Pro und Kontra Personal Firewalls - die Grundsatzdiskussion

QuHno

Außer Betrieb
(...) also reicht mir mein Schutz.
Bist Du sicher?

Stell Dir nur einmal vor, so etwas in ein klein wenig intelligenter gemacht rutscht an der Antivirensoft bzw Firewall vorbei:
Trojaner verteilt Kinderpornos.

Allein der Bezug von Kinderpornografie ist nach §184 StGB strafbar, egal wie man dazu gekommen ist. Wenn dann irgend ein Update der Antisonstwas Software den Trojaner killt, wird der nachträgliche Nachweis, dass Du es nicht selbst warst, wahnsinnig schwer.

Nein, ich bin nicht paranoid, ich habe noch mehr Beispiele in der Richtung - einige der Downloader Trojaner Varianten sind in der Beziehung richtig übel und mittlerweile intelligent genug, dass sie Firewalls und Antivirensoft ausschalten können, wenn sie nicht rechtzeitig entdeckt wurden. :(
 

Ernst_42

schläft auf dem Boardsofa
Bist Du sicher?
[...]
Nein, ich bin nicht paranoid, ich habe noch mehr Beispiele in der Richtung - einige der Downloader Trojaner Varianten sind in der Beziehung richtig übel und mittlerweile intelligent genug, dass sie Firewalls und Antivirensoft ausschalten können, wenn sie nicht rechtzeitig entdeckt wurden. :(

Nur ein interessanter Eintrag im Blog von Bruce Schneier zum Thema wie man die Welt sieht: (lesenswert, aber auf englisch) The Security Mindset

Grüße
 

QuHno

Außer Betrieb
Da sind ja ein paar nette Sachen beschrieben :D

Aber ohne Scherz: Ich muss nur in mein Server-, Router- oder Firewall-Log sehen und schon habe ich jeden Tag ca 10-3000 Gründe, warum ich auf Sicherheit achte. Alleine die Tatsache, dass im Schnitt ca. 50 Mal versucht wird, meinen armen, kleinen Privatindianer (Apache) mittels irgendwelcher dämlicher Aufrufe oder SQL Injektionen zu übernehmen, stimmt mich immer wieder sehr nachdenklich...
 

Vordack

assimiliert

Ja :D Da ich nie auf die abrgrundtief dumme Idee kommen würde irgendeine Datei auszuführen (was bei Deinem Beispiel ja notwendig ist) die mir von einem unbekannten zugeschickt wird hätte ich das Problem nicht.

Grundsätzlich verstehe ich schon was Du mit der mir gestellten Frage andeuten willst, dennoch bin ich der Meinung daß wenn man Brain 2.0 installiert hat man schon ziemlich abgesichert ist.
 

QuHno

Außer Betrieb
Ja, in meinem Beispiel musste man noch klicken. Das stimmt auch nur so lange, wie sich solch ein Teil nicht über Sicherheitslücken im System selbst oder sonstiger Software einnistet - und das kann durchaus über z.B. ein manipuliertes JPG auf einer Webseite erfolgen, welches einen Buffer Overflow auslöst und dann seinen Schadcode ausführt...

... vielleicht sogar noch nicht einmal direkt im Browser, aber evtl in einem Bildbetrachter, nachdem man sich das Bild gespeichert hat, weil man es z.B. als Desktop Hintergrund verwenden will. Alles schon da gewesen ...
 

Supernature

Und jetzt?
Teammitglied
Mal wieder was "Grundsätzliches", der Überschrift entsprechend.
Ich hatte bestimmt seit drei Jahren keine Personal Firewall mehr am Start.
Als jetzt meine NO32-Lizenz auslief, hab ich mir aus Neugier mal die Smart Security Suite geleistet.
Geht jetzt nicht darum, wie gut oder schlecht das mit der Firewall bei diesem Produkt gelöst ist, aber ich war echt erstaunt, wie oft irgendein Programm irgendwo hin will.
 

