten?

    Oder vielleicht im 3. Stock? Habt ihr da einen Fahrstuhl, der manchmal abstürzt oder stecken bleibt? Aber immerhin bringt er einen manchmal hoch? Das ist doch besser als nichts, gell? Und man kann ja immer noch das Treppenhaus nehmen. Gegen das Geländer darf man sich nicht gegenlehnen, weil es sonst abbricht und zu schweren Verletzungen führen kann, aber es ist immerhin besser als wenn man gar keines hätte, nicht?

    Sicherheitsanforderungen an eine Firewall sind in vielerlei Hinsicht wie die an ein Geländer. Es muß Halt geben. Bei Sicherheit geht es um Verläßlichkeit, egal ob im Computer oder im Leben! Es muß deterministisch sein, gegen welche Attacken es hilft und gegen welche es nicht hilft.

    Wenn das Geländer maximal 200 Kilogramm Druck aushält, dann kann man damit kalkulieren.

    Bei der Personal Firewall gibt es diese Art von Zusage nicht, weil sie eben ausgehebelt und abgeschaltet werden kann. Daher muß eine verläßliche Firewall immer von Anwendungen und dem Zugriff auf das System geschützt werden. Das gilt auch z.B. für eine PIX oder eine Elsa-Firewall! Sobald es eine Möglichkeit gibt, daß ein Angreifer auf der Firewall-Kiste Code ausführen kann (weil der Anwender wo drauf geclickt hat oder aus welchem Grund auch immer), dann kann man sich nicht auf ihre Funktion verlassen! Ob das Betriebssystem Linux, Windows oder IOS heißt, spielt keine Rolle.

    Und diese Beobachtung ist auch der Grund, wieso man Router und Server trennt. Server bieten Angriffsfläche, bei der die Wahrscheinlichkeit, daß mal irgendwann ein Bug gefunden wird, der es einem Angreifer erlaubt, Code auszuführen, deutlich größer als Null ist.

    Auch ein IP-Stack oder ein Paketfilter kann Bugs haben, keine Frage. Nur folgt daraus nicht, daß man das mit der Sicherheit eh vergessen kann, sondern daß man auf Routern alle Dienste (HTTP, telnet, SMTP) abschaltet und nur Paketfilter einsetzt, bei denen man die Funktion anhand des Quellcodes verifizieren kann.



    Weiterführende Informationen
    ==========================​

    Die "Zonealarm-FAQ" von Utz Pflock enthält einige Informationen darüber, wie man als Privatanwender einen Kompromiss zwischen Funktionalität und angestrebter Sicherheit erreichen kann. http://www.pflock.de/computer/za_faq.htm

    Situationen, die einige PFs als "Angriff" fehlinterpretieren (engl.):
    http://www.dslreports.com/forum/remark,2169468~root=security,1~mode=flat

    http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm#Firewall
    http://www.team-cauchy.de/personal/
    http://www.fefe.de/pffaq/halbesicherheit.txt
    http://www.samspade.org/d/persfire.html (Englisch)
 
*super* :bier

@PS: die Absolute Sicherheit garantiert eh keine Firewall. Man kann jede Tunneln bzw umgehen. Also mal sollte auch selber darauf achten was man wo und wie tut
 
hi all...,

wieder mal ernüchternd... :crazy :crazy :crazy
aber informativ!

>>> besser nur im Lendenschurz als ganz nackt <<<:D

der Nirosta-Rundumschutz für den Normalo-User heisst:
2.-Rechner ohne I-Net-Zugang :D :ROFLMAO: :D



... Thx & Grüsse ...
 
Da sind wir ja wieder beim alten Thema.. *g*

Unter anderem - nur eine gut eingestellte Firewall schützt wirklich, und
wer das Bereinigen von Bugs unterlässt, handelt ebenfalls sträflich. Dazu
kommt vor allem die Disziplin bei Umsetzung der eigenen Grundsätze:


1. Das Zulassen von Serverdiensten auf dem normalen PC ist generell
schon mal ein wesentliches Sicherheitsrisiko (Kaaza, Esel..) -
keine gediegene Firma würde das ohne VPN sowie ohne Kennwort und
festgelegten Port zulassen, und schon gar nicht für unbekannte User.