74min

fühlt sich hier wohl
hi,

@Vordack: würdest du bejahen, dass dein ansatz ne universallösung ist?
@Vordack, QuHno:

man muss nicht in jedem fall klicken, es reichen druckertreiber etc auch. nur ein beispiel, es gibt viele, nicht nur mit activex:
heise online - Sicherheitsleck in HP-ActiveX-Modul


@supie: ja. das hat aber nicht in jedem fall etwas damit zu schaffen, dass ein programm böse ist. dns anfragen etc kannste von einem hdd controller im log auffangen und da ist dann wenig mit konfiguration ohne hilfsmittel auf dem client.

allein der mechanismus win updates und dns, der nun sicher auch so ist, damit diese ghost rechner nicht weiter zu lange aktiv sind wegen win lücken ist ein guter grund, auch wenn ich das nachhause funken generell nicht für ein gutes system halte. aber wie kriegste diese bot rechner sonst erreicht?
die anwender merken das doch nicht einmal.

da kann ich einfach auch sagen, dass sei nicht schützenswert, also als av hersteller kein erkennen, als softlösung hersteller stufe ich das ereignis als vertrauenswürdig ein und und und.


recht interessant finde ich auch verhaltensweisen von einigen sicherheitssoftwarelösungen, die zwar bestimmte ereignisse aufzeigen, aber dennoch entgegen ihrer meldung ignorieren (und passieren lassen). als anwender glaubt man dann echt, alles wäre geblockt und in butter...

viele grüsse
74min
 

Supernature

Und jetzt?
Teammitglied
das hat aber nicht in jedem fall etwas damit zu schaffen, dass ein programm böse ist.
Keines der Programme war in irgendeiner Form "böse" aber viele davon brauchen schlichtweg keine Internetverbindung, um korrekt zu funktionieren. Darum haben sie jetzt auch keine mehr :).
 

74min

fühlt sich hier wohl
huhu supie,

ich glaube das ist ein punkt: mit und ohne blocken funktionieren sie.

evtl verzichtest du nun auf eine funktion, auf die andere wert legen.
ich glaube, es geht hier im fred nicht unbeding nur um ein reines funktionieren...

viele grüsse
74min
 

Bio-logisch

Moderator
Teammitglied
Es kommt immer auf das Bedrohungsszenario an:
Kommt der Angriff von außen nach innen, oder will ein Programm von innen nach außen?

Eine Softwarefirewall kann in den allermeisten Fällen Angriffe von außen auf Netzwerkebene abwehren (Ausnahmen bestätigen die Regel, Stichwort "Ping of Death").
Ausgehende Verbindungen von "vernünftigen" Programmen gehen auch fast immer, bei Schadprogrammen wird es komplizierter, die finden dann manchmal doch noch eine Lücke.

Ein Router mit Firewall (also im Prinzip eine "Hardwarefirewall") schützt ein ganzes Netzwerk gegen Angriffe von außen. Gegen "Heimtelefonierer" kann er aber nicht viel ausrichten. Eventuell mit einem Proxi-Server, aber der kann auch nicht unterscheiden, ob es nun ein Browser oder ein Trojaner ist, der da Port 80 verwendet...

Ein anderes Szenario ist ein Angriff auf eine Anwendung, z. B. ein Browser, Plugins oder Mailprogramme mit Sicherheitslücken:
Da sind "aktive" Inhalte, die auf dem eigenen Rechner ausgeführt werden, die größte Gefahr. Also Programmschnipsel in Java, Javascript, Flash, etc...

Wer da sicher gehen will, der schaltet diese "Programmiersprachen" halt ab oder läßt sie rausfiltern:
Mein Thunderbird zeigt mir nur reinen Text an.
Für Firefox gibt es das Plugin "Noscript" das für jede Webseite spezifisch Flash, Javascript und Java freischalten oder blocken kann.
(Einige Firewallprogrammme oder Proxiserver können das auch herausfiltern, aber eigentlich ist das nicht deren Aufgabe).

Speziallösungen wie Sandboxie oder auch einen Browser in einer virtuellen Maschine bringen sicher auch noch etwas Sicherheit bzw. machen einen Angriff komplizierter. Aber das würde ich nicht als "ONU - Lösung" ansehen...
 

Vordack

assimiliert
hi,

@Vordack: würdest du bejahen, dass dein ansatz ne universallösung ist?

Wie meinst Du das? Welcher Ansatz von mir?

Aber wenn Du das meinst, ja. Ich würde bejahen daß mitdenken der erste und wichtigste Schritt im Umgang mit dem Web ist.

Daß eine Firewall aber trotzdem wichtig ist steht nicht zur Debatte...
 

adHX

kennt sich schon aus
Ach, schoenes Forum hier, da kann ich mich austoben.

Firewalls sind unnoetig, wenn man die ausgehenden und eingehenden Verbindungen kontrolliert und konfiguriert. Dazu benoetigt man jedoch das Wissen. Und hier faengt das Problem an, dadurch dass viele nur nutzen, wird das nichts.
Wer sich in der truegerischen Sicherheit dank einer Firewall fuehlt, der sollte einiges bedenken:

1. Ein System ist so stabil/sicher wie das schwaechste Glied. Das bedeutet wenn eine Anwendung einen Fehler hat, kann dies einfach genutzt werden. Viele sichern ihr System ab, beachten jedoch nicht die Anwendungen. Und schon ist das Scheunentor offen.

2. Firewalltunneling
Ist auch nichts seltenes. Tunnel sind gebraeuchlich und etwas, was auch nuetzlich sein kann. Aber es kann auch Schaeden hinterlassen.

Wer sich diese Punkte genauer betrachtet und bedenkt, wird feststellen, dass Sicherheit subjektiv ist und nicht existiert. Der Staat meint das Internet ist eine Bluemchenwiese, Realitaet besagt jedoch Krieg.

adHX
 

QuHno

Außer Betrieb
Firewalls sind unnoetig, wenn man die ausgehenden und eingehenden Verbindungen kontrolliert und konfiguriert. Dazu benoetigt man jedoch das Wissen.
Was ich z.B. meinem Nachbarn, dem ich den Rechner eingerichtet habe, definitiv nicht eintrichtern kann. Er interessiert sich auch nicht dafür, er will mit dem Rechner surfen, ab und zu eine Mail schreiben und spielen, dass der ein oder andere Download dabei ist, ist auch klar.

Was also tun?

Klar, ich habe seinen Rechner erst einmal so konfiguriert dass er im Admin Account nicht surfen kann (und er weiß nicht, wie man es wieder einschalten könnte, zumal er dazu ersteinmal das Admin PW wissen müsste, oder wissen müsste wie man es umgehen kann :devil ) - denn Malware, die sich selbst aus einem eingeschränkten Benutzer Account heraus höhere Rechte verschaffen kann, ist glücklicherweise deutlich seltener als der übliche Kram - und auch ansonsten dafür gesorgt, das alles, was er nicht macht, auch gar nicht erst geht.

Ansonsten hat er das Glück, dass er bei mir mit an Netz hängt und ich ihn so regelmäßig mit Updates versorgen kann, denn nicht nur Standard-Surfsoft beinhaltet Lücken, sondern jede einzelne Anwendung auf dem Rechner kann zu einem Risiko werden, selbst wenn sie keine eigenen Routinen hat, in das Internet zu gehen (die Erklärung, warum das so ist, ist etwas komplizierter, deswegen schenke ich sie mir jetzt).

2. Firewalltunneling
Ist auch nichts seltenes. Tunnel sind gebraeuchlich und etwas, was auch nuetzlich sein kann. Aber es kann auch Schaeden hinterlassen.
100% ACK. Was z.B. Skype kann, können prinzipiell auch andere Anwendungen - was aber nicht sagt, dass eine Desktop Firewall als ergänzende Maßnahme in einem Fall wie dem obigen nicht sinnvoll ist, denn beim normalen Tunneling wird zumindestens normalerweise die erste Verbindung von innen initiiert. Eine restriktiv eingestellte Application Firewall kann das erkennen und verhindern, wenn sie nicht selbst von entsprechender Malware außer Kraft gesetzt wurde, aber dagegen gibt es andere Maßnahmen wie z.B. AV Software.

Das alles hilft natürlich nicht bei OSI-L8 Problemen, aber mittlerweile hab' ich meinen Nachbarn soweit "dressiert" dass er fragt, bevor er etwas freigibt - es ist schließlich meine Leitung ...

... und ich habe die Macht, im Zweifelsfalle die ultimative Firewall zu betätigen ;) rj45.png
 

adHX

kennt sich schon aus
Ich administriere keine Windoze-Rechner mehr, keine Lust.

Frueher habe ich ebenfalls keine Rechte vergeben. Nun ja, den Benutzer hat es aber dann auch gestoert, dass er nicht alles machen konnte. Nun ist die Kiste staendig murks, aber mir soll es nun egal sein. Wenn jemand die zweite Variante nutzen moechte, dann kann ich auch nichts mehr machen.

Mein Problem ist, wenn man anderen die Rechner einrichtet, kann es sein, dass diese noch weniger Antrieb haben sich selbst zu informieren. Und dann geht alles nach hinten los.

Ansonsten kann man einer Firewall erzaehlen was sie hoeren moechte und dann ist man durch. Die Frage ist, lohnt sich der Aufwand? In den meisten Faellen nicht. Ein DDOS-Angriff kann auch anders leichter iniziiert werden. Daher ein seltener Fall!