2. Per HTTP-Port 80 lasse ich nur einkommende Datenpakete zu, also habe
ich die als "Gast-Geschenk" erhaltene Software Copernic 2001 wieder
verworfen, weil die von meinem PC aus per HTTP agieren wollte:
Ist zwar eine sehr schöne Software, mit der viel weitergehende
Internetrecherchen als mit Google durchgeführt werden können, aber
die Firma ist mir unbekannt und hat somit keinen Vertrauensvorschuss.

3. Gestern hat unser Sohn von seinem Linux-Laptopp aus ca. drei
Stunden vergeblich versucht, eine Schwachstelle an meinen Firewall-
Einstellungen zu finden [wir haben zwei Telefon-Leitungen.
Auch www.pcflank.com und www.scan.sygate.com haben sich in der
Vergangenheit redlich aber erfolglos um meine PC bemüht [ZAPro 3.0].

Sieh hierzu auch https://www.supernature-forum.de/showthread.php?threadid=11400

4. Nach meiner Einschätzung sind in erster Linie zu vertrauensvolle Jäger und
Sammler betroffen. Das betrifft wiederum unseren anderen Sohn - seine
Bitte um Installation von neueren IE- und NS-Versionen sowie Nero 5.5.8
beantwortete ich mit dem Hinweis ".. wenn eure nächste Vollsicherung als
Rückweg durchgeführt wurde.." - das ist nun auch schon wieder fast
zwei Monate her, ohne dass sich irgendetwas rührte..

Wer seinen PC ordentlich pflegt
-aktueller Virenprüfer - regelmäßige Datensicherung - knapp eingestellte Firewall
und nicht jedes Risiko eingeht, hat als Privatmann/-frau kaum etwas zu
befürchten, was er/sie im Ernstfall nicht wieder heilen könnte.
 
Danke Tech_FREAK_2000,

die Diskussion ist ein Genuss für die Informierten, für Einsteiger aber zu hoch
aufgehängt. Virenprüfer und PersonalFirewalls sind wie Versicherungen, man
schließt für Notfälle ab: Und die können sich auch bei Unaufmerksamkeit und/
oder temporärem Leichtsinn schon mal einschleichen, auch der Trojanerschutz
von ZAPro3.0 ist sehr brauchbar.

Ich habe schon ein halbes dutzend Anwendungen gleich rausgeschmissen, weil
die über ZoneAlarm zu weitgehende Rechte haben wollten. Und ein Trojaner
wie 'explorer.exe' hat Null Chancen, weil 'er' mein ZAPro-Kennwort nicht kennt.
 
Hallo Leute!
Nachdem ich fast ein halbes Jahr mit der Sharewareversion von ZA rumgeeiert bin, hat mir jemand die "Tiny Personal Firewall" empfolen. Diese ist (in der Version 2.015) nicht nur Freeware und bietet mehr Optionen, sondern ist auch , wie ich finde, viel handlicher und Benutzerfreundlicher als ZA!
Ich würde euch auf jeden Fall ans Herz legen sie mal zu testen ... :D
 
Original geschrieben von Peanut_Master
.... hat mir jemand die "Tiny Personal Firewall" empfolen. Diese ist (in der Version 2.015) nicht nur Freeware und bietet mehr Optionen, sondern ist auch , wie ich finde, viel handlicher und Benutzerfreundlicher als ZA!
Ich würde euch auf jeden Fall ans Herz legen sie mal zu testen ... :D

Yo, danke für den Tip.... Da hätt ich noch was für dich :)

https://www.supernature-forum.de/showthread.php?s=&threadid=14074&highlight=kerio
 
Oben