Deine ultimative Firewall gefaellt!

adHX
 

QuHno

Außer Betrieb
DDOS kommt von außen.

Gegen einen DDOS kann man sich eh nicht wehren, wenn er massiv genug kommt.

Dabei wird z.B. mit einer SYN ACK Flood so lange auf dem Rechner herumgeprügelt, bis er offline geht - optimale Reaktion bei Überlastung, was offline ist kann nicht mehr gehackt werden - oder die Firewall herunterfährt und im Optimalfall für den Hacker auch nachgeschaltete Switches in den Doof-Modus herunterfahren und nur noch als HUB arbeiten. Dann ist das Netz offen und er kann von außen anstellen was ich will bzw was die meistens ungeschützt dahinter liegenden Rechner zulassen.

Ein ungepflegtes X System ist genau so unsicher wie ein ungepflegtes Win System, allerdings ist z.B. bei Debian mittels apt -get -update -install eine supereinfache Wartung dank der Repositorien möglich. Wenn man dann noch die Rechtevergaben auf dem System ordentlich gemacht hat, kann man wenn man Ahnung hat ein sicheres System einrichten. Wenn man jedoch, wie mein Nachbar, nur mit dem Rechner arbeiten will und nicht an dem Rechner, ist ein Linux definitiv auch nicht das Wahre, wenn man niemanden hat, der einem das Teil auf Vordermann hält.

Kurze Anmerkung am Rande zum Thema Linux und Schadsoftware:

Es mag sein, dass für Linux weniger Schadsoftware existiert (was in erster Linie an der deutlich geringeren Verbreitung liegt), aber das ändert nichts an der Tatsache, dass UNIX basierte Systeme mindestens so große Virenschleudern sind, wie Windows basierte Systeme - die meisten Web oder Mailserver, die den Müll verbreiten bzw. durchlassen sind irgendeineArt-X-Systeme...

Das könnte natürlich auch Absicht seitens der X Gemeinde sein :p :weg
 

adHX

kennt sich schon aus
DDOS kommt von außen.

Gegen einen DDOS kann man sich eh nicht wehren, wenn er massiv genug kommt.

Dabei wird z.B. mit einer SYN ACK Flood so lange auf dem Rechner herumgeprügelt, bis er offline geht - optimale Reaktion bei Überlastung, was offline ist kann nicht mehr gehackt werden - oder die Firewall herunterfährt und im Optimalfall für den Hacker auch nachgeschaltete Switches in den Doof-Modus herunterfahren und nur noch als HUB arbeiten. Dann ist das Netz offen und er kann von außen anstellen was ich will bzw was die meistens ungeschützt dahinter liegenden Rechner zulassen.

Ein ungepflegtes X System ist genau so unsicher wie ein ungepflegtes Win System, allerdings ist z.B. bei Debian mittels apt -get -update -install eine supereinfache Wartung dank der Repositorien möglich. Wenn man dann noch die Rechtevergaben auf dem System ordentlich gemacht hat, kann man wenn man Ahnung hat ein sicheres System einrichten. Wenn man jedoch, wie mein Nachbar, nur mit dem Rechner arbeiten will und nicht an dem Rechner, ist ein Linux definitiv auch nicht das Wahre, wenn man niemanden hat, der einem das Teil auf Vordermann hält.

Kurze Anmerkung am Rande zum Thema Linux und Schadsoftware:

Es mag sein, dass für Linux weniger Schadsoftware existiert (was in erster Linie an der deutlich geringeren Verbreitung liegt), aber das ändert nichts an der Tatsache, dass UNIX basierte Systeme mindestens so große Virenschleudern sind, wie Windows basierte Systeme - die meisten Web oder Mailserver, die den Müll verbreiten bzw. durchlassen sind irgendeineArt-X-Systeme...

Das könnte natürlich auch Absicht seitens der X Gemeinde sein :p :weg

Ist klar, bist du im Angriff drinnen, dann ist es eh vorbei. Das Beste ist dann nur noch, das die Rechner nur noch zusammenbrechen und nicht neu starten.

Ich sprach von DDOS mit Hilfe von irgendwelchen Rechnern von irgendwelchen Menschen, die keine Ahnung haben und dafuer wunderbar geeignet sind. Sammel die ein und dann kannst du aber einen perfekten DDOS machen. Auf diese Schiene wollte ich gelangen. Aber ich denke Mal diesen Punkt brauchen wir nicht weiter


Das mit dem X´en ist nicht so einfach wie du es hinstellen moechtest. Der erste Virus ging zwar auf ein Unix, aber lang ists her.
Nehmen wir nun Windoze und Linux. Von der Struktur her ist Linux einfach besser. Daher sind Schadanwendungen schwerer unter zu bringen als unter Windoze. Wir Linuxer brauchen nicht mit dem Admin zu surfen, wenn wir was installieren wollen hilt die Shell (welche auch immer es sein mag). Multiuser ist das Ding, was Windoze eindeutig fehlt.
Dann kommt der Punkt hinzu, dass ich definitiv unter Linux sicherer leben kann. Wenn ich sehr viel Zeit habe und einen schnelleren Rechner, ich habe noch immer meinen ersten, dann setz ich mir ein Gentoo auf und kontrolliere ich Vorfeld die Quellen und auch die Zeilen von dem Code. Kann ich, muss ich aber nicht. Aber aus dieser Sicht her, ist Linux im Thema Sicherheit auch weiter vorn. Hinzu kommt, dass ich mir einen Quellcode nehmen kann und dort Fehler finden kann, dies melde ich und schon wird alles besser. Dies ist bei Windoze nicht moeglich.
Der ein oder andere mag sagen, dass man bei Linux mehr Sicherheitsluecken finden kann, aber die Moeglichkeit ist auch gegeben diese zu finden. Somit kann das System einfach besser abgesichert werden. Und zwar das gesamte!

Mit der Verbreitung hat das weniger zu tun untermauere ich damit. Und ich kann sogar noch mehr damit.

Nehmen wir deinen Nachbarn, der hat keine Ahnung von Rechnern (in meinem Schaubild, denn nichts mehr ist das hier, also bitte nicht als Beleidigung werten, es ist ein freies Szenario).
Einen Rechner hatte er zuvor nicht ist ebenfalls wichtig. Du gibst ihm ein Linux, schreibst ihm auch das ein oder andere Script fuer apt und erlaeuterst ihm die wenigen Grundlagen. Installieren macht er dann eh ueber apt oder besser synaptic oder wie auch immer das Frontend heisst, und schon kann er gesuender durch die Welt laufen. Zudem muss er sich nicht vom Windoze abgewoehnen.
Das abgewoehnen macht die meisten Probleme, das sehe ich gerade bei einem Vorgesetztem, nicht meiner, welcher sich mit mir, natuerlich bezahlt, zusammengesetzt hat und mich befragt hat. Nun laeuft auf seinem Rechner Linux und nach der Umgewoehnungsphase ist er zufrieden.
Wenn es gravierende Maengel geben sollte, bekommt er einen Hinweis und updatet, denn damit haben ehemalige Windozer ein Problem!

Ansonsten:


adHX
aka wer? Wer bin ich Pat oder Patterchen?
 

QuHno

Außer Betrieb
Das mit dem X´en ist nicht so einfach wie du es hinstellen moechtest.
Doch, ist es:
90% aller Malware im Internet passiert auf ihrem Weg einen *X Rechner - meistens einen Mailserver - der zu doof ist, die rauszufiltern oder stammt von einem auf *X laufenden Webserver, der häufig so manipuliert ist, dass er z.B. falsche Mime Types rüberreicht.

Weg mit den unsicheren Teilen und schon geht's uns besser :devil

PS: *X ist das Betriebssystem der Zukunft und das seit über 30 Jahren :ROFLMAO:
 

adHX

kennt sich schon aus
Doch, ist es:
90% aller Malware im Internet passiert auf ihrem Weg einen *X Rechner - meistens einen Mailserver - der zu doof ist, die rauszufiltern oder stammt von einem auf *X laufenden Webserver, der häufig so manipuliert ist, dass er z.B. falsche Mime Types rüberreicht.

Weg mit den unsicheren Teilen und schon geht's uns besser :devil

PS: *X ist das Betriebssystem der Zukunft und das seit über 30 Jahren :ROFLMAO:

Das liegt aber wieder an den Betreibern.
Sicherlich sind die meisten Rechner im Internet mit X, dahinter sitzen immer Menschen. Wer sich da nicht kuemmert, hat eben einen solchen Mailserver.

Ich sehe aber auch Vorteile in der Welt der virtuellen Tiere und anderen "Gefleuschs", sie zeigen auf wo was falsch gemacht wurde. Ab und an brutal, aber wirkungsvoll!

adHX
 
Oben